Огляд мультифакторної аутентифікації в хмарі Microsoft Azure

  У систему безпеки Microsoft (тоді ще Windows) Azure недавно була впроваджена нова функціональність — мультифакторна перевірка автентичності. МПП, ясна річ, потрібна для того, щоб вибудувати додатковий контур захисту навколо облікового запису або хмарних сервісів як Microsoft, так і рішень сторонніх компаній або додатків і сервісів, які використовують в якості системи аутентифікації сервіс Microsoft Azure Active Directory. Можна захищати і локальну інфраструктуру — наприклад, наш Multifactor Authentication Server можна інтегрувати в контур RADIUS. Цікаво? Під катом — опис рішення ситуації, коли нам потрібно захистити доступ в підписку Azure не тільки логіном і паролем, і трохи про те, куди йти за більш складними речами.
 
Мультифакторна перевірка справжності Windows Azure надає додатковий шар перевірки автентичності на додаток до облікового запису користувача. При цьому многофакторную перевірку автентичності можна використовувати для захисту доступу як до розташованих on-premise, так і хмарним додаткам. До можливих опцій мультифакторної перевірки автентичності відносяться:
 
• мобільні додатки,
• телефонні дзвінки
• текстові повідомлення,
 
Користувачі можуть вибрати те, що їм зручно, як самостійно, так і примусово — адміністратор може це регламентувати. У контексті захисту локальних додатків мультифакторна перевірку автентичності можна використовувати для захисту VPN віддаленого доступу, RADIUS, і Web-додатків за допомогою спеціального SDK. Якщо хмарне додаток використовує Active Directory Federation Services, то розробник може налаштувати синхронізацію з Windows Server Active Directory або іншим каталогом LDAP. Що ж до інших сервісів Microsoft, то мультифакторна перевірка справжності корисна для захисту доступу до Microsoft Azure, Microsoft Online Services, Office 365 і Dynamics CRM Online.
 
 
  
Давайте подивимося, як приготувати многофакторную аутентифікацію в Windows Azure.
  
Що потрібно для того, щоб повторити демо:
 
• Передплата Windows Azure — вистачить тріалу: free trial
• Тенант Windows Azure Active Directory
  
Спочатку створимо провайдера MFA: на вкладці Active Directory на порталі управління Azure перейдемо на сторінку ПОСТАЧАЛЬНИКИ Багатофакторність ПЕРЕВІРКИ ДІЙСНОСТІ. Натиснемо Створити, і введемо дані — ім'я постачальника (логічне), «на включеного користувача» і виберемо каталог, до якого треба прив'язати постачальника. Тепер створимо нового користувача на сторінці Користувачі — це потрібно для того, щоб активувати MFA, так як MFA не працює для Microsoft Account (тільки для організаційних).
  
 
 
Додавання користувача — процес, що складається з трьох кроків: типу облікового запису користувача…
  
  
 
… Його ролі в організації та Тенанто (встановіть роль глобального адміністратора і відзначте опцію включення багатофакторної аутентифікації)…
  
  
  
… І установці тимчасового пароля.
  
  
 
Створимо новий пароль і завершимо настройку нового користувача. Під цим користувачем і будемо заходити в систему пізніше. Після створення користувача зайдіть на його сторінку і вкажіть мобільний телефон — зверніть увагу, що також вказується код країни у випадаючому меню — не треба писати його в поле.
 
Відмінно — інфраструктурні завдання для нашого простого сценарію скінчилися. Тепер спробуємо вийти з порталу і знову зайти, але вже під новим користувачем. З'явиться нова опція — Set it up now, що означає, що адміністратор Тенанта форсував застосування MFA для нашого користувача.
  
  
 
На сторінці налаштування MFA для нашого користувача є всі потрібні поля — вибір типу аутентифікації, номер телефону, і вибір між СМС і дзвінком.
 
 
 
На наступній сторінці нам запропонують верифікувати обраний тип аутентифікації. У нашому випадку приємний жіночий голос по телефону розповість, що треба натиснути для того, щоб пройти додатковий контур безпеки. Спробуйте увійти в акаунт Azure під новою обліковим записом — досвід той же самий.
Подивимося тепер на більш складні сценарії — використання MFA для каталогу й On-Premise.
Для того, щоб використовувати MFA On-Premise — наприклад, інтегрувати з IIS, RADIUS, Windows auth або навіть LDAP — нам потрібно завантажити та встановити Multi-Factor Authentication Server. Завантажується він, якщо натиснути на створеному раніше провайдере MFA, перейти на управління цим провайдером і натиснути Сервер | | Завантаження.
  
  
  
  
 
Поки завантажується сервер, натиснемо також «Створити облікові дані для активації» — вони потрібні будуть для активації сервера після установки.
Встановимо і активуємо сервер. Зверніть увагу — пароль діє 10 хвилин після моменту його створення, тому не затягуйте з процесом активації.
  
 
 
В процесі настройки сервера ви побачите безліч цікавих опцій — наприклад, на вкладці Applications можна налаштувати, які сервіси і додатки будуть захищені MFA.
 
 
  
Сервер MFA налаштований на каталог AD за замовчуванням, але переналаштувати або додати ще один каталог — абсолютно не проблема — достатньо на вкладці Directory Integration вибрати Synchronization і натиснути ADD, після чого налаштувати синхронізацію і періодичність її проведення.
  
  
  
Ще одна, типово корпоративна корисність — це інтеграція MFA з RADIUS для захисту VPN та інших функціональностей типу Microsoft Unified Access Gateway, TMG або навіть RDG. Налаштування інтеграції на вкладці RADIUS Authentication.
  
  
  
 

Резюме

Ми подивилися на функцію Windows Azure Active Directory — Multi-Factor Authentication. Процес її налаштування значно спростився в порівнянні з тим періодом, коли вона тільки виходила у світ, і тепер не бачиться особливих проблем по тому, щоб налаштувати MFA як в найпростіших сценаріях типу забезпечення додаткового шару безпеки для входу в підписку Windows Azure, так і в найскладніших корпоративних — інтеграції з RADIUS. Про інші сценарії — пізніше.
  
  
  
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.