Mehr Datensicherheit dank Multi-Faktor-Authentifizierung

Die Dienst-Architektur im Detail

In der On-Premise Variante besteht der Dienst aus einem lokalen MFA Server und einem MFA Service in der Azure Cloud. Dabei gliedert sich der MFA Server in verschiedene Rollen:

- MFA Server - Hauptkomponente

- MFA Userportal (Optional) - Self Service Portal für Benutzer

- MFA SDK (Optional) - Integration in eigene Cloud oder On-Premise Anwendungen

- MFA Mobile App (Optional) - Softwaretoken für Smartphones

Im MFA Server selbst wird das Produkt konfiguriert. Neben der Benutzerpflege, können unternehmensweite Richtlinien, Sicherheitsfragen oder zur Verfügung stehende Anmeldemethoden konfiguriert werden. Darüber hinaus werden Schnittstellen für die Anwendungen zur Verfügung gestellt, welche letztlich den Dienst nutzen sollen. Weiterhin sind das Logging sowie der automatische E-Mail-Versand einzustellen, beispielsweise die Willkommens-E-Mail bei neu angelegten Benutzern. Dies ist sehr komfortabel, denn jede E-Mail-Vorlage kann individuell angepasst werden. Im Azure Portal stehen weitere Konfigurationsoptionen bereit. So können Reports zur Nutzung erzeugt oder individuelle Sprachansagen hochgeladen werden. Innerhalb des Portal lässt sich auch einstellen, wie mit Betrugswarnungen und Kontosperrungen umzugehen ist. Der Dienst bietet verschiedene Überprüfungsmethoden an, die zentral oder individuell pro Benutzer festgelegt werden können.

- Telefonanruf mit Bestätigung durch Drücken der # Taste

- Telefonanruf mit zusätzlichem PIN

- Textnachricht mit sechsstelligem Code der eingegeben werden muss

- Textnachricht mit zusätzlichem PIN

- Mobile App

- Mobile App mit zusätzlichem PIN

- OATH-Tokens von Drittanbietern

Folgende Schritte laufen bei der Nutzeranmeldung ab.

(1) Der Benutzer will auf eine On-Premise App zugreifen und meldet sich mit seinen Benutzernamen und Passwort an.

(2) Die App kommuniziert nicht direkt mit dem Active Directory, sondern gibt die Anfrage an den MFA Server weiter.

(3) Der MFA Server sendet die Anmeldedaten an das Active Directory.

(4) Der MFA Server erhält eine positive oder negative Antwort vom Active Directory.

(5) Sind die Anmeldedaten korrekt, fordert der MFA Server die zusätzliche Authentifizierung des Benutzers an, dazu werden folgende Daten in die Cloud übertragen:

- Eindeutige ID: Benutzername oder interne ID des MFA-Servers

- Vor- und Nachname: optional

- E-Mail-Adresse: optional

- Rufnummer: für eine Anruf- oder SMS-Authentifizierung

- Gerätetoken: für die Authentifizierung einer mobilen App

- Authentifizierungsmodus

- Authentifizierungsergebnis

- Name des MFA-Servers

- MFA-Server-IP

- Client-IP - falls verfügbar

(6) Der Cloud Service kontaktiert entsprechend der gewählten Methode den Benutzer.

(7) Der Benutzer authentifiziert sich am MFA Cloud-Dienst.

(8) Die Antwort wird zurück an den lokalen MFA Server geschickt.

(9) Der MFA Server meldet der On-Premise den Erfolg oder die Ablehnung.

(10) Die Authentifizierung wird abgeschlossen und der Benutzer kann auf die App zugreifen.

Dank des Authentication-SDK gibt es zahllose Nutzungsszenarien. Es ist verfügbar für C#, Visual Basic (.NET), Java, Perl, PHP und Ruby. Damit kann der Dienst wunderbar in eigene Anwendungen integriert werden. Aber auch zahlreiche Standardkonfigurationen, wie Active Directory-Verbunddienste (ADFS), RADIUS-Authentifizierung, IIS-Authentifizierung, Windows-Authentifizierung und LDAP-Authentifizierung stehen bereit.

Insbesondere RADIUS ermöglicht eine hohe Anzahl an Nutzungsszenarien, ob wie im Beispiel zur Sicherung des Remote Desktop Gateway / Citrix NetScaler, oder gleich für VPN Server. Die IIS-Authentifizierung eignet sich wiederum sehr gut zur Absicherung von SharePoint oder Outlook Web App Veröffentlichungen.

Azure Multi-Factor Authentication ist im Lieferumfang von Azure Active Directory Premium enthalten, kann aber auch separat lizenziert werden. Bei der separaten Lizenzierung gibt es zwei Abrechnungsmodelle. Entweder pro Benutzer und Monat 1,1807 Euro für unbegrenzte Authentifizierungen, oder 1,1807 Euro pro zehn Authentifizierungen (Stand: 22.11.2015). Entscheidend bei der Benutzerlizenzierung sind die im MFA Server aktivierten Benutzer. Das Abrechnungsmodell kann im Nachhinein nicht mehr geändert werden.