Implementowanie synchronizacji skrótów haseł (PHS)

  • 2 min

Jak działa synchronizacja skrótów haseł

Synchronizacja skrótów haseł to jedna z metod logowania używana do zapewnienia tożsamości hybrydowej. Firma Microsoft Entra Połączenie synchronizuje skrót skrótu hasła użytkownika z wystąpienia lokalna usługa Active Directory do wystąpienia firmy Microsoft Entra opartego na chmurze.

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

domena usługi Active Directory Services przechowuje hasła w postaci wartości skrótu reprezentującej rzeczywiste hasło użytkownika. Wartość skrótu jest wynikiem jednokierunkowej funkcji matematycznej (algorytmu wyznaczania wartości skrótu). Nie ma możliwości przywrócenia wyniku tej jednokierunkowej funkcji z powrotem do hasła w postaci zwykłego tekstu. Aby zsynchronizować hasło, firma Microsoft Entra Połączenie synchronizuje wyodrębnianie skrótu hasła z wystąpienia lokalna usługa Active Directory. Dodatkowe przetwarzanie zabezpieczeń jest stosowane do skrótu haseł, zanim zostanie zsynchronizowane z usługą uwierzytelniania Firmy Microsoft Entra. Hasła są synchronizowane na podstawie poszczególnych użytkowników i w kolejności chronologicznej.

Rzeczywisty przepływ danych procesu synchronizacji skrótów haseł jest podobny do synchronizacji danych użytkownika. Hasła są jednak synchronizowane częściej niż standardowe okno synchronizacji katalogów dla innych atrybutów. Proces synchronizacji skrótów haseł jest uruchamiany co 2 minuty. Nie można zmodyfikować częstotliwości tego procesu. Podczas synchronizowania hasła zastępuje ono istniejące hasło w chmurze.

Po pierwszym włączeniu funkcji synchronizacji skrótów haseł wykonuje początkową synchronizację haseł wszystkich użytkowników w zakresie. Nie można jawnie zdefiniować podzestawu haseł użytkownika, które mają być synchronizowane podczas pierwszej synchronizacji. Po zakończeniu synchronizacji początkowej można skonfigurować selektywne synchronizacje skrótów haseł na potrzeby przyszłych synchronizacji.

Jeśli istnieje wiele łączników, można wyłączyć synchronizację skrótów haseł dla niektórych łączników, ale nie innych. Po zmianie hasła lokalnego zaktualizowane hasło jest synchronizowane, najczęściej w ciągu kilku minut. Funkcja synchronizacji skrótów haseł automatycznie ponawia próby synchronizacji nie powiodła się. Jeśli podczas próby zsynchronizowania hasła wystąpi błąd, w podglądzie zdarzeń zostanie zarejestrowany błąd.

Włączanie synchronizacji skrótów haseł

Podczas instalowania Połączenie firmy Microsoft przy użyciu opcji Express Ustawienia synchronizacja skrótów haseł jest automatycznie włączona. Jeśli używasz ustawień niestandardowych podczas instalowania Połączenie firmy Microsoft, synchronizacja skrótów haseł jest dostępna na stronie logowania użytkownika.

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

Synchronizacja skrótów haseł i federal information processing standard

Jeśli serwer jest zablokowany zgodnie z Federal Information Processing Standard (FIPS), md5 jest wyłączony.

Aby włączyć funkcję MD5 na potrzeby synchronizacji skrótów haseł, wykonaj następujące kroki:

  1. Przejdź do %programfiles%\Azure A D Sync\Bin.
  2. Otwórz plik miiserver.exe.config.
  3. Przejdź do węzła konfiguracji/środowiska uruchomieniowego na końcu pliku.
  4. Dodaj następujący węzeł: <enforceFIPSPolicy enabled="false"/>
  5. Zapisz zmiany.

Do celów referencyjnych ten fragment kodu powinien wyglądać następująco:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Korzystanie z narzędzia PingFederate

Skonfiguruj usługę PingFederate z Połączenie firmy Microsoft, aby skonfigurować federację z domeną, którą chcesz połączyć. Wymagane są następujące wymagania wstępne:

  • Polecenie PingFederate 8.4 lub nowsze.
  • Certyfikat TLS/SSL dla nazwy usługi federacyjnej, która ma być używana (na przykład sts.contoso.com).

Po wybraniu konfiguracji federacji przy użyciu polecenia PingFederate w usłudze AD Połączenie zostanie wyświetlony monit o zweryfikowanie domeny, którą chcesz sfederować. Wybierz domenę z menu rozwijanego.

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

Skonfiguruj usługę PingFederate jako serwer federacyjny dla każdej domeny federacyjnej platformy Azure. Następnie wybierz pozycję Eksportuj Ustawienia, aby udostępnić te informacje administratorowi usługi PingFederate. Administrator serwera federacyjnego aktualizuje konfigurację i udostępnia adres URL i numer portu serwera PingFederate, aby firma Microsoft Entra Połączenie mogła zweryfikować ustawienia metadanych.