Come abilitare Azure Active Directory Pass-Through Authentication (PTA)

Quando un’azienda adotta Office 365 e non ha installato “Microsoft Azure Active Directory Connect” ha il disguido che l’operatore ha due utenze, la prima per accedere al computer e la seconda per accedere al mondo di Office 365.
Per ovviare a questo problema Microsoft ha pensato alla creazione di “Microsoft Azure Active Directory Connect” è un tool leggero che mediante delle impostazione abbastanza semplici permette sincronizzare la propria Active Directory in Cloud portando cosi utenti e password deli utenti.

Molte aziende strutturate lo usano in modalità “Password synchronization” per offrire ai propri utenti un unico set di credenziali per l’accesso sia in locale che in cloud (questo comporta che la password è nel cloud).

Se invece vogliamo mantenere un certo criterio di “sicurezza” mantenendo lo stesso servizio possiamo abilitare la modalità di autenticazione “Pass-through authentication” che garantisce la convalida della password per i servizi di Azure AD in Active Directory locale senza passaggio di credenziali nel cloud.

Vantaggi dell’autenticazione tramite la Pass-through (PTA):

  1. L’utente ha una sola credenziale di accesso
  2. Le password anche sotto forma di hash non vengono inviate a Microsoft
  3. L’autenticazione Pass-through è attivata in pochi minuti ed è disponibile per tutti gli utenti
  4. Può essere in alta affidabilità perchè si possono avere più versioni di AD Connect
  5. Essendo in locale non si ha bisogno di certificati pubblici

Vediamo come funziona il metodo di autenticazione “Pass-through authentication” quando un utente inserisce il nome utente e la password nella pagina di accesso, le credenziali vengono inserite nella stringa che viene inviata al connettore presente in Azure AD per poter poi essere convalidata in Active Directory locale. Quando il domain controller locale ha verificato la richiesta, restituisce una risposta al connettore, che a sua volta la restituisce ad Azure AD.

Prerequisiti del server “on-premises“:

  1. Windows Server 2012 R2 o successivo
  2. Il server deve essere in dominio nella stessa Active Directory degli utenti da sincronizzare
  3. Ultima versione di Azure AD Connect la trovate qui
  4. Se si è protetti da un Firewall assicurarsi che la macchina con installato l’agent abbia queste policy aperte verso l’esterno
    Numero Porta  A cosa servono
    80 Scarica le liste di revoca del certificato (CRL) durante la convalida del certificato SSL
    443 Gestisce tutte le comunicazioni in uscita con il servizio
    8080
    (opzionale)
    Gli agenti di autenticazione riportano il loro stato ogni dieci minuti e se la porta 443 non dovesse essere disponibile viene usata la porta 8080.

    Inserire nella whitelist i dimini (*.msappproxy.net*.servicebus.windows.net – login.windows.net ae login.microsoftonline.com), inserire e mantenere aggiornata la lista degli ip dei datacenter azure con periodicità settimanale lista qui.
    Per la convalida del certificato, sbloccare anche mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80.

Se stai installando “Microsoft Azure Active Directory Connect” per la prima volta lancia l’installer scaricato e scegli l’installazione personalizzata pulsante “Customize” successivamente nella schermata “User Sing-in” seleziona l’opzione “Pass-through authentication

Alla richiesta di credenziali di accesso inseriamo le credenziali che abbiamo creato nel tenant (consiglio sempre di usare un account nel primary domain di onmicrosoft.com, un’account service creato nel tenant non è soggeto a indisponibilità del domain controller locale).

Ora ci verrà richiesto di inserire le credenziali per connettersi all’ad locale mi racocmando l’utenza deve avere i privilegi da Enterprise Admin e facciamo click su Add Directory.

Nella schermata successiva verranno visulizzati i suffici UPN che sono inseriti nel nostro Active Directory Domains and Trusts che dovrà essere il nostro dominio di posta.

Controllare che i domini devono essere verificati in Azure AD mediante la dicitura “Verified“.

Controllare che la voce USER PRINCIPAL NAME sia settata con userPrincipalName.

Di default il tool sincronizza tutti i domini e le unità organizzative ma è posibile anche inserire dei filtri per escludere alcuni domini o unità organizzative,
basta semplicemente deselezionare le ou o domini che non ci interessa sincronizzate con il cloud.

Nella schermata successiva relativa all’identificazione univoca degli utenti lasciamo i settaggi di default e facciamo semplicemente clic su Next.

Nella voce “Filtering” abbiamo la possibilità di filtrare solo alcuni utenti o gruppi nel caso in cui volessimo fare un piccolo POC di sincronizzazione per vedere che sia tutto ok.

Eccoci all’utlima schermata dei settaggi di AD Connect e visto che abbiamo scelto l’autenticazione Pass-through troveremo selezionata la voce “Password Synchronization” di default.
Questo per garantire il supporto con quei client legacy che possono essere i nostri dispositivi mobile ma come detto se abbiamo abilitato la Pass-through perchè non vogliamo mandare a
microsoft le nostre credenziali togliamo la spunta e facciamo click su “Next“.

Cliccando su Install partirà il processo di configurazione di Azure AD Connect e al termine del processo ci apparirà la schermata di “Configuration complite“.

Per testare se tutto funzioni in modo corretto colleghiamoci all’indirizzo https://login.microsoftonline.com e inserendo le credenziali di un’utente locale apparirà la scritta “Tentativo di accesso per conto dell’utente” a questo punto vuol dire che il nostro lavoro è stato fatto bene.

Se avete installato AD Connect in precedenza solo per la sincronizzazione della password potete tranquillamente il metotodo di autenticazione, lanciando l’express installation o custom installation nella voce task selezioniamo “Change user sign-in” selezionare “Next” e selezionare Pass-through Authentication cliccando su “Finish” parte la nuova configurazione del tool.

Se non dovesse funzionare qualcosa rivedere i prerequisiti lato firewall e le porte apere.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *