AAD Connect : Basculer de ADFS vers Password Hash Synchronization (PhS)

Introduction

Si vous avez un peu suivi mes derniers articles sur Azure AD Connect, vous savez que par défaut Microsoft propose les 4 méthodes d’authentification suivantes :

  • Password Hashed Synchronization (PhS)
  • Federation (avec ADS)
  • Pass-Through Authentication (PTA)
  • PingFederate

Le plus souvent les entreprises vont choisir entre les 2 premiers scénarios à savoir : Password Hashed Synchronization ou ADFS. Dans la première méthode, l’authentification est exécutée directement auprès de Microsoft car Azure Active Directory connaît le hash des mots de passe et peut donc vous authentifier sans intermédiaire. Dans la seconde méthode ADFS, vous devez déployer une ferme ADFS et c’est ce composant qui réalisera l’authentification au sein de votre infrastructure on-premises.

Combiner la méthode ADFS et Password Hash Synchronization

Mais sachez qu’il est également possible de combiner ces 2 méthodes. En effet, on peut activer Password Hash Synchronization en plus de la méthode ADFS.

De ce fait, si jamais votre infrastructure ADFS locale rencontre un problème, vous pouvez rapidement basculer sur la méthodologie Password Hashed Synchronization. Cela vous donnera ainsi du temps pour remettre en place votre ADFS sans interrompre les services pour vos utilisateurs ! 😉

Mais pour cela, il vous faut activer l’option de PhS en plus de l’ADFS. Pour ce faire, activez la méthode Password Hashed Synchronization depuis l’assistant AAD Connect.

Si ce n’est pas déjà le cas, relancez l’assistant Azure AD Connect et cochez simplement le case qui prévue à cet effet. Je ne vais pas mettre toutes les captures d’écran donc si je dis rien, gardez les options par défaut ou cliquez simplement sur Next.

AAD Connect - Activation de Password Hash Synchronization (1)
AAD Connect – Activation de Password Hash Synchronization (1)
AAD Connect - Activation de Password Hash Synchronization (2)
AAD Connect – Activation de Password Hash Synchronization (2)

Cliquez sur Next et re-configurez votre AAD Connect. Une nouvelle synchronisation sera alors exécutée et les hash des passwords seront alors synchronisés.

Basculer de ADFS vers Password Hash Synchronization

Imaginons que nous ayons maintenant un problème avec notre infrastructure ADFS. Pour forcer la bascule et l’utilisation de la méthode Password Hashed Synchronisation au lieu de ADFS, il nous faut repasser nos domaines du statut “Federated” à “Managed.

Cela s’effectue en PowerShell avec les deux CmdLet suivantes :

Connect-MsolService 
Set-MsolDomainAuthentication -Authentication Managed -DomainName <domain name>

Le plus simple et d’exécuter cette commande directement depuis le serveur AAD Connect car vous disposez déjà du module PowerShell. Mais vous pouvez le faire depuis n’importe quelle machine dès lors que vous avez le module MSOnline.

Vous pouvez ensuite confirmer le statut de votre domaine avec la commande suivante :

 Get-MsolDomain 

Dans mon cas, j’ai le résultat suivant qui confirme que je suis bien en mode domaine “Managed” et non plus “Federated“.

Lors de la prochaine connexion au portail O365 (ou autre service), je ne serai donc plus redirigé vers l’URL de ma ferme ADFS mais la mire d’identification de Microsoft pourra réaliser l’authentification directement !

Plus d’information sur le TechNet en suivant ce lien : https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/plan-migrate-adfs-password-hash-sync. Et je vous invite également à consulter l’article suivant où je détaille la mise en place de l’authentification ADFS du début à la fin.