Azure AD Temporary Access Pass

Nedávno jsme přemýšleli nad bezpečnými metodami ověřování nově vzniklých uživatelů (onboarding) a shodou okolností jsme narazili na novou položku v sekci „Authentication methods“. Metoda „Temporary Access Pass“ vypadá opravdu slibně.

Metoda nabízí vcelku tradiční možnosti nastavení – zacílení na skupiny uživatelů, navíc je ale k dispozici také nastavení doby platnosti ověřovacích údajů.

Tyto hodnoty je možné měnit v rozmezí 10 minut až 30 dnů, prozatím se ale nastavení samovolně vrací na výchozí hodnoty (1–8 hodin).

Popisek dále uvádí, že „Temporary Access Pass“ je časově omezené heslo, které slouží jako silné ověřovací údaje umožňující onboarding uživatelů přihlašujících se bez hesla.

Temporary Access Pass is a time-limited passcode that serves as strong credentials and allow onboarding of passwordless credentials. The Temporary Access Pass authentication method policy can limit the duration of the passes in the tenant between 10 minutes to 30 days.

V dokumentaci na adrese https://github.com/microsoftgraph/microsoft-graph-docs/blob/2020-12-02-TAP_method_add/api-reference/beta/api/temporaryaccesspassauthenticationmethod-create.md se následně dozvídáme další informace, a hlavně správnou syntaxi:

POST /users/{id | userPrincipalName}/authentication/temporaryAccessPassMethods

Po přidělení příslušných oprávnění získáváme nové dočasné heslo, platné 60 minut:

Dočasné heslo jsme předali uživateli, který ho následně použije místo standardního hesla:

V dalším kroku už je uživatel vyzván k tradiční registraci ověřovací aplikace, telefonu nebo emailu.

Zde jsme se dostali do velmi zajímavého a v budoucnu jistě stále častějšího stavu. Uživatel nezná své uživatelské heslo a do M365 se přihlašuje pouze bezpečnými metodami umožňujícími přihlašování bez hesla, např. FIDO2 klíče nebo Microsoft Authenticatoru.

V budoucnu se jistě dozvíme výrazně více informací o plánovaných způsobech využívání této novinky, a to včetně dalších funkcionalit. Rozhodně se máme na co těšit!