Wachtwoord-hashsynchronisatie (PHS) implementeren

  • 2 minuten

Hoe synchronisatie van wachtwoord-hashes werkt

Wachtwoord-hashsynchronisatie is een van de aanmeldingsmethoden voor hybride identiteit. Microsoft Entra Verbinding maken synchroniseert een hash, van de hash, van het wachtwoord van een gebruiker van een on-premises Active Directory-exemplaar naar een Microsoft Entra-exemplaar in de cloud.

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

Active Directory-domein Services slaat wachtwoorden op in de vorm van een hash-waardeweergave van het werkelijke gebruikerswachtwoord. Een hash-waarde is het resultaat vaan een eenzijdige wiskundige functie (het hash-algoritme). Er bestaat geen methode het resultaat van een eenzijdige functie terug te draaien naar de versie in tekst zonder opmaak van een wachtwoord. Als u uw wachtwoord wilt synchroniseren, extraheert Microsoft Entra Verbinding maken synchronisatie uw wachtwoord-hash uit het on-premises Active Directory-exemplaar. Extra beveiligingsverwerking wordt toegepast op de wachtwoord-hash voordat deze wordt gesynchroniseerd met de Microsoft Entra-verificatieservice. Wachtwoorden worden gesynchroniseerd per gebruiker en in chronologische volgorde.

De werkelijke gegevensstroom van het wachtwoord-hashsynchronisatieproces is vergelijkbaar met de synchronisatie van gebruikersgegevens. Wachtwoorden worden echter vaker gesynchroniseerd dan het standaardvenster voor adreslijstsynchronisatie voor andere kenmerken. Het synchronisatieproces voor wachtwoord-hashs wordt elke 2 minuten uitgevoerd. U kunt de frequentie van dit proces niet wijzigen. Wanneer u een wachtwoord synchroniseert, wordt het bestaande cloudwachtwoord overschreven.

De eerste keer dat u de functie voor wachtwoord-hashsynchronisatie inschakelt, wordt een eerste synchronisatie uitgevoerd van de wachtwoorden van alle binnen het bereik van gebruikers. U kunt geen subset van gebruikerswachtwoorden definiëren die u tijdens de eerste synchronisatie wilt synchroniseren. Zodra de eerste synchronisatie is voltooid, kunt u een selectieve wachtwoord-hashsynchronisatie instellen voor toekomstige synchronisaties.

Als er meerdere connectors zijn, is het mogelijk om wachtwoord-hashsynchronisatie voor sommige connectors uit te schakelen, maar niet voor andere connectors. Wanneer u een on-premises wachtwoord wijzigt, wordt het bijgewerkte wachtwoord gesynchroniseerd, meestal in een paar minuten. Met de functie wachtwoord-hashsynchronisatie worden mislukte synchronisatiepogingen automatisch opnieuw geprobeerd. Als er een fout optreedt tijdens een poging om een wachtwoord te synchroniseren, wordt er een fout geregistreerd in de logboeken.

Wachtwoord-hashsynchronisatie inschakelen

Wanneer u Microsoft Entra Verbinding maken installeert met behulp van de optie Express Instellingen, wordt wachtwoord-hashsynchronisatie automatisch ingeschakeld. Als u aangepaste instellingen gebruikt wanneer u Microsoft Entra Verbinding maken installeert, is wachtwoord-hashsynchronisatie beschikbaar op de aanmeldingspagina van de gebruiker.

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

Wachtwoord-hashsynchronisatie en Federal Information Processing-standaard

Als uw server is vergrendeld volgens Federal Information Processing Standard (FIPS), is MD5 uitgeschakeld.

Voer de volgende stappen uit om MD5 in te schakelen voor wachtwoord-hash-synchronisatie:

  1. Ga naar %programfiles%\Azure A D Sync\Bin.
  2. Open miiserver.exe.config.
  3. Ga naar het configuratie-/runtime-knooppunt aan het einde van het bestand.
  4. Voeg het volgende knooppunt toe: <enforceFIPSPolicy enabled="false"/>
  5. Sla uw wijzigingen op.

Ter referentie, dit fragment toont hoe het eruit moet zien:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

PingFederate gebruiken

Configureer PingFederate met Microsoft Entra Verbinding maken om federatie in te stellen met het domein dat u wilt verbinden. De volgende vereisten zijn vereist:

  • PingFederate 8.4 of hoger.
  • Een TLS/SSL-certificaat voor de naam van de federation-service die u wilt gebruiken (bijvoorbeeld sts.contoso.com).

Nadat u ervoor hebt gekozen om federatie in te stellen met PingFederate in AD Verbinding maken, wordt u gevraagd om het domein te verifiëren dat u wilt federeren. Selecteer het domein in de vervolgkeuzelijst.

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

Configureer PingFederate als federatieserver voor elk federatief Azure-domein. Selecteer vervolgens Exporteren Instellingen om deze informatie te delen met uw PingFederate-beheerder. De beheerder van de federatieserver werkt de configuratie bij en levert de PingFederate-server-URL en het poortnummer, zodat Microsoft Entra Verbinding maken de metagegevensinstellingen kan controleren.