Como Funciona Pass-Through Authentication

Em nosso ultima postagem falamos sobre o autenticação com Hash de Senha, agora vamos falar sobre a autenticação de passagem ou Pass-Throug Authentication (PTA).

A autenticação de passagem (PTA) é um recurso do Azure AD Connect . Envolve um serviço simples na forma de um agente executado em um ou vários servidores ingressados ​​no domínio local, que valida a entrada de um usuário em nome do Azure AD diretamente com o Active Directory (AD) local.

A senha não precisa estar presente no Azure AD (não precisa mesmo). O agente conecta a saída ao Azure AD e escuta as solicitações de autenticação, portanto, requer apenas que as portas de saída estejam abertas.

Um detalhe importante e que você não precisa ter seus Domain Controllers acessiveis na internet, você pode ter agentes instalados em outros servidores e assim seu ambiente local fica protegido!

logo mais, em outros postangens vou mostrar como podemos instalar e quais as arquiteturas disponiveis para PTA, hoje vamos mostrar como funciona e como é feito a autenticação dos usuários passo a passo.

É importante a leitura do final da postagem da documentação oficial, os documentos da Microsoft direcionam essas postagens, portanto, a leitura da documentação oficial e recomendada.

Quando usar PTA?

Esse serviço pode ser usado quando a validação local é necessária, por exemplo, quando uma política, regulamento ou lei não permite a sincronização de hashes de senha, que é a abordagem preferida da @Microsoft ao usar o Azure AD Connect. Ele também tem a vantagem de que quaisquer políticas locais, como restrições de horário de trabalho, podem ser avaliadas durante a autenticação nos serviços em nuvem.

A experiência do usuário do PTA é o mesmo do SSO ao usar o AD e o Azure AD. O usuário insere o mesmo nome de usuário e senha, seja autenticando no local ou na nuvem.

Conhecendo as limitações atuais

Cenários compatíveis
Os seguintes cenários são suportados:
• Logins de usuários em aplicativos baseados em navegador da Web.
• O usuário entra em clientes do Outlook usando protocolos herdados, como Exchange ActiveSync, EAS, SMTP, POP e IMAP.
• Entradas de usuário para aplicativos cliente do Office herdados e aplicativos do Office que dão suporte à autenticação moderna : versões do Office 2013 e 2016.
• Entradas de usuários em aplicativos de protocolo herdados, como o PowerShell versão 1.0 e outros.
• Ingressos do Azure AD para dispositivos Windows 10.
• Senhas de aplicativos para autenticação multifator.


Cenários sem suporte
Os seguintes cenários não são suportados:
• Detecção de usuários com credenciais vazadas .
• Os Serviços de Domínio do Azure AD precisam que a Sincronização de Hash de Senha seja habilitada no locatário. Portanto, os locatários que usam a autenticação de passagem não funcionam apenas para cenários que precisam de serviços de domínio do Azure AD.
• A autenticação de passagem não está integrada ao Azure AD Connect Health .
• Não há suporte para entrar em dispositivos ingressados no Azure AD (AADJ) com uma senha temporária ou expirada para usuários de autenticação de passagem. O erro “o método de login que você está tentando usar não é permitido” será exibido. Esses usuários devem fazer login em um navegador para atualizar sua senha temporária.

Como funciona a autenticação de passagem do Azure Active Directory?

Quando um usuário tenta entrar em um aplicativo protegido pelo Azure AD e se a autenticação de passagem estiver habilitada no locatário, ocorrem as seguintes etapas:

A imagem abaixo ilustra todos os passos e foi fornecida pela fabricante no site oficial, que esta disponivel no final.

  1. O usuário tenta acessar um aplicativo, por exemplo, Outlook Web App .
  2. Se o usuário ainda não estiver conectado, ele será redirecionado para a página de entrada de usuário do Azure AD .
  3. O usuário insere seu nome de usuário na página de entrada do Azure AD e seleciona o botão Avançar .
  4. O usuário insere sua senha na página de entrada do Azure AD e, em seguida, seleciona o botão Entrar .
  5. O Azure AD, ao receber a solicitação para entrar, coloca o nome de usuário e a senha (criptografados usando a chave pública dos Agentes de Autenticação) em uma fila.
  6. Um agente de autenticação local recupera o nome de usuário e a senha criptografada da fila. Observe que o Agente não pesquisa com frequência as solicitações da fila, mas recupera as solicitações por meio de uma conexão persistente pré-estabelecida.
  7. O agente descriptografa a senha usando sua chave privada.
  8. O agente valida o nome de usuário e a senha no Active Directory usando APIs padrão do Windows, que é um mecanismo semelhante ao que os Serviços de Federação do Active Directory (AD FS) usam. O nome de usuário pode ser o nome de usuário padrão local, geralmente userPrincipalName, ou outro atributo configurado no Azure AD Connect (conhecido como Alternate ID).
  9. O controlador de domínio (DC) do Active Directory local avalia a solicitação e retorna a resposta apropriada (êxito, falha, senha expirada ou usuário bloqueado) ao agente.
  10. O Agente de Autenticação, por sua vez, retorna essa resposta ao Azure AD.
  11. O Azure AD avalia a resposta e responde ao usuário conforme apropriado. Por exemplo, o Azure AD conecta o usuário imediatamente ou solicita a autenticação multifator do Azure AD.
  12. Se o login do usuário for bem-sucedido, o usuário poderá acessar o aplicativo.

É possivel combinar a autenticação de passagem (PTA) como o recurso de logon unico continuio! Assim, quando os usuários estão acessando aplicativos em suas máquinas corporativas dentro da sua rede corporativa, eles não precisam digitar suas senhas para entrar! (vamos aprofundar isso outro dia)

Bibliografia

https://imasters.com.br/arquitetura-da-informacao/infraestrutura-responsiva-como-planejar-a-alta-disponibilidade-do-ambiente

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta-how-it-works

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta-quick-start


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s