Quantcast
Channel: blog.atwork.at
Viewing all articles
Browse latest Browse all 1118

Multi Factor Authentication On Premises

0
0

Im vorigen Artikel haben wir uns angesehen, wie der User MFA erlebt und wie man MFA unter Office 365 nutzen kann. In diesem Blogpost geht es darum, wie man MFA auch OnPremises einsetzen kann.

Azure MFA ist und bleibt ein Cloud Service. Manchmal hat man aber die Anforderung ein lokales Service, das lokal bleiben muss, auch sicherer zu machen. Ein simples Beispiel sind Virtual Private Networks (VPN) oder Remote Desktop Services (RDS). Das Beispiel mit RDS ist jetzt etwas entschärft, weil es seit kurzem auch RDS in Azure gibt. Aber nehmen wir für einen Moment an, dass es das nicht gibt oder es gute Gründe gibt, die RDS Farm lokal zu betreiben.

Dem normalen User im lokalen LAN eine MFA für die Anmeldung einer Remote App aufzuhalsen ist wirklich etwas übertrieben. Ist der User jedoch im Internet unterwegs und über das RDS Gateway verbunden, ist MFA meiner Meinung nach durchaus in Betracht zu ziehen.

Letztendlich geht es aber auch einfach darum, dass ich kein VPN Device bei der Hand hatte und RDS Gateways nach dem selben Prinzip funktionieren. Die Authentifizierung läuft per NAP respektive Radius und da wollen wir uns reinhängen.

Azure Active Directory Vorbereitungen

Im ersten Schritt muss man zur Nutzung des Azure MFA einen sogenannten “Multi-Factor Auth Provider” anlegen. Dies passiert im Azure Portal unter Active Directory und dort den Provider anlegen.

SNAGHTMLdc46230

Bei der Anlage des Providers muss man sich grundsätzlich für das MFA Usage Model entscheiden.
Dabei stehen zur Auswahl:

  • Per enabled User
  • Per Authentication

SNAGHTMLdcc1d02

“Per User” wird ein Fixbetrag unabhängig der Anzahl der Authentications verrechnet. Bei “Per Authentication” wie der Name schon sagt – pro jeweiliger Authentication. Preise dafür sind auf der Azure Webseite nachzulesen.

Fertig angelegt einfach auf “Manage” klicken und im nächsten Step kann man unter Downloads den MFA Server herunterladen. Dieser Teil wird dann OnPrem installiert und ist die lokale Authentication Destination.

SNAGHTMLde34e91

Wichtig an diesem Step:Es gibt nach dem Download einen “Generate New Activation Credentials” Button. Diese Credentials werden benötigt um die Installation des MFA Servers abzuschließen und diesen final zu aktivieren.

SNAGHTMLde8311e

 

On Premises Installation

OnPremises ist als Vorbereitungen die Installation des MFA Servers notwendig. Dieser hat als grundsätzliche Voraussetzungen, keine Besonderheiten außer ein supportetes Windows Betriebssystem.

Das Setup läuft unspektakulär durch, die abschließende Frage nach dem “Skip using the Authentication Configuration Wizard” sollte man anhaken. Der Wizard erwartet wesentlich mehr als wir bisher vorbereitet haben. Aber nichts das wir nachträglich nicht einstellen könnten.

SNAGHTMLded0265

Nachdem das Setup fertig ist, haben wir ein Management Tool das unter dem Punkt “Activate” eine Aktivierung erwartet. Hier kommen die Daten rein die wir im Schritt davor erhalten haben.

SNAGHTMLdee01c4

Erst nach der Aktivierung ist der MFA einsatzbereit und kann verwendet werden.

Directory Anbindung

Den MFA an das eigene Active Directory anzubinden ist durchaus eine gute Idee – dann muss man die User nicht manuell anlegen sondern kann sie einfach synchronisieren.

SNAGHTMLdfac807

Unter Directory Integration kann man mit Synchronization einfach die entsprechenden User auswählen und auch mit Filtern arbeiten um nur bestimmte User zu synchronisieren.

SNAGHTMLdfcc89a

Hat man die User ausgewählt kann man pro User entsprechende Einstellungen treffen und natürlich auch globale Einstellungen des Unternehmens treffen. Wichtig ist hier zu überlegen wie man User importieren möchte. Als Beispiel sollte man seine Daten im AD gut gepflegt haben, auswählen welche Phone Number importiert wird (in meinem Beispiel Mobile). Man will ja nicht dem Mitarbeiter on the Road am Telefon im Office anrufen oder eine SMS senden. Winking smile

Damit hat man mal die Basis geschaffen um nun weitere Systeme anzubinden. Wie man das am Beispiel der RDS Verbindung macht zeige ich im nächsten Blog Post.

LG Christoph


Viewing all articles
Browse latest Browse all 1118

Latest Images