Реализация синхронизации паролей с Azure Active Directory Sync
Обновлено: 22 июля 2015 г.
Важно!
Этот раздел будет архивирован в ближайшее время.
Существует новый продукт с именем "Azure Active Directory Подключение", который заменяет AADSync и DirSync.
Azure AD Connect применяет компоненты и функции, ранее выпущенные как Dirsync и служба синхронизации AAD.
В какой-то момент в будущем поддержка Dirsync и AAD Sync будет завершена.
Эти средства больше не обновляются отдельно с помощью улучшений функций, и все будущие улучшения будут включены в обновления для Azure AD Подключение.
Используя синхронизацию паролей, вы позволите пользователям использовать для входа в Azure Active Directory те же пароли, которые они используют для входа в вашу локальную среду Active Directory.
Цель этой статьи — предоставить вам информацию, необходимую для понимания того, как работает синхронизация паролей и как включить ее в своей среде.
Что такое синхронизация паролей
Синхронизация паролей — это функция службы синхронизации Azure Active Directory (Azure AD Sync), которая синхронизирует пароли пользователей из вашей локальной среды Active Directory с Azure Active Directory (Azure AD). Эта функция позволяет пользователям входить в свои службы Azure Active Directory (например, Office 365, Microsoft Intune, CRM Online и т. д.), используя тот же пароль, что и для входа в локальную сеть. Важно отметить, что эта функция не обеспечивает решение единого входа, так как в процессе синхронизации паролей не происходит обмен маркерами.
Примечание
Дополнительные сведения о доменные службы Active Directory, настроенных для FIPS и синхронизации паролей, см. в разделе "Сбой синхронизации паролей" в системах, совместимых с FIPS.
Доступность синхронизации паролей
Любой клиент, использующий Azure Active Directory, может запустить синхронизацию паролей. См. ниже информацию о совместимости синхронизации паролей с другими функциями, например федеративной проверкой подлинности.
Чтобы иметь возможность включить синхронизацию паролей, вы должны пользоваться версией Azure AD Sync, выпущенной в октябре, или более новой (она доступна в качестве скачиваемого EXE-файла установщика). Последнюю версию Azure AD Sync можно скачать по этой ссылке.
Как работает синхронизация паролей
Синхронизация паролей — это расширение функции синхронизации каталогов, реализованной средством синхронизации каталогов. В результате, этой функции требуется, чтобы была настроена синхронизация служб каталогов между локальным каталогом и Azure Active Directory.
Доменная служба Active Directory сохраняет пароли в виде хэш-значений, которые представляют фактические пароли пользователей. Хэш-значение пароля не может быть использовано для входа в локальную сеть. Оно также так разработано, что не может быть взломано, чтобы получить доступ к открытому тексту пароля пользователя. Для синхронизации пароля Azure AD Sync извлекает хэш пароля пользователя из локальной среды Active Directory. К хэш-значению пароля применяется дополнительная обработка системы безопасности, прежде чем оно синхронизируется со службой проверки подлинности Azure Active Directory Authentication. Фактический поток данных в процессе синхронизации паролей аналогичен синхронизации данных пользователей, таких как отображаемые имена или адреса электронной почты.
Пароли синхронизируются чаще, чем другие атрибуты в средстве синхронизации каталогов. Пароли синхронизируются для каждого пользователя отдельно и обычно синхронизируются в хронологическом порядке. Когда пароль пользователя синхронизируется из локальной AD с облачной, существующий пароль для облака будет перезаписан.
Когда функция синхронизации паролей запускается впервые, она выполняет первоначальную синхронизацию паролей всех выбранных пользователей вашей локальной среды Active Directory с Azure Active Directory. Невозможно явно указать группу пользователей, чьи пароли будут синхронизированы в облако. Затем, когда локальные пользователи изменяют свои пароли, функция синхронизации паролей выявляет и синхронизирует измененные пароли, как правило, за несколько минут. Функция синхронизации паролей автоматически повторяет синхронизацию паролей в случае ее сбоя. Если во время синхронизации пароля произойдет ошибка, она будет записана в журнал событий.
Синхронизация пароля не влияет на пользователей, находящихся в системе в данный момент. Если вошедший в облачную службу пользователь изменит свой локальный пароль, сеанс работы с облачной службой продолжится без перерыва. Однако когда облачная служба потребует повторной аутентификации пользователя, нужно будет ввести новый пароль. На этом этапе пользователю необходимо указать новый пароль — пароль, который недавно синхронизирован из локальной службы Active Directory в облако.
Соображения безопасности
При синхронизации паролей обычный текст пароля пользователя не представлен ни в функции синхронизации паролей, ни в Azure AD, ни в каких-либо связанных службах.
Кроме того, нет требования к локальной Active Directory хранить пароль в обратимом зашифрованном формате. В рамках передачи данных между локальной AD и Azure Active Directory используется дайджест хэш-значения пароля Windows Active Directory. Дайджест хэша пароля не может быть использован для доступа к ресурсам локальной среды клиента.
Рекомендации в отношении политики паролей
Есть 2 типа политик паролей, на которые может повлиять включение синхронизации паролей:
Политика сложности паролей.
Политика срока действия паролей.
Политика сложности паролей.
Когда включается синхронизация паролей, политики сложности паролей, настроенные в локальной среде Active Directory, доминируют над любыми политиками сложности, определенными в облаке для синхронизированных пользователей. Это значит, что любой пароль, действительный для локальной Active Directory в среде клиента, может быть использован для доступа к службам Azure AD.
Примечание
Пароли пользователей, созданные непосредственно в облаке, и впредь регулируются политиками паролей, которые настроены в облаке.
Политика срока действия паролей.
Если пользователь подпадает под действие функции синхронизации паролей, для пароля к облачной учетной записи задается состояние «Неограниченный срок действия». Это значит, что в локальной среде срок действия пароля пользователя может истечь, однако он по-прежнему сможет входить в облачные службы с помощью этого истекшего пароля.
Облачный пароль будет обновлен в следующий раз, когда пользователь изменит пароль в локальной среде.
Переопределение синхронизированных паролей
Администратор может вручную сбросить пароль пользователя с помощью Azure Active Directory PowerShell.
В этом случае новый пароль будет доминировать над синхронизированным паролем пользователя и все политики паролей, определенные в облаке, будут применяться к новому паролю.
Если пользователь снова изменит локальный пароль, новый пароль будет синхронизирован в облако и будет доминировать над паролем, обновленным вручную.
Подготовка к синхронизации паролей
Прежде чем клиент Azure Active Directory будет доступен для синхронизации паролей, в нем следует включить синхронизацию каталогов.
Включение синхронизации паролей
Синхронизация паролей включается в мастере настройки Azure AD Sync.
На странице Дополнительные функции установите флажок Синхронизация паролей.
.jpg "Optional features")
Примечание
Это запустит полную синхронизацию. На завершение цикла полной синхронизации обычно нужно больше времени, чем на другие циклы синхронизации.
Управление синхронизацией паролей
Вы можете отслеживать ход выполнения синхронизации паролей в журнале событий компьютера, на котором запущено приложение Azure AD Sync.
Определение состояния синхронизации паролей
Вы можете определить, пароли каких пользователей были успешно синхронизированы, просмотрев события, которые соответствуют следующим критериям:
| Источник | Идентификатор события |
|---|---|
Синхронизация каталогов |
656 |
Синхронизация каталогов |
657 |
События с идентификатором 656 дают отчет об обработанных запросах на изменение пароля:
.jpg "Event ID 656")
Соответствующие события с идентификатором 657 дают результат этих запросов:
.jpg "Event ID 657")
В этих событиях задействованные объекты идентифицируются своими значениями привязки и значениями DN. Значения привязки соответствуют значению ImmutableId, которое возвращается для пользователя командлетом Get-MsoUser.
Помимо идентификаторов объектов, события с идентификатором 656 предоставляют дату (т. е. когда именно пароль пользователя был изменен в локальной Active Directory):
.jpg "Password Change Request")
У событий с идентификатором 657 есть поле Result (Результат), помимо идентификаторов исходного объект. В этом поле указывается состояние синхронизации для конкретного объекта-пользователя.
Успешно синхронизированный пароль — это событие с идентификатором 657, отмеченное значением Success (Успешно) для атрибута Result (Результат). Если пароль не удалось синхронизировать, значение атрибута Result (Результат) —Failure (Ошибка):
.jpg "Password Change Result")
Отключение синхронизации паролей
Чтобы отключить синхронизацию паролей, нужно повторно запустить мастер настройки Azure AD Sync.
Когда мастер предложит, снимите флажок Включить синхронизацию паролей.
Примечание
Это запустит полную синхронизацию. На завершение цикла полной синхронизации обычно нужно больше времени, чем на другие циклы синхронизации.
После запуска мастера настройки ваш клиент больше не будет синхронизировать пароли. Новые изменения паролей не будут синхронизироваться в облако. Пользователи, чьи пароли ранее были синхронизированы, смогут и дальше входить с этими паролями, пока не изменят пароль в облаке вручную.
См. также:
Основные понятия
Синхронизация Azure Active Directory