Utmaning
En högskola använder Microsoft Active Directory Federation Services (ADFS) som federationstjänst. ADFS hos högskolan är ansluten till SWAMID, en federation för universitet och högskolor. SUNET (Swedish University Computer Network) ansvarar för federationens regelverk. Idag autentiserar sig anställda och elever med användarnamn och lösenord, alternativt Windows Single Sign-On till ADFS. Vissa tjänster inom SWAMID kräver inloggning på en högre tillitsnivå vilket kräver ytterligare en faktor vid autentiseringen. Dessutom måste ADFS kunna tillitssignalera enligt regler i SWAMID/Refed. ADFS Toolkit används för att ADFS ska kunna hantera den aggregerade federationen.
Högskolans infrastruktur baseras bland annat på mjukvara från Microsoft. Av regelefterlevnad och kostnadsskäl är dock användningen av Microsoft Azures verktyg för multifaktor-autentisering (MFA) inte applicerbara för högskolan. MFA måste fungera “on-premise” utan inblandning av molntjänster.
Lösning
Med Fortified ID ADFS MFA adapter så adderas en andra faktor vid autentisering till högskolans ADFS. Adaptern sätter tillitsnivå till https://refeds.org/profile/mfa" efter en lyckad inloggning. Av de olika val för andra faktor som lösningen erbjuder har högskolan valt engångslösenord via mobilapp (token). Högskolan har valt Microsoft Authenticator som mobilapp. Vid autentisering så börjar användaren att ange användarnamn och lösenord eller så används redan inloggad Windows-session. I nästa steg visas en ny inmatningsruta där engångslösenord ska matas in. Användaren använder Microsoft Authenticator där ett engångslösenord visas, engångslösenordet byts var 30:e sekund. Användaren matar in visat engångslösenord och om validering av engångslösenordet är korrekt så blir användaren autentiserad och får tillgång till bakomliggande resurs.
Lösningen är mycket kostnadseffektiv:
Kräver minimalt med administration i organisationen
Lärare och elever kan via självbetjäning aktivera Microsoft Authenticator. Aktiveringsportalen är inkluderad med Fortified ID ADFS MFA adapter
Standardiserad integration
Övrigt
Lösningen består av två komponenter, Fortified ID ADFS adapter och Fortified ID Integrity API. Fortified ID Integrity API används för validering av engångslösenordet. ADFS-adaptern skickar angivet engångslösenord till Fortified ID Integrity API över HTTPS via ett REST api. Engångslösenordet valideras i Fortified ID Integrity API via de algoritmer som finns specificerade i standarden OATH (Initiative for Open Authentication). Resultatet returneras till ADFS-adaptern. Regelverket kring när en andra faktor krävs, styrs i ADFS, access policies. Det kan till exempel krävas för vissa tjänster, från vissa platser osv.