Microsoft Entra pass-through authentication security deep dive

Ez a cikk részletesebb leírást nyújt a Microsoft Entra átmenő hitelesítés működéséről. A funkció biztonsági aspektusaira összpontosít. Ez a cikk a biztonsági és informatikai rendszergazdák, a fő megfelelőségi és biztonsági tisztviselők, valamint az informatikai biztonságért és megfelelőségért felelős egyéb informatikai szakemberek számára készült bármilyen méretű szervezetnél vagy vállalatnál.

A tárgyalt témakörök a következők:

• Részletes technikai információk a hitelesítési ügynökök telepítéséről és regisztrálásáról.
• Részletes technikai információk a jelszótitkosításról a felhasználói bejelentkezés során.
• A helyszíni hitelesítési ügynökök és a Microsoft Entra ID közötti csatornák biztonsága.
• Részletes technikai információk a hitelesítési ügynökök működési biztonságának megőrzéséről.

Átmenő hitelesítési kulcsok biztonsági képességei

Az átmenő hitelesítés a következő kulcsfontosságú biztonsági képességekkel rendelkezik:

• Egy biztonságos több-bérlős architektúrára épül, amely elkülöníti a bérlők közötti bejelentkezési kérelmeket.
• A helyszíni jelszavak soha nem tárolódnak a felhőben semmilyen formában.
• A jelszóérvényesítési kérelmeket figyelő és megválaszoló helyszíni hitelesítési ügynökök csak kimenő kapcsolatokat létesítenek a hálózaton belülről. Nem szükséges telepíteni ezeket a hitelesítési ügynököket egy szegélyhálózaton (más néven DMZ-ben, demilitarizált zónában és szűrt alhálózatban). Ajánlott eljárásként a hitelesítési ügynököket futtató összes kiszolgálót 0. rétegbeli rendszerként kezelje (lásd a hivatkozást).
• Csak a standard portok (80-s és 443-os port) használhatók a hitelesítési ügynököktől a Microsoft Entra-azonosító felé irányuló kimenő kommunikációhoz. Nem kell megnyitnia a bejövő portokat a tűzfalon.
  • A 443-as port az összes hitelesített kimenő kommunikációhoz használható.
  • A 80-s port csak a visszavont tanúsítványok listájának (CRL-ek) letöltéséhez használható, hogy a szolgáltatás által használt tanúsítványok egyike sem legyen visszavonva.
  • A hálózati követelmények teljes listáját a Microsoft Entra átmenő hitelesítés rövid útmutatója tartalmazza.
• A bejelentkezés során a felhasználók által megadott jelszavak titkosítva lesznek a felhőben, mielőtt a helyszíni hitelesítési ügynökök elfogadják őket a Windows Server Active Directory (Windows Server AD) hitelesítéséhez.
• A Microsoft Entra ID és a helyszíni hitelesítési ügynök közötti HTTPS-csatornát kölcsönös hitelesítéssel biztosítjuk.
• Az átmenő hitelesítés a Microsoft Entra feltételes hozzáférési szabályzataival, beleértve a többtényezős hitelesítést (MFA) és az örökölt hitelesítés letiltását, valamint a találgatásos jelszótámadások kiszűrésével védi a felhasználói fiókokat.

Az átmenő hitelesítésben részt vevő összetevők

A Microsoft Entra ID működési, szolgáltatás- és adatbiztonságával kapcsolatos általános részletekért tekintse meg az adatvédelmi központot. A következő összetevőkre van szükség a felhasználói bejelentkezéshez használt átmenő hitelesítés használatakor:

• Microsoft Entra Security Token Service (Microsoft Entra STS): Állapot nélküli STS, amely feldolgozza a bejelentkezési kérelmeket, és szükség szerint biztonsági jogkivonatokat ad ki a felhasználói böngészőknek, ügyfeleknek vagy szolgáltatásoknak.
• Azure Service Bus: Felhőalapú kommunikációt biztosít a vállalati üzenetkezeléssel és a továbbítással, amely segít a helyszíni megoldások felhőhöz való csatlakoztatásában.
• Microsoft Entra Csatlakozás hitelesítési ügynök: Egy helyszíni összetevő, amely figyeli és válaszol a jelszó-érvényesítési kérelmekre.
• Azure SQL Database: Információkat tartalmaz a bérlő hitelesítési ügynökeiről, beleértve a metaadatokat és a titkosítási kulcsokat.
• Windows Server AD: Helyszíni Active Directory, ahol a felhasználói fiókok és a jelszavak tárolódnak.

Hitelesítési ügynökök telepítése és regisztrálása

A hitelesítési ügynökök telepítése és regisztrálása a Microsoft Entra-azonosítóval történik, amikor az alábbi műveletek egyikét hajtja végre:

• Átmenő hitelesítés engedélyezése a Microsoft Entra Csatlakozás
• További hitelesítési ügynökök hozzáadása a bejelentkezési kérelmek magas rendelkezésre állásának biztosításához

A hitelesítési ügynök működésének lekérése három fő fázisból áll:

• Installation
• Nyilvántartás
• Inicializálás

A következő szakaszok részletesen ismertetik ezeket a fázisokat.

Hitelesítési ügynök telepítése

Egy helyszíni kiszolgálón csak hibrid identitás Rendszergazda istrator-fiók telepíthet hitelesítési ügynököt (a Microsoft Entra Csatlakozás vagy egy különálló példány használatával).

A telepítés két új bejegyzést ad hozzá a listához a Vezérlőpult> Program programok>és szolgáltatások területen:

• Maga a hitelesítési ügynökalkalmazás. Ez az alkalmazás NetworkService-jogosultságokkal fut.
• A hitelesítési ügynök automatikus frissítéséhez használt Frissítő alkalmazás. Ez az alkalmazás LocalSystem-jogosultságokkal fut.

Fontos

Biztonsági szempontból a rendszergazdáknak úgy kell kezelnie az átmenő hitelesítési ügynököt futtató kiszolgálót, mintha tartományvezérlő lenne. Az átmenő hitelesítési ügynök kiszolgálóit a támadás elleni biztonságos tartományvezérlőkben leírtak szerint kell megkötni.

Hitelesítési ügynök regisztrálása

A hitelesítési ügynök telepítése után regisztrálja magát a Microsoft Entra-azonosítóval. A Microsoft Entra ID minden hitelesítési ügynökhöz hozzárendel egy egyedi, digitális identitástanúsítványt, amelyet a Microsoft Entra ID azonosítóval való biztonságos kommunikációhoz használhat.

A regisztrációs eljárás a hitelesítési ügynököt a bérlőhöz is köti. Ezután a Microsoft Entra id tudja, hogy ez az adott hitelesítési ügynök az egyetlen, aki jogosult a bérlői jelszó-érvényesítési kérelmek kezelésére. Ez az eljárás minden regisztrált új hitelesítési ügynök esetében ismétlődik.

A hitelesítési ügynökök a következő lépésekkel regisztrálják magukat a Microsoft Entra-azonosítóval:

1. A Microsoft Entra először kéri, hogy egy hibrid identitáskezelő rendszergazda jelentkezzen be a Microsoft Entra-azonosítóba a hitelesítő adataikkal. A bejelentkezés során a hitelesítési ügynök egy hozzáférési jogkivonatot szerez be, amelyet a felhasználó nevében használhat.
2. A hitelesítési ügynök ezután létrehoz egy kulcspárt: egy nyilvános kulcsot és egy titkos kulcsot.
   • A kulcspár normál RSA 2048 bites titkosítással jön létre.
   • A titkos kulcs azon a helyszíni kiszolgálón marad, ahol a hitelesítési ügynök található.
3. A hitelesítési ügynök regisztrációs kérelmet küld a Microsoft Entra ID-nak HTTPS-en keresztül, és a kérelem a következő összetevőket tartalmazza:
   • Az ügynök által beszerzett hozzáférési jogkivonat.
   • A létrehozott nyilvános kulcs.
   • Tanúsítvány-aláírási kérelem (CSR vagy tanúsítványkérelem). Ez a kérés egy digitális identitástanúsítványra vonatkozik, amelynek hitelesítésszolgáltatója a Microsoft Entra ID.
4. A Microsoft Entra ID ellenőrzi a hozzáférési jogkivonatot a regisztrációs kérelemben, és ellenőrzi, hogy a kérés hibrid identitáskezelőtől származik-e.
5. A Microsoft Entra ID ezután aláír egy digitális identitástanúsítványt, és visszaküldi a hitelesítési ügynöknek.

   • A Microsoft Entra-azonosító legfelső szintű hitelesítésszolgáltatója a tanúsítvány aláírására szolgál.

     Megjegyzés:

     Ez a hitelesítésszolgáltató nem szerepel a Windows megbízható főtanúsítvány-szolgáltatói tárolójában.

   • A hitelesítésszolgáltatót csak az átmenő hitelesítési funkció használja. A hitelesítésszolgáltató csak csR-ek aláírására használható a hitelesítési ügynök regisztrációja során.

   • Ezt a hitelesítésszolgáltatót más Microsoft Entra-szolgáltatás nem használja.

   • A tanúsítvány tárgya (más néven megkülönböztető név vagy DN) a bérlőazonosítóra van állítva. Ez a DN egy GUID, amely egyedileg azonosítja a bérlőt. Ez a DN csak a bérlőhöz használható tanúsítványra terjed ki.

6. A Microsoft Entra ID a hitelesítési ügynök nyilvános kulcsát egy azure SQL Database-adatbázisban tárolja. Csak a Microsoft Entra-azonosító fér hozzá az adatbázishoz.
7. A kiállított tanúsítvány a Windows tanúsítványtároló helyszíni kiszolgálóján (pontosabban a CERT_SYSTEM_STORE_LOCAL_MACHINE) található. A tanúsítványt a hitelesítési ügynök és az Updater alkalmazás is használja.

Hitelesítési ügynök inicializálása

Amikor a hitelesítési ügynök elindul, akár a regisztráció után, akár a kiszolgáló újraindítása után először, biztonságos kommunikációra van szüksége a Microsoft Entra szolgáltatással, hogy elkezdhesse elfogadni a jelszóérvényesítési kérelmeket.

A hitelesítési ügynökök inicializálásának menete:

1. A hitelesítési ügynök kimenő rendszerindítási kérést küld a Microsoft Entra ID-nak.

   Ez a kérés a 443-es porton keresztül történik, és egy kölcsönösen hitelesített HTTPS-csatornán keresztül történik. A kérelem ugyanazt a tanúsítványt használja, amelyet a hitelesítési ügynök regisztrációja során adtak ki.

2. A Microsoft Entra ID úgy válaszol a kérésre, hogy megad egy hozzáférési kulcsot egy, a bérlő számára egyedi Service Bus-üzenetsorhoz, amelyet a bérlőazonosító azonosít.

3. A hitelesítési ügynök állandó kimenő HTTPS-kapcsolatot létesít (a 443-as porton keresztül) az üzenetsorhoz.

A hitelesítési ügynök most már készen áll a jelszóérvényesítési kérelmek lekérésére és kezelésére.

Ha több hitelesítési ügynök van regisztrálva a bérlőn, az inicializálási eljárás biztosítja, hogy minden ügynök ugyanahhoz a Service Bus-üzenetsorhoz csatlakozzon.

Hogyan dolgozza fel az átmenő hitelesítés a bejelentkezési kéréseket?

Az alábbi ábra bemutatja, hogyan dolgozza fel az átmenő hitelesítés a felhasználói bejelentkezési kéréseket:

Hogyan kezeli az átmenő hitelesítés a felhasználói bejelentkezési kéréseket?

1. Egy felhasználó megpróbál hozzáférni egy alkalmazáshoz, például az Outlook Web Apphoz.

2. Ha a felhasználó még nincs bejelentkezve, az alkalmazás átirányítja a böngészőt a Microsoft Entra bejelentkezési oldalára.

3. A Microsoft Entra STS szolgáltatás a Felhasználói bejelentkezési oldallal válaszol vissza.

4. A felhasználó a felhasználó bejelentkezési lapján adja meg a felhasználónevét, majd a Tovább gombra kattint.

5. A felhasználó beírja a jelszavát a Felhasználói bejelentkezési lapon, majd kiválasztja a Bejelentkezés gombot.

6. A felhasználónév és a jelszó egy HTTPS POST-kérelemben lesz elküldve a Microsoft Entra STS-nek.

7. A Microsoft Entra STS lekéri a bérlőn regisztrált összes hitelesítési ügynök nyilvános kulcsait az Azure SQL Database-ből, és a kulcsok használatával titkosítja a jelszót.

   Egy titkosított jelszóértéket állít elő a bérlőn regisztrált minden hitelesítési ügynökhöz.

8. A Microsoft Entra STS a felhasználónévből és a titkosított jelszóértékekből álló jelszóérvényesítési kérést a bérlőjére jellemző Service Bus-üzenetsorba helyezi.

9. Mivel az inicializált hitelesítési ügynökök folyamatosan csatlakoznak a Service Bus-üzenetsorhoz, az egyik elérhető hitelesítési ügynök lekéri a jelszó-érvényesítési kérést.

10. A hitelesítési ügynök egy azonosítót használ a nyilvános kulcsra jellemző titkosított jelszó értékének megkereséséhez. A titkos kulcs használatával visszafejti a nyilvános kulcsot.

11. A hitelesítési ügynök a Win32 LogonUser API-val próbálja ellenőrizni a felhasználónevet és a jelszót a Windows Server AD-vel, és a paraméter értéke a dwLogonType következőLOGON32_LOGON_NETWORK.

    • Ez az API ugyanaz az API, amelyet a Active Directory összevonási szolgáltatások (AD FS) (AD FS) használ a felhasználók összevont bejelentkezési forgatókönyvben való bejelentkezéséhez.
    • Ez az API a Windows Server standard megoldási folyamatára támaszkodik a tartományvezérlő megkereséséhez.

12. A hitelesítési ügynök megkapja az eredményt a Windows Server AD-től, például a siker, a felhasználónév vagy a jelszó helytelen, vagy a jelszó lejárt.

    Megjegyzés:

    Ha a hitelesítési ügynök a bejelentkezési folyamat során meghiúsul, a rendszer elveti a teljes bejelentkezési kérést. A bejelentkezési kérések nem lesznek átadva egy helyszíni hitelesítési ügynöktől egy másik helyszíni hitelesítési ügynöknek. Ezek az ügynökök csak a felhővel kommunikálnak, és nem egymással.

13. A hitelesítési ügynök egy kimenő, kölcsönösen hitelesített HTTPS-csatornán keresztül továbbítja az eredményt a Microsoft Entra STS-nek a 443-es porton keresztül. A kölcsönös hitelesítés a hitelesítési ügynöknek a regisztráció során kiadott tanúsítványt használja.

14. A Microsoft Entra STS ellenőrzi, hogy ez az eredmény korrelál-e a bérlőre vonatkozó konkrét bejelentkezési kéréssel.

15. A Microsoft Entra STS a konfigurált bejelentkezési eljárással folytatja. Ha például a jelszó érvényesítése sikeres volt, előfordulhat, hogy a felhasználó mFA-kérést kapott, vagy vissza lesz irányítva az alkalmazásba.

A hitelesítési ügynök működési biztonsága

Az átmenő hitelesítés működési biztonságának biztosítása érdekében a Microsoft Entra ID rendszeres időközönként megújítja a hitelesítési ügynök tanúsítványait. A Microsoft Entra ID elindítja a megújításokat. A megújításokra nem maguk a hitelesítési ügynökök vonatkoznak.

Egy hitelesítési ügynök megbízhatóságának megújítása a Microsoft Entra-azonosítóval:

1. A hitelesítési ügynök néhány óránként pingeli a Microsoft Entrát, hogy ellenőrizze, ideje-e megújítani a tanúsítványát. A tanúsítvány 30 nappal a lejárata előtt megújul.

   Ez az ellenőrzés egy kölcsönösen hitelesített HTTPS-csatornán történik, és ugyanazt a tanúsítványt használja, amelyet a regisztráció során adtak ki.

2. Ha a szolgáltatás azt jelzi, hogy ideje megújítani, a hitelesítési ügynök létrehoz egy új kulcspárt: egy nyilvános kulcsot és egy titkos kulcsot.

   • Ezek a kulcsok szabványos RSA 2048 bites titkosítással jönnek létre.
   • A titkos kulcs soha nem hagyja el a helyszíni kiszolgálót.

3. A hitelesítési ügynök ezután tanúsítványmegújítási kérelmet küld a Microsoft Entra ID-nak HTTPS-en keresztül. A kérelem a következő összetevőket tartalmazza:

   • A Windows tanúsítványtároló CERT_SYSTEM_STORE_LOCAL_MACHINE helyről lekért meglévő tanúsítvány. Ebben az eljárásban nincs globális rendszergazda, ezért nincs szükség hozzáférési jogkivonatra a globális rendszergazda számára.
   • A 2. lépésben létrehozott nyilvános kulcs.
   • A CSR. Ez a kérés egy új digitális identitástanúsítványra vonatkozik, amelynek hitelesítésszolgáltatója a Microsoft Entra ID.

4. A Microsoft Entra ID ellenőrzi a meglévő tanúsítványt a tanúsítványmegújítási kérelemben. Ezután ellenőrzi, hogy a kérés egy, a bérlőn regisztrált hitelesítési ügynöktől származik-e.

5. Ha a meglévő tanúsítvány továbbra is érvényes, a Microsoft Entra ID aláír egy új digitális identitástanúsítványt, és visszaadja az új tanúsítványt a hitelesítési ügynöknek.

6. Ha a meglévő tanúsítvány lejárt, a Microsoft Entra ID törli a hitelesítési ügynököt a bérlő regisztrált hitelesítési ügynökök listájából. Ezután egy globális rendszergazdának vagy egy hibrid identitáskezelőnek manuálisan kell telepítenie és regisztrálnia egy új hitelesítési ügynököt.

   • A tanúsítvány aláírásához használja a Microsoft Entra ID legfelső szintű hitelesítésszolgáltatóját.
   • Állítsa a tanúsítvány DN-jét a bérlőazonosítóra, amely a bérlőt egyedileg azonosító GUID. A DN csak a bérlőre terjed ki a tanúsítványra.

7. A Microsoft Entra ID a hitelesítési ügynök új nyilvános kulcsát egy olyan adatbázisban tárolja az Azure SQL Database-ben, amelyhez csak az rendelkezik hozzáféréssel. Érvényteleníti a hitelesítési ügynökhöz társított régi nyilvános kulcsot is.

8. Az új (az 5. lépésben kiadott) tanúsítvány ezután a Windows tanúsítványtároló kiszolgálóján (pontosabban az CERT_SYSTEM_STORE_CURRENT_UStandard kiadás R-helyen) lesz tárolva.

   Mivel a megbízhatósági megújítási eljárás nem interaktív módon történik (a globális rendszergazda vagy a hibrid identitáskezelő jelenléte nélkül), a hitelesítési ügynöknek már nincs hozzáférése a meglévő tanúsítvány frissítéséhez a CERT_SYSTEM_STORE_LOCAL_MACHINE helyen.

   Megjegyzés:

   Ez az eljárás nem távolítja el magát a tanúsítványt a CERT_SYSTEM_STORE_LOCAL_MACHINE helyről.

9. Ettől a ponttól kezdve a rendszer az új tanúsítványt használja a hitelesítéshez. A tanúsítvány minden további megújítása lecseréli a tanúsítványt a CERT_SYSTEM_STORE_LOCAL_MACHINE helyen.

A hitelesítési ügynök automatikus frissítése

A Frissítő alkalmazás automatikusan frissíti a hitelesítési ügynököt egy új verzió (hibajavításokkal vagy teljesítményjavításokkal) kiadásakor. Az Updater alkalmazás nem kezeli a bérlőhöz tartozó jelszó-érvényesítési kéréseket.

A Microsoft Entra ID aláírt Windows Installer-csomagként (MSI) üzemelteti a szoftver új verzióját. Az MSI aláírása a Microsoft Authenticode és az SHA-256 kivonatoló algoritmus használatával történik.

Hitelesítési ügynök automatikus frissítése:

1. Az Updater alkalmazás óránként pingeli a Microsoft Entrát, hogy ellenőrizze, elérhető-e a hitelesítési ügynök új verziója.

   Ez az ellenőrzés egy kölcsönösen hitelesített HTTPS-csatornán történik ugyanazzal a tanúsítvánnyal, amelyet a regisztráció során adtak ki. A hitelesítési ügynök és az Updater megosztja a kiszolgálón tárolt tanúsítványt.

2. Ha új verzió érhető el, a Microsoft Entra ID visszaadja az aláírt MSI-t az Updaternek.

3. Az Updater ellenőrzi, hogy az MSI-t a Microsoft írta-e alá.

4. Az Updater futtatja az MSI-t. Ebben a folyamatban az Updater-alkalmazás:

   Megjegyzés:

   A frissítő helyi rendszerjogokkal fut.

   1. Leállítja a hitelesítési ügynök szolgáltatást.
   2. Telepíti a hitelesítési ügynök új verzióját a kiszolgálón.
   3. Újraindítja a hitelesítési ügynök szolgáltatást.

Megjegyzés:

Ha több hitelesítési ügynök van regisztrálva a bérlőn, a Microsoft Entra-azonosító nem újítja meg és nem frissíti egyszerre a tanúsítványokat. Ehelyett a Microsoft Entra ID egyenként megújítja a tanúsítványokat, hogy biztosítsa a bejelentkezési kérelmek magas rendelkezésre állását.

További lépések

• Jelenlegi korlátozások: Megtudhatja, hogy mely forgatókönyvek támogatottak.
• Rövid útmutató: A Microsoft Entra átmenő hitelesítésének beállítása.
• Migrálás az AD FS-ről az átmenő hitelesítésre: Tekintse át ezt a részletes útmutatót, amely segít az AD FS-ből vagy más összevonási technológiákból átmenő hitelesítésre való migrálásban.
• Intelligens zárolás: Konfigurálja a bérlő intelligens zárolási funkcióját a felhasználói fiókok védelme érdekében.
• Hogyan működik: Ismerje meg a Microsoft Entra átmenő hitelesítés működésének alapjait.
• Gyakori kérdések: Gyakori kérdésekre adott válaszok.
• Hibaelhárítás: Megtudhatja, hogyan háríthatja el az átmenő hitelesítéssel kapcsolatos gyakori problémákat.
• Microsoft Entra közvetlen egyszeri bejelentkezés: További információ a Microsoft Entra kiegészítő funkciójáról, a közvetlen egyszeri bejelentkezésről.