Die Authentifizierung von hybriden Identitäten kann auf ganz unterschiedliche Weise erfolgen. Wenn keine Kennwort-Hashes zu Azure AD übertragen werden sollen, stehen AD FS und PTA. In diesem Tech Talk erläutere ich die Unterschiede und welche Variante Sie bevorzugt einsetzen sollten.
3. Microsoft 365 Identitäten
Cloud-Identität Hybrid-Identität
PTA
Mit lokalem Active Directory
separate Benutzerkonten und
Kennworte
AAD Connect synchronisiert Benutzer-
konten und Kennwort-Hashes
Authentifizierung durch Azure AD
AAD Connect synchronisiert Benutzer-
konten ohne Kennwort-Hashes
Authentifizierung durch AD FS oder PTA
Abhängigkeit zur lokalen Infrastruktur
5. AD FS
AD FS Active Directory Federation Services
AD FS ermöglicht die Authentifizierung eines Anwenders im Unternehmensnetzwerk zur
Nutzung einer Applikation im gleichen oder einem anderen Netzwerk
Bereitstellung eines Secure Token Service (STS)
Ausstellung von Authentifizierungs-Token erfolgt durch einen AD FS-Server im
Unternehmensnetzwerk
Nutzung eines Authentifizierungs-Tokens zur Anmeldung an die Ziel-Applikation
Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors
Interne Applikationen, z.B. SharePoint Server, Exchange Server, Jira
Anbindung der Applikationen als Relying Party Trust
Jede Applikation wird als separate Relying Party konfiguriert
Microsoft 365 über Azure AD als eine Einheit konfiguriert
Windows Server Funktionsrolle, verfügbar seit Windows Server 2003R2
7. PTA
PTA Pass-Through Authentifizierung
PTA authentifiziert einen Anwender im Auftrag von Azure AD gegen lokale Domain
Controller
Ausstellung des Authentifizierungs-Tokens durch Azure AD
Nutzung eines Authentifizierungs-Tokens für die gewünschte Ziel-Applikation
Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors
Interne Applikationen
Konfiguration vertrauter Unternehmensapplikationen erfolgt im Azure AD
Seamless Single-Sign-On
8. PTA
Unterstütze Einsatzszenarien für Benutzeranmeldungen
Webbrowser-basierte Anwendungen
Outlook-Clients mit älteren Protokollen, z.B. ActiveSync, SMTP, POP und IMAP
Ältere Office-Clientanwendungen
Office-Anwendungen mit moderner Authentifizierung Versionen Office 2013 und neuer
Ältere Protokollanwendungen, z.B. PowerShell Version 1.0
Azure AD-Joins für Windows 10-Geräte
App-Kennwörter für Multi-Faktor Authentifizierung
Limitierungen
Erkennung von Anwendern mit kompromittierten Anmeldeinformationen (Azure AD Funktion)
Azure AD Domain Services erfordern die Kennwort-Hash Synchronisation
Keine Integration in Azure AD Connect Health
10. ADFS-Farm
Internes
Netzwerk
AD FS vs. PTA
Erforderliche Komponenten
AD FS PTA
Internes
Netzwerk
Perimeter
Netzwerk
Perimeter
Netzwerk
PTAPTAPTA
Öffentliche IP-Adresse
Hostname, z.B. adfs.contoso.com
TLS-Zertifikat
11. AD FS vs. PTA
Erforderliche Komponenten
Azure AD Connect
Optionaler Kennwort-Hash Sync (PHS)
AD FS-Farm
2 AD FS Server
2 AD FS Proxy-Server
Öffentliche IP-Adresse
Hostname für STS-Endpunkt
Split-DNS Konfiguration mit
identischem Namen in interner und
externer DNS-Zone
Öffentliches TLS-Zertifikat für STS-
Endpunkt
Azure AD Connect
Aktivierte Pass-Through Authentifizierung
Optionaler Kennwort-Hash Sync
PTA-Agent 1 auf AAD Connect Server
Weitere PTA-Agenten für bessere
Verfügbarkeit
Nutzung von mindestens drei PTA-
Agenten
AD FS PTA
12. AD FS oder PTA
Empfehlung
Erste Wahl ist immer Pass-Through Authentifizierung
Nutzen Sie AD FS, wenn Sie besondere Anforderungen für Federation-basierte
Authentifizierung haben
Nutzen Sie den Entscheidungsbaum zur Auswahl
der passenden Authentifizierungsmethode
Wenn Sie bereits AD FS einsetzen, prüfen Sie die
Möglichkeit, auf PTA zu wechseln
13. Thomas Stensitzki
Enterprise Consultant | Geschäftsführer
Granikos GmbH & Co. KG
MVP | Office Apps & Services
Twitter: @Stensitzki
LinkedIn: https://linkedin.com/in/thomasstensitzki
Blog DE: http://Blog.Granikos.eu
Blog EN: http://JustCantGetEnough.Granikos.eu
MVP Blog: https://blogs.msmvps.com/thomastechtalk
Tech Talk Übersicht: http://TechTalk.Granikos.eu
Tech Talk Themenwünsche: https://go.granikos.eu/TTTUmfrage
Bücheranklicken–mehrerfahren
Thomas‘ Tech Talk wird aufgezeichnet mit Camtasia
14. User sign-in with Azure Active Directory Pass-through Authentication
Azure Active Directory Pass-through Authentication: Current limitations
Migrate from AD FS to Pass-through Authentication (.docx Download)
Microsoft 365 identity models and Azure Active Directory
Choose the right authentication method for your Azure Active Directory hybrid identity
solution
Ressourcen
Links