Agenda • Cos’è la Certificate Based Authentication su Azure AD • Com’era, com’è • Benefici • Scenari supportati e non • Deep dive • CBA su altre piattaforme • macOS, iOS, iPadOS • Android • FAQ • DEMO
L'autenticazione basata su certificati di Azure AD permette agli utenti di eseguire l'autenticazione direttamente con certificati X.509 in Azure Active Directory [Azure AD], per le applicazioni e l'accesso al browser.
Com’è Con l'autenticazione basata su certificati di Azure AD, è possibile eseguire direttamente l’autenticazione in Azure AD ed eliminare la necessità di ADFS.
Buona Esperienza Utente One Gli utenti che necessitano dell'autenticazi one basata su certificati possono ora eseguire direttamente l'autenticazione in Azure AD e non devono investire in ADFS federato. Two L’interfaccia del portale permette di mappare facilmente gli attributi del certificate con quelli dell’utenza. Three L’interfaccia del portale permette di distinguere facilmente quali sono i certificati single-factor da quelli multi- factor.
Facile da implementare e amministrare One Azure AD CBA è disponibile anche in Azure AD Free. Non è quindi necessaria alcuna licenza a pagamento di Azure AD per utilizzarla. Two Si semplifica l’implementazio ne, eliminando complesse regole di networking on- premises. Three L’autenticazione avviene direttamente su Azure AD.
Sicura One Le password on-premises non vengono in alcun modo memorizzate. Two La protezione degli account utente avviene senza soluzione di continuità rispetto alle policy di Azure AD, comprese la MFA, i metodi Phishing- resistant e l’accesso condizionale. Three Supporto dell'autenticazio ne avanzata in cui è possibile definire criteri di autenticazione tramite i campi del certificato, ad esempio l'autorità emittente o l’OID, per determinare quali certificati siano single o multi factor. Four La CBA è pienamente compatibile con l’accesso condizionale e con la nuova funzionalità di authentication strength.
1 Autenticazione verso applicazioni web, su tutte le piattaforme. 2 Autenticazione sulle applicazioni mobile di Office, incluse OneDrive, Outlook, eccetera. 3 Supporto alla multi factor authentication usando Subject e OID. 4 Binding certificate-to- user con i seguenti campi: • SAN PrincipalName • SAN RFC822Name • Subject Key Identifier • SHA1PublicKey 5 Certificate-to-user binding con I seguenti attributi: • User Principal Name • onPremisesUserPrinc ipalName • CertificateUserIds Scenari supportati 👍
Scenari non supportati 🙅 1 Certificate Authority hints non supportati, quindi non viene segnalato l’ambito di autenticazione nel picker dove si scelgono I certificate. 2 Per ogni CA, solo una CRL supportata. 3 CDP supportato solo come HTTP URL. Non sono supportati OCSP o LDAP URL. 4 Configuring other certificate-to-user account bindings, such as using the Subject, Subject + Issuer or Issuer + Serial Number, aren’t available in this release. 5 Anche se per un certo utente è abilitata la CBA, non può essere disabilitata la possibilità di accedere con password.
Altre piattaforme: macOS ✅ Supportata l’autenticazione su web-application attraverso tutti I browser ✅ Supportata l’autenticazione a tutte le applicazioni native Microsoft ❌ Non supportata l’autenticazione sul dispositivo stesso ✅ Browser supportati
Altre piattaforme: iOS - 1 • Requisiti: • iOS 9 o più recenti • Per autenticarsi sulle app di Office e Outlook richiesto Microsoft Authenticator • Con certificato on device ✅ Office apps e Outlook ✅ Exchange Activesync • Browser
Altre piattaforme: Android - 1 • Android 5.0 Lollipop o più recente • Piattaforme supportate ✅ App che usano le ultime librerie MSAL or Microsoft Authenticator ✅ Edge con profile autenticato ✅ Microsoft first-party apps with latest MSAL libraries or Microsoft Authenticator can do CBA • PREVIEW: certificato su chiave hardware solo YubiKey per ora • Browser:
Microsoft Security Italian Users Group Volete quotidianamente contenuti come questi? Siete appassiona3 di security e di tecnologie Microso8? SEGUITECI! Microsoft Intune Italian Users Group ITSpecialist.cloud
Bibliografia • Overview of Azure AD certificate-based authentication • Azure AD certificate-based authentication technical deep dive • How to configure Azure AD certificate-based authentication • Azure Active Directory certificate-based authentication on Apple devices • Azure Active Directory certificate-based authentication on Android devices • Azure AD certificate-based authentication CBA FAQ