ADFS vs Azure AD: ¿Cómo Microsoft ha cambiado la autenticación juego

0 Comments

Juergas por ADFS? ¿Desconcertado por la sincronización de hash de contraseña? Perplejo por pasar a través de la autenticación? Exploremos cómo Azure AD está dejando atrás la autenticación local.

Cuando Microsoft lanzó Office 365 en junio de 2011, uno de los primeros requisitos era proporcionar algún tipo de inicio de sesión único para los usuarios corporativos que accedían a la plataforma desde un dominio de AD.,

esto implicó vincular Azure AD al servicio de Federación proporcionado a través de ADFS y el AD local.

desde entonces, la adopción de la nube ha tenido una gran influencia en la forma en que las organizaciones modernas autentican a los usuarios. Cualquier dependencia de la funcionalidad local se ha convertido en un obstáculo, en lugar de una ayuda.

como tal, cada vez más organizaciones buscan formas de liberarse de las trampas de la tecnología heredada y aprovechar la nube sin causar interrupciones innecesarias.,

pero eso no quiere decir que los métodos existentes no tengan sus usos, la ventaja final de la nube es tener la flexibilidad para seleccionar los métodos que mejor se adapten a sus necesidades, así que examinemos cómo han evolucionado las soluciones de autenticación en la nube a lo largo de los años y los beneficios que aportan.

de ADFS a Azure AD Connect y autenticación en la nube

la primera opción de autenticación en la nube (aunque no es nuestro enfoque preferido) fue utilizar la función «password hash sync» de Azure AD Connect, que permite a los usuarios autenticarse directamente en la nube., Sin embargo, si esto ocurriera, los usuarios no podrían tener inicio de sesión único.

dado que la experiencia del Usuario es importante para garantizar que se adopten los servicios, Proporcionar un inicio de sesión único, basado en el enfoque de hash de contraseña, fue un problema importante. Por lo tanto, muchas organizaciones de todo el mundo implementaron ADFS para garantizar que los usuarios pudieran acceder a los servicios de Office 365 lo más fácilmente posible.

hace dos años, las cosas comenzaron a cambiar cuando Microsoft comenzó a crear diferentes métodos de inicio de sesión único disponibles junto con nuevos métodos de autenticación.,

autenticación PassThrough y inicio de sesión único sin fisuras

uno de estos métodos fue la autenticación PassThrough (PTA). PTA integra un inicio de sesión web en Office 365 con una solicitud de autenticación enviada a los controladores de dominio de AD.

esto significa que el usuario completa el formulario de inicio de sesión en Azure, pero el ID y la contraseña siguen siendo validados por AD después de pasar por el Servidor Azure AD Connect. Cuando Microsoft desarrolló esto, también se les ocurrió un nuevo método mejorado para proporcionar inicio de sesión único.,

Este nuevo «inicio de sesión único sin interrupciones» permitió a Azure aceptar un ticket de Kerberos para la autenticación. Este token de Kerberos está vinculado al anuncio original donde el Usuario se autenticó y se puede pasar a Azure para su validación. Esto significaba que un usuario que inicia sesión en las instalaciones y luego intenta acceder a Office 365 puede autenticarse con el token Kerberos, simple y seguro.

sin embargo, la PTA todavía requiere un componente local., Esto se instala inicialmente como un agente en el Servidor Azure AD Connect, pero también se puede instalar en servidores adicionales para proporcionar una mayor disponibilidad: Microsoft recomienda al menos tres agentes de autenticación en tres servidores para PTA.

es este requisito local el que podría ser problemático. Si la tubería de Internet falla, no habrá acceso a Office 365 hasta que la autenticación se cambie a solo la nube o se restaure la conectividad de Internet a los agentes de autenticación.,

Video: ¿Por qué migrar a Azure authentication?

no sea esclavo de los procesos de autenticación locales. Vea este breve video ahora para:

  • descubra las diferencias entre la arquitectura de autenticación federada y la administrada
  • comprenda los enfoques de mejores prácticas para migrar su autenticación

vea ahora

lo mejor de ambos: una solución híbrida

para evitar esta situación, ahora hay otra opción., Utilizar la sincronización de hash de contraseña (PHS) significa que un usuario siempre puede autenticarse directamente en Azure AD.

Este es el mejor método para proporcionar un acceso coherente al entorno de Office 365, pero parece eliminar la instalación de inicio de sesión único que necesitan los usuarios.

en este caso, sin embargo, el PHS se puede complementar con la facilidad de inicio de sesión único sin fisuras. Azure AD puede aceptar el mismo token de Kerberos basado en anuncios y no requiere que el Usuario ingrese su ID y contraseña.,

los usuarios locales obtienen acceso mediante el inicio de sesión único sin interrupciones, mientras que los usuarios que se encuentran en otro lugar requerirían la combinación correcta de ID y contraseña para acceder a los servicios.

en este escenario, no hay confianza en ningún entorno local, en caso de un fallo de internet, los usuarios externos aún podrán autenticarse. Si el anuncio interno falla, los usuarios aún podrán usar su ID y contraseña para acceder, aunque el token Kerberos no esté disponible.

¿Cuál es la diferencia?,

en este punto, puede valer la pena mirar los pros y los contras relativos de los tres métodos de autenticación.

estas funciones parecen indicar que ADFS sigue siendo una buena opción cuando se requiere que la autenticación sea solo local (y no se ingrese en una página web basada en la nube), o cuando se determina si el dispositivo de un usuario es interno o externo.

para todos los demás casos sería preferible el uso de PTA o PHS., Dado que PHS proporciona una mejor disponibilidad y no depende de elementos locales, generalmente es el método recomendado para la autenticación.

encuentre lo que funciona para usted

Más recientemente (febrero de 2019), el NCSC ha cambiado sus consejos sobre la protección de Office 365 para utilizar la «autenticación nativa en la nube». Esto significa implementar PHS y un inicio de sesión único sin interrupciones. El documento completo se puede encontrar aquí.

para muchas organizaciones, esto significa pasar de una implementación de ADFS a usar PHS y un inicio de sesión único sin interrupciones.,

el cambio tanto en la sincronización como en la autenticación debe abordarse con cierto grado de cuidado para garantizar que se minimice cualquier tiempo de inactividad.

Por supuesto, esto solo elimina los requisitos de autenticación de Office 365 del entorno de ADFS y no elimina a ninguna otra parte de reliant, aunque la mayoría de ellos deberían poder trasladarse a Azure AD cuando sea apropiado.

pasar de ADFS a password hash sync con un inicio de sesión único sin interrupciones puede parecer un poco aterrador, pero ThirdSpace puede ayudar a acelerar el proceso de migración.,

obtener asesoramiento de expertos sobre el mejor método de autenticación para su organización específica es importante, ya que ADFS todavía tiene sus usos y puede resultar ser la mejor opción en algunas circunstancias.

asegúrese de ver nuestro video corto para obtener más detalles sobre por qué muchos están haciendo el salto a la autenticación basada en la nube.

Además, descubra todas las últimas noticias y características que llegan a Azure AD, Windows 10 y Office 365 con nuestra serie trimestral de seminarios web de Actualización Tecnológica de Microsoft.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *