Zertifikatbasierte Authentifizierung

Damit eine sichere Single-Sign-on-basierte (SSO) Anmeldung zu Anwendungen, Office 365, Azure und angebundenen Systemen funktioniert, will Azure AD (AAD) Benutzer sicher authentifizieren. Zunehmend geschieht das mit Verfahren, die sich von herkömmlichen Passworten absetzen und in sich bereits mehrstufige Authentifizierung bieten: FIDO2-Sicherheitsschlüssel, Hello for Business auf Windows oder "Phone Sign-in" mit der Authenticator-App für Smartphones. Ein bereits lange im Einsatz befindliches Anmeldeverfahren hat Microsoft jedoch für Azure AD bis vor kurzem nicht unterstützt, jetzt aber im Public Review: Smartcards und die zertifikatbasierte Authentifizierung.

Frischer Wind für Smartcards

Gerade Firmen, die auf Smartcards setzen, tun sich damit schwer: Nur über Workarounds und den Einsatz eines lokalen Identitätsanbieters (Identity Provider, IdP) wie den Active Directory Federation Services (ADFS) gelingt die Nutzung auch mit der Microsoft-Cloud – einer der letzten Anwendungsfälle, die einige IT-Verantwortliche am Auszug aus den ADFS hindert.

Nicht nur Smartcards und Zertifikate für Endbenutzer sind hierbei ein interessanter Anwendungsfall – gerade für Admin-Konten, die oft bereits Smartcards für besonders zu schützende Teile der Infrastruktur besitzen, ist die Weiterverwendung der Karten deutlich angenehmer als noch ein weiteres Anmeldeverfahren mit FIDO2.

Die zertifikatbasierte Authentifizierung (CBA) unterstützt all das. Nun werden Zertifikate für die "Client Authentication" sowohl in durch das Betriebssystem verwaltete als auch durch Smartcard geschützte Konten im Azure AD als Anmeldeoption unterstützt; Voraussetzung dafür ist, dass der Browser an das Zertifikat kommt. Azure AD überprüft dabei die öffentlichen Teile des Zertifikats, findet heraus, ob keine Revokation stattgefunden hat, und lässt den Benutzer hinein. Das Zertifikat

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.