Pass-Through Authentifizierung (PTA)

Benutzer müssen für den Zugriff auf Dienste in Office 365 authentifiziert werden. AADConnect kann die Identitäten in der Cloud anhand eines lokalen AD verwalten und wenn sie keine Kennworte in die Cloud synchronisieren wollen oder ein Single-SignOn gefordert ist, dann war ADFS der Weg zum Ziel.

Die PassThrough-Autentifizierung ist ein weiteres Anmeldeverfahren neben der ADFS, Office 365 Password Sync oder Seamless Single Sign On. Diese Lösung ist insbesondere für kleinere und mittlere Firmen eine interessante Option.

Was ist PTA?

Die Anmeldung mittels PTA erfolgt ganz anders als sie es von ADFS oder Seamless SSO gewohnt sind. Mit ADFS leitet Sie die Cloud zu einem ADFS-Server weiter, der sie dann anmelden und ein Ticket ausstellt um verschiedenste Dienste zu nutzen. Bei Seamless SSO sendet ihr interne Client ein Kerberos-Ticket zu Office 365 und authentifiziert sich damit. Bei PTA erfragt die Cloud ihre Anmeldedaten und stellt diese in eine "Warteschlange".

Auf ihrem On-Prem-System werden vorab aber Agenten installiert, die sie aus ihrem Netzwerk mit Office 365 verbinden und dort diese "Anmeldewarteschlange" abarbeiten. Die Agenten finden dort die offenen Anmeldungen mit dem Kennwort als Hashwert. Der Agent prüft die Daten gegen das lokale Active Directory und meldet dann den Erfolg oder Misserfolg an Office 365 zurück.

Wie funktioniert PTA

Microsoft hat aus meiner Sicht das Verfahren schon sehr ausführlich auf folgender Webseite beschrieben, so dass ich bis auf weiteres nicht weiter auf die Details hier eingehen werden:

Allerdings müssen Sie ihre Kennwort an die Cloud senden, welche dann die Validierung über ihre On-Prem-Umgebung ausführen lässt. Im Gegensatz zu ADFS oder Seamless SSO muss der Anwender sein Kennwort eingeben (Same Login aber kein Single Login)

Einrichtung

Die Nutzung von Pass-Through Authentifizierung wird schon beim Setup von AADConnect konfiguriert. Microsoft hat das sehr umfangreich mit Bildern auf folgender Seite beschrieben.

Wenn Sie AADConnect aber schon installiert haben, dann müssen sie die Option "Change User Sign-in" aufrufen:

Im folgenden Fenster können Sie dann eine der von AADConnect angebotenen Anmeldeoptionen auswählen

Die Warnung sollten Sie ernst nehmen, dass das Admin-Konto besser ein "Cloud Only"-Konto ist und nicht im Rahmen des DirSync provisioniert wird.

Ich habe hier bei meinem Test-Tenant von dem vormals konfigurierten "Password Synchronization" nun auf Pass-through Authentication umgestellt. Zudem kann man mitterlweile auch ein "Enable Single-Sign-on" aktivieren. Dazu muss man aber einmal die Anmeldedaten eines Administrators zur Konfiguration eingeben.

Eine Zusammenfassung zeigt an, was als nächstes getan wird.

Azure AD Application Proxy Connector

Ich habe natürlich auch lokal auf meinem AADSync-Service geschaut, was sich dort getan hat. Auf meinem System gibt es seit der Installation zwei neue Dienste:

Der zweite Dienst steuert die Updates des ersten Service. Der erste Service verbindet sich per HTTPS mit der Cloud um die "Authentifizierungswarteschlage" abzuarbeiten. Ob er das tut, können Sie z.B. über Performance Counter prüfen.

Interessanterweise ist bei mir doch ein Counter hochgezählt worden, als ich mich an Office 365 angemeldet habe.

Es scheint also doch nicht "nur" ein bisschen Kerberos zu sein, sondern ein On-Prem-Dienst hält Kontakt mit der Cloud um Authentifizierungsanfragen durchzuführen. Auch im Eventlog ist die Aktion sichtbar:

Hier muss ich bei Gelegenheit noch einmal genauer nachschauen, was diese Dienste nun wirklich in der finalen Version tun.

Azure AD Application Proxy Connector Download
https://download.msappproxy.net/subscription/d3c8b69d-6bf7-42be-a529-3fe9c2e70c90/connector/download 

Einschätzung

Mit der "Pass Through Authentifizierung", die im Jun 2017 noch als "Preview" läuft, wird es wohl auch für all die mittleren und kleinen Firmen eine Option zum "SignleSignOn" geben, die den Aufwand für einen ADFs-Server scheuen oder nicht rechtfertigen können aber ein kompletter Kennwort-Sync mit ADFS in Office 365 (AzureADPremim) ebenfalls nicht mögen. Durch den Trick die Anmeldung in der Cloud in eine Warteschlange zu legen und ein lokaler Agent übernimmt die Verifikation, umgehen Sie die Ablage eines Kennworts in der Cloud.

Das ist pfiffig und einfach und man kann auf den ADFS-Server verzichten. Allerdings ist es kein "SingleSignOn", da man seine Kennwortdaten weiterhin eingeben muss. Dies lässt sich aber in Kombination mit der Seamless Single Sign On-Lösung zumindest für interne Clients erreichen.

Weitere Links