27.07.2022

Autor: Stanisław Rogasik

Kategorie: Aktualności, Artykuł

Każdy administrator chciałby, by jego środowisko było zabezpieczone w jak najlepszy sposób. Jedną z aktualnych metod wzmocnienia procesu autentykacji jest dodatkowy element logowania. W tym artykule zaprezentuję, w jaki sposób możemy wykorzystać ADSelfService Plus do zabezpieczenia aplikacji Internetowych – w tym np.: Microsoft365.

Jak ADSelfService Plus pomaga w 2FA?

ADSelfService Plus jest to aplikacja, która pozwala na samodzielny restart haseł przez użytkowników, ale nie tylko. Jedną z funkcjonalności aplikacji jest również możliwość skonfigurowania jej jako IDP – Identity Provider, w procesach SAML, OAuth czy też OpenID.

Protokoły te odpowiedzialne są za autentykację użytkownika w aplikacji, w oparciu o dostawcę tożsamości. Podczas procesu logowania, aplikacja (zwana inaczej “Service Provider”) nie pozna poświadczeń użytkownika, a jedynie dostanie dokument od IDP potwierdzający jej tożsamość. Następny graf prezentuje dokładnie sposób oraz ideę protokołu SAML.

Protokoły SAML

Dzięki temu cały proces logowania odbywa się po stronie IDP (czyli ADSelfService Plus). W tym momencie możemy skonfigurować proces logowania, zgodnie z naszymi założeniami, czyli np.:

  • Przypisać logowanie do aplikacji, tylko dla określonej grupy użytkowników,
  • Nałożyć wybrane metody MFA na aplikację,
  • Wybrać wiele dodatkowych metod wymaganych do zalogowania,
  • Wybrać metody autentykacji per grupa użytkowników oraz per aplikacja.
logowanie
tworzenie polityki

Na zrzutach widzimy listę aplikacji, wraz z możliwością przypisania polityki do aplikacja. Drugi zrzut prezentuje możliwość przypisania polityki do aplikacji.

 

Tworzenie nowych polityk

 

Jak wspomniałem, aplikacja umożliwia również tworzenie nowych polityk, w tym nakładanie ich na dowolnych użytkowników. Tworzenie polityki jest dość proste, wskazujemy jedynie opcje odnoszące się do self-service, które mają zostać uaktywnione:

tworzenie polityk

Następnie przenosimy się do konfiguracji jednej z wielu metod uwierzytelniania.

metody uwierzytelniania

Najpierw musimy skonfigurować metodę per profil, a następnie uruchomić ją do aplikacji:

Mamy tutaj możliwość:

  • Wybrania dowolnej ilości “factorów” – ile musi przejść ich użytkownik, by zalogować się do aplikacji,
  • Wybrania kombinacji typu: zawsze Google Authenticator, druga jest dowolna dla użytkownika,
  • Uruchomienia przykładowo 5 metod, a użytkownik wybiera którą dokona autentykacji.

Proces dodawania aplikacji jest prosty, wybieramy jedną z ponad 120 dostępnych lub definiujemy własną:

dodawanie aplikacji2

Wybieramy odpowiedni FLOW autoryzacji, tj.: czy IDP rozpoczyna proces logowania czy SP.
Następnie przekazujemy odpowiednie dane pomiędzy aplikacjami I klikamy “Create Custom Application”. Tym samym właśnie przekierowaliśmy cały proces logowania do ADSelfService Plus.  Teraz możemy rozpocząć konfigurację odpowiednich metod autentykacji, np.: powiadomienie Push czy też TOTP.

Z takim zestawem narzędzi nie ma problemu, by nałożyć odpowiednie zabezpieczenie na dowolną aplikację.

ADSelfService Plus również pozwala na nałożenie polityki 2FA na inne systemy, takie jak:

  • Exchange Control Panel – ECP,
  • Outlook Web Access – OWA,
  • MFA dla RADIUS’a:
    • Logowanie VPN’owe,
    • Logowanie do firewall’a czy innego systemu korzystającego z RADIUS’a.

Wymagany jest “Network Policy Server” do którego doinstalujemy odpowiedni moduł.

Network Policy Server

Podsumowując – dzięki ADSelfService Plus jesteśmy w stanie nałożyć MFA/TFA na aplikacje w naszej organizacji, przechodząc od tych opartych na SAML/OAuth, a kończąc na aplikacjach, które nie wspierają takiego rozwiązania – takich jak firewall czy też VPN. Jednak ADSelfService to nie tylko logowanie do zewnętrznych aplikacji, ale również samodzielny restart haseł przez użytkowników, moduł GINA pozwalający na restart hasła poza siecią firmową czy wiele innych możliwości.

 

27.07.2022

Autor: Stanisław Rogasik

Kategorie: Aktualności Artykuł

Stanisław Rogasik

Stanisław Rogasik

ISAM Team Leader

Posiada obszerną wiedzę związaną z zarządzaniem Active Directory, monitoringiem infrastruktury sieciowej oraz zabezpieczeniem organizacji przy pomocy narzędzi ManageEngine. Pasjonat wszelkich nowinek technologicznych z zakresu AI, ML, Security, technologii mobilnych oraz IoT. Na co dzień zajmuje się zarządzaniem zespołem ISAM, koordynując pracę, wdrożenia oraz obsługę techniczną klientów marki ManageEngine. Stały użytkownik systemów Linux. Hobbystycznie pisze oprogramowanie w różnych językach programowania. Poza godzinami pracy szuka ciekawych projektów, które przykładowo pozwalają na automatyzację codziennych zadań. Pasjonat bezpieczeństwa oraz zabezpieczenia systemów od różnych stron.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: