Mit Zertifikaten an Azure Active Directory authentifizieren

    , 05.05.2022, zuletzt aktualisiert am 28.07.2022
    Tags: , , ,

    Mit Zertifikat anmeldenDie Authenti­fizierung mittels Zerti­fikaten ist ein sicheres Ver­fahren, um die Iden­tität eines Be­nutzers zu fest­zu­stellen. Bis vor kurzem musste man jedoch die Active Directory Feder­ation Services (AD FS) ein­setzen, um sich auf diese Weise an Azure AD zu authen­tifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certi­ficate-based Authenti­cation.

    Die Architektur einer föderierten zertifikats­­basierten Authentifizierung ist dadurch gekenn­zeichnet, dass diese gegen ein lokales AD erfolgt und die AD FS diese quasi an das Azure Active Directory durchreichen.

    Zertifikatsbasierte Authentifizierung über den Umweg der AD FS

    Der neue zertifikats­­basierte Authenti­fi­zierungs­­dienst für Azure AD (CBA) eliminiert die AD FS und ermöglicht eine direkte zertifikats­basierte Anmel­dung an Azure Active Directory.

    Azure Active Directory Certificate-based Authentication

    Vor- und Nachteile von CBA

    Die zertifikatsbasierte AAD-Authentifizierung bietet viele Vorteile, sowohl aus Sicht der Benutzer als auch der Admini­stratoren. Dazu gehören:

    • Es ist keine zusätzliche Infrastruktur für die AD FS erforderlich.
    • Die zertifikatsbasierte X.509-Authentifizierung bietet einen starken Schutz gegen Phishing
    • CBA unterstützt die Anmeldung im Browser sowie in den Office-Apps
    • CBA lässt sich mit anderen AAD-Sicherheitsfunktionen wie Conditional Access und MFA kombinieren
    • Der Service ist kostenlos

    Was sind die Einschränkungen der zertifikats­basierten Azure AD-Authentifizierung? Hier gibt es Folgendes zu beachten:

    • Die Kunden müssen ihre eigene Public Key Infrastructure (PKI) konfigurieren und Zertifikate für ihre Benutzer und Geräte bereitstellen.
    • Hinweise zur Zertifizierungsstelle werden nicht unterstützt
    • Keine Unterstützung für Smartcards bei der Anmeldung an Windows-Geräten
    • Derzeit gibt es keine Unterstützung für Online Certificate Status Protocol (OCSP)-URLs oder Lightweight Directory Access Protocol (LDAP)-URLs
    • Sie können mit Azure AD CBA keine anderen Bindungen zwischen Zertifikat und Benutzerkonto konfigurieren (zum Beispiel über die Felder subject, keyid und issuer).
    • Derzeit lässt sich die Authentifizierung mittels Passwort nicht abschalten, wenn CBA aktiviert ist. Daher besteht weiterhin die Option, sich mit einem Kennwort anzumelden.

    Update: Microsoft ergänzte die CBA-Preview um neue Features, die einige bisherige Defizite beseitigen.

    Wie funktioniert die zertifikatbasierte Authentifizierung?

    Wenn ein Benutzer versucht, auf eine Anwendung zuzugreifen, die durch die zertifikatsbasierte AAD-Authentifizierung geschützt ist, umfasst der Ablauf folgende Schritte:

    1. Wenn sich der Benutzer anmelden muss, wird er an https://login.microsoftonline.com weitergeleitet.
    2. Der Benutzer meldet sich am Azure-AD-Login an
    3. An diesem Punkt prüft Azure AD, ob die zertifikatsbasierte Authentifizierung aktiviert ist. Trifft dies zu, dann enthält der Logon-Dialog die dafür vorgesehene Option.
    4. Wenn der Benutzer auf den Link Mit einem Zertifikat anmelden ("Sign in with a certificate") klickt, dann wird er zum certauth-Endpunkt unter der URL: https://certauth.login.microsoftonline.com weitergeleitet.
    5. Azure AD fordert ein Client-Zertifikat an, und der Benutzer wählt dieses aus und klickt auf OK.
    6. Azure AD überprüft, ob das Zertifikat nicht widerrufen wurde und gültig ist. Anschließend wird die Zuordnung zwischen dem Zertifikat und dem Benutzerkonto verifiziert.
    7. Wenn der Benutzer gültig ist und ihm eine bedingte Zugriffsrichtlinie zugewiesen wurde, die MFA erfordert, dann kann das Zertifikat die MFA-Anforderung erfüllen. Alternativ ist möglicherweise ein anderer Faktor erforderlich, je nachdem, wie die Richtlinie konfiguriert ist.
    8. Der Anmeldeprozess wird mit Azure AD abgeschlossen und dieses sendet ein Token zurück, um eine erfolgreiche Anmeldung zu bestätigen.
    9. Der Benutzer kann nun den Anwendungslink öffnen.

    Der Anmeldedialog enthält einen Link für die Anmeldung mit einem Zertifikat.

    Azure AD CBA konfigurieren

    Nach dem Hochladen der Root-, Zwischen- und Issuer-Zertifikate sowie der Einrichtung der optionalen Nutzerbindung können Sie den Dienst im Azure-Portal aktivieren.

    Schritte zur Aktivierung der zertifikatbasierten Authentifizierung

    Wenn Sie als globaler Administrator angemeldet sind, können Sie die zertifikatbasierte Authentifizierung von Azure AD wie folgt aktivieren:

    Wechseln Sie zu Azure Active Directory => Security => Authentication methods => Policies => Certificate-based Authentication.

    Link zur Konfiguration von CBA

    Im Abschnitt Basics findet sich der Schalter Enabled, den Sie auf Yes stellen.

    Azure AD certificate-based Authentication aktivieren

    Zusammenfassung

    Der neue CBA-Service erleichtert die Authentifizierung mittels Zertifikat für den Zugriff auf Cloud-basierte Anwendungen.

    Er hat jedoch seine Grenzen. So müssen Unternehmen über müssen ihre eigene Public Key Infrastructure (PKI) verfügen, Smartcards werden aktuell nicht unterstützt und die Authentifizierung mittels Passwort bleibt parallel dazu aktiv.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links