Azure AD Pass Through Authentication

By Andrei Ungureanu - Last updated: Friday, January 20, 2017 - Save & Share - Leave a Comment

Inca in preview dar cu potential mare de a intra in infrastructurile mici si medii este Azure AD Pass Through Authentication. Initial mi s-a parut greu de inteles conceptul, pentru ca era prea simplu. Daca pana acum metodele de autentificare si integrare cu Azure si Office 365 erau password synchronization si ADFS, in curand (pentru ca inca este preview) o sa avem si pass through. O sa va intrebati, ce era rau cu celelalte doua metode de autentificare si pana la urma si pass-through authentication face acelasi lucru. O sa va explic si care este diferenta si cu ce vine in plus aceasta noua metoda de autentificare:

1. Parolele nu parasesc on premises. Pentru cei care aveau astfel de griji, trebuiau sa recurga la ADFS.

2. ADFS pare complicat de configurat si cateodata chiar este. Ai nevoie de certificate si endpointuri deschise in internet din infrastructura locala. Cu pass-through nici macar nu trebuie sa deschizi porturi inbound in infrastructura ta. Tot ce trebuie sa ai este conectivitate outbound de pe sistemele ce ruleaza AD Connect. Nimic altceva de setat, nu certificate, nu porturi de retea deschise catre interior.

Tot ce trebuie facut este sa instalati si sa setati AD Connect:

image

Si bineinteles sa activati sincronizarea pentru userii ce se vor autentifica la Azure.

image

In continuare procesul este foarte simplu. Connectorul va deschide o conexiune outbound catre Azure si va verifica in permananta o coada de autentificare. In momentul in care un request de autentificare vine din cloud, acesta va fi pus in coada, conectorul va prelua cererea de autentificare de acolo, o va valida si va treimite raspunsul inapoi in cloud.

Mai jos este o imagine preluata din documentatia de pe Technet insa cum mie mi s-a parut confuza m-am gandit sa explic procesul.

Pass-through Authentication

Masina ce va rula AD Connect trebuie sa ruleze Windows Server 2012 R2 sau mai mare si sa fie joinata la domeniul AD in care se va face autentificarea.

Pentru redundanta se pot instala mai multe instante de AD Connect. Procedura este descrisa in documentatia de aici:

https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication

Tot aici gasiti si porturile de retea necesare pentru conexiunile outbound (in caz ca sunt filtrate).

Personal consider ca AD pass-through authentication este o solutie binevenita pentru cei ce nu au impementat inca ADFS si care vor sa simplifice configuratia pe zona de autentificare. Nu este un inlocuitor 100% pentru ADFS, asa ca daca veti avea nevoie sa faceti claim based SSO cu third party, atunci tot la ADFS ajungeti. Dar pentru cei ce au nevoie de autentificare doar cu Azure, atunci mi se pare super.

Posted in Active Directory, Windows Azure • Tags: , Top Of Page

Write a comment