Blogserie Azure MFA – Part 4 Installation Azure MFA Mobil App

Als weitere Möglichkeit der Authentifizierung, neben SMS und Anruf, steht die Mobile App zur Verfügung. Wie jeder TAN Generator muss zwischen Server und Client eine Synchronisierung stattfinden. In der on Premise Lösung wird dazu eine Website eingesetzt. Das Setup befindet sich auf dem MFA Server im Installationspfad. In meinem Beispiel verändere ich den Standardpfad des virtuellen Verzeichnisses.

114

Sobald die URL in der Installation verändert wird, muss diese auch in der Web.config des MFA Webportals angepasst werden.

116

In den globalen Einstellungen des Benutzerportals sollte die Mobile Anwendung nun erlaubt werden. Es muss ein Wert für die maximale Anzahl gleichzeitig aktivierter Geräte festgelegt werden.

117

Nun kann der User sich am Portal anmelden und einen Aktivierungscode generieren.

118

Dieser dient zur Erstsynchronisierung.

119

Die App ist in den jeweiligen Stores kostenlos erhältlich.

120

Der Code kann manuell eingegeben oder über den QR Code gescant werden. Nach der Eingabe verbindet sich die App mit dem Webportal, registriert das Gerät und legt einen geheimen Algorithmus zur Schlüsselerzeugung fest.

 121

Nun kann die mobile App als TAN Generator zur Authentifizierung verwendet werden.

Werbeanzeigen

Aufklärung zum Thema DevOps

Seit einiger Zeit begegnet einem das Modewort DevOps in regelmäßigen Abständen, besonders in Infrastruktur- und Cloud-Projekten. Hier eine Videoempfehlung und dazu der passende MVA Kurs.

http://channel9.msdn.com/Shows/news/News-Show-6 

http://www.microsoftvirtualacademy.com/training-courses/mdop-user-experience-virtualization-deep-dive

http://blogs.technet.com/b/devops/

Blogserie Azure MFA – Part 3 Installation Azure MFA User Portal / SDK

Normalerweise ist die Installation des Portals genauso einfach, wie die des Servers, eigentlich und auch nur laut MSDN! Werden alle Rollen auf einem Server ausgeführt, soll die Kommunikation intern über RPC funktionieren. Leider klappt das in der Praxis nicht. Bisher habe ich auch keine Anleitung im Netz gefunden, die überhaupt funktionierte. Mit einigem Aufwand und viel Troubleshooting habe ich es zum Laufen bekommen.

Zunächst wird auf dem MFA Server die IIS Serverrolle installiert. Dabei werden folgende zusätzliche Features der Rolle benötigt.

  • Basic Authentication
  • Windows Authentication
  • ASP.NET 3.5
  • ASP.NET 4.5
  • ISS 6 Metabase Compatibility

93

Die Kommunikation zwischen SDK und Userportal muss verschlüsselt sein. Dafür wird ein gültiges Zertifikat benötigt. In meinem Beispiel stammt das Zertifikat von einer internen CA. In der Praxis wird das Userportal und die Mobile App im Internet veröffentlicht, sodass sich hier ein öffentliches Zertifikat empfiehlt. Es sollte in jedem Fall der FQDN des MFA Servers bzw. der externen Adresse verwendet werden.

94

Zunächst installiere ich das Azure MFA SDK (ebenfalls ein Webservice) auf dem Server. Das SDK stellt die Verbindung zwischen dem MFA Server und dem User Portal her. Es kann über die Konsole des MFA Server installiert werden.

95

In der Installation wird die Active Directory Gruppe Phone Admins group erzeugt.

96

Ich habe die Website unter der Standardwebsite belassen. Hier kann aber auch im Vorfeld eine eigene erstellt und ausgewählt werden.

 97

Im zweiten Schritt installiere ich nun aus der MFA Konsole das User Portal.

98

In der Installation wird der Active Directory Benutzer PFUP_MFA Account erstellt.

99

Auch hier wird die Standardwebsite verwendet.

100

Das Passwort des Active Directory Benutzers wird während der Installation generiert. Ich benötige es jedoch später in einer Konfigurationsdatei, deshalb setze ich es nach der Installation zurück.

101

Nun binde ich das SSL Zertifikat im IIS an die Standardwebsite mit dem Port 443.

102

Das Userportal muss wissen, dass es den Umweg über das SDK gehen soll. Dafür wird die Web.Config im Pfad C:\inetpub\wwwroot\MultiFactorAuth editiert.

<add key=“USE_WEB_SERVICE_SDK“ value=“true“/>

<add key=“WEB_SERVICE_SDK_AUTHENTICATION_USERNAME“ value=“domäne\PFUP_MFA“/>

<add key=“WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD“ value=“Passwort“/>

<value>https://<MFASERVER FQDN>/MultiFactorAuthWebServicesdk/PfWsSdk.asmx</value>

103

In der Standardinstallation verwenden SDK und Userportal die .NET Version 4.o, jedoch benötigt das SDK die Version 2.0. Dazu wähle ich im IIS den Default App Pool und klicke auf View Applications.

104

Nun wähle ich die Website des SDK aus und ändere den Application Pool …

105

… auf Classic .NET App Pool.

106

Auf der Website des SDK ändere ich die Authentifizierung. Ich deaktiviere die anonyme Authentifizierung und aktiviere die Windows Authentifizierung.

107

Nun kann ich mich endlich mit der Konfiguration des User Portals selbst beschäftigen. In der Konsole des MFA Servers hinterlege ich die URL des Userportals und gebe einige Standardeinstellung an.

108
Nun funktioniert das Portal und der Login der Benutzer ist möglich.

109

Sofern nicht anders konfiguriert wird der Benutzer zuerst auf die Seite zur Beantwortung der Sicherheitsfragen weitergeleitet.

110

Was der Benutzer im Portal darf und was nicht regelt der Administrator in der Konsole des MFA Servers.

111
113

Sollte es beim Aufruf der Website zu folgenden Fehlern kommen, stimmt etwas in der Konfiguration nicht.

Web Service SDK: 3 – Web service requests must be protected with SSL. – Fehler bei der SSL Verschlüsselung vom SDK, tritt auch auf wenn der SDK ausgeschalten wird

 Web Service SDK: 4 – Web service requests must be protected with SSL. – Fehler bei der SSL Verschlüsselung vom SDK, tritt auch auf wenn der SDK ausgeschalten wird

 Azure MFA Web service requests must be protected by authentication. – Windows Authentifizierung auf der SDK Website fehlt 

Error communicating with the local Multi-Factor Authentication service. Please contact your administrator. – Verbindung zwischen User Portal und MFA Server funktioniert nicht

HTTP Error 500.24 – Internal Server Error – Entweder fehlt das .NET Framework oder die Zuordnung der Application Pools ist falsch

Server Error in ‚/MultiFactorAuth‘ Application. – Entweder fehlt das .NET Framework oder die Zuordnung der Application Pools ist falsch

Blogserie Azure MFA – Part 2 Installation Azure MFA

Kommen wir nun zur Grundinstallation. Aus meiner Sicht auch der einfachste Teil der ganzen Sache. Es wird ein Microsoft Azure Zugang benötigt. Im ersten Schritt erzeuge ich einen neuen Anbieter für die mehrstufige Authentifizierung.

In der Demo verwende ich die beiden Server dc.contoso.com (AD DS, AD CS) und mfa.contoso.com (MFA Server, MFA User Portal, MFA SDK, MFA Phone App).82

Anschließend wähle ich den neuen Anbieter aus und öffne die Verwaltung. Hier merkt man ganz gut, dass das Produkt noch nicht voll in Azure integriert ist.83

Im MFA Portal kann ich den Server herunterladen. Bei den Anmeldeinformationen handelt es sich um ein Einmalpasswort zur Installation des Servers. Es hat nur eine Gültigkeit von 10 Minuten.84

Auf dem Server selbst benötige ich das .NET Framework 3.5.

85

 Die Installation ist selbsterklärend, next, next, next finish.

86

 Der nachfolgende Assistent kann abgebrochen werden und sollte nur für komplexe Multi-Server-Deployment Szenarien verwendet werden.

87

Anschließend muss der Server bei dem Microsoft Azure Dienst registriert werden. Hier verwende ich das generierte Einmalpasswort und die E-Mail Adresse.

88

Nun kann der MFA Server einer bestehenden Gruppe hinzugefügt werden (für Hochverfügbarkeitsszenarien oder wenn der Server migriert wurde) oder eine neue Gruppe erstellt werden. Sollte die Gruppe nicht existieren wird sie automatisch angelegt.

89

 Abschließend füge ich die Benutzer einzeln hinzu oder konfiguriere eine Synchronisierung mit dem Active Directory. Sofern nicht schon aus dem Active Directory ausgelesen, erhält der Benutzer die Handynummer und die Art der Authentifizierung.

90

Nun kann ich den Dienst schon testen.

91

92

Blogserie Azure MFA – Part 1 Überblick

Kurz gesagt Azure MFA ermöglicht es einer on  Premise Anwendung einen weiteren Authentifizierungsfaktor hinzuzufügen. Aber nicht nur on Premise. Genauso gut können Services aus der Public Cloud abgesichert werden. On Premise ist das RDS Gateway dabei nur ein mögliches Szenario. Genauso gut kann es für SharePoint Seiten, OWA oder mit dem bereitstehenden SDK auch für jede Eigenentwicklung genutzt werden. Der Authentifizierungsfaktor wird dabei als Cloud Dienst von Microsoft bereitgestellt. Als weiterer Faktor wird das Mobiltelefon benutzt. Dabei gibt es ganz verschiedene Arten, egal ob Anruf, SMS, App, uni- oder bidirektional um sich zu authentifizieren. In der Blogserie beschränke ich mich auf die Betrachtung der on Premise Lösungen. Wo kommt Azure MFA her? Microsoft hat eingekauft und zwar 2012 die Lösung PhoneFactor. Seitdem wurde die Lösung in Microsoft Azure integriert. Die Bedienung sehe ich aber noch als verbesserungswürdig an.  Welche Komponenten benötige ich on Premise? Im einfachen Setup einen MFA Server. Dieser kann alle Serverrollen hosten.

Azure MFA Server – eigentlicher Server der die Verbindung zu Microsoft Azure herstellt

Azure MFA User Portal – Self Service Website für die User

Azure MFA Mobile App – Webschnittstelle zur Synchronisierung der Mobile App

Azure MFA SDK – Webschnittstelle für das Userportal und die Mobile App

Was kostet Azure MFA, im Vergleich zu anderen MFA Lösungen nicht viel. Abgerechnet wird pro Benutzer €1,0426 pro Monat (unbegrenzte Authentifizierungen) oder pro Authentifizierung €1,0426 pro 10 Authentifizierungen.

Weiterführende Links

MVA Kurs zum Thema Azure MFA

Microsoft Azure MFA Produktseite

Blogserie Azure Multi Faktor Authentifzierung

Ich sitze nebenbei an der Ausarbeitung eines mehrtägigen RDS und VDI Workshops für meinen Arbeitgeber. Wer also einen Deep Dive zu den Themen benötigt, hat bald die Gelegenheit dazu. Passend dazu stand das Thema Azure MFA schon länger auf meiner Agenda. Bisweilen ist es teuer und aufwändig eine Multi-Faktor-Authentifizierung in RDS Umgebungen zu implementieren. Jedoch aus meiner Sicht unbedingt erforderlich, schließlich greift man mit RDP meist direkt in das Herz des Rechenzentrums zu. Die gesamte Installation und Konfiguration ist recht komplex, deshalb verschiedene Teile, welche die nächsten Tage online gehen. Viel Spaß.

Blogserie Azure MFA – Part 1 Überblick

Blogserie Azure MFA – Part 2 Installation Azure MFA

Blogserie Azure MFA – Part 3 Installation Azure MFA User Portal

Blogserie Azure MFA – Part 4 Installation Azure MFA Mobil App

Blogserie Azure MFA – Part 5 Konfiguration RDS Gateway