《Windows Azure Platform 系列文章目錄》
我們知道,Azure AD混合身份驗證支持以下多種方式:
雲端身份驗證:
(1)Azure AD密碼哈希同步(Password Hash)。把本地域控制器裏的目錄中的用戶名和密碼,同步到Azure雲端的Azure AD裏。密碼會使用 HMAC-SHA256 鍵控哈希算法的 1000 次迭代
(2)Azure AD Pass Through。通過使用在一個或多個本地服務器上運行的軟件代理,爲 Azure AD 身份驗證服務提供簡單密碼驗證。 服務器直接使用本地 Active Directory 驗證用戶,這將確保雲中不發生密碼驗證。
聯合身份驗證(ADFS):
(1)Azure AD 將身份驗證過程移交給單獨的受信任身份驗證系統(例如本地 Active Directory 聯合身份驗證服務 (AD FS))來驗證用戶的密碼
最近遇到一個客戶使用場景,這裏簡單介紹一下。
客戶環境:
- 客戶使用Azure Virtual Desktop (AVD)來使用VDI環境
- AVD環境的用戶驗證,是通過密碼哈希實現的,即用戶名、密碼保存在IDC。再通過Azure AD Connect把用戶名密碼同步到Azure
- AVD用戶是通過Remote Desktop App登錄AVD環境的
- AVD用戶不能通過VPN方式,連接到IDC側的域控,進行密碼重置
客戶問題:
- 因爲本地AD用戶密碼同步到微軟雲上,會存在密碼過期的情況。
- 因爲AVD客戶端用戶不能通過VPN方式,直接連接到IDC側的域控,需要找到解決辦法
實現方式:
- 採用Azure AD Password Write Back的方式,即雲端azure ad用戶可以重置密碼,再把密碼回寫到IDC側的域控上
前提:
- AVD用戶必須使用Azure AD Premium P1 License
實現步驟:
1.在IDC的Azure AD Connect服務器上,點擊Azure AD Connect
2.點擊Customize
3.Domain/OU Filtering裏選擇需要同步的屬性信息。步驟略
4點擊Password Write back
Azure AD Connect這邊就配置完畢了
5.我們以azure全局管理員身份,登錄https://portal.azure.cn/
6.選擇Azure Active Directory,點擊properies,可以選擇某些用戶,這裏我設置avd登錄用戶所在的用戶組
7.驗證方式使用默認的email和mobile phone
8.確定on-premise integration的配置,如下圖:
9.我們以avd用戶,登錄remote desktop app,會因爲密碼過期問題,顯示登錄失敗:
10.我們以avd用戶身份,登錄https://portal.azure.cn/,點擊forget my password
11.輸入驗證碼,如下圖:
12.後續密碼重置後,我們再次以avd用戶,登錄remote desktop app。
此時輸入重置後新的密碼,即可登錄avd環境