La creciente demanda entre empresas de todas las formas y tamaños de autenticación sin contraseña ha llevado a FIDO2 a la vanguardia de la comunidad de ciberseguridad. A medida que las empresas continúan adoptando entornos de trabajo híbridos, existe una creciente necesidad de encontrar soluciones que se integren bien con los sistemas locales y basados en la nube. En la siguiente publicación, analizaremos cómo se puede implementar FIDO2 para Active Directory (AD) local y cómo Puede utilizar certificados PIV para complementar FIDO2 para sistemas heredados.
La seguridad y facilidad de uso de FIDO2 lo han convertido en una opción popular para muchas organizaciones. De hecho, las estimaciones indican que el 60% de las organizaciones comenzarán su cambio a sin contraseñas en 2023. Esto ha hecho que Microsoft cree conectores para que FIDO2 funcione localmente. ¿Cómo funciona? SSO de usuario en Azure AD. Azure AD emite un token de Kerberos para que lo acepten las aplicaciones heredadas. Para configurar Azure AD como servidor Kerberos siga esta guía.
Nota: Debe usar Azure AD Connect ya que Azure AD Connect Cloud Sync no sincroniza objetos del dispositivo.
Como se mencionó anteriormente, FIDO2 se creó para la nube. Si bien puede usar Azure AD como servidor Kerberos y superar la brecha con FIDO2 local, no es un comportamiento nativo para la autenticación de AD. al mismo tiempo que agrega una dependencia externa (Azure AD) para las operaciones locales. Autenticación PIV/Smartcard ha sido parte de la autenticación AD desde principios de este siglo y lo mejor de todo, Funcionan de manera muy similar a FIDO2. La única diferencia entre los dos es la infraestructura detrás de la emisión de las tarjetas. Sin embargo, gracias a las herramientas modernas, esta infraestructura se ofrece como oferta SaaS. Vea nuestro seminario web a continuación sobre la diferencia entre FIDO2 y la autenticación basada en certificados.
Los requisitos de cumplimiento gubernamental aún requieren tarjetas inteligentes para las agencias gubernamentales y sus contratistas. Para resolver este problema, Microsoft también creó un conector que le permite usar tarjetas inteligentes en Azure sin la necesidad de implementar todos los servicios AD locales, como: controladores de dominio, ADFS. servidores, Autoridades de Certificación, Servidores CRL (Lista de Revocación de Certificados), etc. Esta solución es Azure CBA, aprenda a implementar Azure CBA.
Como puede ver, Microsoft ha “construido” puentes para que la autenticación con tarjeta inteligente se use en la nube y para que FIDO2 se use localmente, pero son solo eso, puentes que no le brindarán la mejor experiencia en el otro entorno. Para tener la mejor experiencia de usuario y compatibilidad para la autenticación antigua y moderna, la respuesta es tener habilitadas la autenticación FIDO2 y la autenticación con tarjeta inteligente en su organización, aunque esto puede parecer mucho trabajo, gracias al trabajo que Microsoft, Yubico, y Keytos lo han hecho juntos para lograr que esto sea perfecto para el usuario y el administrador de TI, ya que cuando se registra una YubiKey usando EZCMS, el La misma clave contendrá tanto una clave FIDO2 como un certificado de tarjeta inteligente, brindando al usuario la mejor experiencia de usuario para ambos escenarios sin que el usuario sepa si está usando un certificado de tarjeta inteligente o una clave FIDO2, todo lo que el usuario necesita saber es que su YubiKey es la herramienta que utilizan para la autenticación sin contraseña.
