Tags: Authentifizierung, Active Directory, Azure, Zertifikate
Die Authentifizierung mittels Zertifikaten ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem musste man jedoch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certificate-based Authentication.
Die Architektur einer föderierten zertifikatsbasierten Authentifizierung ist dadurch gekennzeichnet, dass diese gegen ein lokales AD erfolgt und die AD FS diese quasi an das Azure Active Directory durchreichen.
Der neue zertifikatsbasierte Authentifizierungsdienst für Azure AD (CBA) eliminiert die AD FS und ermöglicht eine direkte zertifikatsbasierte Anmeldung an Azure Active Directory.
Vor- und Nachteile von CBA
Die zertifikatsbasierte AAD-Authentifizierung bietet viele Vorteile, sowohl aus Sicht der Benutzer als auch der Administratoren. Dazu gehören:
- Es ist keine zusätzliche Infrastruktur für die AD FS erforderlich.
- Die zertifikatsbasierte X.509-Authentifizierung bietet einen starken Schutz gegen Phishing
- CBA unterstützt die Anmeldung im Browser sowie in den Office-Apps
- CBA lässt sich mit anderen AAD-Sicherheitsfunktionen wie Conditional Access und MFA kombinieren
- Der Service ist kostenlos
Was sind die Einschränkungen der zertifikatsbasierten Azure AD-Authentifizierung? Hier gibt es Folgendes zu beachten:
- Die Kunden müssen ihre eigene Public Key Infrastructure (PKI) konfigurieren und Zertifikate für ihre Benutzer und Geräte bereitstellen.
- Hinweise zur Zertifizierungsstelle werden nicht unterstützt
- Keine Unterstützung für Smartcards bei der Anmeldung an Windows-Geräten
- Derzeit gibt es keine Unterstützung für Online Certificate Status Protocol (OCSP)-URLs oder Lightweight Directory Access Protocol (LDAP)-URLs
- Sie können mit Azure AD CBA keine anderen Bindungen zwischen Zertifikat und Benutzerkonto konfigurieren (zum Beispiel über die Felder subject, keyid und issuer).
- Derzeit lässt sich die Authentifizierung mittels Passwort nicht abschalten, wenn CBA aktiviert ist. Daher besteht weiterhin die Option, sich mit einem Kennwort anzumelden.
Update: Microsoft ergänzte die CBA-Preview um neue Features, die einige bisherige Defizite beseitigen.
Wie funktioniert die zertifikatbasierte Authentifizierung?
Wenn ein Benutzer versucht, auf eine Anwendung zuzugreifen, die durch die zertifikatsbasierte AAD-Authentifizierung geschützt ist, umfasst der Ablauf folgende Schritte:
- Wenn sich der Benutzer anmelden muss, wird er an https://login.microsoftonline.com weitergeleitet.
- Der Benutzer meldet sich am Azure-AD-Login an
- An diesem Punkt prüft Azure AD, ob die zertifikatsbasierte Authentifizierung aktiviert ist. Trifft dies zu, dann enthält der Logon-Dialog die dafür vorgesehene Option.
- Wenn der Benutzer auf den Link Mit einem Zertifikat anmelden ("Sign in with a certificate") klickt, dann wird er zum certauth-Endpunkt unter der URL: https://certauth.login.microsoftonline.com weitergeleitet.
- Azure AD fordert ein Client-Zertifikat an, und der Benutzer wählt dieses aus und klickt auf OK.
- Azure AD überprüft, ob das Zertifikat nicht widerrufen wurde und gültig ist. Anschließend wird die Zuordnung zwischen dem Zertifikat und dem Benutzerkonto verifiziert.
- Wenn der Benutzer gültig ist und ihm eine bedingte Zugriffsrichtlinie zugewiesen wurde, die MFA erfordert, dann kann das Zertifikat die MFA-Anforderung erfüllen. Alternativ ist möglicherweise ein anderer Faktor erforderlich, je nachdem, wie die Richtlinie konfiguriert ist.
- Der Anmeldeprozess wird mit Azure AD abgeschlossen und dieses sendet ein Token zurück, um eine erfolgreiche Anmeldung zu bestätigen.
- Der Benutzer kann nun den Anwendungslink öffnen.
Azure AD CBA konfigurieren
Nach dem Hochladen der Root-, Zwischen- und Issuer-Zertifikate sowie der Einrichtung der optionalen Nutzerbindung können Sie den Dienst im Azure-Portal aktivieren.
Wenn Sie als globaler Administrator angemeldet sind, können Sie die zertifikatbasierte Authentifizierung von Azure AD wie folgt aktivieren:
Wechseln Sie zu Azure Active Directory => Security => Authentication methods => Policies => Certificate-based Authentication.
Im Abschnitt Basics findet sich der Schalter Enabled, den Sie auf Yes stellen.
Zusammenfassung
Der neue CBA-Service erleichtert die Authentifizierung mittels Zertifikat für den Zugriff auf Cloud-basierte Anwendungen.
Er hat jedoch seine Grenzen. So müssen Unternehmen über müssen ihre eigene Public Key Infrastructure (PKI) verfügen, Smartcards werden aktuell nicht unterstützt und die Authentifizierung mittels Passwort bleibt parallel dazu aktiv.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
Weitere Links