Внедрение управления синхронизацией хэша паролей (PHS)

  • 2 мин

Как работает синхронизация хэшированных паролей

Синхронизация хэша паролей является одним из методов входа, используемых для реализации гибридной идентификации. Microsoft Entra Подключение синхронизирует хэш(хэш) пароля пользователя из локальная служба Active Directory экземпляра в облачный экземпляр Microsoft Entra.

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

Доменная служба Active Directory хранит пароли в виде хэш-значений, полученных на основе фактических паролей. Для получения хэш-значений используется необратимая математическая функция (алгоритм хэширования). Не существует метода для возврата результата односторонней функции в обычную текстовую версию пароля. Чтобы синхронизировать пароль, Microsoft Entra Подключение синхронизирует хэш паролей из экземпляра локальная служба Active Directory. Дополнительная обработка безопасности применяется к хэшу паролей перед синхронизацией со службой проверки подлинности Microsoft Entra. Пароли синхронизируются для каждого пользователя отдельно и в хронологическом порядке.

Процесс синхронизации хэша паролей использует такой же поток данных, как и синхронизация любых пользовательских данных. Но синхронизация паролей происходит чаще, чем это обычно делается для других атрибутов. Процесс синхронизации хэшированных паролей выполняется каждые 2 минуты. Нельзя изменять частоту выполнения этого процесса. При синхронизации пароль перезаписывает существующий в облачной службе.

Когда вы впервые включаете функцию синхронизации хэшированных паролей, выполняется первоначальная синхронизация паролей для всех пользователей в области действия функции. Вы не можете явно определить подмножество паролей пользователей, которые должны синхронизироваться во время первой синхронизации После завершения начальной синхронизации вы можете настроить выборочную синхронизацию хэша паролей для последующих синхронизаций.

При наличии нескольких соединителей можно отключить синхронизацию хэша паролей для конкретных соединителей. При изменении локального пароля новый пароль, как правило, синхронизируется в течение нескольких минут. Функция синхронизации хэшированных паролей использует механизм повторных попыток при сбоях. Ошибки, возникающие во время синхронизации паролей, записываются в журнал событий.

Включение синхронизации хэша паролей

При установке Microsoft Entra Подключение с помощью параметра Express Параметры синхронизация хэша паролей автоматически включена. Если при установке Microsoft Entra Подключение используются пользовательские параметры, синхронизация хэша паролей доступна на странице входа пользователя.

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

Синхронизация хэша паролей и Федеральный стандарт обработки информации

Если сервер заблокирован в соответствии со стандартом FIPS, то MD5 отключен.

Чтобы включить MD5 для синхронизации хэшированных паролей, выполните следующие действия.

  1. Переход к %programfiles%\Azure A D Sync\Bin.
  2. Откройте файл miiserver.exe.config.
  3. Перейдите к узлу конфигурации или среды выполнения (в конце файла конфигурации).
  4. Добавьте следующий узел: <enforceFIPSPolicy enabled="false"/>
  5. Сохранение изменений.

Этот фрагмент должен выглядеть примерно так:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Использование PingFederate

Настройте PingFederate с помощью Microsoft Entra Подключение, чтобы настроить федерацию с доменом, который требуется подключить. Ниже перечислены необходимые компоненты.

  • PingFederate 8.4 или более поздней версии.
  • Сертификат TLS/SSL для имени службы федерации, которую предполагается использовать (например, sts.contoso.com).

После того как вы решили настроить федерацию с помощью PingFederate в AD Connect, вам будет предложено проверить домен, который необходимо включить в федерацию. Выберите домен в раскрывающемся меню.

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

Настройте PingFederate в качестве сервера федерации для каждого федеративного домена Azure. Затем выберите Export Settings (Экспорт параметров), чтобы поделиться этой информацией с администратором PingFederate. Администратор сервера федерации обновляет конфигурацию и предоставляет URL-адрес сервера PingFederate и номер порта, чтобы Подключение Microsoft Entra может проверить параметры метаданных.