Microsoft Azure – Pass-Through Authentication

O que é o Azure Active Directory Pass-Through Authentication?

O Pass-Through Authentication (PTA) permite que os usuários realizem o acesso em aplicativos locais e na nuvem usando as mesmas credenciais.
Por exemplo no Office 365, podemos encontrar três métodos de autenticação, são eles:

  • Autenticação na nuvem (utiliza o Azure Active Directory)
  • Autenticação Sincronizada (utiliza uma base de usuários que é replicada para o Azure AD)
  • Autenticação Federada (utiliza o serviço de Federação para realizar a autenticação)

Os dois primeiros são autenticados pelo Azure Active Directory, o terceiro é autenticado pelos controladores de domínio locais. Neste caso você irá precisar de um estrutura de ADFS (preferencialmente vários deles – inclusive na nuvem – para garantir disponibilidade, redundância e escalabilidade).

Porém utilizando o PTA, um agente é instalado no servidor que é responsável pelo Azure AD Connect, ele irá receber as requisições de autenticação do Azure AD, fazendo a validação do pedido nos controladores de domínio locais. Desta forma não temos necessidade de ter senhas (ou Hash de senhas) armazenadas no Azure AD.

Confesso que em um primeiro momento, pensei que seria um grande problema pois, em caso de um problema de comunicação com os meus servidores locais, todos os usuários ficariam sem acesso a autenticação. Me pareceu muito mais confiável e seguro utilizar o Azure AD Connect (que sincroniza as contas a cada 30 minutos e as senhas a cada 2 minutos). E a última coisa que eu desejaria era ter problemas para realizar a autenticação, porque por exemplo o servidor esta sendo atualizado.

Mas logo após , percebi o quão seguro o PTA pode ser. Já que não existe conexão de entrada para o servidor Azure AD Connect, há apenas uma conexão de saída na porta 443. E esta comunicação é protegida. Pude entender melhor a funcionalidade da ferramenta agora que já está disponível para uso, e mais materiais e informações foram disponibilizados.

Como funciona a autenticação

Para que a autenticação funcione o PTA utiliza um “service bus” no Azure. Este barramento de serviço é uma solução padrão do Azure, onde o aplicativo pode armazenar informações do sistema no barramento.

Ao iniciar uma sessão do Office 365, as credenciais são solicitadas pelo Azure AD, até aqui não temos nenhuma novidade. As credenciais são criptografadas e armazenadas no barramento de serviço. O agente que esta no servidor Azure AD Connect tem uma conexão permanente com o Azure AD e com o barramento de serviço, este agente recupera as credenciais criptografadas do barramento de serviço, descriptografa, e apresenta estas credenciais para os controladores de domínio local. A resposta do controlador de domínio é retornada ao agente que por sua vez retorna para o Azure AD.

Para garantir a segurança durante o processo de autenticação, quando o servidor Azure Connect é instalado, um par de chaves é gerado. A chave pública é enviada para o Azure AD e um certificado é criado. Este certificado é retornado ao servidor Azure AD Connect e combinado com a chave privada. A chave pública é usada pra criptografar as credenciais e o Azure AD Connect é o único que possui a chave privada para descriptografar as credenciais.

Configurando o Pass-Through Authentication

Você deve habilitar o PTA usando o Azure AD Connect.

Para que o PTA seja ativado no Azure AD Connect, os seguintes requisitos devem ser observados:

  • O Azure AD Connect versão 1.1.557.0 ou posterior deve ser instalado em um Windows Server 2012 R2 ou posterior.
  • A saída das portas 80 e 443 dever ser liberadas.

Você pode encontrar a versão mais recente do Azure AD Connect AQUI!!!

No exemplo abaixo, o Azure AD Connect já estava sendo utilizado com a sincronização de hash de senha, então é apenas uma questão de mudar a configuração.

Inicie o Azure AD Connect, escolha configure e selecione Change user sign-in.

Ao clicar em Next as credenciais do administrador do tenant serão solicitadas. Essas credenciais são necessárias para fazer o logon no Azure AD, habilitar o PTA e gerar o certificado.

Na próxima tela você encontrará quatro opções:

  • Password Synchronization
  • Pass-Through Authentication
  • Federation with AD FS
  • Do not configure

Selecione Pass-Through Authentication e avance para a próxima tela. Lembre-se que ao definir o PTA, todas as contas do tenant serão obrigadas a utilizar o PTA para autenticação. A observação no final da página trata justamente disso. Se algo der errado na sua rede, é muito importante que uma conta com direitos administrativos seja criada diretamente na nuvem, para que você realize o login administrativo mesmo que algum problema ocorra.

Agora o Azure AD Connect vai verificar todos os componentes instalados e se tudo estiver Ok, já podemos iniciar o processo de configuração

Após a conclusão deste processo já podemos entrar no Portal do Azure, e selecionar a opção Azure Active Directory, é possível verificar que a PTA já está habilitada.

E agora o que eu devo fazer, quando quiser acessar, por exemplo, o meu Outlook Web App no Exchange Online?

Exatamente a mesma que você faria se não estivesse utilizando o PTA…

A aparência e a forma de acesso a página de autenticação não é alterada, como podemos ver na imagem abaixo, a única diferença é que a autenticação está sendo feita nos controladores de domínio locais.

Essa é uma solução para quem necessita que a autenticação seja gerenciada pelos controladores de domínio locais, sem utilizar uma estrutura de AD FS. Você também pode instalar um agente de autenticação em outros servidores para evitar que uma falha de comunicação afete a autenticação dos seus serviços de nuvem.

 

E então, qual a sua opnião sobre o Pass-Through Authentication? Deixe seu comentário, dúvida ou sugestão.

 

Faça parte da minha lista VIP e receba materiais de qualidade, gratuitamente.

Que a força esteja com vocês!!!