Microsoft Azure MFA Cloud Service in Citrix ADC Version 12

Um meinen vorherigen Artikel zu vervollstĂ€ndigen, habe ich in meinem Test Lab direkt auch noch denn Microsoft Azure MFA Service aus der Cloud implementiert und getestet. In diesem Beitrag gehe ich direkt auf die ToDo’s fĂŒr die Implementierung ein. FĂŒr weitere Informationen zu MFA und den Unterschieden zwischen Lokal und Cloud lest bitte meinen vorherigen Beitrag.

Wichtig ist das alle meine Angaben den Stand MĂ€rz 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.

Microsoft Azure MFA Cloud in Citrix ADC Version 12
„Microsoft Azure MFA Cloud Service in Citrix ADC Version 12“ weiterlesen

Microsoft Azure MFA Server in Citrix ADC Version 12

WĂ€hrend eines meiner aktuellen Projekte, startete ich einen PoC bezĂŒglich Zwei-Faktor-Authentifizierung basierend auf Microsoft Azure MFA. Bei der Azure Multi-Factor-Authentifizierung mĂŒssen Benutzer die Anmeldungen mithilfe einer mobilen App, eines Telefonanrufs oder einer SMS-Nachricht ĂŒberprĂŒfen und bestĂ€tigen. Sie können es zusammen mit Azure AD oder der lokalen AD verwenden.

Wichtig ist das alle meine Angaben den Stand MĂ€rz 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.

Microsoft Azure MFA Server in Citrix ADC Version 12

Multi-Faktor-Authentifizierung

Die Sicherheit der zweistufigen ÜberprĂŒfung liegt im Ebenenansatz. Die Faktoren der mehrfachen Authentifizierung zu ĂŒberwinden stellt eine große Herausforderung fĂŒr Angreifer dar. Selbst wenn ein Angreifer das Kennwort des Benutzers herausfinden kann, ist dies nutzlos, wenn er nicht auch die zusĂ€tzliche Authentifizierungsmethode beherrscht. Dies funktioniert durch das Anfordern von mindestens zwei der folgenden Authentifizierungsmethoden:

  • Etwas, das Sie wissen (normalerweise ein Kennwort)
  • Etwas, das Sie haben (ein vertrautes GerĂ€t, das nicht leicht dupliziert werden kann, wie ein Telefon)
  • Etwas, das Sie sind (biometrisch)
„Microsoft Azure MFA Server in Citrix ADC Version 12“ weiterlesen

Citrix ADC Version 12 als initial IdP fĂŒr Office365

In diesem Beitrag geht es darum eine SAML Authentifizierung fĂŒr Office365, ĂŒber den Citrix ADC (Version 12) einzurichten. Hierbei dient der Citrix ADC als IdP und Office365 als SP. Damit man nicht hundert Mal seinen Benutzernamen eingeben muss, wird dies durch ein initial IdP unterbunden (SSO).

BegriffserklÀrung

Kurz die wichtigen kommenden Begriffe erlÀutert.

SAML

SAML (Security Assertion Markup Language) bietet eine gemeinsame Plattform, zum webbasierten Zugriff auf mehrere, autonome Services, ohne zu einer mehrmaligen Eingabe der Zugangsdaten gezwungen zu sein. Die Authentifizierung erfolgt, ĂŒber ein verschlĂŒsseltes Session-Cookie, transparent im Hintergrund. Dieses Session-Cookie, das mit einem Ablaufdatum versehen ist, erhĂ€lt der Anwender im Browser von einem Authentifizierungsdienst (Identity Provider – IdP) und kann damit dann anschließend im Browser alle angebundenen Services (Service Provider – SP) nutzen.

„Citrix ADC Version 12 als initial IdP fĂŒr Office365“ weiterlesen

Aktivierung von Office365 ĂŒber mehrere Citrix Worker (Activation Token Roaming)

Die Aktivierung von Office365 im Terminalserver Umfeld ist zwar mit Shared Computer Activation erledigt, wird aber ohne weitere Konfiguration nicht im Terminalserver Umfeld funktionieren. Was in dem Microsoft Artikel, aus meinem anderen Blogeintrag, nĂ€mlich nicht steht, Office legt im Benutzerverzeichnis “AppData\Local\Microsoft\Office\16.0\Licensing” (Die 16.0 steht fĂŒr Office 2016, bei 2013 muss dort 15.0 stehen) ein Lizenztoken fĂŒr den Host (Server/Client) ab. Dieses Token ist nur fĂŒr diesen Host, auf welchem der Benutzer gerade das Office aktiviert hat gĂŒltig. Meldet der Benutzer sich auf einem anderen Host, wird fĂŒr diesen ein weiteres Token in dem Verzeichnis abgelegt.

Bei Roaming Profiles muss daher die vorhandene Konfiguration um den oben aufgefĂŒhrten Ordner, oder den Ordner der ĂŒber GPO definiert wurde, erweitert werden, damit dieser ĂŒber alle Hosts synchronisiert wird.

Im Gegensatz zum normalen Lizenztoken fĂŒr FatClients, ist dieses nur wenige Tage gĂŒltig. Microsoft hat dafĂŒr diesen Technet Artikel veröffentlicht: Technet Shared Computer Activation

„Aktivierung von Office365 ĂŒber mehrere Citrix Worker (Activation Token Roaming)“ weiterlesen