Уровень проверки подлинности NIST 1 с идентификатором Microsoft Entra
Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации должны соответствовать этим требованиям при работе с федеральными учреждениями.
Перед началом проверки подлинности уровня 1 (AAL1) можно просмотреть следующие ресурсы:
- Обзор NIST. Общие сведения об уровнях AAL
- Основы проверки подлинности: терминология и типы проверки подлинности
- Типы NIST Authenticator: типы Authenticator
- NIST AALs: компоненты AAL, методы проверки подлинности Microsoft Entra и доверенные платформенные модули (TPMs).
Разрешенные типы проверки подлинности
Для достижения уровня AAL1 можно использовать любую однофакторную или многофакторную разрешенную структуру проверки подлинности.
| Метод проверки подлинности Microsoft Entra | Тип структуры проверки подлинности NIST |
|---|---|
| Пароль | Запоминаемый секрет |
| Телефон (SMS): не рекомендуется | Однофакторная внеполосная |
| Приложение Microsoft Authenticator (вход телефона) | Мультифактор вне полосы |
| Однофакторный сертификат программного обеспечения | ПО для однофакторной проверки подлинности с шифрованием |
| Многофакторный сертификат программного обеспечения Windows Hello для бизнеса с программным TPM |
Многофакторное программное обеспечение для шифрования |
| Многофакторный защищенный сертификат оборудования Ключ безопасности FIDO 2 Единый вход платформы для macOS (безопасный анклава) Windows Hello для бизнеса с аппаратным TPM Секретный ключ в Microsoft Authenticator |
Многофакторное оборудование шифрования |
Совет
Рекомендуется выбрать по крайней мере фишинговые средства проверки подлинности AAL2. Выберите средства проверки подлинности AAL3 по бизнес-причинам, отраслевым стандартам или требованиям к соответствию требованиям.
Проверка на соответствие стандарту FIPS 140
Требования к средству проверки
Идентификатор Microsoft Entra использует модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющий средство, соответствующее FIPS 140, требуемое государственными учреждениями.
Защита от атак "злоумышленник в середине"
Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал, чтобы противостоять атакам человека в середине (MitM). Эта конфигурация удовлетворяет требованиям к устойчивости MitM для AAL1, AAL2 и AAL3.
Следующие шаги
Основные сведения об аутентификации
Типы проверки подлинности NIST
Достижение NIST AAL1 с помощью идентификатора Microsoft Entra
Достижение NIST AAL2 с помощью идентификатора Microsoft Entra
Достижение NIST AAL3 с помощью идентификатора Microsoft Entra