$30 off During Our Annual Pro Sale. View Details »

Quinto Evento 08-03-2023 Sono autenticato! Ho il certificato!

Quinto Evento 08-03-2023 Sono autenticato! Ho il certificato!

Come utilizzare i certificati in congiunzione con Azure AD e chiavi FIDO 2.0 per autenticare gli utenti su dispositivi Windows/mac e mobile.

Speakers:
- Riccardo Corna (MVP)
- Michele Sensalari (MVP)

Intune Italian User Group

March 10, 2023
Tweet

More Decks by Intune Italian User Group

Other Decks in Technology

Transcript

  1. Sono autenticato!
    Ho il certificato!
    Riccardo Corna
    Michele Sensalari

    View Slide

  2. Agenda
    • Cos’è la Certificate Based Authentication
    su Azure AD
    • Com’era, com’è
    • Benefici
    • Scenari supportati e non
    • Deep dive
    • CBA su altre piattaforme
    • macOS, iOS, iPadOS
    • Android
    • FAQ
    • DEMO

    View Slide

  3. L'autenticazione basata su certificati di Azure AD
    permette agli utenti di eseguire l'autenticazione
    direttamente con certificati X.509 in Azure Active
    Directory [Azure AD], per le applicazioni e
    l'accesso al browser.

    View Slide

  4. Com’era…
    Era già possibile
    autenticarsi tramite
    certificato X.509 su Azure
    AD ma solo passando da
    Active Directory
    Federation Services
    [ADFS].

    View Slide

  5. Com’è
    Con l'autenticazione
    basata su certificati di
    Azure AD, è possibile
    eseguire direttamente
    l’autenticazione in Azure
    AD ed eliminare la
    necessità di ADFS.

    View Slide

  6. Benefici della Certificate Based Auth

    View Slide

  7. Buona Esperienza Utente
    One
    Gli utenti che
    necessitano
    dell'autenticazi
    one basata su
    certificati
    possono ora
    eseguire
    direttamente
    l'autenticazione
    in Azure AD e
    non devono
    investire in
    ADFS federato.
    Two
    L’interfaccia del
    portale
    permette di
    mappare
    facilmente gli
    attributi del
    certificate con
    quelli
    dell’utenza.
    Three
    L’interfaccia del
    portale
    permette di
    distinguere
    facilmente quali
    sono i certificati
    single-factor da
    quelli multi-
    factor.

    View Slide

  8. Facile da implementare e amministrare
    One
    Azure AD CBA
    è disponibile
    anche in Azure
    AD Free. Non è
    quindi
    necessaria
    alcuna licenza a
    pagamento di
    Azure AD per
    utilizzarla.
    Two
    Si semplifica
    l’implementazio
    ne, eliminando
    complesse
    regole di
    networking on-
    premises.
    Three
    L’autenticazione
    avviene
    direttamente su
    Azure AD.

    View Slide

  9. Sicura
    One
    Le password
    on-premises
    non vengono in
    alcun modo
    memorizzate.
    Two
    La protezione
    degli account
    utente avviene
    senza soluzione
    di continuità
    rispetto alle
    policy di Azure
    AD, comprese la
    MFA, i metodi
    Phishing-
    resistant e
    l’accesso
    condizionale.
    Three
    Supporto
    dell'autenticazio
    ne avanzata in
    cui è possibile
    definire criteri di
    autenticazione
    tramite i campi
    del certificato,
    ad esempio
    l'autorità
    emittente o
    l’OID, per
    determinare
    quali certificati
    siano single o
    multi factor.
    Four
    La CBA è
    pienamente
    compatibile con
    l’accesso
    condizionale e
    con la nuova
    funzionalità di
    authentication
    strength.

    View Slide

  10. Scenari supportati… e non

    View Slide

  11. 1
    Autenticazione verso
    applicazioni web, su
    tutte le piattaforme.
    2
    Autenticazione sulle
    applicazioni mobile di
    Office, incluse OneDrive,
    Outlook, eccetera.
    3
    Supporto alla multi factor
    authentication usando
    Subject e OID.
    4
    Binding certificate-to-
    user con i seguenti
    campi:
    • SAN PrincipalName
    • SAN RFC822Name
    • Subject Key
    Identifier
    • SHA1PublicKey
    5
    Certificate-to-user
    binding con I seguenti
    attributi:
    • User Principal Name
    • onPremisesUserPrinc
    ipalName
    • CertificateUserIds
    Scenari
    supportati
    👍

    View Slide

  12. Scenari non
    supportati
    🙅
    1
    Certificate Authority
    hints non supportati,
    quindi non viene
    segnalato l’ambito di
    autenticazione nel
    picker dove si scelgono I
    certificate.
    2
    Per ogni CA, solo una
    CRL supportata.
    3
    CDP supportato solo
    come HTTP URL. Non
    sono supportati OCSP o
    LDAP URL.
    4
    Configuring other
    certificate-to-user
    account bindings, such
    as using the Subject,
    Subject + Issuer or
    Issuer + Serial Number,
    aren’t available in this
    release.
    5
    Anche se per un certo
    utente è abilitata la CBA,
    non può essere
    disabilitata la possibilità
    di accedere con
    password.

    View Slide

  13. Altre piattaforme: macOS
    ✅ Supportata l’autenticazione su web-application attraverso tutti
    I browser
    ✅ Supportata l’autenticazione a tutte le applicazioni native
    Microsoft
    ❌ Non supportata l’autenticazione sul dispositivo stesso
    ✅ Browser supportati

    View Slide

  14. Altre piattaforme: iOS - 1
    • Requisiti:
    • iOS 9 o più recenti
    • Per autenticarsi sulle app di Office e Outlook richiesto Microsoft
    Authenticator
    • Con certificato on device
    ✅ Office apps e Outlook
    ✅ Exchange Activesync
    • Browser

    View Slide

  15. Altre piattaforme: iOS - mobile apps

    View Slide

  16. Altre piattaforme: Android - 1
    • Android 5.0 Lollipop o più recente
    • Piattaforme supportate
    ✅ App che usano le ultime librerie MSAL or Microsoft Authenticator
    ✅ Edge con profile autenticato
    ✅ Microsoft first-party apps with latest MSAL libraries or Microsoft
    Authenticator can do CBA
    • PREVIEW: certificato su chiave hardware solo YubiKey per ora
    • Browser:

    View Slide

  17. Altre piattaforme: Android - Mobile Apps

    View Slide

  18. View Slide

  19. DEMO

    View Slide

  20. Demo - Configurazione iniziale

    View Slide

  21. CBA
    as
    MFA

    View Slide

  22. CBA
    as
    SFA

    View Slide

  23. Windows
    SmartCard
    Logon

    View Slide

  24. CBA on Android
    Certificato on device Certificato on Yubikey

    View Slide

  25. Microsoft Security Italian Users Group
    Volete
    quotidianamente
    contenuti come questi?
    Siete appassiona3 di
    security e di tecnologie
    Microso8?
    SEGUITECI!
    Microsoft Intune Italian Users Group
    ITSpecialist.cloud

    View Slide

  26. Bibliografia
    • Overview of Azure AD certificate-based authentication
    • Azure AD certificate-based authentication technical deep dive
    • How to configure Azure AD certificate-based authentication
    • Azure Active Directory certificate-based authentication on Apple
    devices
    • Azure Active Directory certificate-based authentication on
    Android devices
    • Azure AD certificate-based authentication CBA FAQ

    View Slide

  27. GRAZIE

    View Slide