Nicola FerriniConfigurare Azure AD certificate-based authentication (Preview)
Azure AD certificate-based authentication (CBA), una funzionalità attualmente in preview, permette alle aziende di poter utilizzare i certificati digitali creati on-premises con una CA privata per potersi autenticare ad Azure Active Directory. Questa funzionalità permette quindi un alto livello di sicurezza durante la fase di autenticazione ad Azure AD e permette di riutilizzare i certificati emessi dalla propria Enterprise Public Key Infrastructure (PKI).
In più questa funzionalità permette di evitare di utilizzare gli Active Directory Federation Services quando si utilizza una autenticazione basata sui certificati!
Figura 1: Azure AD certificate-based authentication
Nella figura sotto vengono invece mostrati i passaggi necessari a configurare Azure AD CBA nel tenant:
Figura 2: Passaggi necessari ad abilitare Azure AD certificate-based authentication (CBA) nel tenant
Configurazione della Certification Authority
Nel portale di Azure AD sarà necessario caricare il certificato pubblico della vostra CA interna. Procuratevi il certificato della CA di Root e delle eventuali CA Intermediate che usate on-premises in formato .CER (solo la chiave pubblica).
Figura 3: Certificato della CA interna
Caricate tutti i certificati della vostra PKI in Microsoft Entra utilizzando il percorso Azure Active Directory à Protect & Secure à Security Center à Certificate Authorities. Fate clic su Upload per caricarli singolarmente.
Ogni CA deve avere un elenco di revoche di certificati (CRL) a cui è possibile fare riferimento da URL con connessione Internet. Se la vostra CA interna non dispone di un CRL Distribution Point pubblico configurato, Azure AD non eseguirà alcun controllo sulla CRL, la revoca dei certificati utente non funzionerà e l’autenticazione non verrà bloccata nel caso abbiate deciso di invalidare un certificato internamente.
Alla pagina How to configure Azure AD certificate-based authentication without federation (Preview) – Azure Active Directory – Microsoft Entra | Microsoft Docs trovate anche informazioni su come effettuare la stessa procedura tramite PowerShell.
Figura 4: Caricamento del certificato digitale della PKI interna
Figura 5: Certificato digitale della CA interna caricato correttamente
Abilitazione di Certificate-based authentication (preview) come metodo di autenticazione
Collegatevi al portale di Azure Active Directory o al portale di Microsoft Entra e configurate gli Authentication Methods che possono utilizzare gli utenti per il login ad Azure AD. In Microsoft Entra utilizzate il percorso Azure Active Directory à Protect & Secure à Authentication Methods
Come si può vedere dalla figura sotto, negli Authentication Methods è disponibile la voce Certificate-based authentication (preview)
Figura 6: Certificate-based authentication (preview) disponibile tra gli authentication methods di Azure AD
Abilitate la funzionalità per gli utenti o i gruppi che ritenete necessari.
Figura 7: Abilitazione della funzionalità di Certificate-based authentication (preview) per tutti gli utenti del tenant
NOTA: È anche possibile utilizzare l’autenticazione a due fattori nel caso vogliate innalzare il livello di sicurezza.
Aggiungete a questo punto la regola che permetterà di poter utilizzare i certificati emessi dalla vostra CA per autenticare gli utenti, facendo cli su Add rule e selezionando dal menu a tendina la vostra CA interna.
Figura 8: Configurazione della regola che permette di considerare attendibili i certificati emessi dalla nostra CA interna per autenticare gli utenti
Figura 9: Salvataggio della configurazione
Dopo aver proceduto al salvataggio della configurazione, verrete reindirizzati alla pagina degli Authentication Methods.
Figura 10: Abilitazione della Certificate-based authentication (preview) completata
Assicuratevi che l’utente abbia un certificato digitale emesso dalla vostra CA interna che sia abilitato alla Client Authentication e che contenga lo User Principal Name
Figura 11: Certificato utilizzato dall’utente, emesso dalla CA interna
Quando l’utente proverà ad autenticarsi ad un’applicazione che usa Azure AD per l’autenticazione, dovrà inserire la propria username.
Figura 12: Inserimento della username dell’utente
Per l’autenticazione dovrà cliccare sulla voce Sign in with a certificate.
Figura 13: Scelta dell’utilizzo del certificato per l’accesso ad Azure AD
A questo punto da un pop-up sceglierà quale certificato utilizzare.
Figura 14: Scelta del certificato da utilizzare per l’autenticazione ad Azure AD
Figura 15: Autenticazione avvenuta con successo
L’autenticazione ad Azure AD e l’accesso all’applicazione scelta saranno effettuate senza problemi.
Figura 16: Accesso all’applicazione che utilizza Azure AD per l’autenticazione completata
Conclusioni
Come abbiamo visto, la configurazione di Azure AD certificate-based authentication (Preview) è semplicissima e permette di utilizzare un’autenticazione passwordless che utilizza i certificati digitali emessi da una CA interna all’azienda. In questo modo siamo sicuri di poterci autenticare alle applicazioni web che usano Azure AD in maniera rapida e molto sicura.