דגשים ביישום Azure AD Seamless

כיום זהויות נחשבות לאחד הרבדים החשובים כאשר מקשיחים את הגישה לארגון, התשתית של Azure AD נמצא כל העת במגמת שיפור וחידוש  ולעיתים מסוימות השיפורים מביאים בשורה בתצורת העבודה של המשתמשים בארגון.
בתקופה האחרונה יצאו אינספור חידושים ושיפורים מול Azure AD החל מאפשרות Pass-through Authentication דרך Password Hash Synchronization ועד Conditional Access.

במאמר הנוכחי נתמקד ביכולות Seamless Single Sign-On שמביאות בשורה משמעותית לתצורת העבודה של משתמשים בארגון בעיקר לארגונים שעובדים בתצורות Hybrid שונות כדוגמת SharePoint Online.

מהו Azure Active Directory Seamless Single Sign-On

הפיצ’ר AAD Seamless SSO מאפשר למשתמשי קצה עם התקניים ארגוניים מתוך הרשת הארגונית לבצע לוגין באופן אוטומטי אל משאבים בשירות Office 365 ולמעשה אינו מצריך הקלדה נוספת של פרטי משתמש וסיסמא. כאשר AAD Seamless SSO מופעל משתמשי הקצה מקבלים את הלוגין באופן אוטומטי מתוך המערכת וכתוצאה מכך כל הזדהות נעשית באופן שקוף למשתמש.

יתרונות בהפעלת AAD Seamless SSO:

• חווית משתמש משופרת לכל משבא בשירות Office 365
• אין צורך בהקלדה נוספת של משתמש וסיסמא
• יישום מהיר ברמת אדמין
• אין צורך ברכיבים נוספים
• אין צורך ברישוי נוסף
• עובד בתצורת PTA או Password Hash
• אינטגרציה עם הגדרות ברמת GPO

אופי ותצורת הזדהות Seamless SSO

כאשר עובדים עם AAD Seamless SSO  ישנם מספר דרישות החל מגרסת AAD Connect, תצורת סנכרון,  פורטים,  הגדרת Kerberos ועוד דרישות שנפרט בהמשך. כאשר ישנו AAD Seamless SSO ברקע מתרחשים פעולות רבות בין הסיבה המקומית ובין סביבת הענן והאופן שבו  מתבצע SSO מחייב אותנו לעמוד בדרישות בכדי לאפשר למערכת לבצע את הלוגין ללא הפרעה.

תהליך Seamless SSO מתבצע לפי האופן הבא:

1. קיים משתמש מקומי מתוך הרשת הארגונית שהזין פרטי משתמש ארגוניים
2. משתמש ארגוני ניגש למשאב בשירות Office 365
3. מתבצע תהליך בקשה מול Azure AD של שאילתה מול Kerberos ומאחורי הקלעים נעשה שימוש עם Javascript על גבי browser
4. אותו browser מבקש את השאילתה מול Active Directory באמצעות אובייקט שמוגדר עם AZUREADSSOACCT
5. Active Directory מקומי בודק את האובייקט ומחזיר תשובה לגבי Kerberos על גבי אותו brwoser באופן מוצפן
6. אותו browser מעביר את בקשת Kerberos אל Azure AD
7. Azure AD מבצע decrypt של השאילתה אשר מכילה את זהות המשתמש אל הארגון
8. לאחר מכן Azure AD מקלב מחזרה טוקן לגבי אותה אפליקציה שאליה צריך לגשת
9. במידה והנתונים נכונים תתבצע כניסה אל המערכת באופן אוטומטי

אובייקטים חשובים שנדרשים לתהליך Seamless SSO:

• AZUREADSSOACCT – אובייקט מקומי מסוג מחשב אשר מייצג את Azure AD ונדרש להעברת Kerberos Ticket
• ערכים domain_hint\login_hint – ערכים נדרשים כאשר מתבצעת הזדהות ובמידה ועושים שימוש בערכים התהליך של פרטי המשתמש נעשה אוטומטית
• SPN – הגדרות SPN אשר מייצגות url’s לטובת גישה מול Azure AD

תצורות הזדהות עיקריות שעמם עובדים עם Seamless SSO הם:

• Password Hash Synchronization אשר ידוע ומוכר עוד מגרסאות קודמות ומאפשר לבצע סנכרון של Hash של Hash של הסיסמא מתוך Active Directory מקומי אל Azure AD.
• Pass-through Authentication יכולת חדשה המאפשרת למשתמשי קצה לבצע לוגין אל Office 365 ללא צורך בהקלדת סיסמא מתוך הרשת הארגונית או החיצונית (מוריד את התלות בשרתי ADFS).

השילוב של Seamless SSO ושל PTA מביא בשורה מעולה בגלל הורדת התלות במשאבים מקומיים לביצוע לוגין והיכולת לאפשר לוגין אוטומטי מתוך הרשת הארגונית אל שירות Offie 365 ללא צורך בהקלדות נוספות של משתמש וסיסמא.

דרישות והגדרות נדרשות

הגדרת Seamless הנה תהליך פשוט יחסי ומצריך הכנה וביצוע מספר דרישות מול משתמשים בארגון

• גרסת Azure AD Connect של לפחות 1.1.484.0
• גישה לכתובות *.msappproxy.net על גבי פורט 443
• הגדרת טווחי כתובות של Azure Center IP Ranges
• דרישות Browser – כל סוגי הדפדפנים נתמכים למעט Microsoft Edge והחל מגרסת Windows 7 ומעלה כולל מערכות Mac OS X
• הגדרת Url’s – מצריך הגדרה של שני url ספציפיים מול Intranet zone

• https://autologon.microsoftazuread-sso.com
• https://aadg.windows.net.nsatc.net

הגדרת SSO