Fala galera, td bem? Dando prosseguimento ao post anterior. . .
# Enabling Multi-Factor Authentication for Users #
O MFA pode ser habilitado para os usuários usando um portal separado. Você pode acessar esse portal, através do portal de gerenciamento Azure, na parte usuários de seu diretório, clique em Manage Multi-Factor Auth. Para habilitar o Multi-Factor Auth para um usuário, clique na opção “Enable” Habilitar, que fica abaixo dos dizeres “quick steps”.
Após habilitar o MFA, o Status do mesmo fica como “Enable” Habilitado.
Quando você habilitar um usuário, no próximo login do mesmo, ele será redirecionado para um check box que irá cobrá-lo algumas informações para prosseguir com o MFA. -Mobile Phone | Office Phone | Mobile Application. Dependendo da informação que ele selecionar, ele deverá fornecer informações adicionais e é claro, estar perto de um dos telefones informados para receber o código, via sms ou ligação.
# Federating with Facebook and Google ID #
Quando você adiciona um usuário ao AAD, praticamente você adiciona quem está em sua empresa. Porém, é possível adicionar um usuário no diretório usando sua identidade de rede social como Facebook e Google. Eles são referidos como Federated Identity Providers, e tem autoridade sobre esses usuários. Para adicionar um usuário externo em seu diretório, informe o tipo de usuário como “User With a Existing Microsoft Account” e então referencie o email associado com a conta Microsoft do usuário. Adicionando o usuário usando uma conta Microsoft é bem útil em situações que você necessita conceder acesso à alguma aplicação para um usuário externo. Após o uso, esse usuário pode ter seu acesso revogado, e não foi necessári ocriar um objeto (usuário) para o mesmo em seu AAD.
# Integrate an App with Azure AD #
Empresas que desenvolvem suas próprias soluções (LOB – Line Of Business) é possível proteger o acesso às aplicações usando o Azure Active Directory.
Pode ser aplicação WEB, Desktop, ou seja, qualquer aplicação desenvolvida por sua empresa, pode ser protegida pelo AAD.
O processo de integrar a aplicação desenvolvida na empresa com o AAD requer um esforço e coordenação da área de Infraestrutura e os Desenvolvedores da aplicação. Somente juntos, será possível optar por um método mais eficaz e comum custo justo.
# Add a Web Application or Web Service #
O processo de integrar uma aplicação web ou um web service com o AAD usando o portal de gerenciamento, começa igual. Na página de aplicações de seu diretório, clique em ADD no final da página e escolha a opção para Adicionar sua aplicação de sua empresa (Add Na Application My Organization Is Developing). Logo após, abrirá um “Wizard” onde será possível prover o nome e indicar o tipo de aplicação.
Após escolher entre Web Application e/ou Web API, a segunda página pede a url de sua aplicação ou serviço e o ID URI. (Uniform Resource Identifier – Identifica um Recurso. Geralmente é um recurso web.)
- Application ID URI – URI deverá ser informada no Wizard.
- Reply URL – Por padrão é a URL de sign-on. Quando o AAD emite o token de segurança para o usuário da aplicação, é redirecionado para essa url de resposta e validado o token.
- Application EndPoints – Os endpoints que podem ser referenciados no código da aplicação ou na configuração para sing-in e sing-out.
Os endpoints são: WS-Federation | https://login.windows.net/<tenant>/wsfed
SAML-P | https://login.windows.net/<tenant>/saml2
Oauth | https://login.windows.net/<tenant>/oauth2/token
| https://login.windows.net/<tenant>/oauth2/authorize
<tenant> na URL é o GUID/ID atribuído para o seu tenant (sua empresa) no Azure Active Directory, logo é referido como “Tenant Specific Endpoints”. Os desenvolvedores das aplicações podem utilizar os endpoints diretamente no código, para apontar a autenticação para um dos métodos disponíveis. A escolha de um endpoint deve ser feita de acordo com os requerimentos de autenticação de uma aplicação.
O Graph API endpoint é usado por aplicações para obter propriedades adicionais dos objetos de um diretório como usuários e grupos de segurança (security groups). Também pode ser usado por aplicações para criar, editar ou deletar objetos em um diretório caso a aplicação seja configurada com permissões para tal.
# Configuring graph API permissions for na Application #
A GRAPH API é usada pelas aplicações que necessitam de acesso de leitura no AAD ou para criar, atualizar ou deletar objetos. Exemplo: Uma empresa tem uma aplicação que precisa pesquisar no diretório e adicionar um usuário em um grupo específico. O AAD suporta várias dessas aplicações, mas sua aplicação necessita ser configurada com as permissões necessárias que vão além das permissões padrões que fornecem suporta para single sign-on para os usuários.
GRAPH API está disponível tanto para Web Applications, quanto para Web Services e aplicativos nativos podem ser configurados por permissões de aplicativos ou permissões delegadas.
Application Permissions (Permissão de aplicativos): Podem ser atribuídos para acessar o diretório sem um contexto de usuário e estão disponíveis somente para web application/web services.
Delegated Permissions (Permissões Delegadas): As permissões delegadas são usadas para acessar o diretório, como o usuário faz login no aplicativo, e estão disponíveis para os serviços citados anteriormente.
Permissões para acessar a GRAPH API podem ser adicionadas para a configuração de uma aplicação, usando o portal de gerenciamento e selecionando as permissões Read Directory Data ou Read and Write Directory Data.
* * * *
Bom é isso! Estudem mais sobre Azure Active Directory, façam labs e de preferência dêem uma lida nos capítulos do Exam Ref 70-533. Eles serão de grande ajuda para tirar a certificação
Vejo vocês nos próximo posts, bons estudos!
#enjoy #rock #azure #cloud
Um Forte Abraço!
Gustavo Magella
