Implementare e gestire la sincronizzazione dell'hash delle password (PHS)

  • 2 minuti

Funzionamento della sincronizzazione dell'hash delle password

La sincronizzazione dell'hash delle password è uno dei metodi di accesso usati per gestire le identità ibride. Microsoft Entra Connect sincronizza un hash, dell'hash della password utente da un'istanza di Active Directory locale a un'istanza basata sul cloud di Microsoft Entra.

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

Active Directory Domain Services archivia le password sotto forma di valore hash dell'effettiva password utente. Un valore hash è il risultato di una funzione matematica unidirezionale, chiamata algoritmo di hash. Non esiste un metodo per ripristinare la versione in testo normale di una password dal risultato di una funzione unidirezionale. Per sincronizzare la password, la sincronizzazione di Microsoft Entra Connect estrae l'hash della password dall'istanza di Active Directory locale. All'hash della password viene applicata un'elaborazione di sicurezza aggiuntiva prima della sincronizzazione con il servizio di autenticazione di Microsoft Entra. Le password vengono sincronizzate per ogni singolo utente e in ordine cronologico.

Il flusso di dati del processo di sincronizzazione hash delle password è simile alla sincronizzazione dei dati utente. Le password vengono tuttavia sincronizzate con una frequenza maggiore rispetto alla finestra di sincronizzazione standard della directory per altri attributi. Il processo di sincronizzazione dell'hash delle password viene eseguito ogni 2 minuti. Non è possibile modificare la frequenza del processo. Se si sincronizza una password, la password sincronizzata sovrascrive quella esistente nel cloud.

Quando si abilita la funzionalità di sincronizzazione dell'hash delle password per la prima volta, viene eseguita una sincronizzazione iniziale delle password di tutti gli utenti inclusi nell'ambito. Non è possibile definire in modo esplicito un subset di password utente da sincronizzare durante la prima sincronizzazione. Al termine della sincronizzazione iniziale, è possibile configurare una sincronizzazione hash delle password selettiva per le sincronizzazioni future.

Se sono presenti più connettori, è possibile disabilitare la sincronizzazione dell'hash delle password per alcuni connettori ma non per altri. Quando si modifica una password locale, la password aggiornata viene sincronizzata, spesso in pochi minuti. In caso di sincronizzazioni non riuscite, la funzionalità di sincronizzazione dell'hash delle password esegue automaticamente nuovi tentativi di sincronizzazione. Se si verifica un errore durante un tentativo di sincronizzazione di una password, viene registrato un errore nel visualizzatore eventi.

Abilitare la sincronizzazione dell'hash delle password

Quando si installa Microsoft Entra Connect usando l'opzione Impostazioni Rapide, la sincronizzazione dell'hash della password viene abilitata automaticamente. Se si usano le impostazioni personalizzate quando si installa Microsoft Entra Connect, la sincronizzazione dell'hash delle password è disponibile alla pagina di accesso dell'utente.

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

Sincronizzazione dell'hash delle password e standard FIPS

Se il server è bloccato in base allo standard FIPS (Federal Information Processing Standard), MD5 è disabilitato.

Per abilitare MD5 per la sincronizzazione dell'hash delle password, seguire questa procedura:

  1. Vai a %programfiles%\Azure A D Sync\Bin.
  2. Aprire miiserver.exe.config.
  3. Passare al nodo configuration/runtime alla fine del file.
  4. Aggiungere il nodo seguente: <enforceFIPSPolicy enabled="false"/>
  5. Salva le modifiche.

Come riferimento, il frammento di codice dovrà essere simile al seguente:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Uso di PingFederate

Configurare PingFederate con Microsoft Entra Connect per configurare la federazione con il dominio che deve essere connesso. Sono richiesti i prerequisiti seguenti:

  • PingFederate 8.4 o versione successiva.
  • Un certificato TLS/SSL per il nome del servizio federativo che si intende usare (ad esempio sts.contoso.com).

Dopo aver scelto di configurare la federazione usando PingFederate in AD Connect, viene richiesto di verificare il dominio di cui si vuole eseguire la federazione. Selezionare il dominio nel menu a discesa.

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

Configurare PingFederate come server federativo per ciascun dominio di Azure federato. Selezionare quindi Esporta impostazioni per condividere queste informazioni con l'amministratore di PingFederate. L'amministratore del server federativo aggiorna la configurazione e fornisce l'URL del server PingFederate e il numero di porta, in modo che Microsoft Entra Connect possa verificare le impostazioni dei metadati.