Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Утилита для полного удаления из системы драйверов видео от AMD и NVIDIA. С помощью DDU вы сможете удалить драйверы полно...
Программа для определения занятого места на жестком диске. TreeSize позволяет найти файлы и папки, которые занимают боль...
XviD4PSP - удобный и качественный мультиформатный конвертер на основе AviSynth. Конвертирует файлы для PSP, PS3, XBOX 36...
Многофункциональный календарь-планировщик с функциями напоминателя, будильника, синхронизатора с КПК на базе Windows Mob...
Утилита, расширяющая возможности стандартного буфера обмена. Программа запоминает наиболее часто копируемую в буфер инфо...
OSzone.net Microsoft ИТ-инфраструктура Облако Мультифакторная проверка подлинности Microsoft Azure RSS

Мультифакторная проверка подлинности Microsoft Azure

Текущий рейтинг: 0 (проголосовало 0)
 Посетителей: 508 | Просмотров: 586 (сегодня 0)  Шрифт: - +

В систему безопасности Microsoft (тогда еще Windows) Azure недавно была внедрена новая функциональность – мультифакторная проверка подлинности. МПП, понятное дело, нужна для того, чтобы выстроить дополнительный контур защиты вокруг учетной записи либо облачных сервисов как Microsoft, так и решений сторонних компаний или приложений и сервисов, которые используют в качестве системы аутентификации сервис Microsoft Azure Active Directory. Можно защищать и локальную инфраструктуру – например, наш Multifactor Authentication Server можно интегрировать в контур RADIUS. Интересно? Под катом – описание решения ситуации, когда нам нужно защитить доступ в подписку Azure не только логином и паролем.

Мультифакторная проверка подлинности Windows Azure предоставляет дополнительный слой проверки подлинности в дополнение к учетным данным пользователя. При этом многофакторную проверку подлинности можно использовать для защиты доступа как к расположенным on-premise, так и облачным приложениям. К возможным опциям мультифакторной проверки подлинности относятся:

  • мобильные приложения,
  • телефонные звонки
  • текстовые сообщения,

Пользователи могут выбрать то, что им удобно, как самостоятельно, так и принудительно – администратор может это регламентировать. В контексте защиты локальных приложений мультифакторную проверку подлинности можно использовать для защиты VPN удаленного доступа, RADIUS, и Web-приложений с помощью специального SDK. Если облачное приложение использует Active Directory Federation Services, то разработчик может настроить синхронизацию с Windows Server Active Directory или другим каталогом LDAP. Что же касается других сервисов Microsoft, то мультифакторная проверка подлинности полезна для защиты доступа к Microsoft Azure, Microsoft Online Services, Office 365 и Dynamics CRM Online.

*

Давайте посмотрим, как приготовить многофакторную аутентификацию в Windows Azure.

Что нужно для того, чтобы повторить демо:

  • Подписка Windows Azure - хватит триала: free trial
  • Тенант Windows Azure Active Directory

Сначала создадим провайдера MFA: на вкладке Active Directory на портале управления Azure перейдем на страницу ПОСТАВЩИКИ МНОГОФАКТОРНОЙ ПРОВЕРКИ ПОДЛИННОСТИ. Нажмем Создать, и введем данные - имя поставщика (логическое), "на включенного пользователя" и выберем каталог, к которому надо привязать поставщика. Теперь создадим нового пользователя на странице Пользователи - это нужно для того, чтобы активировать MFA, так как MFA не работает для Microsoft Account (только для организационных).

*

Добавление пользователя - процесс, состоящий из трех шагов: типа учетной записи пользователя...

*

... Его роли в организации и тенанте (установите роль глобального администратора и отметьте опцию включения многофакторной проверки подлинности)...

*

... и установке временного пароля.

*

Создадим новый пароль и завершим настройку нового пользователя. Под этим пользователем и будем заходить в систему позже. После создания пользователя зайдите на его страницу и укажите мобильный телефон - обратите внимание, что также указывается код страны в выпадающем меню - не надо писать его в поле.

Отлично - инфраструктурные задачи для нашего простого сценария кончились. Теперь попробуем выйти с портала и снова зайти, но уже под новым пользователем. Появится новая опция - Set it up now, означающая, что администратор тенанта форсировал применение MFA для нашего пользователя.

*

На странице настройки MFA для нашего пользователя есть все нужные поля - выбор типа аутентификации, номер телефона, и выбор между СМС и звонком.

*

На следующей странице нам предложат верифицировать выбранный тип аутентификации. В нашем случае приятный женский голос по телефону расскажет, что надо нажать для того, чтобы пройти дополнительный контур безопасности. Попробуйте войти в аккаунт Azure под новой учетной записью – опыт тот же самый.

Посмотрим теперь на более сложные сценарии - использование MFA для каталога и On-Premise.

Для того, чтобы использовать MFA On-Premise - например, интегрировать с IIS, RADIUS, Windows auth или даже LDAP - нам нужно загрузить и установить Multi-Factor Authentication Server. Загружается он, если нажать на созданном ранее провайдере MFA, перейти на управление этим провайдером и нажать Сервер || Загрузка.

*

*

Пока загружается сервер, нажмем также "Создать учетные данные для активации" - они нужны будут для активации сервера после установки.

Установим и активируем сервер. Обратите внимание - пароль действует 10 минут после момента его создания, поэтому не затягивайте с процессом активации.

*

В процессе настройки сервера вы увидите множество интересных опций - например, на вкладке Applications можно настроить, какие сервисы и приложения будут защищены MFA.

*

Сервер MFA настроен на каталог AD по умолчанию, но перенастроить или добавить еще один каталог - совершенно не проблема - достаточно на вкладке Directory Integration выбрать Synchronization и нажать ADD, после чего настроить синхронизацию и периодичность ее проведения.

*

Еще одна, типично корпоративная полезность - это интеграция MFA с RADIUS для защиты VPN и прочих функциональностей типа Microsoft Unified Access Gateway, TMG или даже RDG. Настройка интеграции на вкладке RADIUS Authentication.

*

Резюме

Мы посмотрели на функцию Windows Azure Active Directory - Multi-Factor Authentication. Процесс ее настройки значительно упростился по сравнению с тем периодом, когда она только выходила в свет, и теперь не видится особых проблем по тому, чтобы настроить MFA как в простейших сценариях типа обеспечения дополнительного слоя безопасности для входа в подписку Windows Azure, так и в сложнейших корпоративных - интеграции с RADIUS. О других сценариях – позже.

Автор: Александр Белоцерковский  •  Иcточник: MSDN  •  Опубликована: 01.09.2014
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   Azure.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.