Koniec wsparcia dla podstawowego uwierzytelniania w MailStore
W zeszłym roku Microsoft ogłosił, że zamierza wyłączyć w październiku 2020 r. opcję korzystania z podstawowego uwierzytelniania dla Exchange Online dla klientów Microsoft 365. Kilka miesięcy później również Google ogłosił, że wyłączy mniej bezpieczny dostęp do aplikacji (czyli Google’owy odpowiednik uwierzytelniania podstawowego) dla kont Google G Suite w czerwcu 2020 r. Ze względu na pandemię COVID-19 terminy te zostały przesunięte. Google twierdzi, że wyłączenie jest zawieszone do odwołania, natomiast Microsoft ogłosił niedawno, co następuje:
- Uwierzytelnianie podstawowe zostanie domyślnie wyłączone dla nowych tenantów na platformie Microsoft 365, począwszy od października 2020;
- Uwierzytelnianie podstawowe zostanie wyłączone dla istniejących tenantów platformy Microsoft 365, którzy nie wykażą aktywności, począwszy od października 2020;
- Wyłączenie uwierzytelniania podstawowego dla dzierżawców platformy Microsoft 365, którzy aktywnie z niego korzystają, jest planowane na drugą połowę 2021;
- Klienci mogą samodzielnie wyłączyć uwierzytelnianie podstawowe dla swoich tenantów w platformie Microsoft 365.
Jeśli jesteś klientem Microsoft 365 lub Google G Suite ale nie jesteś jeszcze w grupie, którą dotknie wyłączenie uwierzytelniania podstawowego, powinieneś mimo wszystko już teraz zapoznać się z tematem nowoczesnego uwierzytelniania! Właśnie to uwierzytelnianie jest nie tylko znacznie bezpieczniejsze niż uwierzytelnianie podstawowe: oferuje również znacznie lepsze doświadczenia użytkownika. Ale zacznijmy od podstaw.
Czym właściwie jest uwierzytelnianie podstawowe?
Aby zrozumieć, jak faktycznie działa uwierzytelnianie podstawowe potrzebna jest analogia. Wyobraź sobie następujący scenariusz: lecisz za granicę, wychodzisz z samolotu i kierujesz się na kontrolę graniczną. Na potrzeby tego opisu przyjmijmy, że proces kontroli przebiega nieco inaczej niż ma to miejsce. Zamiast pokazywać paszport, mówisz oficerowi ochrony: „Cześć, nazywam się Jan Kowalski, mój PESEL to XYZ i pochodzę z Polski”. Mając te informacje, oficer ochrony dzwoni do władz krajowych w Polsce i wyjaśnia, co następuje: „Przy moim biurku jest facet, który chce wjechać do naszego kraju. Mówi, że pochodzi z Polski, nazywa się Jan Kowalski , a jego PESEL to XYZ. Czy to się zgadza?”. Władze sprawdzają informacje i potwierdzają je. Szef ochrony z przyjemnością poinformuje Cię, że informacje podane przez Ciebie są prawidłowe i możesz wjechać do kraju. Taka procedura przy kontroli granicznej nie wydaje się odpowiednia, prawda?
Co jest złego w tym podejściu? Po pierwsze, nie ma dodatkowych kontroli, takich jak paszport z dodatkowymi informacjami, takimi jak zdjęcie. Skąd oficer ochrony będzie wiedział, że jesteś tą osobą, za którą się podajesz? Każdy, kto zna Twoje imię i nazwisko oraz PESEL, może udawać Ciebie. Po drugie, musisz ujawnić innej osobie informacje, które są poufne i musisz zaufać pracownikowi, który Cię wypytuje. Tak właśnie działa uwierzytelnianie podstawowe w świecie cyfrowym.
Historia uwierzytelniania podstawowego
Pierwotnie termin „uwierzytelnianie podstawowe” opisywał schemat uwierzytelniania zdefiniowany w dokumencie RFC 7617, który został utworzony dla uwierzytelniania HTTP. Jeśli wchodzisz na stronę internetową i wyskakujące okienko przeglądarki prosi o wprowadzenie nazwy użytkownika i hasła, to jest to właśnie pierwotnie opisane „Uwierzytelnianie podstawowe”. Ten rodzaj uwierzytelniania jest również używany jako schemat uwierzytelniania na serwerach Microsoft Exchange. Termin ten jest ponadto znany jako proste uwierzytelnianie, uwierzytelnianie zwykłego tekstu lub mniej bezpieczne aplikacje (Google). Podsumowując: uwierzytelnianie podstawowe to każde uwierzytelnianie oparte na zwykłych nazwach użytkowników i hasłach.
Jakie są problemy z uwierzytelnianiem podstawowym?
W świecie cyfrowym posiadanie poświadczeń zasadniczo oznacza posiadanie zasobu, do którego chcesz uzyskać dostęp za pomocą tych poświadczeń. Usługa, w której przechowywany jest zasób, nie może odróżnić Ciebie od żadnej innej osoby, która ma Twoje poświadczenia. W odniesieniu do platformy Microsoft 365 lub Google G Suite oznacza to, że jeśli chcesz udzielić komuś dostępu do swojej skrzynki pocztowej, może on użyć tych samych poświadczeń, aby uzyskać dostęp do Microsoft SharePoint, Teams i innych usług Microsoft lub Google. Dzięki technologii opartej na uwierzytelnianiu podstawowym trudno jest ograniczyć dostęp do innych zasobów, do których można uzyskać dostęp przy użyciu tych samych danych uwierzytelniających. Oznacza to, że w przypadku uwierzytelniania podstawowego bramy do danych są szeroko otwarte i powinny być chronione. Jeśli to wszystko brzmi tak ryzykownie i niepewnie, dlaczego używamy tego rodzaju uwierzytelniania w świecie cyfrowym od tak dawna?
Co to jest nowoczesne uwierzytelnianie?
Nowoczesne uwierzytelnianie to ogólny termin pierwotnie zdefiniowany przez firmę Microsoft, ale wiele innych firm również używa go do opisania zestawu następujących elementów:
- Metody uwierzytelniania (uwierzytelnianie = jak coś / ktoś loguje się do systemu)
- Metody autoryzacji (autoryzacja = mechanizmy, które domyślnie zapewniają, że nie masz pełnego dostępu do czegoś)
- Polityki dostępu warunkowego (polityki, które określają warunki, w jakich należy podjąć pewne dodatkowe kroki, aby zalogować się do systemu)
- Metody autoryzacji i uwierzytelniania są ustandaryzowane w świecie cyfrowym. Branżowym standardem autoryzacji jest OAuth2. W przypadku uwierzytelniania nie ma standardu branżowego, ale najczęściej stosowanym standardem jest OpenID Connect. Chociaż służą one różnym celom, są one bardzo powiązane z technologicznym punktem widzenia. Pakiet protokołów OpenID Connect rozszerza protokół OAuth i jest oparty na tych samych technologiach. OAuth nigdy nie został zaprojektowany do uwierzytelniania użytkowników ani osób, a jedynie usług. Właśnie dlatego powstał OpenID Connect.
Jak wyglądałoby nowoczesne uwierzytelnianie w naszej analogii z lotniskiem? Z nowoczesnym uwierzytelnianiem procedura wydaje się dość znajoma: lecisz za granicę, wychodzisz z samolotu i udajesz się do pracownika ochrony na kontroli granicznej. Funkcjonariusz prosi o pokazanie paszportu, w którym może znaleźć wszystkie ważne informacje potrzebne do określenia, kim jesteś i skąd pochodzisz. Informacje te są chronione przez mechanizmy zapobiegające fałszerstwom. W sensie cyfrowym paszport jest tym, co nazywamy tokenem identyfikacyjnym. Token zawiera ważne informacje: kim jesteś, kto stworzył token, jak długo jest ważny i tak dalej…
W którym miejscu uwierzytelnianie dwuskładnikowe wkracza do akcji?
Uwierzytelnianie dwuskładnikowe (2FA) i uwierzytelnianie wieloskładnikowe (MFA) są częścią procesu uwierzytelniania. Proces przebiega następująco: Ty jako użytkownik łączysz się ze swoim dostawcą tożsamości, który musi potwierdzić, że to naprawdę Ty próbujesz się połączyć. W zależności od zasad dostępu warunkowego, które są zdefiniowane przez administratora, Twój dostawca tożsamości może poprosić Cię o dodatkowe informacje. Jeśli uważa, że samo wprowadzenie danych uwierzytelniających nie wystarczy, aby Cię uwierzytelnić, na przykład podczas łączenia się z nieznanej sieci, może poprosić Cię o dodatkowe informacje, na przykład o kod, który zostanie wysłany na Twój telefon komórkowy. Microsoft wdrożył ten wariant w bardzo dynamiczny sposób. Ich systemy nieustannie uczą się i decydują, co jest systemem bezpiecznym, a co nie. Istnieje również możliwość zdefiniowania urządzenia jako bezpiecznego, np. biznesowego laptopa. Jeśli urządzenie jest zdefiniowane jako bezpieczne, zostaniesz poproszony o podanie danych uwierzytelniających tylko raz, a następnie plik cookie zostanie zapisany w Twojej przeglądarce, więc przy następnym logowaniu zostaniesz natychmiast zalogowany bez pytania o dane uwierzytelniające lub dalsze szczegóły. . Są to dodatkowe zasady, które administrator może zdefiniować i jest to szczególnie istotne w sytuacjach, gdy wiele osób pracuje z domu (na przykład podczas korzystania z niezabezpieczonej zamiast korporacyjnej sieci VPN w domu).
Jakie są zalety nowoczesnego uwierzytelniania?
Jedną z największych korzyści dla administratorów jest to, że wszystkie te zasady są konfigurowane w jednej centralnej lokalizacji, czyli u dostawcy tożsamości. Oznacza to, że im więcej aplikacji jest połączonych z dostawcą tożsamości, na przykład Microsoft Azure Active Directory i usługami tożsamości dostarczanymi przez firmę Microsoft, tym wygodniej jest skonfigurować zasady dostępu warunkowego dla wszystkich tych aplikacji. Dzięki temu administrator nie musi konfigurować indywidualnych zasad logowania i ustawień zabezpieczeń dla każdej aplikacji. Jest tylko jedna lokalizacja, w której administrator może definiować zasady logowania dla wszystkich aplikacji zintegrowanych z dostawcą tożsamości. W dłuższej perspektywie im więcej aplikacji obsługujących ten rodzaj uwierzytelniania, tym bardziej przyjazne jest to dla użytkownika i łatwiejsze dla administratora. Oczywiście, poza wszystkim, nowoczesne uwierzytelnianie jest znacznie bezpieczniejsze niż uwierzytelnianie podstawowe.
Jak działa uwierzytelnianie w MailStore Server i MailStore SPE?
MailStore Server i MailStore Service Provider Edition (SPE) wymagają uwierzytelnienia, gdy użytkownicy są synchronizowani z usługą katalogową, aby uzyskać dostęp do skrzynek pocztowych, archiwizować lub eksportować wiadomości oraz gdy użytkownicy chcą logować się do swoich archiwów MailStore, aby uzyskać dostęp do wiadomości e-mail. W dalszej części wyjaśnimy, jak uwierzytelnianie na platformie Microsoft 365 i Google G Suite współpracowało z uwierzytelnianiem podstawowym i jak działa z uwierzytelnianiem nowoczesnym podczas korzystania z MailStore Server lub MailStore SPE. Aby poprawić czytelność, będziemy odnosić się tylko do MailStore Server, mimo że wszystkie poniższe informacje dotyczą również MailStore SPE.
MailStore Server i uwierzytelnianie podstawowe
Jak w przeszłości działało uwierzytelnianie na platformie Microsoft 365 i Google G Suite? Początkowo użytkownik otwierał aplikację kliencką (czyli MailStore Client, MailStore Outlook Add-in lub MailStore Web Access), wprowadzał swoje poświadczenia i wysyłał je do serwera MailStore. W tym momencie serwer odnotowywał, że ten konkretny użytkownik został zsynchronizowany ze zdalną usługą katalogową. W takim przypadku serwer MailStore łączył się albo z samą usługą katalogową (jeśli ta usługa zapewnia interfejs uwierzytelniania), albo w przypadku platformy Microsoft 365 próbował zalogować się do skrzynki pocztowej Exchange Online użytkownika z podanymi poświadczeniami. Jeśli logowanie do skrzynki pocztowej przebiegło pomyślnie, zostało to przekazane do serwera MailStore. Następnie serwer MailStore informował aplikację kliencką, że poświadczenia są poprawne, a użytkownik jest zalogowany i może przeszukiwać archiwum.
W ten sposób profil Microsoft 365 działał z uwierzytelnianiem podstawowym (i nadal działa, ponieważ opcja jest nadal dostępna).
Serwer MailStore i nowoczesne uwierzytelnianie
W jaki sposób nowoczesne uwierzytelnianie z Microsoft 365 i Google G Suite współpracuje teraz z MailStore Server? W pierwszym kroku użytkownik wprowadza tylko swoją nazwę użytkownika. Następnie serwer MailStore sprawdza, czy atrybut uwierzytelniania tego użytkownika jest ustawiony na zintegrowany z MailStore lub z usługami katalogowymi i jaki typ usługi katalogowej jest obecnie skonfigurowany. W zależności od wyniku użytkownik jest proszony o podanie hasła lub, jeśli skonfigurowana usługa katalogowa obsługuje uwierzytelnianie nowoczesne, jest przekierowywany do dostawcy tożsamości innej firmy. W przypadku nowoczesnego uwierzytelniania za pomocą platformy Microsoft 365, serwer MailStore zwróci identyfikator URI logowania dostawcy tożsamości. Podczas korzystania z klienta MailStore lub dodatku MailStore Outlook, przeglądarka internetowa jest otwierana automatycznie, aby wyświetlić adres URL logowania dostawcy tożsamości. Korzystając z MailStore Web Access, użytkownicy są automatycznie przekierowywani do adresu URL logowania ich dostawcy tożsamości. Co się dzieje potem? Zależy to od zasad dostępu warunkowego zdefiniowanych przez administratora. Jeśli użytkownik loguje się z bezpiecznej sieci, dla której administrator nie zdefiniował dodatkowych zasad, zazwyczaj wystarczy wprowadzić poświadczenia. Jeżeli administrator zdefiniował dodatkowe polityki, użytkownik może zostać poproszony o podanie dodatkowych informacji (np. z MFA). Jeśli uwierzytelnienie z dostawcą tożsamości zakończyło się powodzeniem, dostawca tożsamości wie, do której aplikacji użytkownik chciał się zalogować. W ten sposób dostawca tożsamości przekierowuje użytkownika z powrotem do serwera MailStore i każe mu przesłać token, który jest wysyłany do serwera MailStore. Token jest weryfikowany przez serwer MailStore, a dostawca tożsamości żąda dodatkowych informacji o użytkowniku (na przykład alias adresu). Pomaga to serwerowi MailStore mapować użytkownika MailStore na użytkownika, który próbuje się zalogować. W kolejnym kroku sesja jest oznaczana jako uwierzytelniona i użytkownik może uzyskać dostęp do archiwum.
Podsumowanie
Chociaż (niektóre) terminy wyłączenia uwierzytelniania podstawowego i mniej bezpiecznego dostępu do aplikacji zostały przesunięte, warto jak najwcześniej przejść na nowoczesne uwierzytelnianie. Jest ono nie tylko znacznie bezpieczniejsze niż uwierzytelnianie podstawowe, ale także bardziej przyjazne dla użytkownika i ułatwia życie administratorowi. MailStore Server i SPE obsługują nowoczesne uwierzytelnianie za pośrednictwem OAuth2 i OpenID Connect od wersji 13, co znacznie poprawia integrację MailStore ze środowiskami chmurowymi Microsoft 365 i Google G Suite.