What is the Azure AD Pass-through Authentication?

We know that security is very important for IT administrators. In this article, you can find which ADConnect sync tool configuration is the best. I am going to explain what Azure AD Pass-through and Seamless Single Sign-On (SSO) does.

Normally, when you configure ADConnect with “Azure AD Password Hash Synchronization” feature, one copy of on-premise AD users’ passwords (hash values) always send to internet and store in cloud. Beyond this, authentication also happens in cloud.

Azure AD Password Hash Synchronization Process

Some companies don’t permit organizations to send users’ password even in hashed form because of their security and compliance policies. Nowadays security rules are very strict because of GDPR. Azure AD Pass-through authentication allows you to keep passwords on-premise and validate users’ passwords directly against your on-premises AD. Normally, if you want to authenticate users through on-premise you had to install ADFS server to on-premise side. To configure ADFS server in high availability mode you need minimum 4 servers (2 ADFS & 2 Proxy) + OS license + hardware + operational effort to keep the system running. That is why Pass-through authentication, where we don’t use ADFS servers, is a better solution.

How does Pass-through authentication work?

In lay terms when a user tries to

sign-in Office 365 and Azure with on-premises AD password, Microsoft servers encrypt the passwords using a public key and then a user-name and encrypted password wait for validation. Pass-through agent retrieves the user name and encrypted password by making outbound call from your network. Pass-through agent uses https port to receive information. You don’t need to open inbound ports on your firewall.

The agent decrypts the password using a private key that only the agent has access to and tries to validate it against an on-premise active directory. The active directory returns “success” or “failure” result to the agent and the agent forwards it up to Azure AD.

As a result, Azure AD decides to sign-in the service or not.

How to configure Pass-through authentication on ADConnect?

When you run ADConnect setup you should select the sign-on method as “Pass-through authentication” on the interface.

In the second option you can also select “enable single sign-on”. What is the benefit of SSO (Single sign-on)? In fact when you enable SSO in ADConnect , if users’ computers are “domain joined” and already signed-in ad account on domain network, they don’t need to write passwords on sign-in page while they are signing in Azure and Office 365 services. The feature providing users with automatic sign-in Azure AD.

If you have enabled SSO on ADConnect, you need to add Azure AD URL to the users’ Intranet zone settings by using GPO in Active Directory.

1-Browse to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. Then select “Site to Zone Assignment List”.

Enable the policy, and then enter the following values in the dialog box:

Value name: https://autologon.microsoftazuread-sso.com

Value (Data): 1 indicates the Intranet zone.

It should be as it shown below;

2- Browse to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone. Then select “Allow updates to status bar via script”.

Enable the policy settings as it shown below.

Notes:

-If you use firewall or proxy, you have to
allow
*.msappproxy.net URLs over port 443 ,

-Enabling SSO services can take up to 30 minutes ,

Edge browser support is not available.;

-If you disable or re-enable the feature, users will not be able to get single sign-on experience until their cached Kerberos tickets, which are generally valid for 10 hours, have expired.

The feature is free, so you don’t need the paid edition of Azure AD.

To verify the feature:

https://aad.portal.azure.com/

Select Azure Active Directory in the left pane.

Select Azure AD Connect.

Azure Active Directory pass-through authentication ile Single Sign-On (SSO) nasıl yapılır

Kurumsal çalışma ortamlarında ya da kişisel iş süreçlerinde kullanıcılar bir kimlik doğrulamaya ihtiyaç duyarlar, her bir hesap için bir şifre oluşturuyor ve bu hesap bilgilerini ya dijital ortamlarda saklıyorlar ya da ufak bir not defterinde, aradan kısa bir süre geçtiğinde veya bu şifreleri unuttukların da geri dönük hesap bilgilerinden o hesaba ait şifreyi bulup, giriş yapmaları kullanıcılar için bir eziyet haline geldiğini ve iş sürekliliğini azalttığını söyleyebiliriz. Neredeyse 1-2 dakikada yapılacak iş süreçlerini 10-15 dakika da yapıldığını görüyoruz.

Kimlik doğrulama denildiğinde şüphesiz aklıma ilk gelen servis Microsoft ADconnect tools yazılımıdır. Microsoft’un AD Connect aracını kullanarak, kullanıcıların kimlik bilgilerinin korunmasını ve yönetimini sağlayabiliyoruz. Bununla birlikte ise (Azure AD) Pass-through Authentication hizmeti de Microsoft AD connect aracına eklenerek Single Sign On (SSO) özelliği ile de tek bir kimlik doğrulama ile birçok servise erişim sağlanabiliyor.



Azure Active Directory (Azure AD) Pass-through Authentication; kullanıcılar tek şifre kullanarak hem local ortamlarında hem de bulut tabanlı ortamlarda oturum açmalarını sağlayan bir yazılım servisidir. Aynı zamanda bu yöntemle birlikte şifre sync işleminin yanı sıra ADFS yapısı gibi güvenli ortamlar hazırlayıp, kimlik doğrulama işlemi yapabilirsiniz. Bu hizmet sayesinde bir yandan kullanıcı verimliliğini artarken, diğer bir yandan da BT yönetim süreçlerini hızlandırır.

Şimdi ise bu özelliği nasıl kullanacağımız konusunda yapılması gereken adımları sizlere paylaşacağım. İlk olarak test ortamımı sizlere kısaca anlatmak isterim. Ortamımızda 1 adet DC sunucu ve ona üye olan bir ADconnect sunucumuz bulunmaktadır. Microsoft ADconnect yazılımı kurulu olan sunucumuza bağlanıp, ADconnect yazılımını çalıştırarak kuruluma başlayabiliriz.


Kurulum penceresinde karşıma gelen configure butonuna tıklayarak ilerliyoruz.


Ardından Change user sign-in linkine tıklayıp, ilerliyoruz.


Global admin hakkına sahip bir hesap ile ilgili yerleri doldurup, ilerliyoruz.


Sonrasında ise resimde görüldüğü gibi Pass-through authentication seçeneğini işaretliyoruz. Bu seçenek ile birlikte Enable single sign-on linkini işaretleyerek, tek bir kimlik doğrulaması ile birçok servis veya uygulamaya erişim hakkı vermiş oluyoruz.


On-prem tarafındaki eşitleme işlemini doğrulamak için local tarafta oluşturduğunuz ve admin hakkına sahip bir hesap ile giriş işlemi yapılarak, credentials bilgilerini doğruluyoruz. Doğrulama işlemi tamamlandıktan sonra On-prem taraftaki domain bilgilerinin otomatik olarak geldiğini göreceksiniz.


Bu işlemlerin sonunda sync işlemi otomatik olarak başlasın mı? Diye soruyor. Bu tercih isteğe bağlıdır. Configure diyerek kurulum adımlarımızı başarılı bir şekilde tamamlamış bulunuyoruz.

Şimdiye kadar Azure Active Directory pass-through authentication kurulum adımları tamamladık ve Single Sign On özelliğini aktifleştirdik. Peki, bu özelliği kullanıcılara nasıl tanımlayacağımız konusunda ise bize GROUP POLICY servisi yardımcı olacaktır.

Herhangi bir DC üzerinde Group Policy Management consolunu açıyoruz. Tanımlama işlemini isterseniz uygulanacak kullanıcı OU’larına ya da domain altında olan tüm kullanıcılara tanımlama işlemini gerçekleştirebilirsiniz. Ben tüm domain altındaki kullanıcılara tanımlanacak şekilde ayarlacağım. Bu sebeple domain hizmeti altında yer alan default domain policy‘ni seçip, editliyorum.


Ardından User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelSecurity Page klasörü altında Site to Zone Assignment List linkine tıklıyorum.


Açılan pencerede ise policy’i aktifleştirmek için, Enable seçeneğini seçiyoruz. Configurasyon ve yönlendirme işlemi için ise Show butonuna tıklıyoruz. Enter the zone assignment kısmına ise aşağıdaki değerleri girerek, işlemleri uyguluyoruz.

Value Name: https://autologon.microsoftazuread-sso.com – Value: 1
Value Name: https://aadg.windows.net.nsatc.net – Value: 1

Tüm bu işlemleri tamamladıktan sonra herhangi bir kullanıcı login olmak istediğinde, yönlendirme işlemi devreye girerek (Single Sign On) Office 365 hesabına doğrudan erişim sağlanacaktır. Bu sayede yukarıdaki işlemleri kullanarak kullanıcıların kimlik bilgilerinin korunmasını ve yönetimini sağlayabiliyoruz.