Implementación y administración de la sincronización de hash de contraseña (PHS)

  • 2 minutos

Funcionamiento de la sincronización de hash de contraseñas

La sincronización de hash de contraseñas es uno de los métodos de inicio de sesión utilizados para realizar la identidad híbrida. Microsoft Entra Connect sincroniza un hash, del hash, de la contraseña de un usuario desde una instancia de Active Directory local con una instancia de Microsoft Entra basada en la nube.

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

Active Directory Domain Services almacena contraseñas en forma de representación de valor hash de la contraseña de usuario real. Un valor hash es el resultado de una función matemática unidireccional (el algoritmo hash). No hay ningún método para volver del resultado de una función unidireccional a la versión de texto sin formato de una contraseña. Para sincronizar la contraseña, la sincronización de Microsoft Entra Connect extrae el hash de la contraseña de la instancia de Active Directory local. Se aplica un procesamiento de seguridad adicional al hash de contraseña antes de que se sincronice con el servicio de autenticación de Microsoft Entra. Las contraseñas se sincronizan usuario por usuario y en orden cronológico.

El flujo de datos reales del proceso de sincronización de hash de contraseñas es similar al de sincronización de datos de usuario. De todas formas, las contraseñas se sincronizan con más frecuencia que la ventana de sincronización de directorios estándar para otros atributos. El proceso de sincronización de hash de contraseñas se ejecuta cada 2 minutos. La frecuencia de este proceso no se puede modificar. Al sincronizar una contraseña, esta sobrescribe la contraseña existente en la nube.

La primera vez que se habilita la característica de sincronización de hash de contraseñas, se realiza una sincronización inicial de las contraseñas de todos los usuarios dentro del ámbito. No puede definir explícitamente un subconjunto de contraseñas de usuario que quiera sincronizar durante la primera sincronización. Una vez completada la sincronización inicial, puede configurar una sincronización de hash de contraseña selectiva para futuras sincronizaciones.

Si hay varios conectores, es posible deshabilitar la sincronización de hash de contraseña en algunos conectores, pero no en otros. Al cambiar una contraseña local, la contraseña actualizada se sincroniza más a menudo en cuestión de minutos. La característica de sincronización de hash de contraseñas reintenta automáticamente los intentos fallidos de sincronización. Si se produce un error al intentar sincronizar una contraseña, se registra un error en el visor de eventos.

Habilitación de la sincronización de hash de contraseñas

Cuando se instala Microsoft Entra Connect con la opción Configuración rápida, la sincronización de hash de contraseña se habilita automáticamente. Si usa una configuración personalizada al instalar Microsoft Entra Connect, la sincronización de hash de contraseña está disponible en la página de inicio de sesión del usuario.

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

Sincronización de hash de contraseña y Estándar federal de procesamiento de información

Si el servidor está bloqueado según el Estándar Federal de Procesamiento de la Información (FIPS), se deshabilita el hash MD5.

Para habilitar el MD5 para la sincronización de hash de contraseñas, realice los pasos siguientes:

  1. Ir a %programfiles%\Azure A D Sync\Bin.
  2. Abra miiserver.exe.config.
  3. Vaya al nodo configuration/runtime (al final del archivo).
  4. Agregue el siguiente nodo: <enforceFIPSPolicy enabled="false"/>
  5. Guarde los cambios.

Como referencia, este fragmento de código debe ser similar al siguiente:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Uso de PingFederate

Configure PingFederate con Microsoft Entra Connect para configurar la federación con el dominio que quiera conectar. Se necesitan los siguientes requisitos previos:

  • PingFederate 8.4 o posterior.
  • Un certificado TLS/SSL del nombre del servicio de federación que quiere usar (por ejemplo, sts.contoso.com).

Después de elegir configurar la federación con PingFederate en AD Connect, se le pedirá que compruebe el dominio que quiere federar. Seleccione el dominio del menú desplegable.

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

Configure PingFederate como el servidor de federación para cada dominio de Azure federado. Después, seleccione Exportar configuración para compartir esta información con el administrador de PingFederate. El administrador del servidor de federación actualiza la configuración y proporciona la dirección URL y el número de puerto del servidor de PingFederate para que Microsoft Entra Connect pueda comprobar la configuración de metadatos.