Azure AD Connect 直通身份验证

在 Ignite 2017 上，我们宣布直通身份验证 (PTA) 已达到通用可用性 (GA)，因此现在它是完全受支持的场景。

但PTA是什么？如果是 Office 365，则有云身份、同步身份和联合身份。前两个在 Azure Active Directory 中进行身份验证，最后一个根据本地域控制器进行身份验证。为此，您需要一个 ADFS 基础设施，其中包括多个内部 ADFS 服务器和 DMZ 中充当 ADFS 代理的多个 WAP（Windows 应用程序代理）服务器。哦，所有服务器都需要负载平衡，以提供冗余和可扩展性。

另一方面，PTA 构建在 Azure AD Connect 之上，因此是同步身份的有趣扩展。 PTA 在 Azure AD Connect 服务器上安装代理（AuthN 代理），该代理接受来自 Azure AD 的身份验证请求并将这些请求发送到本地域控制器。针对本地域控制器进行身份验证的优点是 Azure Active Directory 中不存储任何密码（或更准确地说是密码哈希值）。

我的第一个想法是，基于异步复制工具的身份验证机制（Azure AD Connect 每 30 分钟同步一次帐户，2 分钟内同步一次密码）如何成为可靠且安全的解决方案。您最不想发生的事情是您无法对 Microsoft 云中的任何服务进行身份验证，因为您的 Azure AD Connect 服务器正忙于执行其他操作（例如自动更新其引擎）。

我的第二个想法是这有多安全。没有到 Azure AD Connect 服务器的入站连接，只有端口 80（仅用于 SSL 证书吊销列表）和 443 上的出站连接。而且通信本身也应该受到保护，所以……但现在 PTA 普遍可用，更多信息变得可用，事情也变得更加清晰。

认证流程

为了进行身份验证，PTA 使用 Azure 中的“服务总线”。服务总线是标准的 Azure 解决方案，应用程序可以在服务总线中存储系统消息，其他应用程序可以使用这些系统消息。使用服务总线，您可以创建异步但可靠的通信机制。

登录 Office 365 服务时，Azure Active Directory 会请求凭据，这并不是什么新鲜事。凭证被加密并存储在服务总线中。 Azure AD Connect 服务器上的 AuthN 代理与 Azure AD 和服务总线具有持久连接，并从服务总线检索加密凭据、解密并将它们呈现给本地域控制器。域控制器响应（成功、失败、密码过期或用户锁定）返回到 AuthN 代理并将其存储在服务总线上。 Azure AD 收到此响应，用户可以继续工作（当然也可以不继续工作，具体取决于域控制器响应）。

那么，加密是如何工作的呢？在安装过程中，Azure AD Connect 服务器会生成密钥对。公钥将发送到 Azure AD 并创建证书。该证书将返回到 Azure AD Connect 服务器并与私钥合并。公钥用于加密用户的凭据，Azure AD Connect 服务器是唯一拥有私钥来解密密钥对的服务器。瞧

配置直通身份验证

使用 Azure AD Connect 启用 PTA。过去，同步工具正如其名称所暗示的那样，但使用 Azure AD Connect，它更像是一个管理工具，您可以在其中管理各种身份选项。

要在 Azure AD Connect 服务器上启用 PTA，需要满足以下要求：

• Azure AD Connect 版本 1.1.557.0 或更高版本必须在 Windows 2012 R2 上运行。
• 需要开放80/443出站端口

注意。您可以在此处下载最新版本的 Azure AD Connect：https://www.microsoft.com/en-us/download/details.aspx?id=47594。撰写博文时，Azure AD Connect 的最新版本是 1.1.647.0

在我的环境中，我已经启动并运行了 Azure AD Connect（带有密码哈希同步），因此只需更改配置即可。

启动Azure AD Connect，选择配置并选择更改用户登录。

单击下一步并输入租户管理员凭据。需要这些凭据才能登录到 Azure Active Directory、在 Azure AD 中启用 PTA 并创建证书。

单击下一步进入用户登录页面。这里你有四个选择：

• 密码同步（名称错误，应该是密码哈希同步）。
• 传递身份验证（本博客的主题）。
• 与 AD FS 联合（未来博客）。
• 请勿配置（当使用 Okta 等第三方联合解决方案时）。

该复选框可用于启用单点登录。

选择传递身份验证，然后单击下一步继续。请注意页面底部的建议。这是有道理的。请记住，设置 PTA 是租户范围内的设置，因此租户中的所有帐户都被迫使用 PTA。如果您的网络出现问题并且没有可用的 AuthN 代理，则任何人都无法再登录。因此，您需要一个具有 @.onmicrosoft.com 用户名的云管理员帐户。

单击下一步时，Azure AD Connect 向导将检查已安装的组件，如果一切顺利，您可以开始配置过程。

单击配置开始配置。就我而言，我正在从密码同步更改为直通身份验证，因此无需对同步进行任何更改。否则，请取消选择配置完成后启动同步过程复选框，以便在同步发生之前对其进行更改。几分钟后，更改应该完成。

单击退出以完成向导。

当您登录到 Azure 门户时，选择 Azure Active Directory 并单击 Azure AD Connect 磁贴，您将看到直通身份验证现已启用：

那么，当您登录到 Exchange Online 中的 Outlook Web App 时，您会看到什么？没什么特别的，您会看到标准的 Azure AD 登录页面（通过 https://login.microsoftonline.com），输入凭据后，您可以访问 Exchange Online 邮箱。

如果打开 Azure AD Connect 服务器上的安全事件日志，您可以查找事件 4624，这将显示用户帐户实际上已针对本地域控制器进行了身份验证：

这是（据我所知）少数几个可以实际检查 PTA 身份验证帐户的地方之一。

Azure AD Connect 代理不可用

当 Azure AD Connect 代理不可用时会发生什么情况？用户无法再登录。要进行模拟，您可以在服务 MMC 管理单元中停止Microsoft Azure AD Connect 身份验证代理。

例如，如果您尝试登录 OWA，则在 Microsoft Online 登录门户中输入凭据，几秒钟后您将看到一条非描述性错误消息：

直通身份验证的冗余

要解决此问题，您可以在多台计算机上安装 AuthN 代理。就我个人而言，我不建议在域控制器上安装它，只需常规的 Windows 2012 R2 服务器或更高版本即可。

登录到服务器后，打开 Azure 门户 (https://portal.azure.com)，选择 Azure Active Directory，单击 Azure AD Connect 磁贴，然后单击传递身份验证。

单击接受条款并下载开始下载。下载后只需安装代理，根据要求输入租户管理员凭据，不到一分钟即可安装代理。

您需要多少个实例？如果您的环境较大，建议使用三个实例。两个就够了，但如果其中一个在自动更新过程中失败，那么在处理大量认证请求时，剩下的一个可能不够用。

支持的客户

当涉及到客户端和支持的场景时，支持以下内容：

• 使用所有基于 Web 浏览器的应用程序登录。
• 支持新式身份验证的 Office 2013 和 Office 2016。
• Windows 10 Azure AD 加入的设备。
• Exchange ActiveSync。

不支持以下客户端和场景：

• 旧版 Office 客户端应用程序（2010/2013，没有新式身份验证）。
• Skype for Business 客户端应用程序（包括 SfB 2016 客户端！）。
• PowerShell 1.0。
• Azure AD 域服务。
• MFA 的应用程序密码。
• 检测凭证泄露的用户。

不过，除了 Skype for Business 客户端之外，此列表并不令人意外。列表截至 2017 年 10 月。

概括

自 Ignite 2017 起，直通身份验证已普遍可用。它是一种身份验证机制，Azure AD 中不存储密码哈希值。它还比 ADFS 轻得多，复杂性更低且更易于管理。

它会取代 ADFS 吗？短期内不行。目前，它支持可以使用 Azure 服务总线和相关解决方案的现代 Microsoft 应用程序。应用商店中提供的其他第三rd应用程序（数千个）仍然依赖于 ADFS，并将在一段时间内继续这样做。

更多信息请访问 https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication-quick-start