גישה זמנית ויכולות TAP בתשתית Azure AD

סיסמאות זמניות הם חלק לא פתור ולא מובן בזהויות, וישנם מצבים רבים בהם השימוש בסיסמאות זמניות הופך להיות קבוע, הרי הסיסמה הזמנית גם כך מוקשחת אז למה להחליף אותה… המאמר מתמקד באפשרויות של גישה זמנית ויכולות TAP בתשתית Azure AD.

זהויות היא אחת מהשכבות הכי חשובות בכל סביבה ועל אחת כמה וכמה זהויות היא שכבה קריטית כאשר מדובר בסביבות ענן או סביבות היברידיות. סיסמאות הם החלק החלש בזהויות ומובילות לבעיות כמו שימוש חוזר בסיסמאות, בחירת סיסמאות לפי מאפיינים ידועים מראש וכן הלאה.

סיסמאות עדיין נמצאות בשימוש על ידי רוב הארגונים והאפשרויות למעבר אל שיטות ומנגנונים אחרים כמו Password less עדיין אינו בר ביצוע במקרים רבים. בתרחישים שבהם אפשר לעבוד עם Password less משטח התקיפה מצטמצם ואפשרויות התקיפה קשות יותר.

סיסמאות הם חלק בעייתי בזהויות ולכן שישנם יכולות ואפשרויות אשר יכולות למזער את הנזק של חשיפת סיסמאות בתרחישים מסוימים, אז מומלץ לאמץ את כל אותן יכולות.

תשתית Azure AD מכילה אפשרויות הגנה על זהויות ומקבלת חידושים ועדכונים מידי שבוע עם יכולות מגוונות כמו זאת של גישה עם סיסמה זמנית ומוכרת ביכלות של Temporary Access Pass או בקצרה TAP.

גישה זמנית TAP

לאחרונה (פברואר 2021) התווספה אפשרות נוספת לתשתית Azure AD והיא גישה עם סיסמה זמנית – Temporary Access Pass (בקצרה TAP). הרעיון של TAP הוא לאפשר הגדרת סיסמה זמנית וכזאת אשר מוגבלת בפרק זמן ועל סמך מאפיינים מסוימים.

המימוש של TAP הוא מצוין למי שעובד עם Password less ודרך מצוינת לאפשר onboarding או במצבים אחרים לבצע שחזור מול אימות של FIDO2.

המטרות של Temporary Access Pass הם:

  • לצמצם את האפשרויות של הגדרות סיסמאות זמניות ללא מגבלות
  • לאפשר onboarding למשתמשים שצריכים לבצע רישום עם הזדהות חזקה
  • לבצע שחזור של הזדהות חזקה כמו Password less

המלצות

אובייקטים מסוג Guest אינם יכולים לממש TAP

רישום SSPR הוא חלק בתהליך של מימוש TAP (לפחות רישום אחד)

משתמש עם FIDO2 ועם TAP אינו יכול לעבוד עם רישום SSPR ולכן מומלץ לדסבל SSPR למשתמש

בתרחישים של NPS אין אפשרות לעבוד עם TAP

כאשר ישנו KMSI אין אפשרות לאכוף TAP על משתמשים

כאשר ישנו Seamless SSO ואוכפים TAP המשתמש יקבל חלון סיסמה בזמן הלוגין

חשבונות בעלי הרשאות יכולים לקבל TAP אך מומלץ לא לאכוף מדיניות לחשבונות מהסוג הזה

בתרחיש של Password Protection ישנה אכיפה של סינון סיסמאות על מנגנון TAP

TAP אינו מחליף סיסמאות קבועות למשתמש והוא נועד ליצירת סיסמה זמנית בלבד

TAP נועד לתרחישים בהם עובדים עם גישות הזדהות שונות כמו FIDO2

הגדרת TAP היא חד פעמית עד שההגדרה היא במצב Expired, ולכן אין אפשרות להגדיר מספר TAP במקביל

בתרחיש של ADFS או פדרציות מול צד שלישי ניתן להגדיר TAP ולהשלים את התהליך מול Azure AD

הגדרת TAP במצב Expired איננה ניתנת לשימוש חוזר ע"י המשתמש (צריך ליצור אחד חדש)

המימוש של TAP הוא נדרש למי שעובד לפי תקן NIST Special Publication 800-63A

ניתן לבצע רישום TAP גם בתהליך של Windows Autopilot

הפעלה והגדרה TAP

הפעלה והגדרת TAP הם פעולות פשוטות וניתנות להגדרה ע"י ברמת השירות Azure AD ולאחר מכן ברמת משתמש.

לפני שמפעילים TAP מומלץ לוודא שהרישום של הגדרת MFA יחד עם SSPR מופעל ביחד

גישה זמנית ויכולות TAP בתשתית Azure AD

שיטת הזדהות של TAP מופעלת בדיפולט אך איננה מוגדרת ולכן בכדי להגדיר TAP ניגשים להגדרות בתוך Authentication Methods ומשם מגדירים TAP לפי האפשרויות הבאות:

  • בחירת משתמשים – אפשר ורצוי לאפשר בתחילה על משתמשים מסוימים ולא על כלל המשתמשים בטננט
  • הגדרת כלליות לפי זמני Lifetime, לפי מורכבות סיסמה ושימוש חוזר
  • הגדרה שיטת הזדהות ברמת משתמש

הפעלה והגדרה TAPTAP authentication

בהגדרות כלליות ישנם מספר הגדרות שנאכפות על כלל המשתמשים:

  • Minimum lifetime – מספר דקות מינימלי שהגדרת TAP תקפה
  • Maximum lifetime – מספר דקות מקסימלי שהגדרת TAP תקפה
  • Default lifetime – הגדרות דיפולטיות שניתן לבצע להגדיר מחדש במסגרת הגדרות מינימליות ומקסימליות
  • One-time use – במידה ונמצא במצב False ניתן להשתמש בהגדרת TAP מספר פעמים, ובמידה ונמצא במצב True ניתן להשתמש פעם אחת בלבד – בשני המקרים כאשר ישנו תוקף

TAP authentication

הערכים המציונים מטה הם לדוגמה בלבד וניתן להגדיר פרקי זמן אחרים

TAP authentication

לאחר מכן ברמת משתמש נוכל להגדיר שיטת הזדהות ובמידת הצורך אפשר לבצע Override

Temporary Access Pass

Temporary Access Pass

בסיום נוכל להעביר את הסיסמה הזמנית לנמען.

 Temporary Access Pass

מאמרים נוספים בנושא זהויות Azure AD

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.

%d בלוגרים אהבו את זה: