Pass Through Authentifizierung (PTA)

Pass Through Authentifizierung zählt zu den synchronisierten, hybriden Identitätsmethoden.  Es unterstützt die Authentifizierung der Benutzer an der lokalen Domäne (ADDS).

Seit der zweiten Hälfte 2018 bietet Microsoft Pass Through Authentication (PTA) an. Durch PTA wird es möglich, dass ein Office 365 / Azure Benutzer (eine sog. Identität) an der On-Premises Infrastruktur, also dem lokalen Active Directory authentisiert wird.

Komponenten und Funktionsweise

Notwendige Komponenten zur Verbindungsherstellung zwischen Azure AD und ADDS sind (neben einer Serverinstanz)

  • Azure AD Connect
  • Azure AD PTA Agent(s)


Pass Through Authentication

Anmeldung

  1. Der Benutzer meldet sich via Webbrowser oder Office Pro Plus an Office 365 an. Die Credentials werden über das Login Fenster erfasst und dann, vereinfacht ausgedrückt, in eine Queue in der Azure (AD) Cloud gestellt.
  2. Der lokal installierte PTA Agent fragt via HTTP Outbound diese Queue ab und validiert die Credentials gegen das on-Premises AD (AD DS).
  3. Ist die Anmeldung valide, kann der Benutzer die Ressourcen in Office 365 / Azure nutzen.

Voraussetzungen

Für den erfolgreichen Einsatz von PTA muss neben Azure AD Connect zur die Synchronisation der Identitäten (definierte Benutzerdaten außer Passwort), mindestens drei PTA- Agenten im lokalen Netzwerk installiert werden, die via HTTPS mit dem Azure AD kommunizieren können.

Um PTA für die höher Benutzeranzahl und Verfügbarkeit zu skalieren, werden zusätzliche Agents installiert z.B. direkt auf dem Domain Controller. Die Leistungsfähigkeit von PTA ist begrenzt, da jede individuelle Authentisierungsanfrage an die Queue eine Latenz verursacht, was beispielsweise bei AD FS nicht der Fall ist. Insbesondere bei «Chatty Applications» wird die Latenz wahrgenommen.

Vorteile

  • Benutzer verwenden für die Anmeldung bei lokalen und cloudbasierten Anwendungen das gleiche Kennwort.
  • Seamless Single Sign-On ist uneingeschränkt möglich.
  • Im Vergleich zur Cloud Identität muss nur ein Benutzerobjekt gepflegt werden (weniger Overhead)
  • Die Implementierung ist einfach
  • Die Trennung von verschiedenen Benutzer Sicherheitszonen ist möglich. Das bedeutet unterschiedliche Behandlung von Hybriden und Cloud- Identitäten.
  • Schutz vor Brute-Force-Atacken auf die (hybriden) Benutzerkonten. (SmartLockout)

Nachteile

  • Eingeschränkte Skalierbarkeit (<=1000 User)
  • Verzögerungen (Latenzen) müssen mit eingerechnet werden.
  • Kennwörter müssen über die Cloud transportiert werden, damit die Authentifizierung an der On-Premises-Umgebung (AD DS) ausgeführt werden kann.
  • Keine automatische Erkennung von gestohlenen Zugangsdaten
  • Ist nicht Bestandteil des Azure AD Connect Health
  • Für das nahtlose einmalige Anmeldung (sSSO) muss das Gerät des Benutzers in eine on-Premises Domäne, aber nicht In Azure AD eingebunden sein.
  • Azure AD Domain Service funktioniert derzeit (Stand Dezember 2019) nicht mit PTA. Dies sollte berücksichtigt werden falls es später die Intention ist, mehr oder sogar alle Systeme in Azure zu betreiben.

Vergl. https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta-current-limitations

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.