A etapa seguinte após carregar usuários no Duo Security consiste em configurar a autenticação primária desses usuários para validar as credenciais.
Após a autenticação primária, o Duo solicitará a autenticação de segundo fator, o qual é o princípio fundamental da Arquitetura Zero Trust da Duo Cisco .
Neste artigo vou apresentar as tecnologias de autenticação primária mais importantes com as quais o Duo Security pode ser integrado, desta forma você terá uma visão muito clara da integração que melhor se aplica ao seu caso.
Tabela de Conteúdo
Por definição de Zero Trust, o Duo Security não lida com autenticação primária. Essa autenticação fica protegida no principal provedor de identidade da empresa.
O Duo recebe, sim, todas as solicitações de autenticação de usuário de todos os aplicativos que o seu serviço garante.
Uma vez recebidas, essas solicitações são encaminhadas ao provedor de identidade para validar as credenciais recebidas.
A validação de credenciais é feita por meio da aplicação de protocolos de autenticação padrão, tais como SAML, LDAP, OIDC, RADIUS
Antes de detalhar a autenticação primária, vamos aos recursos mais importantes do Duo Security: o segundo fator de autenticação como parte da Autenticação Multifator que o Duo implementa.
Em seguida, os métodos de autenticação de segundo fator suportados pelo Duo
Métodos de segundo fator a serem aplicados após a aprovação da autenticação primária.
Métodos de última geração onde o uso de uma senha não é necessário para fazer login.
Eles estão disponíveis em aplicativos protegidos pelo serviço SSO da Duo Security.
Um dos grandes benefícios da implementação do Duo Security é a consistência na experiência do usuário , ou seja, não importa qual aplicativo você esteja acessando, seu fluxo de trabalho e interface apresentada são os mesmos.
Isso diminui o atrito do usuário para usar o segundo fator, pois facilita e torna a interação com o sistema de duplo fator muito natural.
O Duo Security consegue isso através do seu Duo Prompt, que nada mais é do que uma janela que aparece sempre que um segundo fator é solicitado.
Esta janela é a mesma, não importa em qual aplicativo você esteja fazendo login.
Atualmente existem duas versões desta janela, mas está em transição para sua aprovação final
Prompt apresentado desde o início do Duo Security e que está em processo de substituição, porém ainda é válido e é utilizado por muitos aplicativos.
Versão melhorada do prompt tradicional. É muito mais simples de usar, intuitivo e mais rápido.
Outro grande benefício do Duo Security é o gerenciamento muito fácil dos dispositivos 2FA dos usuários, tornando esse gerenciamento independente dos aplicativos.
Todos os dispositivos 2FA que um usuário possui são gerenciados no Painel de administração do Duo e essas configurações se aplicam a todos os aplicativos protegidos pelo Duo .
Abaixo, mostro como os dispositivos 2FA de um usuário são visualizados e gerenciados, especificamente o(s) telefone(s) do usuário:
Detalhe do telefone
Agora para as chaves de segurança
E tokens de hardware
Single sign-on , também conhecido como Single Sign-On ou SSO , consiste na capacidade de autenticar os usuários de uma empresa por meio de uma única combinação de nome de usuário e senha.
Simplificando, cada usuário tem um nome de usuário e senha exclusivos para acessar os aplicativos.
Com esse recurso, o gerenciamento de identidades e o controle de acessos em uma empresa, fica bastante facilitado.
Agora, o que o Duo suporta para alcançar o Single Sign-On? A resposta pode ser deduzida do ponto anterior:
No final da história, o Duo permite que você tenha SSO na sua empresa e, ainda, fornece um portal de SSO com todos os aplicativos que possuem SSO para que os seus usuários possam acessá-los por meio dele.
Sabendo como o Duo Security autentica os usuários, agora veremos as opções de autenticação que estão disponíveis para serem integradas ao Duo.
Todas essas opções (exceto as de usuários locais) baseiam-se na mesma coisa: uma delegação de autenticação ao Duo e esta, por sua vez, ao provedor de identidade principal.
Esse é o nível mais básico de autenticação, normalmente usado por aplicativos mais antigos que não têm a capacidade de usar protocolos de autenticação padrão.
Baseia-se no fato de que o banco de dados do usuário se encontra dentro do mesmo aplicativo e, portanto, a autenticação é realizada localmente.
Nesse caso, não é possível obter o SSO devido às mesmas limitações de não poder delegar a autenticação a terceiros.
Essa é a autenticação primária mais utilizada atualmente, devido à popularidade das implementações do Microsoft Active Directory (MS AD).
Muitos aplicativos já permitem que a autenticação seja delegada a um AD externo por meio do protocolo LDAP ou LDAPS, que é nativo do MS AD.
A evolução natural do Active Directory é fazer upload para a nuvem, isto é oferecido pela Microsoft, por meio de seu serviço Microsoft Azure AD.
Normalmente se faz pela sincronização de um Active Directory On-Premises com o serviço Azure AD Cloud mas, existem aqueles que têm todo o Active Directory na nuvem sem um componente On-Premises.
Essa autenticação é para aplicativos de nuvem que dão suporte à integração com o Azure AD, com acesso condicional na condição de autenticador primário e está baseada na federação SAML, como veremos no próximo ponto.
Essa é a autenticação mais usada para SSO em aplicativos em nuvem.
Consiste em federar a aplicação a um serviço SSO Duo Security, serviço este que recebe solicitações de autenticação via protocolo SAML (Security Assertion Markup Language).
O serviço SSO recebe a solicitação de autenticação e a confirma com o provedor de identidade .
Em termos simples, o SAML permite uma delegação de autenticação muito semelhante às indicadas acima.
A vantagem é a de ser muito segura e é o padrão de fato na maioria dos aplicativos em nuvem .
O Duo pode receber solicitações de autenticação via SAML e enviá-las ao provedor de identidade principal.
Do ponto de vista técnico, trata-se de uma integração idêntica à do Active Directory , pois se baseia no mesmo protocolo LDAP que a Microsoft utiliza em seu AD.
O Duo pode receber solicitações de autenticação via LDAP e enviá-las ao provedor de identidade principal.
Um pouco mais antiga mas também muito utilizada é a integração via RADIUS.
O Duo pode receber solicitações de autenticação via RADIUS e enviá-las ao provedor de identidade principal.
É muito importante saber que o Duo Security permite autenticações primárias com todos os protocolos padrão atuais, característica que lhe dá um nível de flexibilidade sem precedentes.
Reitero também a importância de manter separadas as tecnologias do primeiro fator (provedores de identidade) e as tecnologias do segundo fator (Duo Security). Este grande detalhe lhe proporciona um nível muito alto de segurança ao “não colocar todos os ovos na mesma cesta”
Documentos oficiais de Duo Security:
Duo Two-Factor Authentication for LDAP Applications
Duo Autentication Proxy Client Sections
Duo Two-Factor Authentication for Microsoft Azure Active Directory
Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |
Esta entrada ha sido publicada el 6 de setembro de 2022
Vamos trabalhar juntos, fazer um PoC gratuito por meio de um MSP
Esta web usa cookies.
Leer más...