Обзор проверки подлинности Specops для Office 365

Опубликовано: 10 Марта, 2023
Обзор проверки подлинности Specops для Office 365

Продукт: Аутентификация Specops для Office 365

Домашняя страница продукта: нажмите здесь

Бесплатная пробная версия: нажмите здесь

Введение

Specops Software — шведская компания, основанная в 2001 году, со штаб-квартирой в Стокгольме и офисами в США, Канаде и Великобритании. Они разрабатывают уникальные продукты для управления паролями и рабочими столами на основе технологий Microsoft. В 2017 году они запустили Specops Authentication для Office 365 — единое решение, которое оптимизирует и защищает интеграцию Office 365 с Active Directory и вход пользователей с помощью динамической многофакторной аутентификации (MFA). В этом обзоре продукта мы рассмотрим его последнюю версию 8.0.18318.2.

Specops Authentication для Office 365 предлагает организациям простой и автоматизированный подход к управлению пользователями и аутентификации Office 365. Он состоит из одного или нескольких присоединенных к домену серверов, установленных локально, что позволяет администраторам настраивать подготовку пользователей и назначать лицензии пользователям при входе в Office 365.

Мощный механизм MFA решения поддерживает широкий спектр факторов аутентификации, которые могут помочь улучшить общую безопасность организации, и, на мой взгляд, именно в этом его преимущество. Благодаря более чем 15 поставщикам удостоверений, доступным во время проверки подлинности, у пользователей всегда будет безопасный способ доступа к Office 365.

Короче говоря, Specops позволяет организациям:

  • Защитите вход в Office 365 с помощью динамических поставщиков удостоверений MFA:
    • встроенная идентификация Windows (пароль AD);
    • Вопросы безопасности;
    • Мобильный проверочный код (SMS-код);
    • Specops Authenticator (приложение OTP);
    • Google Authenticator (приложение OTP);
    • Microsoft Authenticator (приложение OTP);
    • Двойная безопасность;
    • Symantec VIP;
    • Specops Fingerprint Authenticator (работает с Apple Touch/Face ID и отпечатками пальцев Android);
    • ID мобильного банка (Швеция);
    • Варианты социальных сетей и электронной почты: Gmail, Yahoo, Facebook, Twitter и другие;
    • Карты Efos/SITHS (Швеция).
  • Включите самостоятельный сброс пароля, который использует тот же механизм MFA;
  • Автоматическое предоставление пользователей из локальной Active Directory (AD) в Office 365.

Как это работает?

Specops Authentication состоит из серверной части аутентификации, веб-служб и служб идентификации, размещенных в облаке, и локальных серверов Gatekeeper.

  • Серверная часть аутентификации связывается с гейткипером, чтобы считывать информацию о пользователе из AD и проверять личность пользователя на основе токенов из отдельных служб идентификации. Веб-службы и службы идентификации также взаимодействуют с серверной частью;
  • Веб-аутентификация содержит интерфейс для пользователей и администраторов. Он позволяет создавать параметры аутентификации Specops, а также конфигурацию обеспечения;
  • Identity services — это сущность, которая может проверять личность пользователя в Specops Authentication. Маркеры из этих служб идентификации затем используются серверной частью для проверки личности пользователя;
  • Гейткипер устанавливается на локальном сервере, присоединенном к домену, поэтому он может считывать информацию о пользователях из AD и управлять всеми операциями с AD, такими как чтение/запись регистрационных данных;
  • Политики аутентификации определяют, как пользователь должен аутентифицироваться, чтобы получить доступ к ресурсу. Они содержат правила, необходимые для регистрации и многофакторной идентификации при доступе к Office 365, такие как управление тем, какие службы идентификации можно использовать и сколько должно использоваться для проверки личности пользователей.

На приведенной ниже диаграмме, взятой непосредственно с веб-сайта Specops, показано, как работает аутентификация Specops:

  1. Пользователь пытается войти в Office 365, перейдя, например, на и введя свои учетные данные;
  2. Пользователь перенаправляется на проверку подлинности Specops через Federated Trust;
  3. Варианты аутентификации извлекаются и представляются пользователю;
  4. Пользователь выбирает одну или несколько служб идентификации для аутентификации;
  5. Службы идентификации возвращают идентификатор пользователя в Specops Authentication;
  6. Идентификация пользователя проверяется по локальному AD;
  7. Specops Authentication создает токен, который пользователь должен представить в Office 365;
  8. Specops Authentication возвращает аутентифицированного пользователя в Office 365, если соблюдается политика аутентификации.

Хотя поначалу может показаться, что входящее соединение нужно открывать через брандмауэр к гейткиперу, это не так! Все соединения Specops являются только исходящими, что отлично с точки зрения безопасности.

Требования

Для установки Gatekeeper нам нужен сервер, отвечающий следующим требованиям:

  • Windows Server 2012 R2 или более поздней версии;
  • .NET Framework 4.7 или более поздней версии.

Для подготовки пользователей в Office 365 нам потребуется действительное доменное имя (домен по умолчанию использовать нельзя) и учетная запись Office 365 с правами глобального администратора в Azure AD. Кроме того, современная проверка подлинности должна быть включена для Exchange Online и Skype для бизнеса Online, которая уже некоторое время используется по умолчанию, но не для старых клиентов. Если в Office 365 используется федеративное удостоверение, например, через ADFS, вам потребуется дефедерировать домен, так как он должен быть объединен с проверкой подлинности Specops.

Установка Specops проста. Все, что для этого требуется, — это создать учетную запись клиента, загрузить настроенный пакет установки и настроить Gatekeeper в среде Active Directory организации.

Начальная конфигурация

Первым шагом должна быть настройка встроенной аутентификации Windows, чтобы учетные данные пользователей AD автоматически передавались через их браузер на веб-сервер Specops. Таким образом, пользователи будут автоматически аутентифицироваться с помощью своего удостоверения Windows и предоставлять маркер аутентификации удостоверения Windows.

Далее мы можем создать GPO Specops Authentication. Пользователи, на которые нацелен этот объект групповой политики, могут настроить параметры аутентификации, подготовки и лицензии в веб-сайте Specops Authentication. Используя GPO, мы можем использовать разные политики для разных групп пользователей.

Веб-сайт Specops Authentication Web используется для просмотра системной информации и управления большинством аспектов продукта, включая общесистемные конфигурации и политики MFA для различных ресурсов. Когда администраторы впервые входят на страницу администрирования, они должны зарегистрироваться в системе. Это следует тому же процессу для конечных пользователей, который будет подробно описан позже.

На первой странице перечислены все гейткиперы, настроенные в среде, включая их состояние. Как следует из текста, мы можем установить и настроить дополнительные для резервирования, что всегда необходимо для любой производственной среды. Если гейткипер выйдет из строя, обслуживание не будет прервано, пока есть еще один работающий гейткипер.

В этом интерфейсе администраторы могут включать или отключать все службы идентификации, поддерживаемые Specops Authentication, и их очень много!

Те, у кого есть шестеренка, поддерживают дополнительную конфигурацию. Например, в разделе мы можем указать, на сколько вопросов пользователи должны ответить, удалить существующие вопросы, добавить новые или даже добавить вопросы на разных языках, среди прочих опций. Specops также поддерживает обширную настройку. Мы можем настроить его логотип, использовать таблицу стилей и практически изменить любой текст в пользовательском интерфейсе, в том числе используя разные языки:

Веб-интерфейс также предоставляет доступ к нескольким полезным отчетам и журналам. Например, мы можем отслеживать количество аутентификаций, выполненных Specops, по часам/дням/неделям/месяцам или даже проверять наиболее часто используемых поставщиков удостоверений:

Существует также журнал аудита с действиями, выполняемыми администраторами (ниже мы видим, например, что я отключил CAPTCHA), среди других журналов событий:

Мы также можем добавить несколько доменов в нашу учетную запись организации Specops Authentication и управлять настройками CAPTCHA:

Настройка Specops для Office 365

Теперь пришло время перейти к тому, что на самом деле привело нас сюда: использование проверки подлинности Specops с арендатором Office 365!

Решение позволяет выполнять подготовку, лицензирование и настройку федерации Office 365 в дополнение к настройке политик MFA. Прежде чем продолжить, важно убедиться, что мы уже добавили личный домен в Office 365 и подтвердили его право собственности.

Как только это будет сделано, мы можем решить, хотим ли мы использовать объект групповой политики для определения того, какие пользователи могут использовать Specops, или использовать организационное подразделение, указанное во время установки Gatekeeper, в качестве целевой области для Specops. Следующий шаг — решить, какие службы идентификации могут использовать пользователи, включая вес (звезды) каждой из них, а также требования для регистрации и аутентификации. Например, мы можем указать, что пользователям необходимо регистрироваться в различных службах идентификации, пока они не получат 6 звезд (что означает не менее 3 служб идентификации), но для аутентификации им нужны только 4 звезды (как минимум 2 службы идентификации). Именно здесь вступает в игру баланс между безопасностью и пользовательским опытом.

Для этого теста я выбрал 3 звезды для проверки подлинности и сделал четыре службы идентификации доступными для пользователей, все с весом 2. Это означает, что пользователям придется использовать 2 службы идентификации для входа в Office 365. Из-за встроенной проверки подлинности Windows, если пользователи вошли на рабочую станцию со своими учетными данными, им будет предложено только подтвердить свою личность с помощью мобильного кода, секретного вопроса или приложения Specops Authenticator:

Теперь, когда мы настроили требования аутентификации для пользователей, мы включаем лицензирование Office 365, при котором пользователям будут автоматически назначаться лицензии при каждом входе в Office 365. Решение предоставляет нам пользовательские правила, которые мы можем использовать для настройки предоставления пользовательских объектов с самого начала. -premises AD для Azure AD. Включив это, мы разрешаем Specops Authentication создавать пользовательские объекты в Azure AD по мере того, как пользователи входят в Office 365. Если оставить этот параметр отключенным, пользователи не будут созданы, и любые пользователи, которых еще нет в Azure AD, не смогут войти в систему. У нас также есть возможность указать, какие атрибуты обязательны, а какие нет.

Последним шагом является включение федерации. Поскольку у Specops уже есть необходимые разрешения для нашего арендатора, все, что нам нужно сделать, чтобы включить наш Office 365 для интеграции с Specops, — это нажать кнопку включения:

И мы закончили! Теперь, когда мы полностью настроили проверку подлинности Specops для работы с Office 365, пришло время взглянуть на процесс проверки подлинности с точки зрения пользователя.

Пользовательский опыт

С точки зрения пользователя, Specops Authentication поддерживает следующие клиенты для доступа к Office 365:

  • Веб-версии O365 во всех современных браузерах;
  • Office 365 для Windows;
  • Офис 2016 для Windows;
  • Office 2013 для Windows (с дополнительными обновлениями);
  • Outlook для iPhone;
  • Outlook для Android;
  • OneDrive для бизнеса;
  • Скайп для бизнеса.

Давайте начнем с рассмотрения взаимодействия с пользователем, когда пользователь входит на портал Office 365 в первый раз. Когда мы вводим свое имя пользователя и переходим в поле ввода пароля, Office 365 перенаправляет нас на страницу входа Specops, как и в любом другом решении для федерации:

Поскольку это первый раз, когда этот пользователь входит в систему, нас просят зарегистрироваться в Specops:

Начнем с подтверждения нашего пароля:

И затем представлены службы идентификации, которые мы настроили ранее как администраторы. Как упоминалось ранее, в этом случае нам нужно только зарегистрироваться с дополнительной услугой:

Давайте сначала попробуем секретный вопрос. Как только мы выбираем эту службу идентификации, мы попадаем в список предопределенных вопросов, которые мы можем использовать:

Мы просто выбираем вопрос, который хотим использовать, отвечаем на него и нажимаем OK:

Выбор Specops Authenticator потребует от нас загрузки и установки собственного приложения проверки подлинности Specops (аналогично собственному приложению проверки подлинности Microsoft). Страница входа предоставляет нам QR-код, который нам нужно отсканировать после установки приложения, чтобы настроить его:

Итак, просто зайдите в магазин приложений, скачайте приложение:

Откройте его и нажмите «Сканировать QR-код»:

После этого введите отображаемый код в поле «Код» на веб-сайте и нажмите «Подтвердить».

Как только мы заполним все необходимые звезды, мы можем продолжить:

Поскольку этот пользователь впервые входит в Office 365, Specops необходимо создать учетную запись и назначить ей лицензию:

В моем случае для подготовки учетной записи пользователя и перенаправления на портал Office 365 потребовалось около 15 секунд:

Если мы проверим пользовательскую лицензию, мы можем подтвердить, что, как мы настроили, все службы были включены, кроме Teams:

Вот и все! Простой.

Пользователям будут периодически запрашиваться учетные данные, им не нужно будет каждый раз проходить аутентификацию в Specops. Когда пользователь завершает процесс проверки подлинности, Azure AD выдает маркер обновления для этого клиента. По умолчанию максимальный возраст этого токена составляет 90 дней. По истечении срока действия токена или если он будет отозван администратором, клиент должен будет повторно пройти аутентификацию с помощью Specops Authentication, чтобы получить новый токен. Управление токенами осуществляется Azure, то есть администраторы не могут настраивать или управлять ими непосредственно в Specops Authentication.

Как и в случае с собственной реализацией Microsoft MFA, для некоторых старых приложений, которые не поддерживают современную аутентификацию, потребуется пароль приложения для аутентификации в Office 365, что позволяет им обходить MFA/Specops.

Вывод

Когда меня впервые попросили просмотреть Specops Authentication, моей первоначальной мыслью было: «Зачем организации нужен этот продукт, если собственная MFA от Microsoft отлично работает с Office 365»? После некоторого использования Specops я вижу его привлекательность для некоторых организаций.

С одной стороны, Specops Authentication имеет несколько недостатков:

  • Его онлайн-руководство не самое лучшее, и это может сделать установку и настройку Specops в первый раз немного запутанной, но я знаю, что Specops работает над его улучшением;
  • Мобильные приложения Specops Authenticator и Specops Fingerprint должны быть объединены в одно. Гораздо проще нажать на уведомление (Specops Fingerprint), чем открыть приложение (Specops Authenticator), прочитать код, ввести код и нажать OK. Объединение обоих приложений в одно даст пользователям возможность выбрать предпочтительный метод без необходимости устанавливать разные приложения. Сказав это, я думаю, у нас всегда есть возможность использовать приложение Microsoft для проверки подлинности вместе со Specops;
  • На данном этапе в Specops отсутствуют некоторые из более продвинутых и мощных функций условного доступа Azure. Например, мы не можем обойти MFA внутри сети компании и применять MFA только тогда, когда пользователи работают удаленно, или применять MFA только для определенной службы, такой как Exchange Online и OneDrive.

С другой стороны, Specops предоставляет параметры MFA, недоступные в Azure MFA. Все варианты MFA Microsoft полагаются на то, что у пользователей есть либо стационарный номер, по которому они могут принять телефонный звонок, либо мобильный телефон. Я участвовал в нескольких проектах, в которых бизнес хотел предложить пользователям другие варианты, например, получение кода по электронной почте (вместо SMS), как это делают многие другие продукты, или, например, ответы на один или несколько секретных вопросов. Microsoft уже предоставляет эти возможности с функцией самостоятельного сброса пароля Azure, так почему бы не предложить их с помощью MFA? Именно здесь Specops заполняет пробел: он предлагает варианты MFA, которые не требуют, чтобы пользователи полагались на мобильный телефон, и в то же время предоставляет другие функции, которые делает Azure AD Connect, такие как подготовка пользователей, все в одном. Еще одна функция, которая будет рассмотрена в отдельном обзоре, — это Specops uReset, решение для самостоятельного сброса пароля, которое использует тот же механизм аутентификации, что и Specops Authentication, и позволяет пользователям сбрасывать свой пароль таким же безопасным способом, как и вход в Office 365.

TechGenix.com Рейтинг 4.6/5

Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023