Temporary Access Pass im Azure AD

Befristeter Zutritt

Gerade neue Mitarbeiter oder solche, die keinen Zugriff mehr auf ihre MFA-Methoden haben, stehen vor dem Problem, wie sie sich ohne starke Credentials bei einem Identity Provider wie dem Azure AD anmelden. Dieses Henne-Ei-Problem löst Microsoft mit dem Temporary Access Pass. Dieser ist ein von einem Administrator ausgegebener zeitlich begrenzter Passcode, der strenge Anforderungen erfüllt und zum Integrieren anderer Authentifizierungsverfahren dient.
Als zentrale Informationsablage sind sie unabdingbar: Datenbanken. Sie kommen in den unterschiedlichsten Ausprägungen daher und wollen freilich sorgsam ... (mehr)

Steigen neue Mitarbeiter in das Unternehmen ein, erhalten sie meist zunächst einen Satz von Anmeldeoptionen, mit denen sie sich an ihrem Computer, Mobiltelefon und der Infrastruktur einloggen. Die Übergabe der Anmeldedaten funktioniert entweder physisch durch den Vorgesetzten oder über einen Prozess, der die sichere Übertragung des Initialpassworts oder PIN sicherstellt.

Viele dieser Prozesse setzen voraus, dass sich der neue Mitarbeiter und der Vorgesetzte gegenüberstehen und eine Übergabe stattfinden kann. In halbwegs digitalisierten Fällen bekommt der Mitarbeiter die Daten telefonisch mitgeteilt, anderenorts wartet ein Umschlag mit einem Zettel im Postkasten des neuen Mitarbeiters, den dieser mit einem Schlüssel als Teil des Onboardings am ersten Arbeitstag öffnet. In vielen Fällen ist dies ein Passwort, von dem sich dann später weitere Credentials ableiten.

Ein verwandtes Szenario kostet viele Unternehmen bares Geld: Vergessen Mitarbeiter ihr Passwort oder lassen alle MFA-Optionen zu Hause oder verlieren diese sogar, hilft nur der Anruf beim Helpdesk. Dieser muss dann zunächst die Identität des Mitarbeiters feststellen und verifizieren und anschließend das Passwort oder die MFA-Optionen (Multifaktor-Authentifizierung) zurücksetzen. Zwei kostspielige Schritte, denn zunächst muss der Mitarbeiter beweisen, dass er legitim ist, und danach muss er das temporäre Passwort vom Helpdesk empfangen, richtig eintippen und anschließend neu setzen.

Erschwerend kommt hinzu, dass für beide skizzierten Anwendungsfälle nicht mehr anzunehmen ist, dass Mitarbeiter in diesen Fällen im Büro sitzen, sondern die allererste Anmeldung von zu Hause erfolgt. Oder dass grade verlorene oder kaputte MFA-Optionen auch aus der Ferne ersetzt werden müssen. Für die Cloud hat Microsoft in Azure AD ein Konzept von temporären Einmal-Passcodes als Preview eingeführt – Temporary Access Pass (TAP).

Die Idee dahinter: Bestätigt eine

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022