Azure AD Temporary Access Pass

Blog

 
 Jan Žák

Nedávno jsme přemýšleli nad bezpečnými metodami ověřování nově vzniklých uživatelů (onboarding) a shodou okolností jsme narazili na novou položku v sekci „Authentication methods“. Metoda „Temporary Access Pass“ vypadá opravdu slibně.

Obsah obrázku text Popis byl vytvořen automaticky

Metoda nabízí vcelku tradiční možnosti nastavení – zacílení na skupiny uživatelů, navíc je ale k dispozici také nastavení doby platnosti ověřovacích údajů.

img

Tyto hodnoty je možné měnit v rozmezí 10 minut až 30 dnů, prozatím se ale nastavení samovolně vrací na výchozí hodnoty (1–8 hodin).

Obsah obrázku text Popis byl vytvořen automaticky

Popisek dále uvádí, že „Temporary Access Pass“ je časově omezené heslo, které slouží jako silné ověřovací údaje umožňující onboarding uživatelů přihlašujících se bez hesla.

Temporary Access Pass is a time-limited passcode that serves as strong credentials and allow onboarding of passwordless credentials. The Temporary Access Pass authentication method policy can limit the duration of the passes in the tenant between 10 minutes to 30 days.

V dokumentaci na adrese https://github.com/microsoftgraph/microsoft-graph-docs/blob/2020-12-02-TAP_method_add/api-reference/beta/api/temporaryaccesspassauthenticationmethod-create.md se následně dozvídáme další informace, a hlavně správnou syntaxi:

POST /users/{id | userPrincipalName}/authentication/temporaryAccessPassMethods

Po přidělení příslušných oprávnění získáváme nové dočasné heslo, platné 60 minut:

Obsah obrázku text Popis byl vytvořen automaticky

Dočasné heslo jsme předali uživateli, který ho následně použije místo standardního hesla:

Obsah obrázku text Popis byl vytvořen automatickyObsah obrázku text Popis byl vytvořen automaticky

V dalším kroku už je uživatel vyzván k tradiční registraci ověřovací aplikace, telefonu nebo emailu.

Obsah obrázku text Popis byl vytvořen automaticky

Zde jsme se dostali do velmi zajímavého a v budoucnu jistě stále častějšího stavu. Uživatel nezná své uživatelské heslo a do M365 se přihlašuje pouze bezpečnými metodami umožňujícími přihlašování bez hesla, např. FIDO2 klíče nebo Microsoft Authenticatoru.

V budoucnu se jistě dozvíme výrazně více informací o plánovaných způsobech využívání této novinky, a to včetně dalších funkcionalit. Rozhodně se máme na co těšit!

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu