SURFsecureID en Microsoft Azure MFA combineren

In dit blog geef ik twee manieren hoe SURFsecureID en Azure MFA elkaar aanvullen en op elkaar aansluiten. Allereerst beschrijf ik hoe Azure MFA 2FA-middelen in SURFsecureID gebruikt kunnen worden, vervolgens laat ik zien hoe applicaties die gekoppeld zijn aan Azure AD gebruik kunnen maken van SURFsecureID.

SURFsecureID biedt instellingen de mogelijkheid toegang tot applicaties of diensten extra te beveiligen door tweefactorauthenticatie. SURFsecureID gebruikt open standaarden en kan zowel voor diensten gekoppeld aan SURFconext, voor diensten binnen je instelling en diensten die niet aan SURFconext gekoppeld zijn. Daarbij zorgt SURFsecureID voor een hoog betrouwbaarheidsniveau van de gebruikersidentiteit en is alle data opgeslagen in Nederland.

In gesprekken met instellingen merken we dat er getwijfeld wordt tussen het inzetten van SURFsecureID of MS Azure Multi-Factor Authentication (MFA) voor het met 2-factor authenticatie (2FA) afschermen van applicaties. Wat we dan als voornaamste redenen horen is dat de instelling hun gebruikers maar van één 2FA-middel wil voorzien of dat er onzekerheid is over het gebruiken van SURFsecureID voor applicaties die gekoppeld zijn aan Azure AD.

Eén 2e factor voor de gebruiker

Azure MFA en SURFsecureID ondersteunen elk verschillende typen 2FA-middelen. Voor gebruikers is het onhandig en verwarrend als zij verschillende 2FA-middelen naast elkaar moeten gebruiken. Bijvoorbeeld voor de ene applicatie de Microsoft Authenticator app en voor een andere applicatie de tiqr mobiele app.

We gaan het echter mogelijk maken dat een instelling zowel Azure MFA als SURFsecureID kan gebruiken, terwijl de gebruiker maar één 2FA-middel hoeft te gebruiken. Als een gebruiker één van de Azure MFA middelen gebruikt (bijvoorbeeld de MS Authenticator app), kan hij dit middel ook in SURFsecureID registreren. Zo heeft de gebruiker maar één 2FA-middel en kan hij dit gebruiken voor diensten die Azure MFA of SURFsecureID gebruiken. En de diensten die via SURFsecureID zijn gekoppeld kunnen blijven vertrouwen op het hoog betrouwbaarheidsniveau van de gebruikersidentiteiten.

Om deze setup te kunnen laten werken is het nodig dat de instelling een eigen AD FS heeft die gekoppeld is met het Azure AD.

Schematische weergave van de combinatie tussen SURFsecureID en Microsoft Azure MFA

Het ondersteunen van Azure MFA als 2FA-middel in SURFsecureID is onderzocht en praktisch getoetst in samenwerking met 2AT. We gaan nu starten met de ontwikkeling en willen dit vervolgens in een pilot situatie toetsen. Daarna zal dit in productie genomen kunnen worden. Wil je mee doen met de pilot, meldt je dan bij mij!

SURFsecureID voor applicaties die gekoppeld zijn aan Azure AD

Een instelling die applicaties op Azure AD heeft aangesloten kan deze nu al extra beveiligen met SURFsecureID. Er kan daarvoor gebruik gemaakt worden van de Conditional Access policies in Azure AD. Hiermee kan de instelling bepalen onder welke voorwaarden de gebruiker SURFsecureID moet gebruiken als 2e factor, bijvoorbeeld afhankelijk van de applicatie, groepslidmaatschap, locatie of berekend risico door Azure AD Identity Protection.

Deze integratie tussen Azure AD en SURFsecureID is nu al mogelijk. Hiervoor moet er gebruik gemaakt worden van een ADFS server die login verzoeken afhandelt. Met andere woorden, Azure AD moet als een gefedereerd domein geconfigureerd zijn. De werking is nu als volgt:

Schematische weergave van SSID als middel voor Azure
  1. De gebruiker probeert zich aan te melden bij een Azure AD toepassing, bijvoorbeeld Office365 of Sharepoint Online. Aangezien het domein gefedereerd is, wordt hij omgeleid naar de On-Premise ADFS server om zich aan te melden. De gebruiker zal daar een standaard gebruikersnaam/wachtwoord authenticatie uitvoeren (1e factor).
  2. Eenmaal succesvol geauthenticeerd, zal hij teruggestuurd worden naar de Azure AD.  Nu is het het moment waarop Azure AD de Conditional Access policies evalueert en bepaalt of de gebruiker MFA nodig heeft of niet.
  3. Als MFA nodig is, genereert Azure AD een nieuw ADFS login-verzoek, dit keer met de specifieke vermelding via de wauth parameter om multipleauthn te gebruiken. Dit zal de ADFS effectief vertellen om MFA uit te voeren met behulp van de geconfigureerde providers. De SURFsecureID ADFS plugin is zo’n provider.
  4. Zodra de gebruiker succesvol met SURFsecureID zijn 2e factor heeft aangetoond, zal hij teruggestuurd worden naar de Azure AD met een nieuw SAML token dat een claim bevat die Azure AD vertelt dat MFA nu is uitgevoerd en deze laat de gebruiker vervolgens door.

Zie het rapport van 2AT met meer details over hoe bovenstaande precies geconfigureerd moet worden.

Auteur

Reacties

Dit artikel heeft 3 reacties

Reactie van Peter Clijsters

Nog een update; om Azure MFA als middel in SURFsecureID te kunnen registreren is het niet meer nodig dat een instelling een ADFS heeft. De koppeling vanuit SURFsecureID kan ook rechtstreeks naar Azure AD.

Reactie van dr. ir. S. Draaijer

Dag Peter, hoe moet je je aanmelden voor de Teamsomgeving van SURF als je een nieuwe telefoon hebt en voor het eerst weer SURF Teamsomgeving wil activeren? Nu moet ik alles oplossen door mezelf een SMS code te sturen. Nogal omslachtig is dat. Ik hoor graag van jullie.