Fala galera, td bem? Dando prosseguimento ao post anterior. . .

#       Monitoring directory synchronization       #

Já vimos nos módulos passados de sincronia de diretório, que o DirSyng grava os logs dos eventos no Windows Application Event Log. O DirSync roda automaticamente a cada 3 horas e o serviço de sincronia de senhas agendado a cada 30 minutos. Logo, muitos logs são gerados em um mês, por exemplo. Um pedaço do DirSync inclui o Syncronization Service Manager do Forefront Identity Manager (FIM) 2010 R2.(MSIiclient.exe)

A vantagem desse serviço (Syncronization Service Manager) são os links clicáveis dos eventos e visualização dos detalhes de um objeto sincronizado. Exemplo: Quando você atualiza um usuário, você poderá ver todos os atributos do mesmo como Nome, Sobrenome, UPN e muito mais. Esse nível de detalhes não esta presente nos Logs. Usando essa ferramenta de sincronização você poderá somente adicionar, atualizar ou deletar um objeto.

Em alguns casos é necessário habilitar outros logs adicionais que não são capturados por padrão no event viewer. Podemos fazer via powershell:

-Enable-DirSyncLog

-Disable-DirSyncLog

-Enable-PasswordSyncLog

-Disable-PAsswordSyncLog

#       Configure the Application Access Panel    #

O Azure Active Directory tem a capacidade de suportar outras aplicações com o uso integrado. (Saas). Pensando nisso os profissionais de TI, estão aptos a centralizar o gerenciamento e acesso às aplicações de determinados usuários e grupos de uma empresa. As aplicações podem ser adicionadas no diretórioe é possível atribuir um usuário específico para acesso à uma aplicação específica, através do portal. (O número de aplicações compatíveis com  oAAD têm subido vertiginosamente. Sabe-se que aproximadamente 2400 aplicações já foram portadas e são suportadas.)

 #      Adding SaaS applications to Azure Active Directory    #

Para você gerenciar as aplicações, você deve ir para a página “Application Gallery” no Azure Active Directory. É possível adicionar uma aplicação third part (de terceiros) e gerenciar todos os acessos. Várias desenvolvedoras já possuem aplicações compatíveis com este modelo: Citrix, DropBox for Busines, Concur, etc.

 #               Configuring Access to SaaS Applications               #

Para configurarmos um acesso à uma aplicação, depende bastante da capacidade de sing in da mesma. O Azure Active Directory suporta single sign-on e “automatic user provisioning” (falaremos mais à frente sobre as diferenças e semelhanças) para aplicações SaaS de terceiros. Contudo, as aplicações presentes na Galeria, suportam ou um, ou ambos.

Após adicionar uma aplicação da Galeria no diretório, o próprio portal vai conceder um quick start guide (guia rápido) com os passos necessários para integrar a aplicação com  o seu diretório.

#    Single Sign On  #

Falamos anteriormente que o Azure Active Directory suporta 2 modelos de single sign-on que são federation-based e password-based. Ambos dão ao usuário uma experiência single sign-on, mas são diferentes no quesito credenciais a serem utilizadas para logar na aplicação SaaS específica.

Federation-Based: Basicamente esse método requer que o usuário autentique no AAD usando sua conta organizacional, para acessar a aplicação. Logo, temos uma confiança entre a aplicação (SaaS) e o AAD. (Chamada de Federação). Desta forma a aplicação redireciona o usuário para a autenticação no AAD (usando um protocolo/endpoint de aplicação). O endpoint utilizado varia de protocolo para protocolo suportado pela aplicação. O AAD suporte WS-Federation, SAML-P e Oauth.

Este modo requer um certificado para ser uploadeado na aplicação de terceiro (SaaS) que será usado para validar os tokens emitidos pelo Azure Active Directory. O portal de gerenciamento provê a url de endpoint para a aplicação e certificado durante o proceso de configuração. Ambos serão necessários para configurar o single sign-on na aplicação SaaS.

Password-Based: Esse método utiliza usuário e senha da aplicação de terceiros (SaaS) para efetuar o login. Neste modo é utilizado o usuário da própria aplicação e não o usuário do AAD. As credenciais desse usuário são armazenadas e encriptadas pelo AAD. Assim que o usuário é autenticado, ele estará elegível a ter uma experiência single sign-on através de uma extensão do browser que pega as credenciais (que foram salvas no Azure AD) do Azure AD e apresenta elas para a aplicação.

#     Automatic  User Provisioning    #

Algumas aplicações permitem você configurar o provisionamento automático de usuários, onde as contas dos usuários podem ser adicionadas ou removidas automaticamente. A configuração dessa função depende bastante de aplicação para aplicação, mas em sua maioria envolve login em uma aplicação de terceiros (SaaS) usando credenciais administrativas com permissões no Azure AD para provisionar as contas para a aplicação.

#  Assigning user access to Application    #

Após configurar a aplicação para o single sign-on ou provisionamento de usuário, você pode prosseguir para a etapa final que é atribuir um usuário para acesso à aplicação. Nesse passo você irá dizer, qual usuário terá um determinado tipo de acesso à uma determinada aplicação. Inclusive quando o acesso pode ser concedido para um usuário, removido de um usuário e as configurações de conta de usuário podem ser editadas.

(Um dos benefícios de utiliza a assinatura Premium do AD é a possibilidade de permitir ou revogar acesso por intermédio de grupos.)

#          Assigning applications from the Access Panel           #

Quando você adiciona uma aplicação no AAD, ela fica disponível para os usuários no diretório, através do painel de acesso. Este painel fica no Portal do Azure, separado do Portal de Gerenciamento, onde os usuários podem ver e executar as aplicações disponíveis e assinadas para o mesmo. Logo, é bem tranquilo para o usuário final, logar nas aplicações disponíveis para ele.

(Usuário de ioS podem acessar essas aplicações através de um APP chamado “My Apps”, disponível na Apple App Store. Essa aplicação provê os mesmos recusros de acesso que o portal provê e ainda é otimizada para uso em iPhones e iPads.)

#        Customizing the Access Panel and Sign-in Page          #

É possível personalizar o painel de acesso utilizado pelos usuários para autenticação. Na edição Premium do Active Directory, é possível aplicar imagens de sua marca, logo de sua empresa e seu branding para melhor identificação e padronização. As imagens devem seguir um padrão de tamanho em pixel, que é informada no próprio campo de upload.

#                Configuring Multi-Factor Authentication             #

O MFA (Multi-Factor Authentication) é uma forma efetiva de implementar segurança para suas aplicações e recursos. O MFA do Azure trabalha da seguinte forma.

  1. Pergunta ao usuário o Login e Senha válido.
  2. Caso ele tenha sucesso, pede uma verificação com o número de telefone para receber uma ligação ou mensagem ou um  código via aplicativo já instalado no telefone.

Basicamente é o que você sabe e o que você tem! 😉

(Este serviço pode ser utilizado  como uma segurança adicional em seu ambiente)

MFA para administradores de uma assinatura Azure, pode ser utilizado sem nenhum custo adicional. Porém, para extender essa segurança para os demais usuários de seu diretório, requer uma configuração de um provedor MFA e configurado para o seu diretório. Você pode escolher duas formas de cobrança quando você cria um MFA provider (Provedor MFA), que são: por usuário e por autenticação.

Por usuário: É a opção ideal para alguns cenários onde você precisa da autenticação para um número fixo de usuários, que irão se autenticar regularmente.

Por autenticação: É a opção ideal para empresar grandes e que possuem um grande número de usuários, porém se autenticam com uma frequência menor.

Após a escolha de um plano (usuário ou autenticação) o MFA provider (provedor) é criado e não poderá ser alterado. (É interessante antes, dar uma olhadinha nos preços para não tomar um susto.) Se você necessitar alterar o MFA ( Por usuário x Por autenticação), você deverá criar um novo e substituir pelo existente.

#           Create Multi-Factor Authentication  Provider          #

Se você não tem um provedor MFA, não tem problema. Para criar um novo, você pode ir até o portal de gerenciamento do Azure, selecione a opção Multi-Factor Auth Provider (opção abaixo de Application Services), quando for criar um novo recurso.

#      Configuring Multi-Factor Authentication  Provider      #

No Azure o provedor MFA pode ser configurado através de um portal separado. Para acessar esse portal do MFA, vá até o portal de gerenciamento do diretório, clique em Multi-Factor Auth Providers, selecione o MFA provider e clique em Gerenciar (Manage).

O portal será exibido e entãoserá possível ter acesso à vários relatórios de uso e outras configurações de seu provedor MFA. Algumas das configurações são:

  • Settings: É possível configurar o número de tentativas durante a chamada no telefone, número a ser utilizado no call ID, e relatórios de fraudes.
  • Caching: Configurar um cache, depois que um usuário logar com sucesso, as autenticações ubsequentes em um intervalo curto de tempo serão feitas com sucesso, baseadas no cache.

        –  User: Um usuário que foi previamente autenticado, será automaticamente autenticado em x tentativas subsequentes.

        –  User, Authentication type, application name: Um usuário previamente autenticado, será automaticamente autenticado na mesma aplicaçaõ, partindo do mesmo ip, com o mesmo usuário.

  • Voice Messages: É possível criar mensagens de voz customizadas para as chamadas de MFA.
  • Notifications: Especifique os endereços de email os quais receberão alertas de fraude, quando uma conta for bloqueada, etc.

. . . Continua no próximo post! 😉

#enjoy #rock #azure #cloud

Um Forte Abraço!

Gustavo Magella