Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

ADFS, czyli logowanie jednorazowe

Data publikacji: 15-06-2020 Autor: Jacek Światowiak

Wdrożenie Active Directory Federation Services pozwala scentralizować mechanizm uwierzytelniania do aplikacji oraz wykorzystać – inne niż domyślne loginy i hasła – składniki autoryzacji. Najbardziej interesujące jest to, iż praktycznie natywnie wspiera przy tym dwuskładnikowe mechanizmy uwierzytelniania.

 

Spróbujemy przyjrzeć się więc kilku rozwiązaniom wykorzystującym ADFS 2016/2019. Zaprezentowane środowisko korzysta z domyślnej jednoserwerowej konfiguracji – bez Web Application Proxy, opartej na Windows Server 2019, z farmą na poziomie 4 oraz z włączonym trybem EnablePaginatedAuthenticationPages. Na poziomie konfiguracji ADFS Edit Authentication Methods dostępne są dwie zakładki:

 

  • Primary – pierwszy (domyślny) faktor uwierzytelniania,
  • Additional – dodatkowe faktory uwierzytelniania.

 

Dodatkowo możliwa jest opcja zamiany tych mechanizmów pomiędzy sobą. W zakładce Primary ponadto mamy rozróżnienie sposobów uwierzytelniania w zależności od strefy, stąd uwierzytelnia się użytkownik – Extranet / Intranet.

 

  • W przypadku Primary / Extranet (rys. 1) dostępne są domyślne metody uwierzytelniania: Forms Authentication, Certificate Authentication, Device Authentication oraz Microsoft Passport Authentication;
  • W przypadku Primary / Intranet dodatkowo – Windows Integrated;
  • Dla zakładki Additional (rys. 2) domyślnie Azure MFA, Forms Authentication, Certificate Authentication.

 

> Dwuskładnikowe uwierzytelnianie z wykorzystaniem certyfikatu

 

Najprostszą metodą uwierzytelnienia dwuskładnikowego jest wbudowane uwierzytelnianie oparte na certyfikacie. Aby mogło zostać uruchomione, potrzebne są certyfikaty dla użytkowników (rys. 3), które w polu Enhanced Key Usage (Ulepszone użycie klucza) posiada opcję Client Authentication (Uwierzytelnienie klienta – OID 1.3.6.1.5.5.7.3.2). W przypadku środowisk bazujących na Active Directory bardzo prosto można wdrożyć wewnętrzną infrastrukturę klucza publicznego wspartą o dostępny w systemie komponent Active Directory Certification Authority. W przypadku ADFS 2019, wykorzystującego interfejs PaginatedAuthenticationPages, jako pierwsze (rys. 4) zawsze zostanie wyświetlone okno, w którym podajemy identyfikator użytkownika w postaci nazwy NETBIOS lub UPN. Jest to okno logowania, powiązane z zakładką Primary Authentication. Jeżeli na zakładce (z rysunku 1) wybrane były dwie możliwości: Form oraz Certificate Authentication – wówczas po kliknięciu Dalej dostępne są dwie opcje pokazane na rys. 5. Po wybraniu którejkolwiek z opcji i zweryfikowaniu pierwszej fazy zostanie wyświetlone kolejne okno powiązane już z zakładką Additional Authentication. Na rysunku 6 zaprezentowano scenariusz, w którym pierwszym faktorem było hasło, a drugim certyfikat. Z kolei dla scenariusza odwróconego pierwszym faktorem jest certyfikat, zaś dopiero w drugim oknie faktora – addition – ADFS poprosi nas o hasło – jak pokazano przykładowo na rysunku 7.


> Inne metody uwierzytelniania dwuskładnikowego


Jeżeli organizacja – z jakiejś przyczyny – nie chce korzystać z certyfikatów użytkowników, wówczas można zastosować inne rozwiązania MFA. Lista rozwiązań jest dość długa i zestawiona w tabeli.
Większość rozwiązań jest komercyjna, płatna. Poniżej wskazano dwa bezpłatne, które mogą zainteresować małe przedsiębiorstwa: •Neos-SDA – rozwiązanie klasy open source, zasygnalizowane w innym artykule, przy omawianiu mechanizmu Workfolders – całkowicie darmowe (patrz: „IT Professional” 2019/6);•SecureMfA, które ma licencję darmową dla 25 użytkowników, jednakże z częściowo ograniczonymi funkcjonalnościami.


Pozostałe rozwiązania albo nie mają wersji darmowych, albo wersji trial dla celów poznawczych. ADFS pozwala na jednoczesną instalację wielu rozwiązań, tzw. providerów. Poniżej – omówienie dwóch wspomnianych przykładów.

 

[...]

 

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: od rodziny Windows Server 2003 do 2019, Exchange od wersji 2003 do 2016, OCS, Lync 2010/2013, Skype 2015/2019, MCSE Server Infrastructure, Communication, Messaging, Cloud Platform and Infrastructure, Productivity 2017/2018/2019. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"