Si está leyendo este artículo, es porque se le ha asignado la tarea de ayudar a su organización a no tener contraseñas y ha escuchado todos los beneficios de no tener contraseñas usando YubiKeys para Azure CBA y Azure AD FIDO2 autenticación, y probablemente no tenga que contarles sobre los beneficios de seguridad y experiencia de usuario de no usar contraseña. Pero si bien es muy fácil una vez que se han incorporado los usuarios, la pregunta aún persiste: ¿Cómo empiezo a incorporar YubiKey para la autenticación sin contraseña? En este blog te ayudaremos a comenzar con ese proceso.
Primero, si está considerando la autenticación sin contraseña usando YubiKeys, debe conocer la diferencia entre FIDO2 y Azure CBA y si necesitas ambos o si uno es lo suficientemente bueno.
FIDO2 es del que más se oye hablar porque es el método de autenticación sin contraseña más nuevo; sin embargo, dado que es el método de autenticación más nuevo, significa que todavía no es compatible en todas partes. Por ejemplo, las aplicaciones de iOS no admiten la autenticación FIDO2 y, si bien FIDO2 se puede utilizar para la autenticación local, todavía es no es nativo ni confiable como la autenticación con tarjeta inteligente.
A diferencia de FIDO2, la autenticación con tarjeta inteligente y Azure CBA se admiten en todas partes. La razón por la que no es más popular es porque requiere una configuración más larga; sin embargo, con herramientas de incorporación sin contraseña como EZCMS y nuestra Autoridad de certificación basada en Azure, puedes tener una solución de incorporación de autoservicio en menos de una hora (mi récord personal es ayudar a un cliente a configurar todo en menos de 17 minutos, si estás preparado para el desafío programa una llamada conmigo y veamos si podemos batir ese récord). Si bien la autenticación con tarjeta inteligente es suficiente para la autenticación sin contraseña en Azure, si ya tiene YubiKey y EZCMS, también puede habilitar la incorporación de FIDO2, ya que ya tiene todas las herramientas necesarias, lo que brinda a sus usuarios la posibilidad de utilizar ambos métodos de autenticación sin contraseña.
A continuación puedes ver un vídeo rápido sobre cómo configurar Azure CBA en Azure, pero si prefieres la documentación escrita debes seguir estos pasos:
1) Cree su autoridad de certificación raíz
2) [Cree su autoridad de certificación de tarjeta inteligente] (https://www.keytos.io/docs/azure-pki/creating-your-first-ca/how-to-create-issuing-ca-in-azure/)
3) Agregar los Certificados a Azure CBA
Una vez que hayamos configurado Azure CBA, estamos listos para emitir tarjetas inteligentes y comenzar nuestro viaje de autenticación sin contraseña.
Como se mencionó anteriormente, dado que ya estamos usando YubiKeys para Azure CBA, también podríamos habilitar FIDO2. A continuación se muestra un video rápido que lo guía a través de la configuración de Azure FIDO2 y cómo puede crear su propio token FIDO2 de forma autoservicio; sin embargo, si no desea que sus usuarios conozcan su TAP y desea establecer una política de PIN, podemos habilitarla en EZCMS para que la clave FIDO2 se cree con el certificado de tarjeta inteligente.
Ahora que hemos habilitado Azure CBA (autenticación basada en certificados) y FIDO2 en Azure AD (Entra ID), ahora tenemos que configurar una forma para que nuestros usuarios creen sus propios certificados de tarjeta inteligente y claves FIDO2 para sus YubiKeys.
1) Primero, tenemos que crear nuestra instancia EZCMS.
2) Una vez creado, tenemos que registrar a su inquilino en EZCMS (aquí es donde también habilitaría FIDO2, para esto tendrá que configurar TAP en su inquilino (no se preocupe, sus usuarios nunca verán el TAP).
3) Una vez que su inquilino esté conectado, establezcase como administrador de recursos humanos y agréguese a la base de datos de recursos humanos.
4) Ahora está listo para experimentar la experiencia de usuario que experimentarán sus usuarios. Solicite una YubiKey y luego use su cuenta de administrador para asignarse la YubiKey.
5) Una vez asignada la tarjeta inteligente, puede solicitar su certificado y clave FIDO2 escaneando su identificación gubernamental (solo plan premium) o usando una identidad AAD existente.
Ahora que ha configurado las herramientas, puede iniciar la implementación de YubiKey en el resto de su organización. EZCMS puede ayudarle con la distribución pero también entendemos que es posible que desee confiarnos toda la logística; Si ese es el caso, programe una demostración y pregúntenos sobre nuestro servicio de distribución administrada de YubiKey.