Синхронизация паролей DirSync
Только что была выпущена последняя версия средства синхронизации Windows Azure Active Directory (WAAD), также известного как DirSync.
Помимо поддержки Windows Server 2012, эта новая версия предоставляет долгожданную функцию синхронизации паролей, которая позволяет пользователям входить в свои службы Azure Active Directory (такие как Office 365, InTune, CRM Online и т. д.), используя тот же пароль, который они используют для войти в свою локальную сеть.
Однако это не следует рассматривать как замену ADFS. Скорее, это альтернатива для организаций, которым достаточно, чтобы пользователи использовали тот же пароль в Office 365, что и в локальной Active Directory. ADFS предоставляет множество других функций, которых нет в этом инструменте, одна из них — единый вход (SSO), при котором пользователям необходимо пройти аутентификацию только один раз при входе на клиентский компьютер, присоединенный к домену. С помощью этого нового инструмента и без ADFS пользователям будет предложено ввести учетные данные при доступе к ресурсам Office 365, даже если они находятся на клиентском компьютере, присоединенном к домену. Преимущество заключается в том, что имя пользователя и пароль одинаковы, и когда пользователи обновляют свои учетные данные в Active Directory, пароль будет синхронизирован с WAAD.
Этот инструмент не обеспечивает SSO, так как в процессе, основанном на синхронизации паролей, нет совместного использования/обмена токенов.
Как работает синхронизация паролей
Чтобы синхронизировать пароль, средство синхронизации каталогов извлекает хэш пароля пользователя из локальной службы Active Directory. Перед синхронизацией со службой проверки подлинности Azure Active Directory к хэшу пароля применяется дополнительная обработка безопасности.
Пароли синхронизируются чаще, чем стандартное окно синхронизации каталогов для других атрибутов. Пароли синхронизируются для каждого пользователя и обычно в хронологическом порядке. Когда пароль пользователя синхронизируется из локальной AD в облако, существующий облачный пароль перезаписывается. Когда локальный пользователь меняет свой пароль, функция синхронизации паролей обнаружит и синхронизирует измененный пароль, чаще всего в течение нескольких минут. Функция синхронизации паролей автоматически повторяет неудачную попытку синхронизации паролей пользователей. Если при попытке синхронизировать пароль возникает ошибка, она регистрируется в средстве просмотра событий.
Обратите внимание, что вы не можете явно определить набор пользователей, чьи пароли будут синхронизированы с облаком.
Включение синхронизации паролей
Синхронизация паролей включается при запуске мастера настройки средства синхронизации каталогов. При появлении запроса мастера установите флажок « Включить синхронизацию паролей ». Этот процесс инициирует полную синхронизацию, которая обычно занимает больше времени, чем другие циклы синхронизации.
Новую версию DirSync (v1.0.6385.0012) можно загрузить с соответствующего портала администрирования Office 365 или отсюда.