ADFS 3.0 – zvýšení bezpečnosti pomocí ověření uživatelskými certifikáty

ADFS 3.0, které je obsaženo ve Windows 2012 R2, přináší celou řadu vylepšení oproti předchozím verzím. V tomto článku se podíváme na možnost použití uživatelských certifikátů jako druhého faktoru pro ověření. Tato funkce je obsažena přímo v ADFS 3.0, bez nutnosti instalovat dodatečný software.

Pro vydávání certifikátů můžeme využít certifikační autoritu, která je obsažena ve Windows 2003 nebo novější.

Nejprve vytvoříme kopii User template v managementu certifikační autority a omezíme použití pouze na Client Authentication.

image

Na záložce security nastavíme, komu se budou certifikáty vydávat, v tomto případě jsem pro jednoduchost nastavil Domain Users.

image

Pro automatické vydávání certifikátů můžeme využít Group Policy:

image

Pokud potřebujeme aplikovat ověření pomocí certifikátů z Internetu tak je potřeba povolit port 49443 z Internetu na ADFS proxy, tzn. komunikace mezi klientem a ADFS proxy. Přesvědčit se o tom můžeme, pokud se podíváme na nastavení Windows Firewall na ADFS proxy.

image

Nyní můžeme nakonfigurovat samotnou ADFS službu. V Global Authentication Policy vybereme Certificate Authentication jako další ověřovací metodu a nastavíme vyžadování tohoto ověření pro přístup z Extranetu.

image

Pokud máme v ADFS více Relying Party Trusts tak můžeme nastavit konfiguraci specifickou pro každou z nich. Tzn. u některé můžeme nastavit ověření kompletně bez certifikátů, zatímco u dalších můžeme certifikáty vyžadovat i pro přístupy z Intranetu.

image

Jak tedy vypadá ověření z pohledu uživatele. Při přihlášení např. do portálu Office 365 je uživatel přesměrován na ADFS proxy server. Zde se standardně ověří pomocí svého Active Directory jména a hesla.

image

A v dalším kroku je vyžadováno ověření pomocí certifikátu.

image

Možnost využití klientských certifikátů sice není plně více faktorové ověření, jehož koncept je něco co uživatel zná (např. heslo) a něco co má (např. HW token, telefon), ale přináší nezanedbatelné zvýšení bezpečnosti a kontroly nad aplikacemi s ADFS ověřením (např. Office 365). Hlavní výhody jsou minimální náklady a jednoduchost řešení, kdy není nutné implementovat žádné další komponenty třetích stran.

Ondřej Štefka
Mainstream Technologies