OneTime Password und andere Authentifizierungsmöglichkeiten von Gast-Benutzern

Im letzten Artikel haben wir uns über die Kontrolle des Zugriffes externe Gäste unterhalten. Heute plaudern wir darüber, wie sich Externe beim Zugriff auf meine Ressourcen authentifizieren können.

 

OnPrem war es ja bis jetzt meistens so, das die externen Gäste einen AD Account von mir bekommen haben.

Das hat ein paar massive Nachteile – einerseits, weil der User dann (wieder) einen Account + PW hat und weil ich für die Pflege des PWs verantwortlich bin (wenn der Benutzer das PW vergessen hat)

 

Office 365 bietet die Möglichkeit, das der externe Gast sich mit unterschiedlichen Accounts bei mir anmelden kann

 

Azure Active Directory

Die beste Authentifizierung im Businessbereich ist, wenn sich mein Gast über das Azure Active Directory authentifiziert.

Dh ich lade zB Hans.Mustermann@meinlieferant.at auf meinen SharePoint ein.

Hans Mustermann kann sich dann auf MEINEM SharePoint mit SEINEM AD Account und PW anmelden.

Hat er sein PW vergessen, geht er zu SEINEM IT Support und nicht zu mir.

Der aus meiner Sicht größte Vorteil ist aber, das ich mir sicher sein kann, das Hans Mustermann nur so lange auf meinen SharePoint zugreifen kann, solange er bei der Firma MeinLieferant arbeitet.

Weil die Firma ihn aus dem AD streicht, sobald er die Firma verläßt und er sich dann auch nicht mehr über das Azure AD bei mir anmelden kann.

 

Microsoft Account (LiveID)

Die zweite Option in Office 365 ist der Zugriff über einen Microsoft Account (früher genannt LiveID)

Hier kann ich mir jederzeit eine kostenlose LiveId – auch mit meiner Mailadresse – erstellen.

Auch hier liegt die Passwort-Verwaltung beim User selber und nicht bei mir als Einladender.

 

Google Account

Standardmässig nicht automatisch aktiv ist die Authentifizierung über einen Google Account.

Hier muss ich zuerst eine Federation zwischen meinem Azure AD und dem Google Directory erstellen

https://docs.microsoft.com/en-us/azure/active-directory/b2b/google-federation

Ist keine Hexerei und im oben genannten Link gut beschrieben.

Sobald ich das eingerichtet habe, kann ich Benutzer über ihre Google ID einladen und diese können sich mit ihrem Google Account bei meinen Ressourcen authentifizieren

 

OneTime Password (OTP)

Derzeit im Preview ist die Möglichkeit, das sich der User mit jeder beliebigen Mailadresse über ein OneTime Password authentifiziert.

Diese Option muss ich einmal enablen – das erfolgt im Azure AD Portal unter https://portal.azure.com

 

image

 

Die Authentifizierung erfolgt dann sehr ähnlich wie die beim Sharen von Dateien an “bestimmte Benutzer” in OneDrive:

Der Benutzer bekommt eine Einladung an seine Mailadresse:

image

Klickt er auf den Link, kommt er zu folgender Seite:

image

Beim Klicken auf “Code Senden” erhält der Benutzer eine Mail in seine Inbox

image

und trägt diesen Code dann auf der Webseite ein

image

Damit hat der User jetzt für 24 Stunden Zugriff, danach muss er den Vorgang wiederholen

In meinem Azure AD sehe ich, über welches Directory bzw. über welche Methode der Benutzer authentifiziert ist:

image

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert