Wachtwoord-hashsynchronisatie (PHS) implementeren
Hoe synchronisatie van wachtwoord-hashes werkt
Wachtwoord-hashsynchronisatie is een van de aanmeldingsmethoden voor hybride identiteit. Microsoft Entra Verbinding maken synchroniseert een hash, van de hash, van het wachtwoord van een gebruiker van een on-premises Active Directory-exemplaar naar een Microsoft Entra-exemplaar in de cloud.
Active Directory-domein Services slaat wachtwoorden op in de vorm van een hash-waardeweergave van het werkelijke gebruikerswachtwoord. Een hash-waarde is het resultaat vaan een eenzijdige wiskundige functie (het hash-algoritme). Er bestaat geen methode het resultaat van een eenzijdige functie terug te draaien naar de versie in tekst zonder opmaak van een wachtwoord. Als u uw wachtwoord wilt synchroniseren, extraheert Microsoft Entra Verbinding maken synchronisatie uw wachtwoord-hash uit het on-premises Active Directory-exemplaar. Extra beveiligingsverwerking wordt toegepast op de wachtwoord-hash voordat deze wordt gesynchroniseerd met de Microsoft Entra-verificatieservice. Wachtwoorden worden gesynchroniseerd per gebruiker en in chronologische volgorde.
De werkelijke gegevensstroom van het wachtwoord-hashsynchronisatieproces is vergelijkbaar met de synchronisatie van gebruikersgegevens. Wachtwoorden worden echter vaker gesynchroniseerd dan het standaardvenster voor adreslijstsynchronisatie voor andere kenmerken. Het synchronisatieproces voor wachtwoord-hashs wordt elke 2 minuten uitgevoerd. U kunt de frequentie van dit proces niet wijzigen. Wanneer u een wachtwoord synchroniseert, wordt het bestaande cloudwachtwoord overschreven.
De eerste keer dat u de functie voor wachtwoord-hashsynchronisatie inschakelt, wordt een eerste synchronisatie uitgevoerd van de wachtwoorden van alle binnen het bereik van gebruikers. U kunt geen subset van gebruikerswachtwoorden definiëren die u tijdens de eerste synchronisatie wilt synchroniseren. Zodra de eerste synchronisatie is voltooid, kunt u een selectieve wachtwoord-hashsynchronisatie instellen voor toekomstige synchronisaties.
Als er meerdere connectors zijn, is het mogelijk om wachtwoord-hashsynchronisatie voor sommige connectors uit te schakelen, maar niet voor andere connectors. Wanneer u een on-premises wachtwoord wijzigt, wordt het bijgewerkte wachtwoord gesynchroniseerd, meestal in een paar minuten. Met de functie wachtwoord-hashsynchronisatie worden mislukte synchronisatiepogingen automatisch opnieuw geprobeerd. Als er een fout optreedt tijdens een poging om een wachtwoord te synchroniseren, wordt er een fout geregistreerd in de logboeken.
Wachtwoord-hashsynchronisatie inschakelen
Wanneer u Microsoft Entra Verbinding maken installeert met behulp van de optie Express Instellingen, wordt wachtwoord-hashsynchronisatie automatisch ingeschakeld. Als u aangepaste instellingen gebruikt wanneer u Microsoft Entra Verbinding maken installeert, is wachtwoord-hashsynchronisatie beschikbaar op de aanmeldingspagina van de gebruiker.
Wachtwoord-hashsynchronisatie en Federal Information Processing-standaard
Als uw server is vergrendeld volgens Federal Information Processing Standard (FIPS), is MD5 uitgeschakeld.
Voer de volgende stappen uit om MD5 in te schakelen voor wachtwoord-hash-synchronisatie:
- Ga naar
%programfiles%\Azure A D Sync\Bin
. - Open miiserver.exe.config.
- Ga naar het configuratie-/runtime-knooppunt aan het einde van het bestand.
- Voeg het volgende knooppunt toe:
<enforceFIPSPolicy enabled="false"/>
- Sla uw wijzigingen op.
Ter referentie, dit fragment toont hoe het eruit moet zien:
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false"/>
</runtime>
</configuration>
PingFederate gebruiken
Configureer PingFederate met Microsoft Entra Verbinding maken om federatie in te stellen met het domein dat u wilt verbinden. De volgende vereisten zijn vereist:
- PingFederate 8.4 of hoger.
- Een TLS/SSL-certificaat voor de naam van de federation-service die u wilt gebruiken (bijvoorbeeld sts.contoso.com).
Nadat u ervoor hebt gekozen om federatie in te stellen met PingFederate in AD Verbinding maken, wordt u gevraagd om het domein te verifiëren dat u wilt federeren. Selecteer het domein in de vervolgkeuzelijst.
Configureer PingFederate als federatieserver voor elk federatief Azure-domein. Selecteer vervolgens Exporteren Instellingen om deze informatie te delen met uw PingFederate-beheerder. De beheerder van de federatieserver werkt de configuratie bij en levert de PingFederate-server-URL en het poortnummer, zodat Microsoft Entra Verbinding maken de metagegevensinstellingen kan controleren.