Synchronizacja wsteczna haseł z Azure AD do Active Directory i Self-Service Password Reset

  • Article

Dotychczas za pomoca narzedzia synchronizacyjnego DirSync mozliwe bylo synchronizowanie hasel z lokalnego Acitve Directory do Azure AD. (Opisalem ten proces w artykule Synchronizacja hasel do Office 365 deep dive). Co jednak, jesli uzytkownik zapomnial swoje haslo? Potrzebna byla wtedy interwencja administratora, poniewaz uzytkownik nie mial mozliwosci zresetowania hasla . Administrator resetowal haslo, a DirSync synchronizowal je do Office 365 . Wsteczna synchronizacja hasel oraz portal Self-Service Password Reset rozwiazuja ten problem. Postaram sie obie funkcjonalnosci przyblizyc w ponizszym artykule.

 

Jak to dziala?

Aby móc skorzystac z opcji resetowania hasla uzytkownik musi miec przypisana licencje Azure AD Premium. Po przypisaniu licencji, uzytkownik moze za pomoca strony (1) https://aka.ms/SSPRSetup skonfigurowac, w jaki sposób chce potwierdzic swoja tozsamosc w momencie resetowania hasla. Dostepne opcje to:

  • odebrania polaczenia telefonicznego (takze w jezyku polskim),
  • wpisanie kodu z wiadomosci sms,
  • wpisanie kodu z wiadomosci email otrzymanej na alternatywny adres pocztowy.

Uzytkownik po otworzeniu strony do resetowania hasla (2) (https://passwordreset.microsoftonline.com/) bedzie musial podac swój login oraz uwierzytelnic sie za pomoca jednej z wczesniej skonfigurowanych metod. Po zakonczonym powodzeniem uwierzytelnieniu, uzytkownik bedzie mógl wprowadzic nowe haslo (3), które zostanie zapisane w Azure AD. Nastepnie narzedzie synchronizacyjne Azure AD Sync skonfigurowane do synchronizacji wstecznej hasel, zreplikuje (4) haslo to lokalnego AD.

Nowe haslo, które wprowadzi uzytkownik musi byc zgodne z regulami zlozonosci zaimplementowanymi w lokalnym Active Directory.

Co musi zrobic administrator, aby wdrozyc te funkcjonalnosc?

Proces uruchamiania funkcjonalnosci Self-Service Password Reset zostal bardzo dobrze opisany na ponizszej stronie: https://msdn.microsoft.com/en-us/library/azure/dn683881.aspx

Wazne, aby konto administratora wlaczajacego portal Self-Service Password Reset:

  • posiadalo przypisana licencje Azure AD Premium,
  • bylo kontem chmurowym (zalozonym w Azure AD), a nie kontem sfederowanym z lokalnego AD (konto typu Microsoft Account uzywane do zarzadzania tenantem Azure równiez nie jest odpowiednie).

Warto pamietac, ze narzedzie Azure AD Sync synchronizuje równiez hasla z lokalnego AD do Azure AD, a wiec zapewnia funkcjonalnosc dostepna dotad dzieki DirSync.

Jak dziala proces synchronizacji wstecznej hasel?

Synchronizacja wsteczna hasel korzysta z technologii Azure Service Bus. Silnik synchronizacyjny wbudowany w narzedzie Azure AD Sync podtrzymuje komunikacje z Azure AD. Z punktu widzenia firewall’a, polaczenie jest nawiazywane z serwera Azure AD Sync do Azure AD. Do komunikacji wykorzystywane sa porty 9350-9353. Jednakze, gdy sa zamkniete, synchronizacja odbywa sie na porcie 80. Po zresetowaniu przez uzytkownika hasla jest ono przesylane w postaci jawnej do lokalnego AD, aby sprawdzic czy spelnia wymagania, co do zlozonosci. Jesli haslo jest zgodne z wymaganiami, zostanie zapisane w lokalnym AD. Mimo, ze komunikacja odbywa sie na porcie 80, jest ona zaszyfrowana mechanizmami, które dostarcza Azure Service Bus.

Po wykonaniu kilku testów moge stwierdzic, ze po zresetowaniu, haslo jest synchronizowane do lokalnego AD w przeciagu okolo 1 minuty.

Podsumowanie

Azure AD Premium otwiera nowe mozliwosci zwiazane z zarzadzaniem AD „w chmurze”. Ponadto dzieki nowemu narzedziu synchronizacyjnemu: Azure AD Sync, integracja miedzy lokalna infrastruktura AD, a Azure AD jest jeszcze pelniejsza. Wkrótce Azure AD Sync bedzie dostarczal kolejnych nowych funkcjonalnosci. Stay tuned!