Apua, unohdin salasanani!

Tietoturva

Helsingin Sanomissa uutisoitiin viime viikolla Espoon kaupungin salasanoihin liittyvästä ongelmasta, joka on noussut jo kaupunginvaltuustonkin agendalle (Helsingin Sanomat, Tietoviikko). Monien organisaatioiden IT-osastoilla on samankaltaisia ongelmia: salasanojen resetointi aiheuttaa paljon työtä ja kustannuksia; erityisesti loma-aikojen jälkeen käyttäjät ovat unohtaneet salasanansa, ja helppari joutuu salasanoja resetoimaan käyttäjille. Löytyisiköhän tähän apuja pilvipalveluista?

Yksi Azure-pilvialustan tarjoamista palveluista on Azure Active Directory, vähän perinteistä paikallista Active Directoryä vastaava jaettu hakemisto, jossa viimeisen tiedon mukaan on jo n. 350 miljoonaa käyttäjätunnusta. Ja tästä jaetusta hakemistosta sitten kutakin asiakasympäristöä varten lohkaistaan oma pieni osa, jonka käyttäjät ja muut tiedot ovat näkyvissä vain ko. ympäristön käyttäjille. Kaikki Office 365 –asiakkaat hyödyntävät jo Azure AD:ta, koska jokaisen Office 365 –tenantin ”alla” on tuollainen asiakaskohtainen Azure AD:n osa, johon kaikki Office 365:n käyttäjä- ja kokoonpanotiedot tallennetaan.

Jokin aika sitten Azure AD:sta julkaistiin kaksi uutta versiota perinteisen Azure AD:n ilmaisen version lisäksi – eli Azure AD Basic ja Azure AD Premium. Molemmat ovat maksullisia, erikseen hankittavia versioita, ja aiemmin pystytetyn ilmaisen Azure AD –hakemiston (esimerkiksi Office 365:n myötä pystytetyn hakemiston) voi ”päivittää” joko Basic- tai Premium-tasolle.

Sekä Azure AD Basicissä että Premiumissa on Self-Service Password Reset –ominaisuus. Basicissa ominaisuus mahdollistaa sen, että pilvikäyttäjä voi resetoida salasanansa. Tästä on hyötyä silloin, jos Azure AD:hen tallennettua tunnusta käytetään vain pilvessä, eikä sitä synkronoida paikallisen AD:n kanssa. Azure AD Premium laajentaa Basicin toiminnallisuutta niin, että käyttäjä voi resetoida salasanansa pilvessä ja muutos voidaan myös synkronoida paikalliseen AD:hen. Siis AD-käyttäjä voi resetoida salasanansa itse verkossa. Näppärää ja kustannustehokasta.

 

Salasanan resetoiminen

Salasanan resetoimiseen tarvitaan luonnollisesti jokin keino, jolla tarkistetaan että käyttäjä on sen käyttäjätunnuksen haltija, jonka salasanaa hän on muuttamassa. Azure Password Reset –toiminnossa nämä keinot ovat a) vaihtoehtoinen sähköpostitili tai b) käyttäjän puhelinnumero. Puhelinnumeroksi voidaan joko määrittää työ- tai mobiilipuhelinnumero, ja puhelimen kautta tarkistus voidaan tehdä joko tekstiviestillä (toki vain mobiilinumeroissa) tai soittamalla. IT voi määrittää nämä tiedot keskitetysti kaikille käyttäjille, tai pyytää että käyttäjät määrittävät tiedot itse tätä varten tarkoitetun rekisteröitymissivuston kautta:

Kun tiedot on määritetty, käyttäjä voi resetoida salasanansa resetointisivulla (tai valita Can’t access your account –linkin sisäänkirjautumissivulla):

Käyttäjä päätyy sivulle, jossa Captcha-vahvistuksen pääsee valitsemaan keinon, jolla käyttäjän identiteetti vahvistetaan:

 

Mitä tähän vaaditaan?

Jotta salasanan resetoinnin voi ottaa käyttöön, pitää Azure AD:sta olla käytössä joko Basic- tai Premium-versio. Tällä hetkellä näitä Azure AD:n versioita ei saa hankittua muuta kuin Enterprise Agreementin kautta, mutta jos toiminnallisuutta haluaa testata, voi Azuren hallintakäyttöliittymän kautta mihin tahansa Azure AD:hen hakea Premium-koetilausta, joka on voimassa 90 päivää.
Resetoinnin asetukset tehdään Azure-hallintakäyttöliittymän kautta. Hallintakäyttöliittymässä voidaan määrittää mm. käyttäjän tunnistusmenetelmät sekä tapa, jolla käyttäjä voi itse rekisteröidä omat tietonsa:

Jos käyttäjän salasana halutaan synkronoida paikalliseen AD-hakemistoon, pitää hakemistosynkronointi erikseen määrittää tätä varten. Käytössä olevan hakemistosynkronointikomponentin on oltava vähintään versiota 1.0.6862.0000. Kun tarvittava versio on asennettu tai päivitetty käyttöön, on salasanojen synkronointi Azure AD-hakemistosta paikalliseen hakemistoon otettava erikseen käyttöön täältä löytyvien ohjeiden mukaisesti.

Salasanojen resetointi on vain yksi hyödyllinen Azure AD:n lisäominaisuus, ja jatkossa tarinoimme lisää myös muista ominaisuuksista. Sulava voi auttaa Azure AD:n evaluoinnissa, testaamisessa ja määrittämisessä tuotantokäyttöön. Kerromme myös mielellämme lisää sekä paikalliseen AD-hakemistoon että Azure AD -hakemistoon liittyvistä ominaisuuksista – ole yhteydessä!

Tämä kirjoitus on osa Sulavan Azure-blogikirjoitusten sarjaa. Kannattaa huomioida, että jotkin nimityksistä ovat vuosien saatossa muuttuneet. Jos suunnittelet Azuren käyttöönottoa, meiltä saat aina tiedon uusimmista tuulista, ota yhteyttä!