Doug Davis

Una delle maggiori sfide nell'adozione di servizi cloud è l'estensione dei criteri di identità dall'ambiente on-premise al cloud. In un ambiente Active Directory (AD), si potrebbe essere tentati di ricorrere ad Active Directory Federation Services (ADFS), che è stato a lungo la risposta per fornire funzionalità di single sign-on per consentire agli utenti di autenticarsi e accedere ad applicazioni che altrimenti non sarebbero disponibili utilizzando solo Active Directory, come Azure e Microsoft 365.

Tuttavia, poiché gli attori delle minacce continuano a prendere di mira gli ambienti cloud, è giusto esaminare se l'ADFS sia la soluzione migliore per le organizzazioni che adottano ambienti ibridi. Sebbene ADFS non sia intrinsecamente insicuro, la complessità di implementarlo correttamente lo rende suscettibile agli aggressori. Come dimostrato dall'attacco alla catena di approvvigionamento di SolarWinds, una vulnerabilità nell'ambiente on-premise può portare alla compromissione del tenant Azure AD. Oltre a rappresentare un'altra serie di server fisici da gestire, i server ADFS ampliano la superficie di attacco che le aziende devono proteggere.

Anche Microsoft ha raccomandato alle organizzazioni di considerare la possibilità di migrare da ADFS, osservando in un post sul blog di gennaio che : "Se volete estendere l'MFA e l'accesso condizionato alle app legacy on-premises, comprese quelle basate su header, utilizzate Azure AD Application Proxy o una soluzione integrata di uno dei nostri partner per l'accesso ibrido sicuro. Con i nostri strumenti di migrazione, potete modernizzare l'autenticazione di tutte le app e mandare in pensione la vostra implementazione ADFS. Questo aiuterà a prevenire gli attacchi che sono particolarmente difficili da rilevare nei sistemi di identità on-premises".

Lettura correlata

Un mondo senza ADFS

Per aiutare le organizzazioni a collegare tutte le loro applicazioni ad Azure AD, Microsoft ha introdotto la Password Hash Synchronization (PHS) e la Pass-through Authentication (PTA). Utilizzando la sincronizzazione dell'hash della password, gli amministratori di Active Directory possono sincronizzare l'hash della password dell'utente su Azure AD. In effetti, questo consente agli utenti di utilizzare servizi come Microsoft 365 utilizzando la stessa password che utilizzerebbero per il loro account AD on-premises.

Il secondo metodo di autenticazione gestita per Azure AD è l'autenticazione passante, che convalida le password degli utenti rispetto all'Active Directory on-premises dell'organizzazione. Utilizza agenti di autenticazione nell'ambiente on-premises. Questi agenti ascoltano le richieste di convalida della password inviate da Azure AD e non richiedono l'esposizione a Internet di alcuna porta in entrata per funzionare. Le password non devono essere presenti in Azure AD in alcuna forma, eliminando un potenziale vettore di attacco. Inoltre, agli account possono essere applicati criteri on-premises come la scadenza dell'account o le restrizioni sull'orario di accesso. Come prerequisito per il funzionamento dell'autenticazione passante, gli utenti devono essere inseriti in Azure AD da Active Directory on-premises utilizzando Azure AD Connect.

Sebbene esistano ancora casi d'uso in cui potrebbe essere sensato mantenere una distribuzione ADFS, come ad esempio l'uso di ADFS per l'autenticazione dei certificati utente, per molte organizzazioni l'opportunità di abbandonare ADFS è forte. Utilizzando PHS e PTA, le organizzazioni possono ridurre il numero di password che gli utenti devono ricordare. Tuttavia, questo è solo uno dei vantaggi che possono derivare dalla migrazione. ADFS è complesso da implementare e richiede hardware fisico che deve essere mantenuto. Se un server ADFS non è aggiornato con le ultime patch, è vulnerabile agli attacchi. PHS, invece, è gestito da Microsoft e il suo utilizzo riduce l'infrastruttura che le organizzazioni devono proteggere.

Se siete all'inizio del vostro percorso ibrido, ADFS non dovrebbe essere la vostra prima opzione per collegare l'autenticazione tra i carichi di lavoro on-premise e online. Tuttavia, se avete già implementato ADFS, state valutando una migrazione che offre comunque una maggiore sicurezza rispetto ad ADFS.

La modifica dei metodi di autenticazione, tuttavia, non è un compito banale e richiede una pianificazione e dei test significativi. Qualsiasi migrazione da ADFS dovrebbe avvenire in più fasi per consentire test sufficienti e potenziali tempi di inattività. Come minimo, le organizzazioni devono eseguire Azure AD Connect 1.1.819.0 per eseguire correttamente i passaggi per la migrazione alla sincronizzazione dell'hash delle password. Il metodo per passare a PHS dipende dalla configurazione originale di ADFS. Se ADFS è stato configurato tramite Azure AD Connect, è necessario utilizzare la procedura guidata di Azure AD Connect. In questa situazione, Azure AD Connect esegue automaticamente il cmdlet Set-MsolDomainAuthentication e unfedera automaticamente tutti i domini federati verificati nel tenant Azure AD.

Se un'organizzazione non ha configurato originariamente ADFS utilizzando Azure AD Connect, può utilizzare Azure AD Connect con PowerShell per migrare a PHS. Tuttavia, l'amministratore AD deve comunque modificare il metodo di accesso degli utenti tramite la procedura guidata di Azure AD Connect. La procedura guidata di AD Connect non eseguirà automaticamente il cmdlet Set-MsolDomainAuthentication, lasciando all'amministratore il pieno controllo su quali domini vengono convertiti e in quale ordine.

Supporto alle iniziative cloud

Per le aziende con ambienti ibridi, collegare tutte le applicazioni ad Azure AD riduce la complessità e offre l'opportunità di ridurre la superficie di attacco. Come vantaggio collaterale, ha anche il potenziale di migliorare l'esperienza dell'utente implementando il single-sign-on e rigorosi controlli di sicurezza degli account. Man mano che le organizzazioni adottano approcci di identità ibrida per supportare le loro iniziative cloud, dovrebbero prendersi il tempo necessario per esaminare se ADFS è più adatto alle loro esigenze.

Altre risorse