Azure AD Temporary Access Pass (pokračování)
Nedávno jsme společně objevovali možnosti Azure AD Temporary Access Pass, a už dnes pro vás máme další aktualizaci. Služba je již dostupná pro vyzkoušení i pro veřejnost (public preview).
Pokud jste článek nečetli, chvíli počkáme. Pokud ano, jen si krátce připomeňme, že Azure AD TAP je vcelku revoluční možností, jak provést kompletní onboarding nových uživatelů Azure Active Directory s využitím „passwordless“ ověřování. Koncoví uživatelé nemusí znát svá uživatelská hesla, pro přihlášení používají například Microsoft Authenticator nebo bezpečnostní klíče FIDO2. Mimochodem velký článek o FIDO2 autentizaci již čeká v naší publikační frontě.
Před registrací prostředků pro přihlašování bez hesla musí mít samozřejmě uživatel možnost se nějakým způsobem ověřit, a právě k tomu slouží TAP – tedy časově omezené heslo, určené právě a pouze pro jednorázovou registraci jednotlivých zařízení pro další ověřování uživatele. Pokud uživatel nezná heslo, nikam si jej nezapíše na žlutý lepík, neprozradí jej kolegovi ani falešnému ajťákovi do telefonu, keylogger nebo mallware heslo neodchytí – prostě svět bude opět o něco bezpečnější místo.
Pojďme tedy k samotné novince. Ve vlastnostech našeho uživatele již pravděpodobně máte k dispozici aktualizovaný dialog pro nastavení metod pro ověření.
Po přepnutí dokonce uvidíme již neplatné TAP z našeho minulého testování a samozřejmě to nejdůležitější – vygenerovat nové dočasné heslo (TAP).
Řekněme, že předpokládaný nástup uživatele je 1.4.2021 a uživatel v den nástupu obdrží obálku s dočasným heslem pro první přihlášení (a samozřejmě s podrobnými instrukcemi pro samotnou registraci).
Poznámka: One-time use omezuje použití hesla na 10 minut. Po prvním přihlášení tedy uživatel musí během tohoto limitu stihnout zaregistrovat svá zařízení.
Heslo a adresu pro registraci získáme v posledním kroku, heslo následně už nebude možné znovu zobrazit.
V případě ztráty zařízení a nutnosti provést registraci znovu je možné kdykoliv vygenerovat nový TAP, případně stávající odstranit.
Další podrobnosti najdete jako vždy v aktualizované dokumentaci na stránkách společnosti Microsoft https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-temporary-access-pass. Tam například zjistíte, že účty typu Guest tento způsob ověřování bohužel nemohou využít. Stejně tak nelze TAP použít pro MFA ověřování na NPS nebo AD FS (Azure MFA konektor).
Sdílej v médiích