ADFS 3.0 a Azure Multi-Factor Authentication

  • Article

Office 365 nabízí pro silnější zabezpečení Cloud účtů MultiFactor Authentication. Jeho nastavení se provede před Office 365 portál a umožňuje základní zabezpečení Office 365 účtů druhým faktorem, tedy kromě hesla, něčím co uživatel „vlastní“ – v tomto případě mobilním telefonem.

Toto řešení je tedy vhodné pro společnosti, které chtějí předejít neoprávněným přístupům do Office 365 aplikací v případech „úniku“ hesla uživatele.

image

Toto MFA ověření funguje pro webové aplikace. Pro „tlusté“ klienty jako např. Outlook se využívá generované App passwords. Administrátor má možnost tuto funkcionalitu zakázat.

image

V případě, že je tato funkce povolena si uživatel může vygenerovat App password, tzn. generované heslo, které může využít pro přihlášení do „newebových“ aplikací.

image

Možnosti Multi-Factor ověření.

Uživatel může využít následujících možností:

  • Zavolání na mobilní telefon – uživatel stiskem # potvrdí ověření
  • Zaslání SMS s PIN – uživatel zadá zaslaný PIN při přihlášení
  • Zavolání na pevnou linku – uživatel stiskem # potvrdí ověření
  • Ověření pomocí mobilní aplikace – uživatel si příslušného App Store nainstaluje Multi-Factor Authentication aplikaci. Uživatel pro přihlášení stiskne volbu Verify.
    image
  • Jednorázové heslo pomocí mobilní aplikace – uživatel zadá jednorázové heslo vygenerované mobilní aplikací.

image

Stejný způsob ochrany je možné použít pro Azure Admin účty.

Pokud používáme v Office 365 federované účty a máme konfigurované SSO přes ADFS, tak je možné využít rozšířenou službu Windows Azure Multi-Factor Authentication s tím, že na ADFS servery nainstalujeme Windows Azure Multi-Factor Authentication Server, který potom můžeme využít nejenom pro MFA ověření k Office 365, ale i k lokálním zdrojům jako jsou VPN, IIS, RDS atp.

Základní porovnání obou služeb:

image

Pro otestování funkcionality provedeme instalaci Windows Azure Multi-Factor Authentication Server na server, kde je nainstalováno ADFS.

Z admin konzole MFA serveru potom můžeme provést import uživatelů z Active Directory.

image

Uživatele povolíme pro MFA a nastavíme preferovaný způsob ověření.

image

Na záložce ADFS provedeme instalaci ADFS adaptéru a nastavíme očekávané chování MFA.

image

A zaregistrujeme ADFS MFA adapter.

image

Na závěr provedeme konfiguraci ADFS 3.0, kde v globální konfiguraci vybereme WindowsAzureMultifactorAuthentication a nastavíme kdy je požádáno MFA – například pouze při přístupu z Extranetu.

Pokud je to vyžadováno tak nastavení je možné i na úrovni Relying Party.

image

Pro přihlášení uživatel provede standardní ověření pomocí AD uživatelského jména a hesla.

image

Následně je vyzván k MFA.

image

Po potvrzení MFA např. stiskem # na mobilním telefonu je uživatel přihlášen k požadované Office 365 službě.

Azure MFA je velmi užitečná služba, která podstatně zvýší bezpečnost při přístupu k datům v Cloudu i On-Premises prostředí.

Ondřej Štefka
Mainstream Technologies