Approfondimento sulla sicurezza dell'autenticazione pass-through Microsoft Entra

Questo articolo offre una descrizione più dettagliata sul funzionamento dell'autenticazione pass-through di Microsoft Entra. Approfondisce gli aspetti di sicurezza della funzionalità. Questo articolo è rivolto agli amministratori IT e della sicurezza, ai responsabili della conformità e della sicurezza e altri professionisti IT responsabili della sicurezza IT e della conformità in organizzazioni o aziende di qualsiasi dimensione.

Gli argomenti trattati includono:

• Informazioni tecniche dettagliate sulle modalità di installazione e registrazione degli agenti di autenticazione.
• Informazioni tecniche dettagliate sulla crittografia delle password durante l'accesso dell'utente.
• Sicurezza dei canali tra agenti di autenticazione locali e Microsoft Entra ID.
• Informazioni tecniche dettagliate su come mantenere la sicurezza operativa degli agenti di autenticazione.

Funzionalità chiave di sicurezza dell'autenticazione pass-through

L'autenticazione pass-through offre queste funzionalità chiave di sicurezza:

• È stata progettata su un'architettura sicura multi-tenant che offre l'isolamento delle richieste di accesso tra tenant.
• Le password locali non vengono mai archiviate nel cloud in alcuna forma.
• Gli agenti di autenticazione locale, che restano in ascolto e rispondono alle richieste di convalida delle password, creano solo connessioni in uscita dalla rete. Non è necessario installare questi agenti di autenticazione in una rete perimetrale (nota anche come DMZ, zona demilitarizzata e rete perimetrale). E come procedura consigliata, considerare tutti i server che eseguono gli agenti di autenticazione come sistemi di livello 0 (vedere riferimento).
• Solo le porte standard, ovvero le porte 80 e 443, vengono usate per le comunicazioni in uscita dagli agenti di autenticazione a Microsoft Entra ID. Non è necessario aprire porte in ingresso nel firewall.
• La porta 443 viene usata per tutte le comunicazioni in uscita autenticate.
• La porta 80 viene usata solo per il download degli elenchi di revoche di certificati (CRL) per verificare che nessun certificato utilizzato dalla funzionalità sia stato revocato.
• Per l'elenco completo dei requisiti di rete, vedere la Guida rapida all'autenticazione pass-through di Microsoft Entra.
• Le password fornite dagli utenti durante l'accesso vengono crittografate nel cloud prima di essere accettate dagli agenti di autenticazione locali per la convalida in Windows Server Active Directory (Windows Server AD).
• Il canale HTTPS tra Microsoft Entra ID e un agente di autenticazione locale viene protetto mediante l'autenticazione reciproca.
• L'autenticazione pass-through protegge gli account utente lavorando senza problemi con i Criteri di accesso condizionale di Microsoft Entra, tra cui autenticazione a più fattori (MFA), blocco dell'autenticazione legacy e filtro contro gli attacchi di forza bruta alle password.

Componenti coinvolti nell'autenticazione pass-through

Per informazioni generali sulla sicurezza dei dati, del servizio e dell'operatività di Microsoft Entra ID, vedere il Centro protezione. Quando viene usata l'autenticazione pass-through per l'accesso utente, sono coinvolti i componenti seguenti:

• Servizio token di sicurezza di Microsoft Entra (Microsoft Entra STS): un STS senza stato che elabora le richieste di accesso e rilascia i token di sicurezza nei browser, nei client o nei servizi degli utenti in base alle esigenze.
• Bus di servizio di Azure: offre comunicazione abilitata per il cloud con messaggistica aziendale e inoltra comunicazioni che aiutano a connettere soluzioni locali con il cloud.
• Agente di autenticazione di Microsoft Entra Connect: un componente locale che resta in ascolto e risponde alle richieste di convalida delle password.
• Database SQL di Azure: contiene informazioni sugli agenti di autenticazione del tenant, tra cui le loro chiavi di crittografia e i metadati.
• Windows Server AD: Active Directory locale, in cui sono archiviati gli account utente e le rispettive password.

Installazione e registrazione degli agenti di autenticazione

Gli agenti di autenticazione vengono installati e registrati con Microsoft Entra ID quando si esegue una delle azioni seguenti:

• Abilitare l'autenticazione pass-through tramite Microsoft Entra Connect.
• Aggiungere altri agenti di autenticazione per garantire la disponibilità elevata delle richieste di accesso

Il funzionamento di un agente di autenticazione prevede tre fasi principali:

• Installazione
• Registrazione
• Inizializzazione

Le sezioni seguenti illustrano queste fasi in modo dettagliato.

Installazione dell'agente di autenticazione

Solo un account Amministratore di identità ibrida può installare un agente di autenticazione (usando Microsoft Entra Connect o un'istanza autonoma) in un server locale.

L'installazione aggiunge due nuove voci all'elenco in Pannello di controllo>Programmi>Programmi e funzionalità:

• L'applicazione dell'agente di autenticazione stesso. Questa applicazione viene eseguita con privilegi NetworkService.
• L'applicazione di aggiornamento usata per aggiornare automaticamente l'agente di autenticazione. Questa applicazione viene eseguita con privilegi LocalSystem.

Registrazione dell'agente di autenticazione

Dopo aver installato l'agente di autenticazione, è necessario registrarlo con Microsoft Entra ID. Microsoft Entra ID assegna a ogni agente di autenticazione un certificato di identità digitale univoco che può essere usato per proteggere le comunicazioni con Microsoft Entra ID.

La procedura di registrazione associa anche l'agente di autenticazione con il tenant. In questo modo, Microsoft Entra ID sa che questo agente di autenticazione specifico è l'unico autorizzato alla gestione delle richieste di convalida delle password per il tenant. Questa procedura viene ripetuta per ogni nuovo agente di autenticazione registrato.

Gli agenti di autenticazione usano la procedura seguente per registrarsi con Microsoft Entra ID:

1. Microsoft Entra richiede prima di tutto che un amministratore di identità ibrida esegua l'accesso a Microsoft Entra ID con le proprie credenziali. Durante l'accesso, l'agente di autenticazione acquisisce un token di accesso che può usare per conto dell'utente.

2. L'agente di autenticazione genera quindi una coppia di chiavi: una chiave pubblica e una chiave privata.

   • La coppia di chiavi viene generata mediante la crittografia standard RSA a 2.048 bit.
   • La chiave privata rimane sul server locale in cui risiede l'agente di autenticazione.

3. L'agente di autenticazione effettua una richiesta di registrazione a Microsoft Entra ID su HTTPS, includendo i componenti seguenti nella richiesta:

   • Token di accesso acquisito dall'agente.
   • Chiave pubblica generata.
   • Una Richiesta di firma del certificato, definita anche CSR o Richiesta di certificato. Questa richiesta si applica per un certificato di identità digitale, con Microsoft Entra ID come autorità di certificazione (CA).

4. Microsoft Entra ID convalida il token di accesso nella richiesta di registrazione e verifica che la richiesta provenisse da un amministratore di identità ibrida.

5. Microsoft Entra ID firma quindi un certificato di identità digitale e lo invia all'agente di autenticazione.

   • La CA radice in Microsoft Entra ID viene usata per firmare il certificato.

   Nota

   Questa CA non si trova nell'archivio delle Autorità di certificazione radice disponibile nell'elenco locale di Windows.

   • La CA viene usata solo dalla funzionalità di autenticazione pass-through. La CA viene usata solo per firmare i CSR durante la registrazione dell'agente di autenticazione.
   • Nessun altro servizio di Microsoft Entra usa questa CA.
   • Il soggetto del certificato, conosciuto anche come Nome distinto o DN, è impostato sul proprio ID tenant. Questo DN è un GUID che identifica il tenant in modo univoco. Questo DN stabilisce che l'ambito di utilizzo del certificato è il solo tenant.

6. Microsoft Entra ID archivia la chiave pubblica dell'agente di autenticazione in un database di database SQL di Azure. Solo Microsoft Entra ID può accedere al database.

7. Il certificato emesso viene archiviato sul server locale nell'archivio certificati Windows, in particolare in CERT_SYSTEM_STORE_LOCAL_MACHINE. Il certificato viene usato sia dall'agente di autenticazione che dalle applicazioni di aggiornamento.

Inizializzazione dell'agente di autenticazione

Quando l'agente di autenticazione viene avviato, per la prima volta dopo la registrazione o dopo il riavvio di un server, necessita di un modo per comunicare con il servizio di Microsoft Entra così che possa iniziare ad accettare le richieste di convalida delle password in modo sicuro.

Di seguito è descritto come vengono inizializzati gli agenti di autenticazione:

1. L'agente di autenticazione esegue una richiesta di bootstrap in uscita a Microsoft Entra ID. Questa richiesta viene effettuata sulla porta 443 e utilizza un canale HTTPS autenticato reciprocamente. La richiesta usa lo stesso certificato emesso durante la registrazione dell'agente di autenticazione.
2. Microsoft Entra ID risponde alla richiesta fornendo una chiave di accesso a una coda del bus di servizio univoca per il tenant, e identificata dall'ID del tenant.
3. L'agente di autenticazione stabilisce una connessione HTTPS in uscita permanente alla coda sulla porta 443.

L'agente di autenticazione a questo punto è pronto per recuperare e gestire le richieste di convalida delle password.

Se nel tenant sono registrati più agenti di autenticazione, la procedura di inizializzazione assicura che ogni agente si connetta alla stessa coda del bus di servizio.

Come l'autenticazione pass-through elabora le richieste di accesso

Il diagramma seguente mostra come l'autenticazione pass-through elabora le richieste di accesso utente:

Come l'autenticazione pass-through gestisce una richiesta di accesso utente:

1. Un utente tenta di accedere a un'applicazione, ad esempio Outlook Web App.
2. Se l'utente non ha ancora eseguito l'accesso, l'applicazione reindirizza il browser alla pagina di accesso di Microsoft Entra.
3. Il servizio STS di Microsoft Entra risponde con la pagina Accesso utente.
4. L'utente immette il nome utente nella pagina Accesso utente e seleziona il pulsante Avanti.
5. L'utente immette la password nella pagina Accesso utente e seleziona il pulsante Accedi.
6. Il nome utente e la password vengono inviati a STS di Microsoft Entra in una richiesta HTTPS POST.
7. STS di Microsoft Entra recupera le chiavi pubbliche per tutti gli agenti di autenticazione registrati nel tenant dal database SQL di Azure e con queste chiavi esegue la crittografa della password. Produce un valore di password crittografata per ogni agente di autenticazione registrato nel tenant.
8. STS di Microsoft Entra inserisce la richiesta di convalida della password, che consiste dei valori del nome utente e della password crittografata, nella coda del bus di servizio specifica per il tenant.
9. Poiché gli agenti di autenticazione inizializzati sono connessi in modo permanente alla coda del bus di servizio, uno degli agenti di autenticazione disponibili recupera la richiesta di convalida della password.
10. L'agente di autenticazione usa un identificatore per individuare il valore della password crittografata specifico per la chiave pubblica. Decrittografa la chiave pubblica usando la chiave privata.
11. L'agente di autenticazione tenta di convalidare il nome utente e la password in Windows Server AD usando l'API Win32 LogonUser con il parametro dwLogonType impostato su LOGON32_LOGON_NETWORK.
    • Si tratta della stessa API utilizzata da Active Directory Federation Services (AD FS) per consentire agli utenti di effettuare l'accesso in uno scenario di accesso federato.
    • Questa API fa affidamento sul processo di risoluzione standard in Windows Server per individuare il controller di dominio.
12. L'agente di autenticazione riceve risultati come operazione riuscita, nome utente o password errata o password scaduta, da Windows Server AD.

13. L'agente di autenticazione inoltra il risultato al STS di Microsoft Entra su un canale HTTPS autenticato reciprocamente in uscita sulla porta 443. L'autenticazione reciproca usa il certificato emesso in precedenza per l'agente di autenticazione durante la registrazione.
14. STS di Microsoft Entra verifica che questo risultato si metta in correlazione con la richiesta di accesso specifica per il tenant.
15. STS di Microsoft Entra continua la procedura di accesso, come configurato. Ad esempio, se la convalida della password ha esito positivo, all'utente potrebbe essere richiesto di effettuare la MFA oppure potrebbe essere reindirizzato all'applicazione.

Sicurezza operativa degli agenti di autenticazione

Per assicurarsi che l'autenticazione pass-through risulti protetta dal punto di vista operativo, Microsoft Entra ID rinnova periodicamente i certificati degli agenti di autenticazione. Microsoft Entra ID attiva i rinnovi. Questi rinnovi non dipendono dagli agenti di autenticazione.

Per rinnovare l'attendibilità di un agente di autenticazione con Microsoft Entra ID:

1. L'agente di autenticazione esegue periodicamente il ping di Microsoft Entra a intervalli di poche ore, per verificare se è il momento di rinnovare il certificato. Il certificato viene rinnovato 30 giorni prima della scadenza. Questa verifica viene eseguita in un canale HTTPS autenticato reciprocamente e utilizza lo stesso certificato emesso durante la registrazione.
2. Se il servizio indica che è necessario eseguire il rinnovo, l'agente di autenticazione genera una nuova coppia di chiavi: una chiave pubblica e una chiave privata.
   • Queste chiavi vengono generate mediante la crittografia standard RSA a 2.048 bit.
   • La chiave privata non abbandona mai il server locale.
3. L'agente di autenticazione esegue quindi una richiesta di rinnovo certificato a Microsoft Entra ID su HTTPS. Nella richiesta sono inclusi i componenti seguenti:
   • Il certificato esistente, recuperato dalla posizione CERT_SYSTEM_STORE_LOCAL_MACHINE dell'archivio certificati di Windows.
   • La chiave pubblica generata nel passaggio 2.
   • Un CSR. Questa richiesta si applica a un nuovo certificato di identità digitale, con Microsoft Entra ID come CA.
4. Microsoft Entra ID convalida il certificato esistente nella richiesta di rinnovo certificato. Verifica quindi che la richiesta provenga da un agente di autenticazione registrato nel tenant.
5. Se il certificato esistente è ancora valido, Microsoft Entra ID firma un nuovo certificato di identità digitale e lo inoltra all'agente di autenticazione.
6. Se il certificato esistente è scaduto, Microsoft Entra ID elimina l'agente di autenticazione dall'elenco del tenant di agenti di autenticazione registrati. L'amministratore di identità ibrida deve quindi installare e registrare manualmente un nuovo agente di autenticazione.
   • Usare la CA radice di Microsoft Entra ID per firmare il certificato.
   • Impostare il DN del certificato sul proprio ID tenant, un GUID che identifica in modo univoco il tenant. Il DN stabilisce come ambito del certificato il solo tenant.
7. Microsoft Entra ID archivia la nuova chiave pubblica dell'agente di autenticazione in un database di database SQL di Azure, a cui ha accesso esclusivo. Inoltre, invalida la chiave pubblica precedente associata all'agente di autenticazione.
8. Il nuovo certificato, emesso al passaggio 5, verrà quindi archiviato sul server nell'archivio certificati Windows, in particolare nella posizione CERT_SYSTEM_STORE_CURRENT_USER.

Poiché la procedura di rinnovo dell'attendibilità si verifica in modo non interattivo, ovvero senza la presenza di un amministratore di identità ibrida, l'agente di autenticazione non avrà più accesso per aggiornare il certificato esistente nella posizione CERT_SYSTEM_STORE_LOCAL_MACHINE.

Aggiornamento automatico degli agenti di autenticazione

L'applicazione di aggiornamento aggiorna automaticamente l'agente di autenticazione quando viene rilasciata una nuova versione (con correzioni di bug o miglioramenti delle prestazioni). L'applicazione di aggiornamento non gestisce le richieste di convalida della password per il tenant.

Microsoft Entra ID ospita la nuova versione del software come un pacchetto di Windows Installer firmato (MSI). Il pacchetto di Windows Installer viene firmato usando Microsoft Authenticode con SHA-256 come algoritmo di riepilogo.

Per aggiornare automaticamente gli agenti di autenticazione:

1. L'applicazione di aggiornamento esegue ogni ora il ping di Microsoft Entra per verificare l'eventuale presenza di una nuova versione dell'agente di autenticazione. Questa verifica viene eseguita su un canale HTTPS autenticato reciprocamente usando lo stesso certificato emesso durante la registrazione. L'agente di autenticazione e lo strumento di aggiornamento condividono il certificato archiviato nel server.
2. Se è disponibile una nuova versione, Microsoft Entra ID restituisce il MSI firmato allo strumento di aggiornamento.
3. Lo strumento di aggiornamento verifica che il MSI sia firmato da Microsoft.
4. Lo strumento di aggiornamento esegue il MSI. In questo processo l'applicazione di aggiornamento:

5. Arrestare il servizio dell'agente di autenticazione.
6. Installare la nuova versione dell'agente di autenticazione nel server.
7. Riavviare il servizio dell'agente di autenticazione.

Passaggi successivi

• Limitazioni correnti: informazioni sugli scenari supportati.
• Guida rapida: Configurare l'autenticazione pass-through di Microsoft Entra.
• Eseguire la migrazione da AD FS all'autenticazione pass-through: consultare questa guida dettagliata per la migrazione da AD FS, o altre tecnologie federative, all'autenticazione pass-through.
• Blocco intelligente: configurare la funzionalità Blocco intelligente nel tenant per proteggere gli account utente.
• Come funziona: apprendere le nozioni di base sul funzionamento dell'autenticazione pass-through di Microsoft Entra.
• Domande frequenti: qua si trovano le risposte alle domande più frequenti.
• Risoluzione dei problemi: apprendere come risolvere i problemi più frequenti relativi alla funzionalità di autenticazione pass-through.
• Microsoft Entra seamless SSO: altre informazioni sulla funzionalità complementare Seamless Single Sign-On di Microsoft Entra.