Popis metod ověřování Azure

  • 6 min

Ověřování je proces vytvoření identity osoby, služby nebo zařízení. Vyžaduje, aby osoba, služba nebo zařízení poskytla určitý typ přihlašovacích údajů, aby prokázala, kdo je. Ověřování se podobá prezentaci ID při cestování. Nepotvrdí, že jste lístky, jen to potvrzuje, že jste to, kdo říkáte. podpora Azure více metod ověřování, včetně standardních hesel, jednotného přihlašování (SSO), vícefaktorového ověřování (MFA) a bez hesla.

Pro nejdelší dobu se zdá, že zabezpečení a pohodlí jsou v rozporu se sebou. Nová řešení ověřování naštěstí poskytují zabezpečení i pohodlí.

Následující diagram znázorňuje úroveň zabezpečení v porovnání s pohodlím. Všimněte si, že ověřování bez hesla je vysoké zabezpečení a vysoké pohodlí, zatímco hesla jsou sama o sobě nízká zabezpečení, ale vysoká pohodlí.

Čtyři kvadrantové diagramy znázorňující zabezpečení a pohodlí s hesly + 2 Factor Authentication je vysoké zabezpečení, ale nízké pohodlí.

Co je jednotné přihlašování?

Jednotné přihlašování (SSO) umožňuje uživateli jednorázově se přihlásit a používat tyto přihlašovací údaje pro přístup k více prostředkům a aplikacím od různých poskytovatelů. Aby jednotné přihlašování fungovalo, musí různé aplikace a poskytovatelé důvěřovat počátečnímu ověřovacímu objektu.

Více identit znamená, že uživatel si musí pamatovat a měnit více hesel. Zásady upravující hesla se můžou v jednotlivých aplikacích lišit. Navíc s rostoucími požadavky na složitost hesel je pro uživatele stále obtížnější si hesla pamatovat. Čím více hesel musí uživatel spravovat, tím větší je riziko bezpečnostního incidentu spojeného s přihlašovacími údaji.

Představte si proces správy všech těchto identit. Na helpdesky je větší zátěž, protože řeší uzamčení účtů a žádosti o resetování hesla. Pokud uživatel opustí organizaci, můžete všechny tyto identity sledovat a zajistit, aby byly zakázané. Pokud se nějaká identita přehlédne, může to umožnit přístup, i když by měl být vyloučený.

Při použití jednotného přihlašování si stačí zapamatovat jenom jedno ID a jedno heslo. Přístup k aplikacím se uděluje jediné identitě spojené s uživatelem, což zjednodušuje model zabezpečení. Když uživatelé mění role nebo opouštějí organizaci, je jejich přístup svázán s jedinou identitou. To výrazně snižuje úsilí potřebné ke změně nebo zakázání účtů. Používání jednotného přihlašování pro účty usnadňuje uživatelům správu jejich identit a it oddělení pro správu uživatelů.

Důležité

Jednotné přihlašování je stejně zabezpečené jako počáteční ověřovací program, protože následná připojení jsou založena na zabezpečení počátečního ověřovacího objektu.

Co je vícefaktorové ověřování?

Vícefaktorové ověřování je proces výzvy uživatele k zadání další formy (nebo faktoru) identifikace během procesu přihlášení. Vícefaktorové ověřování pomáhá chránit před ohrožením hesla v situacích, kdy došlo k ohrožení hesla, ale druhý faktor nebyl.

Zamyslete se nad tím, jak se přihlašujete k webům, e-mailu nebo online služby. Po zadání uživatelského jména a hesla jste někdy potřebovali zadat kód, který byl odeslán do telefonu? Pokud ano, přihlašovali jste se pomocí vícefaktorového ověřování.

Vícefaktorové ověřování nabízí dodatečné zabezpečení identit tím, že k úplnému ověření vyžaduje dva nebo více prvků. Tyto prvky spadají do tří kategorií:

  • Něco, co uživatel ví – může to být výzva.
  • Něco, co má uživatel – může se jednat o kód, který se odešle na mobilní telefon uživatele.
  • Něco, co je uživatel – obvykle se jedná o nějaký druh biometrické vlastnosti, jako je otisk prstu nebo prohledávání obličeje.

Vícefaktorové ověřování zvyšuje zabezpečení identity tím, že zmenšuje důsledky vyzrazení přihlašovacích údajů (například při odcizení uživatelských jmen a hesel). Pokud tuto službu povolíte, potřeboval by útočník, který má heslo uživatele, k plnému ověření také jeho telefon nebo otisk prstů.

Porovnejte vícefaktorové ověřování s jednofaktorovým ověřováním. Při jednofaktorovém ověřování stačí útočníkovi k ověření jenom uživatelské jméno a heslo. Vícefaktorové ověřování byste měli povolit všude, kde je to možné, protože významně zlepšuje zabezpečení.

Co je vícefaktorové ověřování Microsoft Entra?

Vícefaktorové ověřování Microsoftu je služba Microsoftu, která poskytuje možnosti vícefaktorového ověřování. Vícefaktorové ověřování Microsoft Entra umožňuje uživatelům při přihlašování zvolit další formu ověřování, například telefonní hovor nebo oznámení mobilní aplikace.

Co je ověřování bez hesla?

Funkce, jako je vícefaktorové ověřování, představují skvělý způsob zabezpečení vaší organizace, ale uživatelé se často frustrují další vrstvou zabezpečení, která si musí pamatovat svá hesla. Lidé budou s větší pravděpodobností dodržovat, když je to snadné a pohodlné. Metody ověřování bez hesla jsou pohodlnější, protože heslo se odebere a nahradí něčím, co máte, plus něco, co jste, nebo něco, co víte.

Než bude moct fungovat, je potřeba na zařízení nastavit ověřování bez hesla. Například váš počítač je něco, co máte. Jakmile je zaregistrovaný nebo zaregistrovaný, Azure teď ví, že je k vám přidružený. Teď, když je počítač známý, jakmile zadáte něco, co víte nebo jste (například PIN kód nebo otisk prstu), můžete být ověřeni bez použití hesla.

Každá organizace má různé potřeby, pokud jde o ověřování. Globální Azure Microsoft a Azure Government nabízejí následující tři možnosti ověřování bez hesla, které se integrují s ID Microsoft Entra:

  • Windows Hello pro firmy
  • Aplikace Microsoft Authenticator
  • Klíče zabezpečení FIDO2

Windows Hello pro firmy

Windows Hello pro firmy je ideální pro informační pracovníky, kteří mají svůj vlastní určený počítač s Windows. Biometrické přihlašovací údaje a přihlašovací údaje k PIN kódu jsou přímo svázané s počítačem uživatele, což brání přístupu od kohokoli jiného než vlastníka. Díky integraci infrastruktury veřejných klíčů (PKI) a integrované podpoře jednotného přihlašování (SSO) poskytuje Windows Hello pro firmy pohodlný způsob bezproblémového přístupu k podnikovým prostředkům místně i v cloudu.

Aplikace Microsoft Authenticator

Můžete také povolit, aby se telefon zaměstnance stal metodou ověřování bez hesla. Aplikaci Microsoft Authenticator už možná používáte jako praktickou možnost vícefaktorového ověřování kromě hesla. Aplikaci Authenticator můžete použít také jako možnost bez hesla.

Aplikace Authenticator změní jakýkoli telefon s iOSem nebo Androidem na silné přihlašovací údaje bez hesla. Uživatelé se můžou přihlásit k libovolné platformě nebo prohlížeči tak, že dostanou oznámení na svém telefonu, které odpovídá číslu zobrazenému na obrazovce, a pak pomocí biometrických údajů (dotykového ovládání nebo obličeje) nebo PIN kódu potvrďte. Podrobnosti o instalaci najdete v tématu Stažení a instalace aplikace Microsoft Authenticator.

Klíče zabezpečení FIDO2

FiDO (Fast IDentity Online) Alliance pomáhá podporovat otevřené ověřovací standardy a omezit používání hesel jako formu ověřování. FIDO2 je nejnovější standard, který zahrnuje standard webového ověřování (WebAuthn).

Klíče zabezpečení FIDO2 jsou metodou ověřování bez hesla, která je založená na nephishable standardech, která může přijít v jakémkoliv provedení. Fast Identity Online (FIDO) je otevřený standard pro ověřování bez hesla. FIDO umožňuje uživatelům a organizacím využívat standard pro přihlášení k prostředkům bez uživatelského jména nebo hesla pomocí externího klíče zabezpečení nebo klíče platformy integrovaného do zařízení.

Uživatelé se můžou zaregistrovat a pak jako hlavní způsob ověřování vybrat klíč zabezpečení FIDO2 v přihlašovacím rozhraní. Tyto klíče zabezpečení FIDO2 jsou obvykle USB zařízení, ale můžou také používat Bluetooth nebo NFC. U hardwarového zařízení, které zpracovává ověřování, se zvyšuje zabezpečení účtu, protože neexistuje žádné heslo, které by mohlo být vystaveno nebo uhodnuto.