Дев'яносто відсотків порушень безпеки досі починаються з викрадених облікових даних, а локальні каталоги залишаються головною мішенню. Active Directory виповнюється 25 років цього року, однак більшість корпоративних стеків ідентифікації досі покладаються на квитки Kerberos, видані контролерами домену, які Ваші аудитори ледве розуміють. Результат: гібридні архітектури, де Entra ID надбудовується над застарілим AD, Seamless SSO відкриває приховані вектори атак, а ADFS продовжує існувати попри тихе виведення з ужитку з боку Microsoft.
Цей посібник виходить за межі рекомендацій вендорів. Ви знайдете тут фреймворк прийняття рішень щодо протоколів, який зіставляє Kerberos, SAML, OIDC та FIDO2 з конкретними on-prem сценаріями, прагматичний шлях для організацій без ліцензування P1/P2, рецепти захисту делегування Kerberos і матрицю відповідності для NIS2, GDPR та PCI-DSS 8.x. Мета: надати архітекторам і CISO технічну ясність для захисту єдиного входу (SSO) у гібридних середовищах без перебудови каталогу.
Що насправді означає On-Prem SSO у гібридному світі
Базова механіка: Kerberos, LDAP, SAML та OIDC проти Active Directory
On-prem SSO починається з Local Security Authority. Коли користувач входить у систему, LSA запитує Ticket-Granting Ticket у знайденого контролера домену, а потім обмінює квитки служб для кожного on-prem ресурсу. Entra Connect або Cloud Sync реплікує вгору UPN, SAM Account Name і атрибути домену, тому пристрій, приєднаний до Entra, отримує Primary Refresh Token разом з on-prem підказкою домену. Звідти пристрій отримує доступ до спільних папок, принтерів та LOB-додатків через Kerberos або NTLM за допомогою знайденого DC.
SAML та OIDC обробляють федеровані вебдодатки, але джерелом правди для каталогу залишається on-prem середовище. DC зберігає авторитетність для RDP-сесій, thick-клієнтів, сегментів SCADA/OT та ізольованих робочих навантажень, де жоден хмарний IdP не має прямої видимості.
Чому Seamless SSO вважається ризиком безпеки
Seamless SSO покладається на комп'ютерний обліковий запис AZUREADSSOACC$ в Active Directory. Його ключ Kerberos ніколи не ротується за замовчуванням, що відкриває тенант для підробки Silver Ticket: зловмисник з хешем може видавати дійсні квитки служб для будь-якого федерованого користувача. Microsoft тепер рекомендує перехід на Cloud Kerberos Trust, апаратні ключі FIDO2 або автентифікацію на основі сертифікатів для стійкого до фішингу доступу.
Вибір протоколу: матриця рішень для On-Prem SSO
Порівняння пліч-о-пліч: Kerberos, SAML, OIDC, LDAP, FIDO2
Вибір протоколу визначає Вашу поверхню атаки на наступне десятиліття. Матриця оцінює кожен варіант за критеріями, що важливі для архітектора безпеки, який розгортає on-prem SSO.
| Критерій | Kerberos | SAML | OIDC | LDAP | FIDO2 |
|---|---|---|---|---|---|
| Підтримка застарілих додатків | Висока | Середня | Низька | Висока | Середня (через міст AD) |
| Стійкість до фішингу | Низька | Низька | Середня | Низька | Висока |
| Готовність до гібридного середовища | Середня | Висока | Висока | Низька | Висока |
| Офлайн-можливості | Так | Ні | Ні | Так | Так |
| Вартість ліцензії | Входить у комплект | Змінна | Низька | Входить у комплект | Лише апаратне забезпечення |
| Складність розгортання | Середня | Висока | Середня | Низька | Низька |
| Деталізація аудиту | Середня | Висока | Висока | Низька | Висока |
Рекомендації: thick-клієнти → Kerberos; веб-SaaS → SAML або OIDC; RDP/RemoteApp → Kerberos + FIDO2; OT-мережі → LDAP + міст FIDO2.
Схема прийняття рішень і поєднання протоколів
Поєднувати протоколи свідомо. Зберегти Kerberos для ресурсів, інтегрованих у Windows, SAML — для федерованого SaaS через проксі до AD, FIDO2 — як універсальний автентифікатор. Забезпечити суворий порядок SPN, узгоджені UPN-клейми та єдиний cookie сесії, щоб уникнути подвійних запитів автентифікації.
Три архітектури On-Prem SSO без ADFS та Entra ID P1/P2
Архітектура 1 — лише Kerberos з нативним Active Directory
Використовуйте те, що вже надає контролер домену: SPN, зареєстровані за допомогою setspn, Windows-Integrated Authentication на IIS і Group Policy, яка розповсюджує білі списки браузерів. Жодного додаткового IdP, жодної хмарної залежності. Покриття обмежується інтранет-додатками, що використовують Kerberos або NTLM.
Архітектура 2 — SAML-проксі, пов'язаний з AD, для SaaS і застарілих вебдодатків
Легкий SAML-апліанс, пов'язаний з AD для SaaS і застарілих вебдодатків (Keycloak, SimpleSAMLphp, Shibboleth), зчитує користувачів через LDAP, видає ствердження для SaaS і виступає посередником OIDC для сучасних додатків. Без Entra Connect, без Intune, без ліцензій P1/P2. Розгортання займає кілька днів на одній VM.
Архітектура 3 — міст автентифікації FIDO2 + AD для безпарольного SSO
Патерн Hideez Server для безпарольного SSO FIDO2 + AD поєднує ключі FIDO2 з on-prem мостом автентифікації, який видає квитки Kerberos після апаратної перевірки. Охоплює вхід у Windows, RDP і делегування до застарілих додатків. Реєстрація, відновлення ключів і консоль адміністратора працюють локально.
Захист On-Prem SSO: стійка до фішингу автентифікація і захист Kerberos
Апаратні ключі FIDO2 і захист делегування Kerberos
Інтеграція апаратного ключа слідує передбачуваному шляху: зареєструвати облікові дані FIDO2 для об'єкта користувача, увімкнути емуляцію смарт-картки і дозволити Kerberos PKINIT видати TGT після того, як ключ розблокує сертифікат. YubiKey, Token2 і Hideez Key забезпечують вхід у Windows і RDP за тим самим процесом.
Захист Kerberos є обов'язковим. Вимкнути необмежене делегування у всьому лісі, застосовувати лише AES-256, провести аудит SPN за допомогою setspn -X і помістити кожну ідентифікаційну сутність рівня 0 до групи Protected Users. Це нейтралізує Kerberoasting, підробку golden ticket і шляхи DCSync.
Нашаровування Zero Trust поверх On-Prem SSO
Контролер домену залишається; неявна довіра — ні. Додайте контекстну MFA на рівні IdP, передавайте сигнали стану пристрою від агента endpoint, захищайте адміністративні дії через just-in-time-підвищення прав і переоцінюйте сесії при зміні рівня ризику. Каталог продовжує працювати; верифікація стає безперервною.
Усунення несправностей, міграція з ADFS та відповідність вимогам
Найпоширеніші збої та діагностичні команди
Більшість інцидентів з on-prem SSO зводиться до шести повторюваних збоїв. Тайм-аути DCLocator виникають, коли клієнт не може досягти доступного для запису DC; перевірте за допомогою nltest /dsgetdc:contoso.corp.com і перевірте прив'язку до сайту. Помилки розпізнавання NETBIOS зі STATUS_BAD_VALIDATION_CLASS 0xc00000a7 вказують на те, що додаток надіслав contoso\user замість UPN; примусово використовуйте синтаксис user@contoso.corp.com. Невідповідності UPN ламають ствердження SAML, відхилення годинника Kerberos понад 5 хвилин робить квитки недійсними (перевірте за допомогою w32tm /monitor), дублікати SPN перешкоджають видачі квитків (setspn -X їх знаходить), а розірвані ланцюжки сертифікатів вбивають PKINIT. Використовуйте klist purge, а потім klist для перегляду кешованих квитків.
Міграція з ADFS і відповідність NIS2, GDPR, HIPAA, PCI-DSS
Виводити ADFS поетапно: скласти реєстр довірених сторін, класифікувати за протоколом (WS-Fed проти SAML або OIDC), обрати цільовий стек, запустити співіснування, потім переключитися. Зіставити засоби контролю з NIS2 ст. 21, GDPR ст. 32, HIPAA §164.312(a)(2)(i) та PCI-DSS 8.3–8.5.
Поширені запитання
Чи можна налаштувати on-prem SSO без ADFS або повної ліцензії Microsoft Entra ID P1/P2?
Так. Архітектура лише на Kerberos, підкріплена Active Directory, забезпечує єдиний вхід для робочих станцій, приєднаних до домену, без будь-якого хмарного рівня. Для сучасних додатків поєднайте легкий SAML-проксі або on-prem провайдер ідентифікації з AD як джерелом каталогу. Hideez Server у поєднанні з ключами FIDO2 охоплює вхід у Windows, RDP і застарілі ресурси без Entra ID P1/P2.
Які апаратні ключі FIDO2 підтримують безпарольний on-prem SSO з Active Directory?
Будь-який сертифікований автентифікатор FIDO2 підходить, включаючи Hideez Key, YubiKey і Feitian. Для on-prem AD ключ повинен підтримувати процес верифікації користувача WebAuthn і бути пов'язаний з сервером, який виступає посередником для квитків Kerberos після атестації.
Як пристрої, приєднані лише до Entra, отримують доступ до on-prem спільних папок і застарілих додатків?
Через Cloud Kerberos Trust або on-prem сервер автентифікації, який видає TGT після верифікації FIDO2, надаючи пристрою дійсну сесію Kerberos для UNC-шляхів і додатків, інтегрованих у Windows.
Готові відмовитися від ADFS і розгорнути стійкий до фішингу SSO у Вашому гібридному середовищі? Замовте технічне демо з командою Hideez або ознайомтеся з партнерською програмою Hideez, щоб надати своїм клієнтам безпарольний доступ FIDO2.