Office365 Archive – Seite 2 von 3

Microsoft Azure MFA Cloud Service in Citrix ADC

Um meinen vorherigen Artikel zu vervollständigen, habe ich in meinem Test Lab direkt auch noch denn Microsoft Azure MFA Service aus der Cloud implementiert und getestet. In diesem Beitrag gehe ich direkt auf die ToDo’s für die Implementierung ein. Für weitere Informationen zu MFA und den Unterschieden zwischen Lokal und Cloud lest bitte meinen vorherigen Beitrag.

Wichtig ist das alle meine Angaben den Stand März 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.

Microsoft Azure MFA Cloud in Citrix ADC Version 12

Microsoft Azure MFA Server in Citrix ADC

Update:

As of July 1, 2019, Microsoft will no longer offer MFA Server for new deployments. New customers who would like to require multi-factor authentication from their users should use cloud-based Azure Multi-Factor Authentication. Existing customers who have activated MFA Server prior to July 1 will be able to download the latest version, future updates and generate activation credentials as usual.
https://www.microsoft.com/en-us/download/details.aspx?id=55849

Während eines meiner aktuellen Projekte, startete ich einen PoC bezüglich Zwei-Faktor-Authentifizierung basierend auf Microsoft Azure MFA. Bei der Azure Multi-Factor-Authentifizierung müssen Benutzer die Anmeldungen mithilfe einer mobilen App, eines Telefonanrufs oder einer SMS-Nachricht überprüfen und bestätigen. Sie können es zusammen mit Azure AD oder der lokalen AD verwenden.

Wichtig ist das alle meine Angaben den Stand März 2019 haben und da es sich um die Cloud handelt, recht schnell wieder obsolet sein werden.

Microsoft Azure MFA Server in Citrix ADC Version 12

Multi-Faktor-Authentifizierung

Die Sicherheit der zweistufigen Überprüfung liegt im Ebenenansatz. Die Faktoren der mehrfachen Authentifizierung zu überwinden stellt eine große Herausforderung für Angreifer dar. Selbst wenn ein Angreifer das Kennwort des Benutzers herausfinden kann, ist dies nutzlos, wenn er nicht auch die zusätzliche Authentifizierungsmethode beherrscht. Dies funktioniert durch das Anfordern von mindestens zwei der folgenden Authentifizierungsmethoden:

Etwas, das Sie wissen (normalerweise ein Kennwort)
Etwas, das Sie haben (ein vertrautes Gerät, das nicht leicht dupliziert werden kann, wie ein Telefon)
Etwas, das Sie sind (biometrisch)

Citrix ADC als AD FS Proxy

In diesem Beitrag geht es darum einen AD FS Proxy zur Authentifizierung von z.B. SaaS Anwendungen oder Webseiten über Citrix ADC (Version 12) von extern bereit zu stellen. Hierbei soll durch den AD FS Proxy folgendes erreicht werden:

URL / DoS Schutz
Passende Authentifizierung nach extern (MFA, Forms statt Kerberos)
Account Lockout Schutz
Verfügbarkeit (LoadBalancing)

Was ist AD FS ?

Active Directory Federation Services (AD FS) ist eine Funktion im Windows Server Betriebssystem, mit dem Identitätsinformationen außerhalb des Unternehmensnetzwerks gemeinsam genutzt werden können. Benutzer können auf Anwendungen (z.B. Office365, Salesforce.com usw.) zugreifen, ohne dass Sie erneut aufgefordert werden, Anmeldeinformationen anzugeben. Diese Anwendungen können lokal, in der Cloud oder sogar von anderen Unternehmen gehostet werden. Die Benutzerkonten können vom Administrator an einem einzigen Ort, nämlich der Active Directory, verwaltet werden.

Eine normale Bereitstellung von AD FS für externe Clients besteht aus AD FS Proxy und AD FS Server. Der AD FS Server ist dabei Mitglied der Domäne, um die Authentifizierung durchzuführen. Der AD FS Proxy steht in der Regel in einer gesonderten Netzwerkzone (DMZ), damit er von extern erreichbar ist und die Anfragen nach innen weiter gibt.

Citrix ADC als initial IdP für Office365

In diesem Beitrag geht es darum eine SAML Authentifizierung für Office365, über den Citrix ADC (Version 12) einzurichten. Hierbei dient der Citrix ADC als IdP und Office365 als SP. Damit man nicht hundert Mal seinen Benutzernamen eingeben muss, wird dies durch ein initial IdP unterbunden (SSO).

Begriffserklärung

Kurz die wichtigen kommenden Begriffe erläutert.

SAML

SAML (Security Assertion Markup Language) bietet eine gemeinsame Plattform, zum webbasierten Zugriff auf mehrere, autonome Services, ohne zu einer mehrmaligen Eingabe der Zugangsdaten gezwungen zu sein. Die Authentifizierung erfolgt, über ein verschlüsseltes Session-Cookie, transparent im Hintergrund. Dieses Session-Cookie, das mit einem Ablaufdatum versehen ist, erhält der Anwender im Browser von einem Authentifizierungsdienst (Identity Provider – IdP) und kann damit dann anschließend im Browser alle angebundenen Services (Service Provider – SP) nutzen.

Aktivierung von Office365 über mehrere Citrix Worker (Activation Token Roaming)

Die Aktivierung von Office365 im Terminalserver Umfeld ist zwar mit Shared Computer Activation erledigt, wird aber ohne weitere Konfiguration nicht im Terminalserver Umfeld funktionieren. Was in dem Microsoft Artikel, aus meinem anderen Blogeintrag, nämlich nicht steht, Office legt im Benutzerverzeichnis “AppData\Local\Microsoft\Office\16.0\Licensing” (Die 16.0 steht für Office 2016, bei 2013 muss dort 15.0 stehen) ein Lizenztoken für den Host (Server/Client) ab. Dieses Token ist nur für diesen Host, auf welchem der Benutzer gerade das Office aktiviert hat gültig. Meldet der Benutzer sich auf einem anderen Host, wird für diesen ein weiteres Token in dem Verzeichnis abgelegt.

Bei Roaming Profiles muss daher die vorhandene Konfiguration um den oben aufgeführten Ordner, oder den Ordner der über GPO definiert wurde, erweitert werden, damit dieser über alle Hosts synchronisiert wird.

Im Gegensatz zum normalen Lizenztoken für FatClients, ist dieses nur wenige Tage gültig. Microsoft hat dafür diesen Technet Artikel veröffentlicht: Technet Shared Computer Activation