27.07.2022

Autor: Stanisław Rogasik

Kategorie: Aktualności, Artykuł

Każdy administrator chciałby, by jego środowisko było zabezpieczone w jak najlepszy sposób. Jedną z aktualnych metod wzmocnienia procesu autentykacji jest dodatkowy element logowania. W tym artykule zaprezentuję, w jaki sposób możemy wykorzystać ADSelfService Plus do zabezpieczenia aplikacji Internetowych – w tym np.: Microsoft365.

Jak ADSelfService Plus pomaga w 2FA?

ADSelfService Plus jest to aplikacja, która pozwala na samodzielny restart haseł przez użytkowników, ale nie tylko. Jedną z funkcjonalności aplikacji jest również możliwość skonfigurowania jej jako IDP – Identity Provider, w procesach SAML, OAuth czy też OpenID.

Protokoły te odpowiedzialne są za autentykację użytkownika w aplikacji, w oparciu o dostawcę tożsamości. Podczas procesu logowania, aplikacja (zwana inaczej “Service Provider”) nie pozna poświadczeń użytkownika, a jedynie dostanie dokument od IDP potwierdzający jej tożsamość. Następny graf prezentuje dokładnie sposób oraz ideę protokołu SAML.

Screenshot Protokoły SAML ADSelfService Plus jako 2FA

Dzięki temu cały proces logowania odbywa się po stronie IDP (czyli ADSelfService Plus). W tym momencie możemy skonfigurować proces logowania, zgodnie z naszymi założeniami, czyli np.:

  • Przypisać logowanie do aplikacji, tylko dla określonej grupy użytkowników,
  • Nałożyć wybrane metody MFA na aplikację,
  • Wybrać wiele dodatkowych metod wymaganych do zalogowania,
  • Wybrać metody autentykacji per grupa użytkowników oraz per aplikacja.
Screenshot logowanie ADSelfService Plus jako 2FA
Screenshot tworzenie polityki ADSelfService Plus jako 2FA

Na zrzutach widzimy listę aplikacji, wraz z możliwością przypisania polityki do aplikacja. Drugi zrzut prezentuje możliwość przypisania polityki do aplikacji.

 

Tworzenie nowych polityk

 

Jak wspomniałem, aplikacja umożliwia również tworzenie nowych polityk, w tym nakładanie ich na dowolnych użytkowników. Tworzenie polityki jest dość proste, wskazujemy jedynie opcje odnoszące się do self-service, które mają zostać uaktywnione:

Screenshot tworzenie polityk ADSelfService Plus jako 2FA

Następnie przenosimy się do konfiguracji jednej z wielu metod uwierzytelniania.

Screenshot metody uwierzytelniania ADSelfService Plus jako 2FA

Najpierw musimy skonfigurować metodę per profil, a następnie uruchomić ją do aplikacji:

Screenshot ADSelfService Plus jako 2FA dla każdej aplikacji, również cloud

Mamy tutaj możliwość:

  • Wybrania dowolnej ilości “factorów” – ile musi przejść ich użytkownik, by zalogować się do aplikacji,
  • Wybrania kombinacji typu: zawsze Google Authenticator, druga jest dowolna dla użytkownika,
  • Uruchomienia przykładowo 5 metod, a użytkownik wybiera którą dokona autentykacji.

Proces dodawania aplikacji jest prosty, wybieramy jedną z ponad 120 dostępnych lub definiujemy własną:

Screenshot ADSelfService Plus jako 2FA dla każdej aplikacji, również cloud
Screesnshot dodawanie aplikacji2 ADSelfService Plus jako 2FA

Wybieramy odpowiedni FLOW autoryzacji, tj.: czy IDP rozpoczyna proces logowania czy SP.
Następnie przekazujemy odpowiednie dane pomiędzy aplikacjami I klikamy “Create Custom Application”. Tym samym właśnie przekierowaliśmy cały proces logowania do ADSelfService Plus.  Teraz możemy rozpocząć konfigurację odpowiednich metod autentykacji, np.: powiadomienie Push czy też TOTP.

Z takim zestawem narzędzi nie ma problemu, by nałożyć odpowiednie zabezpieczenie na dowolną aplikację.

ADSelfService Plus również pozwala na nałożenie polityki 2FA na inne systemy, takie jak:

  • Exchange Control Panel – ECP,
  • Outlook Web Access – OWA,
  • MFA dla RADIUS’a:
    • Logowanie VPN’owe,
    • Logowanie do firewall’a czy innego systemu korzystającego z RADIUS’a.

Wymagany jest “Network Policy Server” do którego doinstalujemy odpowiedni moduł.

Obrazek Network Policy Server ADSelfService Plus jako 2FA

Podsumowując – dzięki ADSelfService Plus jesteśmy w stanie nałożyć MFA/TFA na aplikacje w naszej organizacji, przechodząc od tych opartych na SAML/OAuth, a kończąc na aplikacjach, które nie wspierają takiego rozwiązania – takich jak firewall czy też VPN. Jednak ADSelfService to nie tylko logowanie do zewnętrznych aplikacji, ale również samodzielny restart haseł przez użytkowników, moduł GINA pozwalający na restart hasła poza siecią firmową czy wiele innych możliwości.

 

27.07.2022

Autor: Stanisław Rogasik

Kategorie: Aktualności Artykuł

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: