Vahvaa tunnistamista pilveen ja pilvestä

Vahvan tunnistamisen tarve pilviaikakaudella ei ole hävinnyt mihinkään. Sen toimiva ja käyttökelpoinen toteuttaminen pilvipalveluihin on saattanut olla haastavaa, jollei palvelu ole suoraan vahvaa tunnistamista tukenut. Tästä hyvänä esimerkkinä Office 365-palvelut. ADFS:n kanssa jotain on saatu aikaan, mutta toimivuudessa on ollut toivomisen varaa. Microsoft hankki PhoneFactor yrityksen vuoden 2012 lopussa. Nyt uudelleenbrändäystyö alkaa olla valmista ja tuotteita valmistuu betasta.

Pilveen…

Office 365:den ja Windows Azure Active Directoryn suojaamiseksi julkaistiin palvelu viime kuussa. Perustoiminallisuus loppukäyttäjien suojaamiseksi kuuluu M- ja E-paketteihin. Ylläpitäjä voi valita käytetäänkö palvelua vain ylläpitäjien suojaamiseksi vai ovatko kaikki käyttäjät pakotetusti palvelun piirissä. Multi-Factor Authenctication for Office 365 mahdollistaa tunnistamisen perinteisen tekstiviestin lisäksi puhelulla tai mobiililaitteeseen asennettavalla sovelluksella. Käytetyn menetelmän voi loppukäyttäjä itse valita.

mfa-cloud-user-enrolment

Yleisin haaste vahvan tunnistamisen käyttöönotossa on ollut, että webbisovelluksissa hienosti toimiva moniportainen tunnistaminen toimii hienosti, mutta legacy sovelluksissa (joihin tässä lasketaan esimerkiksi kaikki sähköpostiohjelmat) tunnistamiseen ei ole saatu järkevästi lisättyä toista tekijää. Microsoft ratkaisee ongelman sovelluskohtaisilla salasanoilla (app passwords). Loppukäyttäjä voi luoda jokaista vahvaa tunnistamista ymmärtämätöntä sovellusta varten oman salasanan, jota käytetään vain tässä sovelluksessa ja se on tarvittaessa helppo poistaa palvelusta. Vastaava toiminnallisuus on käytössä esimerkiksi Googlen palveluissa.

Ohjeet vahvan tunnistamisen käyttöönottamiseksi Office 365:ssä löytyvät TechNetistä: http://technet.microsoft.com/en-us/library/dn394289.aspx

…pilvestä

Tarvittaessa vahvaa tunnistamista omassa tai toimittajan konesalissa oleville sovelluksille tai tarvittaessa parempaa raportointia palvelusta, on mahdollista hankkia Windows Azure Multi-Factor Authentication-palvelu. Lisätoiminnallisuudet voidaan hankkia joko euroa per käyttäjä per kuukausi tai todennuspyyntöjen määrään perustuvalla veloituksella.

Palveluun voidaan kytkeä paikallisesti asennettava todentamispalvelin. Palvelin voidaan integroida valmiilla komponenteilla esimerkiksi IIS-palvelimiin, RDGW:lle, Outlook Web Appiin tai mihin tahansa sovellukseen mikä tukee RADIUS tai LDAP todentamista. Järjestelmään löytyy myös SDK, jolla omia ohjelmia on mahdollista hyvinkin kattavasti integroida käyttämään vahvaa tunnistamista kirjautumisessa tai muussa varmistettavassa toimessa. Olemassa olevia OATH palikoitakin voidaan halutessa käyttää tunnistamisvälineinä. Käyttäjät MFA palvelimeen tuodaan helpoiten paikallisesta aktiivihakemistosta, mutta myös muut LDAP hakemistot ovat tuettuja.

MFA-onPrem-Server

Ylläpitäjille ja loppukäyttäjille löytyy oma portaalinsa missä voidaan hallita käyttäjiä ja käyttäjät voivat valita käytettävän todentamismenetelmän.

MFA-onPrem-Portal

Windows Azure Active Directory kehittyy kovaa vauhtia ja uusia mielenkiintoisia ominaisuuksia tulee kokoajan julkiseksi. Hyvä blogi aiheesta kiinnostuneille on tuoteryhmän blogi: http://blogs.technet.com/b/ad/

Jaa tämä artikkeli:

Jaa Facebookissa Jaa Twitterissä Jaa Google+:ssa Jaa Pintrestissä Jaa LinkedIn:issä
Julkaistu kohteessa Teknologiat, Yleinen

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

Time limit is exhausted. Please reload CAPTCHA.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>