Implementare e gestire la sincronizzazione dell'hash delle password (PHS)

  • 2 minuti

Funzionamento della sincronizzazione dell'hash delle password

La sincronizzazione dell'hash delle password è uno dei metodi di accesso usati per eseguire l'identità ibrida. Microsoft Entra Connect sincronizza un hash dell'hash della password di un utente da un'istanza di Active Directory locale a un'istanza di Microsoft Entra basata sul cloud.

Il diagramma di Microsoft Entra Connect passa un hash della password di un utente dall'ambiente locale al cloud.

Active Directory Domain Services archivia le password sotto forma di rappresentazione del valore hash della password utente effettiva. Un valore hash è il risultato di una funzione matematica unidirezionale (algoritmo hash). Non esiste un metodo per ripristinare la versione in testo normale di una password dal risultato di una funzione unidirezionale. Per sincronizzare la tua password, Microsoft Entra Connect Sync estrae l'hash della password dall'istanza locale di Active Directory. All'hash della password viene applicata un'elaborazione di sicurezza aggiuntiva prima della sincronizzazione con il servizio di autenticazione di Microsoft Entra. Le password vengono sincronizzate per ogni singolo utente e in ordine cronologico.

Il flusso di dati del processo di sincronizzazione hash delle password è simile alla sincronizzazione dei dati utente. Le password vengono tuttavia sincronizzate con una frequenza maggiore rispetto alla finestra di sincronizzazione standard della directory per altri attributi. Il processo di sincronizzazione dell'hash delle password viene eseguito ogni 2 minuti. Non è possibile modificare la frequenza di questo processo. Se si sincronizza una password, la password sincronizzata sovrascrive quella esistente nel cloud.

Quando si abilita la funzionalità di sincronizzazione dell'hash delle password per la prima volta, viene eseguita una sincronizzazione iniziale delle password di tutti gli utenti inclusi nell'ambito. Non è possibile definire in modo esplicito un subset di password utente da sincronizzare durante la prima sincronizzazione. Al termine della sincronizzazione iniziale, è possibile configurare una sincronizzazione selettiva dell'hash delle password per le sincronizzazioni future.

Se sono presenti più connettori, è possibile disabilitare la sincronizzazione dell'hash delle password per alcuni connettori, ma non per altri. Quando si modifica una password locale, la password aggiornata viene sincronizzata, spesso in pochi minuti. In caso di sincronizzazioni non riuscite, la funzionalità di sincronizzazione dell'hash delle password esegue automaticamente nuovi tentativi di sincronizzazione. Se si verifica un errore durante un tentativo di sincronizzazione di una password, viene registrato un errore nel visualizzatore eventi.

Abilitare la sincronizzazione dell'hash delle password

Quando si installa Microsoft Entra Connect usando l'opzione Impostazioni Rapide, la sincronizzazione dell'hash della password viene abilitata automaticamente. Se si usano le impostazioni personalizzate quando si installa Microsoft Entra Connect, la sincronizzazione dell'hash delle password è disponibile alla pagina di accesso dell'utente.

Screenshot di Microsoft Entra Connect con l'opzione Sincronizzazione dell'hash delle password selezionata.

Sincronizzazione dell'hash delle password e standard di elaborazione delle informazioni federali

Se il server è bloccato in conformità allo standard FIPS (Federal Information Processing Standard), MD5 è disabilitato.

Per abilitare MD5 per la sincronizzazione dell'hash delle password, seguire questa procedura:

  1. Passare a %programfiles%\Azure A D Sync\Bin.
  2. Aprire miiserver.exe.config.
  3. Passare al nodo configuration/runtime alla fine del file.
  4. Aggiungere il nodo seguente: <enforceFIPSPolicy enabled="false"/>
  5. Salvare le modifiche.

Come riferimento, il frammento di codice dovrà essere simile al seguente:

   <configuration>
      <runtime>
        <enforceFIPSPolicy enabled="false"/>
      </runtime>
   </configuration>

Uso di PingFederate

Configurare PingFederate con Microsoft Entra Connect per configurare la federazione con il dominio che si vuole connettere. Sono richiesti i prerequisiti seguenti:

  • PingFederate 8.4 o versione successiva.
  • Certificato TLS/SSL per il nome del servizio federativo che si intende usare, ad esempio sts.contoso.com.

Dopo aver scelto di configurare la federazione usando PingFederate in AD Connect, viene chiesto di verificare il dominio che si vuole federato. Selezionare il dominio nel menu a discesa.

Screenshot dell'interfaccia di Microsoft Entra Connect che mostra il dominio con cui si vuole creare una federazione.

Configurare PingFederate come server federativo per ciascun dominio di Azure federato. Selezionare quindi Esporta impostazioni per condividere queste informazioni con l'amministratore PingFederate. L'amministratore del server federativo aggiorna la configurazione e fornisce l'URL del server PingFederate e il numero di porta in modo che Microsoft Entra Connect possa verificare le impostazioni dei metadati.