גישה זמנית ויכולות TAP בתשתית Azure AD
סיסמאות זמניות הם חלק לא פתור ולא מובן בזהויות, וישנם מצבים רבים בהם השימוש בסיסמאות זמניות הופך להיות קבוע, הרי הסיסמה הזמנית גם כך מוקשחת אז למה להחליף אותה… המאמר מתמקד באפשרויות של גישה זמנית ויכולות TAP בתשתית Azure AD.
זהויות היא אחת מהשכבות הכי חשובות בכל סביבה ועל אחת כמה וכמה זהויות היא שכבה קריטית כאשר מדובר בסביבות ענן או סביבות היברידיות. סיסמאות הם החלק החלש בזהויות ומובילות לבעיות כמו שימוש חוזר בסיסמאות, בחירת סיסמאות לפי מאפיינים ידועים מראש וכן הלאה.
סיסמאות עדיין נמצאות בשימוש על ידי רוב הארגונים והאפשרויות למעבר אל שיטות ומנגנונים אחרים כמו Password less עדיין אינו בר ביצוע במקרים רבים. בתרחישים שבהם אפשר לעבוד עם Password less משטח התקיפה מצטמצם ואפשרויות התקיפה קשות יותר.
סיסמאות הם חלק בעייתי בזהויות ולכן שישנם יכולות ואפשרויות אשר יכולות למזער את הנזק של חשיפת סיסמאות בתרחישים מסוימים, אז מומלץ לאמץ את כל אותן יכולות.
תשתית Azure AD מכילה אפשרויות הגנה על זהויות ומקבלת חידושים ועדכונים מידי שבוע עם יכולות מגוונות כמו זאת של גישה עם סיסמה זמנית ומוכרת ביכלות של Temporary Access Pass או בקצרה TAP.
גישה זמנית TAP
לאחרונה (פברואר 2021) התווספה אפשרות נוספת לתשתית Azure AD והיא גישה עם סיסמה זמנית – Temporary Access Pass (בקצרה TAP). הרעיון של TAP הוא לאפשר הגדרת סיסמה זמנית וכזאת אשר מוגבלת בפרק זמן ועל סמך מאפיינים מסוימים.
המימוש של TAP הוא מצוין למי שעובד עם Password less ודרך מצוינת לאפשר onboarding או במצבים אחרים לבצע שחזור מול אימות של FIDO2.
המטרות של Temporary Access Pass הם:
- לצמצם את האפשרויות של הגדרות סיסמאות זמניות ללא מגבלות
- לאפשר onboarding למשתמשים שצריכים לבצע רישום עם הזדהות חזקה
- לבצע שחזור של הזדהות חזקה כמו Password less
המלצות
אובייקטים מסוג Guest אינם יכולים לממש TAP
רישום SSPR הוא חלק בתהליך של מימוש TAP (לפחות רישום אחד)
משתמש עם FIDO2 ועם TAP אינו יכול לעבוד עם רישום SSPR ולכן מומלץ לדסבל SSPR למשתמש
בתרחישים של NPS אין אפשרות לעבוד עם TAP
כאשר ישנו KMSI אין אפשרות לאכוף TAP על משתמשים
כאשר ישנו Seamless SSO ואוכפים TAP המשתמש יקבל חלון סיסמה בזמן הלוגין
חשבונות בעלי הרשאות יכולים לקבל TAP אך מומלץ לא לאכוף מדיניות לחשבונות מהסוג הזה
בתרחיש של Password Protection ישנה אכיפה של סינון סיסמאות על מנגנון TAP
TAP אינו מחליף סיסמאות קבועות למשתמש והוא נועד ליצירת סיסמה זמנית בלבד
TAP נועד לתרחישים בהם עובדים עם גישות הזדהות שונות כמו FIDO2
הגדרת TAP היא חד פעמית עד שההגדרה היא במצב Expired, ולכן אין אפשרות להגדיר מספר TAP במקביל
בתרחיש של ADFS או פדרציות מול צד שלישי ניתן להגדיר TAP ולהשלים את התהליך מול Azure AD
הגדרת TAP במצב Expired איננה ניתנת לשימוש חוזר ע”י המשתמש (צריך ליצור אחד חדש)
המימוש של TAP הוא נדרש למי שעובד לפי תקן NIST Special Publication 800-63A
ניתן לבצע רישום TAP גם בתהליך של Windows Autopilot
הפעלה והגדרה TAP
הפעלה והגדרת TAP הם פעולות פשוטות וניתנות להגדרה ע”י ברמת השירות Azure AD ולאחר מכן ברמת משתמש.
לפני שמפעילים TAP מומלץ לוודא שהרישום של הגדרת MFA יחד עם SSPR מופעל ביחד
שיטת הזדהות של TAP מופעלת בדיפולט אך איננה מוגדרת ולכן בכדי להגדיר TAP ניגשים להגדרות בתוך Authentication Methods ומשם מגדירים TAP לפי האפשרויות הבאות:
- בחירת משתמשים – אפשר ורצוי לאפשר בתחילה על משתמשים מסוימים ולא על כלל המשתמשים בטננט
- הגדרת כלליות לפי זמני Lifetime, לפי מורכבות סיסמה ושימוש חוזר
- הגדרה שיטת הזדהות ברמת משתמש
בהגדרות כלליות ישנם מספר הגדרות שנאכפות על כלל המשתמשים:
- Minimum lifetime – מספר דקות מינימלי שהגדרת TAP תקפה
- Maximum lifetime – מספר דקות מקסימלי שהגדרת TAP תקפה
- Default lifetime – הגדרות דיפולטיות שניתן לבצע להגדיר מחדש במסגרת הגדרות מינימליות ומקסימליות
- One-time use – במידה ונמצא במצב False ניתן להשתמש בהגדרת TAP מספר פעמים, ובמידה ונמצא במצב True ניתן להשתמש פעם אחת בלבד – בשני המקרים כאשר ישנו תוקף
הערכים המציונים מטה הם לדוגמה בלבד וניתן להגדיר פרקי זמן אחרים
לאחר מכן ברמת משתמש נוכל להגדיר שיטת הזדהות ובמידת הצורך אפשר לבצע Override
בסיום נוכל להעביר את הסיסמה הזמנית לנמען.
