Přehled Azure AD ověřování na základě certifikátů

Azure AD ověřování na základě certifikátů (CBA) umožňuje zákazníkům povolit nebo vyžadovat, aby se uživatelé ověřili přímo pomocí certifikátů X.509 v rámci služby Azure Active Directory (Azure AD) pro aplikace a přihlášení do prohlížeče. Tato funkce umožňuje zákazníkům používat ověřování odolné proti útokům phishing a ověřovat se pomocí certifikátu X.509 v jejich infrastruktuře veřejných klíčů (PKI).

Co je Azure AD CBA?

Než Azure AD podpora CBA spravovaná cloudem, museli zákazníci implementovat ověřování založené na federovaných certifikátech, které vyžaduje nasazení Active Directory Federation Services (AD FS) (AD FS), aby bylo možné ověřovat pomocí certifikátů X.509 pro Azure AD. Díky Azure AD ověřování založenému na certifikátech se zákazníci můžou ověřovat přímo proti Azure AD a eliminovat potřebu federované služby AD FS se zjednodušenými prostředími zákazníků a snížením nákladů.

Následující obrázky ukazují, jak Azure AD CBA zjednodušuje prostředí zákazníka tím, že eliminuje federovanou službu AD FS.

Ověřování na základě certifikátů s federovanou službou AD FS

Diagram ověřování na základě certifikátů s federací

Azure AD ověřování na základě certifikátů

Diagram Azure AD ověřování na základě certifikátů

Klíčové výhody používání Azure AD CBA

Výhody Description
Skvělé uživatelské prostředí – Uživatelé, kteří potřebují ověřování založené na certifikátech, se teď můžou přímo ověřovat v Azure AD a nemusí investovat do federované služby AD FS.
– Uživatelské rozhraní portálu umožňuje uživatelům snadno nakonfigurovat, jak mapovat pole certifikátů na atribut objektu uživatele a vyhledat uživatele v tenantovi (vazby uživatelského jména certifikátu).
– Uživatelské rozhraní portálu pro konfiguraci zásad ověřování , které vám pomůžou určit, které certifikáty jsou jednofaktorové a které jsou vícefaktorové.
Snadné nasazení a správa - Azure AD CBA je bezplatná funkce a k jejímu použití nepotřebujete žádné placené edice Azure AD.
– Není potřeba provádět složitá místní nasazení ani konfiguraci sítě.
– Přímo se ověřte proti Azure AD.
Zabezpečit – Místní hesla nemusí být uložená v cloudu v žádné podobě.
– Chrání vaše uživatelské účty bezproblémovou prací s Azure AD zásadami podmíněného přístupu, včetně vícefaktorového ověřování Phishing-Resistant (MFA vyžaduje licencovanou edici) a blokování starší verze ověřování.
– Podpora silného ověřování, kdy uživatelé můžou definovat zásady ověřování prostřednictvím polí certifikátu, jako jsou vystavitel nebo identifikátory zásad (identifikátory objektů), a určit, které certifikáty se kvalifikují jako jednofaktorové a multifaktorové.
– Tato funkce bezproblémově spolupracuje s funkcemi podmíněného přístupu a schopností silného ověřování a vynucuje vícefaktorové ověřování, které pomáhá zabezpečit vaše uživatele.

Podporované scénáře

Podporují se následující scénáře:

  • Uživatelé se přihlašují k aplikacím založeným na webovém prohlížeči na všech platformách.
  • Přihlášení uživatelů k mobilním aplikacím Office, včetně Outlooku, OneDrivu atd.
  • Přihlášení uživatelů v nativních mobilních prohlížečích.
  • Podpora podrobných pravidel ověřování pro vícefaktorové ověřování pomocí identifikátorů OID vystavitele certifikátu a zásad
  • Konfigurace vazeb mezi účty typu certificate-to-user pomocí libovolného pole certifikátu:
    • Hlavní název subjektu (SAN) PrincipalName a SAN RFC822Name
    • Identifikátor klíče subjektu (SKI) a SHA1PublicKey
  • Konfigurace vazeb mezi účty typu certificate-to-user pomocí libovolného atributu objektu uživatele:
    • Hlavní název uživatele
    • onPremisesUserPrincipalName
    • Identifikátory CertificateUserId

Nepodporované scénáře

Následující scénáře nejsou podporované:

  • Nápovědy certifikační autority nejsou podporované, takže seznam certifikátů, který se zobrazí uživatelům v uživatelském rozhraní pro výběr certifikátů, není vymezený.
  • Podporuje se pouze jeden distribuční bod seznamu CRL (CDP) pro důvěryhodnou certifikační autoritu.
  • CdP může být pouze adresy URL HTTP. Nepodporujeme protokol OCSP (Online Certificate Status Protocol) ani adresy URL protokolu LDAP (Lightweight Directory Access Protocol).
  • V této verzi není k dispozici konfigurace dalších vazeb mezi certifikáty a uživatelskými účty, jako je použití předmětu, předmětu + vystavitele nebo vystavitele + sériového čísla.
  • Heslo jako metodu ověřování nelze zakázat a možnost přihlášení pomocí hesla se zobrazí i s Azure AD metodou CBA dostupnou pro uživatele.

Mimo rozsah

Následující scénáře jsou mimo rozsah Azure AD CBA:

  • Infrastruktura veřejných klíčů pro vytváření klientských certifikátů. Zákazníci musí nakonfigurovat vlastní infrastrukturu veřejných klíčů (PKI) a zřizovat certifikáty pro své uživatele a zařízení.

Další kroky