
Każdy administrator chciałby, by jego środowisko było zabezpieczone w jak najlepszy sposób. Jedną z aktualnych metod wzmocnienia procesu autentykacji jest dodatkowy element logowania. W tym artykule zaprezentuję, w jaki sposób możemy wykorzystać ADSelfService Plus do zabezpieczenia aplikacji Internetowych – w tym np.: Microsoft365.
Jak ADSelfService Plus pomaga w 2FA?
ADSelfService Plus jest to aplikacja, która pozwala na samodzielny restart haseł przez użytkowników, ale nie tylko. Jedną z funkcjonalności aplikacji jest również możliwość skonfigurowania jej jako IDP – Identity Provider, w procesach SAML, OAuth czy też OpenID.
Protokoły te odpowiedzialne są za autentykację użytkownika w aplikacji, w oparciu o dostawcę tożsamości. Podczas procesu logowania, aplikacja (zwana inaczej “Service Provider”) nie pozna poświadczeń użytkownika, a jedynie dostanie dokument od IDP potwierdzający jej tożsamość. Następny graf prezentuje dokładnie sposób oraz ideę protokołu SAML.

Dzięki temu cały proces logowania odbywa się po stronie IDP (czyli ADSelfService Plus). W tym momencie możemy skonfigurować proces logowania, zgodnie z naszymi założeniami, czyli np.:
- Przypisać logowanie do aplikacji, tylko dla określonej grupy użytkowników,
- Nałożyć wybrane metody MFA na aplikację,
- Wybrać wiele dodatkowych metod wymaganych do zalogowania,
- Wybrać metody autentykacji per grupa użytkowników oraz per aplikacja.


Na zrzutach widzimy listę aplikacji, wraz z możliwością przypisania polityki do aplikacja. Drugi zrzut prezentuje możliwość przypisania polityki do aplikacji.
Tworzenie nowych polityk
Jak wspomniałem, aplikacja umożliwia również tworzenie nowych polityk, w tym nakładanie ich na dowolnych użytkowników. Tworzenie polityki jest dość proste, wskazujemy jedynie opcje odnoszące się do self-service, które mają zostać uaktywnione:

Następnie przenosimy się do konfiguracji jednej z wielu metod uwierzytelniania.

Najpierw musimy skonfigurować metodę per profil, a następnie uruchomić ją do aplikacji:

Mamy tutaj możliwość:
- Wybrania dowolnej ilości “factorów” – ile musi przejść ich użytkownik, by zalogować się do aplikacji,
- Wybrania kombinacji typu: zawsze Google Authenticator, druga jest dowolna dla użytkownika,
- Uruchomienia przykładowo 5 metod, a użytkownik wybiera którą dokona autentykacji.
Proces dodawania aplikacji jest prosty, wybieramy jedną z ponad 120 dostępnych lub definiujemy własną:


Wybieramy odpowiedni FLOW autoryzacji, tj.: czy IDP rozpoczyna proces logowania czy SP.
Następnie przekazujemy odpowiednie dane pomiędzy aplikacjami I klikamy “Create Custom Application”. Tym samym właśnie przekierowaliśmy cały proces logowania do ADSelfService Plus. Teraz możemy rozpocząć konfigurację odpowiednich metod autentykacji, np.: powiadomienie Push czy też TOTP.
Z takim zestawem narzędzi nie ma problemu, by nałożyć odpowiednie zabezpieczenie na dowolną aplikację.
ADSelfService Plus również pozwala na nałożenie polityki 2FA na inne systemy, takie jak:
- Exchange Control Panel – ECP,
- Outlook Web Access – OWA,
- MFA dla RADIUS’a:
- Logowanie VPN’owe,
- Logowanie do firewall’a czy innego systemu korzystającego z RADIUS’a.
Wymagany jest “Network Policy Server” do którego doinstalujemy odpowiedni moduł.

Podsumowując – dzięki ADSelfService Plus jesteśmy w stanie nałożyć MFA/TFA na aplikacje w naszej organizacji, przechodząc od tych opartych na SAML/OAuth, a kończąc na aplikacjach, które nie wspierają takiego rozwiązania – takich jak firewall czy też VPN. Jednak ADSelfService to nie tylko logowanie do zewnętrznych aplikacji, ale również samodzielny restart haseł przez użytkowników, moduł GINA pozwalający na restart hasła poza siecią firmową czy wiele innych możliwości.
27.07.2022
Autor: Stanisław Rogasik
Kategorie: Aktualności Artykuł