Jelszó-szinkronizálás implementálása Azure Active Directory Sync használatával
Frissítve: 2015. július 22.
Fontos
Ezt a témakört hamarosan archiváljuk.
Van egy "Azure Active Directory Csatlakozás" nevű új termék, amely felváltja a AADSync és a DirSyncet.
Az Azure AD Connect magában foglalja a korábban Dirsync és AAD Sync néven kiadott összetevőket és funkciókat.
A jövőben a Dirsync és a AAD-szinkronizáló támogatása megszűnik.
Ezeket az eszközöket már nem frissítjük külön-külön a funkciófejlesztésekkel, és minden jövőbeli fejlesztés szerepelni fog a Azure AD Csatlakozás frissítéseiben.
A jelszó-szinkronizálással lehetővé teszi, hogy a felhasználók ugyanazt a jelszót használják, amelyet a helyi Active Directory való bejelentkezéshez használnak a Azure Active Directory való bejelentkezéshez.
Ennek a témakörnek a célja, hogy megadja azokat az információkat, amelyekre szüksége van a jelszó-szinkronizálás működésének megértéséhez és annak engedélyezéséhez a környezetben.
Mi az a jelszó-szinkronizálás?
A jelszó-szinkronizálás a Azure Active Directory Szinkronizálási szolgáltatás (Azure AD-szinkronizáló) funkciója, amely szinkronizálja a felhasználói jelszavakat a helyi Active Directory és a Azure Active Directory (" Azure AD"). Ez a funkció lehetővé teszi, hogy a felhasználók ugyanazzal a jelszóval jelentkezzenek be a Azure Active Directory szolgáltatásaikba (például Office 365, Microsoft Intune, CRM Online stb.) a helyszíni hálózatba való bejelentkezéshez használt jelszóval. Fontos megjegyezni, hogy ez a funkció nem biztosít egyetlen Sign-On (SSO) megoldást, mivel a jelszószinkronizáláson alapuló folyamatban nincs jogkivonat-megosztás/csere.
Megjegyzés
A FIPS-hez és a jelszó-szinkronizáláshoz konfigurált Active Directory tartományi szolgáltatások további részletekért lásd: A jelszószinkronizálás meghiúsul a FIPS-kompatibilis rendszerekben.
A jelszó-szinkronizálás rendelkezésre állása
A Azure Active Directory bármely ügyfele jogosult a jelszó-szinkronizálás futtatására. Az alábbiakban a jelszó-szinkronizálás és más funkciók, például az összevont hitelesítés kompatibilitásáról olvashat.
A jelszó-szinkronizálás engedélyezéséhez a Azure AD-szinkronizáló októberi vagy újabb verzióját kell futtatnia (a verzió elérhető a .exe telepítő letöltésén). A Azure AD-szinkronizáló legújabb verzióját ezen a hivatkozáson keresztül töltheti le.
A jelszó-szinkronizálás működése
A jelszó-szinkronizálás a címtár-szinkronizálási eszköz által implementált címtár-szinkronizálási szolgáltatás kiterjesztése. Ennek eredményeképpen ez a szolgáltatás címtár-szinkronizálást igényel a helyszíni és a Azure Active Directory között.
A Active Directory-tartomány szolgáltatás a jelszavakat a tényleges felhasználói jelszó kivonatértékeként tárolja. A jelszókivonat nem használható a helyszíni hálózatba való bejelentkezéshez. Úgy is tervezték, hogy ne lehessen megfordítani, hogy hozzáférjen a felhasználó egyszerű szöveges jelszavához. Jelszó szinkronizálásához Azure AD-szinkronizáló kinyeri a felhasználói jelszó kivonatát a helyi Active Directory. A rendszer további biztonsági feldolgozást alkalmaz a jelszókivonatra, mielőtt szinkronizálja azt a Azure Active Directory Hitelesítési szolgáltatással. A jelszó-szinkronizálási folyamat tényleges adatfolyama hasonló a felhasználói adatok (például DisplayName vagy e-mail-címek) szinkronizálásához.
A jelszavak szinkronizálása gyakrabban történik, mint az egyéb attribútumok szokásos címtár-szinkronizálási ablaka. A jelszavak szinkronizálása felhasználónként történik, és általában időrendben szinkronizálódnak. Amikor egy felhasználó jelszavát szinkronizálja a helyszíni AD-ből a felhőbe, a rendszer felülírja a meglévő felhőjelszót.
Amikor először engedélyezi a jelszó-szinkronizálási funkciót, a program először szinkronizálja a hatókörön belüli összes felhasználó jelszavát a helyi Active Directory és a Azure Active Directory között. Nem határozhatja meg explicit módon azokat a felhasználókat, akiknek a jelszavai szinkronizálva lesznek a felhőbe. Ezt követően, amikor egy helyszíni felhasználó módosította a jelszót, a jelszó-szinkronizálási funkció észleli és szinkronizálja a módosított jelszót, leggyakrabban percek alatt. A jelszó-szinkronizálási szolgáltatás automatikusan újrapróbálkozott a sikertelen felhasználói jelszó-szinkronizálásokkal. Ha hiba történik egy jelszó szinkronizálási kísérlete során, a rendszer naplózza a hibát az eseménynaplóban.
A jelszó szinkronizálása nincs hatással a jelenleg bejelentkezett felhasználókra. Ha egy felhőszolgáltatásba bejelentkezett felhasználó is módosítja a helyszíni jelszót, a felhőszolgáltatás munkamenete zavartalanul folytatódik. Amint azonban a felhőszolgáltatás újrahitelesíti a felhasználót, meg kell adni az új jelszót. Ezen a ponton a felhasználónak meg kell adnia az új jelszót – azt a jelszót, amelyet a közelmúltban szinkronizáltak a helyszíni Active Directoryból a felhőbe.
Biztonsági szempontok
Jelszavak szinkronizálása esetén a felhasználó jelszavának egyszerű szöveges verziója nem érhető el sem a jelszó-szinkronizálási funkció, sem a Azure AD vagy a társított szolgáltatások számára.
Emellett nincs szükség arra, hogy a helyi Active Directory reverzibilisen titkosított formátumban tárolja a jelszót. A helyszíni AD és a Azure Active Directory közötti átvitelhez az Active Directory-jelszókivonat Windows kivonata használható. A jelszókivonat kivonata nem használható az ügyfél helyszíni környezetében lévő erőforrások eléréséhez.
Jelszóházirenddel kapcsolatos szempontok
A jelszó-szinkronizálás engedélyezésével két jelszószabályzat-típusra van hatással:
Jelszóbonyolultsági szabályzat
Jelszó lejárati szabályzata
Jelszóbonyolultsági szabályzat
A jelszó-szinkronizálás engedélyezésekor a helyi Active Directory konfigurált jelszóbonyolultsági szabályzatok felülbírálják a felhőben a szinkronizált felhasználók számára definiált összetettségi szabályzatokat. Ez azt jelenti, hogy az ügyfél helyi Active Directory környezetében érvényes jelszó használható Azure AD szolgáltatások eléréséhez.
Megjegyzés
A közvetlenül a felhőben létrehozott felhasználók jelszavaira továbbra is a felhőben meghatározott jelszószabályzatok vonatkoznak.
Jelszó lejárati szabályzata
Ha egy felhasználó a jelszó-szinkronizálás hatókörébe tartozik, a felhőfiók jelszava "Soha nem jár le" értékre van állítva. Ez azt jelenti, hogy a felhasználó jelszava lejárhat a helyszíni környezetben, de továbbra is bejelentkezhet a felhőszolgáltatásokba ezzel a lejárt jelszóval.
A felhőbeli jelszó a következő alkalommal frissül, amikor a felhasználó módosítja a jelszót a helyszíni környezetben.
Szinkronizált jelszavak felülírása
A rendszergazdák manuálisan alaphelyzetbe állíthatják a felhasználó jelszavát a Azure Active Directory PowerShell használatával.
Ebben az esetben az új jelszó felülbírálja a felhasználó szinkronizált jelszavát, és a felhőben meghatározott összes jelszószabályzat az új jelszóra vonatkozik.
Ha a felhasználó ismét módosítja a helyszíni jelszót, az új jelszó szinkronizálva lesz a felhőbe, és felülbírálja a manuálisan frissített jelszót.
Felkészülés a jelszó-szinkronizálásra
A Azure Active Directory-bérlőt engedélyezni kell a címtár-szinkronizáláshoz, mielőtt a bérlő engedélyezhető lenne a jelszó-szinkronizáláshoz.
Jelszó-szinkronizálás engedélyezése
A jelszó-szinkronizálást a Azure AD-szinkronizáló konfigurációs varázsló futtatásakor engedélyezheti.
A Választható szolgáltatások párbeszédpanelen jelölje be a "Jelszó-szinkronizálás" jelölőnégyzetet.
.jpg "Optional features")
Megjegyzés
Ez a folyamat teljes szinkronizálást indít el. A teljes szinkronizálási ciklusok általában hosszabb időt vesznek igénybe, mint a többi szinkronizálási ciklus befejezése.
Jelszó-szinkronizálás kezelése
A jelszó-szinkronizálás előrehaladását a Azure AD-szinkronizáló futó gép eseménynaplójában követheti nyomon.
A jelszó-szinkronizálás állapotának meghatározása
Az alábbi feltételeknek megfelelő események áttekintésével megállapíthatja, hogy mely felhasználók szinkronizálták sikeresen a jelszavukat:
| Forrás | Eseményazonosító |
|---|---|
Címtár-szinkronizálás |
656 |
Címtár-szinkronizálás |
657 |
A 656-os eseményazonosítójú események a feldolgozott jelszómódosítási kérelmekről nyújtanak jelentést:
.jpg "Event ID 656")
A 657 azonosítójú megfelelő események adják meg a kérések eredményét:
.jpg "Event ID 657")
Az eseményekben az érintett objektumokat a horgony és a DN értéke azonosítja. A horgonyérték a Get-MsoUser parancsmag által visszaadott ImmutableId értéknek felel meg.
Az objektumazonosítók mellett a 656-os eseményazonosító megadja a felhasználó jelszavának módosítását a helyi Active Directory:
.jpg "Password Change Request")
A 657-ös eseményazonosító a forrásobjektum-azonosítók mellett egy eredménymezővel is rendelkezik, amely jelzi az adott felhasználói objektum szinkronizálásának állapotát.
A sikeresen szinkronizált jelszó egy olyan eseményben van, amelynek eseményazonosítója 657, amelyet a Result attribútum Siker értéke jelez. Ha egy jelszó-szinkronizálási kísérlet meghiúsult, az Eredmény attribútum értéke Hiba:
.jpg "Password Change Result")
Jelszó-szinkronizálás letiltása
A jelszó-szinkronizálást a Azure AD-szinkronizáló konfigurációs varázsló ismételt futtatásával tilthatja le.
Amikor a varázsló kéri, törölje a "Jelszó-szinkronizálás" jelölőnégyzet jelölését.
Megjegyzés
Ez a folyamat teljes szinkronizálást indít el. A teljes szinkronizálási ciklusok általában hosszabb időt vesznek igénybe, mint a többi szinkronizálási ciklus befejezése.
A Konfigurációs varázsló futtatása után a bérlő nem szinkronizálja a jelszavakat. Az új jelszómódosítások nem szinkronizálódnak a felhőbe. Azok a felhasználók, akik korábban szinkronizálták a jelszavukat, továbbra is bejelentkezhetnek ezekkel a jelszóval, amíg manuálisan nem módosítják a jelszavukat a felhőben.
Lásd még:
Alapelvek
szinkronizálás Azure Active Directory