Migração de ADFS para Autenticação em Nuvem com PHS
O objetivo deste guia passo a passo percorre a implementação da Autenticação em Nuvem em um processo de quatro etapas.
Objetivo
Projeter e migrar a Federação (ADFS) para autenticação na nuvem e logon único contínuo como substituição da autenticação federada pelo Azure Active Directory.
Logon único contínuo
Fácil de integrar
1. Funciona com sincronização de hash de senha e autenticação de passagem
2. Suporta ID de login alternativo
Fácil de administrar
1. Nenhuma infraestrutura local adicional
2. Registre dispositivos não Windows 10 sem AD FS
Ótima experiência do usuário
Experiência SSO de dispositivos ingressados no domínio em sua rede corporativa
Consideração de design
A seguir está a abordagem de design de alto nível para este escopo de migração deste projeto:
· Método de autenticação Right Cloud
· Implantação do Azure AD Connect
· Migrar quaisquer regras de autorização de declarações personalizadas do AD FS para políticas de acesso condicional
· Configuração da autenticação multifator (Azure MFA)
· Atribuição de licenças aos usuários
· Fornecer etapas detalhadas de backup e restauração para AD FS
Método de autenticação correto para identificação híbrida do diretório ativo do Azure
Estendendo o Active Directory On-Premise para a solução de identidade na nuvem, os aspectos importantes a serem considerados o método de autenticação correto são a primeira prioridade para qualquer organização que suporte os aplicativos na nuvem. A autenticação é o componente crucial quando uma organização decidiu que seu aplicativo está presente no mundo externo e também para fortalecer o fortalecimento da segurança.
A implementação do método de autenticação é configurada por meio do Azure Active Directory Connector, que fornecerá os usuários de sincronização de diretório na nuvem selecionando o método de autenticação correto.
Antes de prosseguirmos com a abordagem de migração, primeiro precisamos entender os diferentes tipos de autenticação na nuvem da seguinte forma:
Azure AD-Sincronização de hash de senha (PHS): autenticação baseada em nuvem com a mesma senha local. A maneira mais rápida de implantar. Suporte ao mecanismo de SSO contínuo. Pesquisas de hash de senha a cada 2 minutos. A senha permanece no local como SHA256 (salt + MD4(senha), 1000).
Recursos como Azure AD MFA, políticas de acesso condicional, proteção de identidade do Azure AD com licença Azure AD Premium P2 são suportados neste método de autenticação.
Custo de implementação – baixo
Escalabilidade/tolerância a falhas — escalabilidade em nuvem
Monitoramento de integridade do AZURE AD connect — Limitado
Azure AD- Senha por sincronização (PTS) : autenticação baseada em nuvem com validação de senha no local. Ocupação mínima do SSO contínuo no local. As organizações com um requisito de segurança para impor imediatamente os estados da conta do usuário local, as políticas de senha e as horas de entrada podem usar esse método de autenticação.
Recursos como proteção contra bloqueio de conta no local, políticas de acesso condicional, políticas de senha no local são suportados
Custo de implementação – médio
Escalabilidade/tolerância a falhas — escalabilidade em nuvem
Monitoramento de integridade do AZURE AD connect — Não integrado
Metas para autenticação na nuvem com logon único contínuo
Mudar de federação para método de nuvem e Logon único contínuo beneficiará os negócios das seguintes maneiras:
-
GERENCIAR CUSTO
-
AUDITORIA ROBUSTA E RASTREAMENTO DE USO
-
REDUZA A COMPLEXIDADE E O RISCO
-
FLEXIBILIDADE E SEGURANÇA
Pré-requisitos
A versão mais recente do AAD Connect está instalada. Baixe a versão mais recente do Azure AD Connect aqui
Implemente o método de autenticação PHS + SSO
1) O Azure AD Connect deve ser instalado em um Windows Server 2016 ou superior ingressado no domínio
2) Uma conta de administrador global do Azure está disponível para configurar o PHS em seu locatário e migrar de federado para gerenciado.
3) Uma conta de administrador de domínio está disponível para configurar o SSO contínuo no Active Directory local.
4) A autenticação moderna está habilitada em seu locatário do Office 365 para Exchange Online e Skype for Business Online. Consulte este artigo para obter as etapas para habilitar a autenticação moderna.
5) A autenticação moderna está habilitada para todos os clientes do Office 2013
Implementar método de autenticação PTA + SSO
1) Saída da porta 80/443/8080 do servidor de conexão AAD e de quaisquer outros servidores nos quais você planeja instalar o agente PTA
2) Se o seu servidor AAD Connect por trás do firewall ou proxy permitir que você adicione entradas DNS a uma lista de permissões, adicione conexões a *.msappproxy.net e *.servicebus.windows.net. Caso contrário, permita o acesso aos intervalos de IP do datacenter do Azure , que são atualizados semanalmente.
3) Abra seu firewall para as seguintes URLs como em onde o Servidor com Agentes de Autenticação precisa acessar login.windows.net e login.microsoftonline.com para registro inicial.
Observação : para a maioria dos clientes, dois ou três agentes de autenticação são suficientes para alta disponibilidade e capacidade, e um inquilino não pode ter mais de 12 agentes registrados. O primeiro agente é sempre instalado no próprio servidor AAD Connect.
4) O Azure AD Connect deve ser instalado em um Windows Server 2012 ou posterior ingressado no domínio
5) Uma conta de administrador global do Azure está disponível para configurar o PHS em seu locatário e migrar de federado para gerenciado.
6) Uma conta de administrador de domínio está disponível para configurar o SSO contínuo no Active Directory local.
7) A autenticação moderna está habilitada em seu locatário do Office 365 para Exchange Online e Skype for Business Online. Consulte este artigo para obter as etapas para habilitar a autenticação moderna.
8) A autenticação moderna está habilitada para todos os clientes do Office 2013.
Planejamento
Estratégia de implantação
Os estágios de implantação dependem do ambiente que você está disponível. Suponha que o ambiente tenha Azure Non-Prod Tenant e, em seguida, planeje a migração com prova de conceito (POC) definida fora do seu ambiente de produção –
Método de Migração
Existem dois métodos para migrar da autenticação federada para Cloud Managed (PHS ou PTA e SSO Contínuo)
1) Usando o Azure AD Connect
2) Usando o Azure AD Connect com o PowerShell
Para entender qual método você deve usar, execute as etapas na seção a seguir.
Verifique as configurações de login do usuário atual
Verifique as configurações de entrada do usuário atual fazendo logon no portal do Azure AD https://aad.portal.azure.com com uma conta de administrador global .
Na seção User Sign In , verifique se Federation está Enabled e se Seamless Single Sign-on e Pass-through Authentication estão Disabled.
Verifique como a Federação foi configurada
1. Vá para o servidor Azure AD Connect e inicie o Azure AD Connect e, em seguida, selecione Configurar.
2. Na tela Tarefas adicionais , selecione Exibir configuração atual e, em seguida, selecione Avançar.
Entenda as configurações atuais da Federação
Você pode encontrar a configuração de federação atual executando o cmdlet Get-MsolDomainFederationSettings.
Por exemplo:
Get-MsolDomainFederationSettings -DomainName fabiosilva.com.br | fl*
Configurações de Federação de Backup
Usando a ferramenta gratuita de restauração rápida do Microsoft AD FS . Essa ferramenta pode ser usada para fazer backup e restaurar o AD FS, seja em um farm existente ou em um novo farm
A Microsoft recomenda: não desligue o ambiente do AD FS ou remova a confiança da terceira parte confiável do Office 365 até verificar se todos os usuários estão autenticando com sucesso usando a autenticação na nuvem.
Implementar
Agora que você planejou sua solução, está pronto para implementá-la.
Consideração da solução
A implementação inclui os seguintes componentes:
1. Preparando-se para um logon único contínuo
2. Alteração do método de login, sincronização de hash de passagem ou autenticação de passagem com a ativação do SSO contínuo
Prepare-se para SSO contínuo
Para configurar o SSO contínuo para usuários de intranet, você precisa adicionar uma URL do Azure AD às configurações de zona de intranet dos usuários usando a política de grupo no Active Directory.
Alterar método de login [PHS ou PTA e SSO)
Seleção A: Configurando a autenticação de sincronização Pass-Hash usando o Azure AD Connect
Se o método foi projetado para usar o AD FS usando o Azure AD Connect, o procedimento a seguir será muito útil para concluir a solução de migração;
Alterar o método de login do usuário
1) No Azure AD Connect Server, abra o assistente.
2) Selecione Alterar login do usuário e, em seguida, selecione Avançar .
3) Na tela Conectar ao Azure AD , forneça o nome de usuário e a senha de um Administrador Global.
4) Na tela User Sign-in , altere o botão de opção de Federation with AD FS para Pass-Hash Synchronization Authentication, selecione Enable single sign-on e selecione Next.
5) Na tela Ativar logon único , insira as credenciais da conta do Administrador de domínio e selecione Avançar .
6) Na tela Pronto para configurar , certifique-se de que a caixa de seleção ” Iniciar processo de sincronização quando a configuração for concluída ” esteja marcada. Em seguida, selecione Configurar .
Pós-validação
1) Abra o portal do Azure AD , selecione Azure Active Directory e selecione Azure AD Connect .
Verifique se essa Federação está desabilitada durante o logon único contínuo e a sincronização de hash de passagem
Seleção B: Configurando a autenticação de passagem usando o Azure AD Connect
Se o método foi projetado para usar o AD FS usando o Azure AD Connect, o procedimento a seguir será muito útil para concluir a solução de migração;
Alterar o método de login do usuário
1) No Azure AD Connect Server, abra o assistente.
2) Selecione Alterar login do usuário e, em seguida, selecione Avançar .
3) Na tela Conectar ao Azure AD , forneça o nome de usuário e a senha de um Administrador Global.
4) Na tela Login do usuário , altere o botão de opção de Federação com AD FS para Autenticação de passagem, selecione Ativar logon único e selecione Avançar.
5) Na tela ativar logon único, insira as credenciais da conta do Administrador de domínio e selecione Avançar.
6) Na tela Pronto para configurar, certifique-se de que a caixa de seleção ” Iniciar processo de sincronização quando a configuração for concluída ” esteja marcada. Em seguida, selecione Configurar.
Pós-validação
1) Abra o portal do Azure AD, selecione Azure Active Directory e selecione Azure AD Connect.
2) Verifique se a Federação está desabilitada enquanto o logon único contínuo e a autenticação completa estão habilitadas.
Test Pass-hash / através da autenticação
Quando seu locatário estava usando federação, os usuários eram redirecionados da página de logon do Azure AD para seu ambiente AD FS. Agora que o locatário está configurado para usar a sincronização Pass-Hash/autenticação pass-through em vez da federação, os usuários não serão redirecionados para o AD FS e, em vez disso, farão logon diretamente por meio da página de logon do Azure AD.
Documentação oficial da Microsoft aqui também como referência.
https://learn.microsoft.com/pt-br/azure/active-directory/hybrid/migrate-from-federation-to-cloud-authentication
Último vídeo
Novidades via inbox
Fique por dentro no meu Boletim digital toda semana um conteúdo novo