Azure AD Temporary Access Pass (pokračování)

Blog

 
 Jan Žák

Nedávno jsme společně objevovali možnosti Azure AD Temporary Access Pass, a už dnes pro vás máme další aktualizaci. Služba je již dostupná pro vyzkoušení i pro veřejnost (public preview).

Pokud jste článek nečetli, chvíli počkáme. Pokud ano, jen si krátce připomeňme, že Azure AD TAP je vcelku revoluční možností, jak provést kompletní onboarding nových uživatelů Azure Active Directory s využitím „passwordless“ ověřování. Koncoví uživatelé nemusí znát svá uživatelská hesla, pro přihlášení používají například Microsoft Authenticator nebo bezpečnostní klíče FIDO2. Mimochodem velký článek o FIDO2 autentizaci již čeká v naší publikační frontě.

Před registrací prostředků pro přihlašování bez hesla musí mít samozřejmě uživatel možnost se nějakým způsobem ověřit, a právě k tomu slouží TAP – tedy časově omezené heslo, určené právě a pouze pro jednorázovou registraci jednotlivých zařízení pro další ověřování uživatele. Pokud uživatel nezná heslo, nikam si jej nezapíše na žlutý lepík, neprozradí jej kolegovi ani falešnému ajťákovi do telefonu, keylogger nebo mallware heslo neodchytí – prostě svět bude opět o něco bezpečnější místo.

Pojďme tedy k samotné novince. Ve vlastnostech našeho uživatele již pravděpodobně máte k dispozici aktualizovaný dialog pro nastavení metod pro ověření.

Obsah obrázku text Popis byl vytvořen automaticky

Po přepnutí dokonce uvidíme již neplatné TAP z našeho minulého testování a samozřejmě to nejdůležitější – vygenerovat nové dočasné heslo (TAP).

Obsah obrázku text Popis byl vytvořen automaticky

Řekněme, že předpokládaný nástup uživatele je 1.4.2021 a uživatel v den nástupu obdrží obálku s dočasným heslem pro první přihlášení (a samozřejmě s podrobnými instrukcemi pro samotnou registraci).

img

Poznámka: One-time use omezuje použití hesla na 10 minut. Po prvním přihlášení tedy uživatel musí během tohoto limitu stihnout zaregistrovat svá zařízení.

Heslo a adresu pro registraci získáme v posledním kroku, heslo následně už nebude možné znovu zobrazit.

Obsah obrázku text Popis byl vytvořen automaticky

V případě ztráty zařízení a nutnosti provést registraci znovu je možné kdykoliv vygenerovat nový TAP, případně stávající odstranit.

Obsah obrázku stůl Popis byl vytvořen automaticky

Další podrobnosti najdete jako vždy v aktualizované dokumentaci na stránkách společnosti Microsoft https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-temporary-access-pass. Tam například zjistíte, že účty typu Guest tento způsob ověřování bohužel nemohou využít. Stejně tak nelze TAP použít pro MFA ověřování na NPS nebo AD FS (Azure MFA konektor).

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu