Mit FIDO2 an Azure Active Directory anmelden


    Tags: , ,

    FIDO2-SchlüsselViele Unternehmen überlegen, wie sie auf die Authen­tifizierung mittels Kenn­wort verzichten können. Wenn sie  Azure Active Directory (Azure AD) nutzen, dann haben sie einige alter­native Methoden für eine passwort­lose Anmeldung. Dazu gehören etwa die zertifikat­basierte Authentifizierung oder die Ver­wendung eines FIDO2-Security-Schlüssels.

    Das Hinzufügen eines weiteren Faktors erhöht ohne Zweifel die Sicherheit der Authentifizierung mittels Passwort. Allerdings verlangt MFA vom Benutzer einen zusätzlichen Schritt, so dass dieses Verfahren umständlich sein kann. Darüber hinaus muss er sich immer noch das Passwort für sein Konto merken.

    Die passwortlose Anmeldung ist dagegen wesentlich bequemer. Die Benutzer authentifizieren sich mit etwas, das sie haben und etwas, das sie sind oder wissen. Als Faktoren kommen zu Beispiel in Frage:

    • Etwas, das Sie haben: Ein Windows 10- oder 11-Gerät, Telefon oder einen Sicherheits­schlüssel
    • Etwas, das Sie sind oder wissen: Biometrischer Scanner oder PIN

    Microsoft Azure Active Directory bietet aktuell drei Optionen für die kennwortlose Authentifizierung:

    • Windows Hello for Business: Es ersetzt die Authentifizierung mit Benutzername und Kennwort durch eine solche, die auf einem asymmetrischen Schlüsselpaar basiert.
    • Microsoft Authenticator App: Sie nutzt die schlüsselbasierte Authentifizierung, um Anmeldedaten zu aktivieren, die an ein Gerät gebunden sind, wobei das Gerät dafür eine PIN oder ein biometrisches Merkmal verwendet.
    • FIDO2-Sicherheits­schlüssel: Er eignet sich besonders als Lösung für Unternehmen, deren PCs von mehreren Mitarbeitern verwendet werden, weil sich diese damit ohne Eingabe eines Benutzernamens authentifizieren können.

    Funktionsweise der Anmeldung mit FIDO2

    FIDO2-Keys ermöglichen eine schnelle Anmeldung an Betriebssystemen, Anwendungen und Services. Der für die Authentifizierung notwendige Austausch von Nachrichten wird mit dem privaten Schlüssel signiert, welcher auf dem FIDO2-Device gespeichert ist. Dieser kann mit einem biometrischen Merkmal oder einer PIN entsperrt werden.

    Er wird mit dem öffentlichen Schlüssel, der in Azure Active Directory hinlegt  ist, validiert. Azure AD sendet dann ein Token oder einen Sitzungs-Cookie an das Gerät, um die erfolgreiche Authentifizierung und der Identität des Users zu bestätigen.

    Die Authentifizierung mittels FIDO2 bei Azure Active Directory erfolgt mit einem Paar aus privatem und öffentlichem Schlüssel.

    Nach dem Einstecken des Schlüssels und der Auswahl des Kontos auf dem Schlüssel erhält der Benutzer den Zugriff auf die Ressourcen, für die er berechtigt ist.

    FIDO2-Authentifizierung in Azure Active Directory einrichten

    Navigieren Sie im Azure-Portal zu Azure Active Directory => Security => Authentication methods => Policies und klicken auf FIDO2 Security Key. Hier können Sie die Methode für die Authentifizierung aktivieren und auswählen, für wen sie gelten soll.

    Authentifizierung mit FIDO2-Key in Azure Active Directory aktivieren

    FIDO2-Key durch die Benutzer aktivieren

    Schauen wir uns nun an, wie ein FIDO2-aktivierter Benutzer seinen Schlüssel für die Verwendung mit Azure Active Directory konfiguriert. Zu diesem Zweck besucht er die Seite unter https://aka.ms/mysecurityinfo. und klickt auf Add method.

    Neuen FIDO2-Schlüssel als Endbenutzer hinzufügen

    Anschließend wählt man den Sicherheitsschlüssel, wobei man sich zwischen USB und NFC entscheiden kann.

    Art des FIDO2-Keys auswählen

    Im nächsten Schritt müssen Sie den Sicherheitsschlüssel berühren.

    Sicherheitsschlüssel berühren, um die Anwesenheit des Users zu bestätigen.

    Erstellen Sie danach eine PIN, die Sie mit dem Sicherheitsschlüssel verknüpfen.

    PIN für den Security Key eingeben und bestätigen

    Abschließend muss man einen Namen für den FIDO2-Key vergeben. Dessen Konfiguration sollte nun erfolgreich beendet sein.

    Die Einrichtung des FIDO2-Sicherheitsschlüssels wurde erfolgreich abgeschlossen

    Fazit

    Die kennwortlose Authentifizierung ist ein wichtiger Beitrag, um Unbefugten den Zugriff auf Konten zu verwehren und den Diebstahl von Identitäten zu verhindern. Azure Active Directory unterstützt dafür mehrere Verfahren, darunter FIDO2-Sicherheits­schlüssel.

    FIDO2 bietet eine starke öffentlich-private Schlüssel­authentifizierung, die etwas, das Sie besitzen, mit etwas, das Sie wissen bzw. sind, kombiniert. Wie gezeigt, ist es relativ einfach, die FIDO2-Authentifizierung in Azure Active Directory zu aktivieren, und der Anmeldeprozess stellt sich aus der Sicht des Benutzers unkompliziert dar.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links