Tomáš Kubica

Federace tokenů GitHub Actions s Azure Active Directory pro přístup z vaší CI/CD do Azure bez hesel

V článku Federace vnitřních Kubernetes identit s Azure Active Directory pro přístup k cloudovým službám bez hesel jsem ukazoval, jak lze využít federaci workload identit AAD v kombinaci s Kubernetes. Díky možnosti doručit kontejneru token Kubernetes identity a ten si směnit v AAD za token například pro Azure Key Vault...

8. 3. 2022

Téma: Automatizace Security AAD GitHub

Federace vnitřních Kubernetes identit s Azure Active Directory pro přístup k cloudovým službám bez hesel

Předávat aplikacím nějaké tajnosti jako jsou hesla nebo certifikáty je vždy docela nepohodlné, zejména, když nechcete prasit a dodržujete bezpečnostní hygienu (pravidelná rotace, nikdy neuloženo v Gitu nebo na disku, nikdy nezalogováno nebo odesláno do crash dumpu). Ve zdrojích běžících v Azure ve vašem tenantu to lze elegantně řešit přes...

15. 2. 2022

Téma: Kubernetes Security AAD

Moderní autentizace: oprávnění pro procesy běžící v pozadí s AAD

V minulém díle jsme se pustili do autorizace aplikace, která přistupovala na Payroll API. Dnes budeme chtít vyřešit dva problémy. Co když potřebujeme, aby naše aplikace fungovala v pozadí i po té, co uživatel opustil stránku a v pozadí s Payroll API komunikovala jménem uživatele? Token po hodině vyprší a...

15. 10. 2019

Téma: Security AAD

Moderní autentizace: delegovaná oprávnění s OAuth2 a AAD

Představme si, že budujeme aplikaci, ve které si uživatel může prohlédnout a změnit svoje údaje - číslo účtu pro posílání výplaty, svoje telefonního číslo apod. Například ten telefon bude uložen v AAD profilu a tak budeme chtít zavolat Microsoft Graph API. To se dá použít na spoustu věcí v rámci...

7. 10. 2019

Téma: Security AAD

Moderní autentizace: ověřování zákazníků s OpenID Connect v AAD B2C

V minulém díle jsme použili OpenID Connect pro ověřování interních (nebo federovaných) uživatelů v AAD a dnes se zaměříme na koncové zákazníky. Ty typicky nechcete spravovat ve stejném tenantu, ale ve vyčleněném pro tyto účely. Přesně na to je Azure Active Directory B2C, která ale řeší dost dalších věcí, které...

24. 9. 2019

Téma: Security AAD

Moderní autentizace: ověřování interního uživatele s OpenID Connect v AAD

Dnes se podíváme na scénář jednoduchého přihlašování uživatele a nebudeme vyžadovat autorizaci, tedy neřešíme přístup k nějakým dalším zdrojům a API, chceme jen čistě zjistit, kdo s námi vlastně mluví. K tomu využijeme OpenID Connect, standardizovanou nadstavbu nad OAuth2. V dnešním díle si vyzkoušíme pro firemní aplikaci s AAD a...

20. 9. 2019

Téma: Security AAD

Moderní autentizace: od SELECT password FROM k Oauth2

V sérií článků na téma moderní autentizace budu objevovat detaily přihlašování a autorizace z pohledu protokolů. Projdeme si proč to vzniklo a k čemu je to dobré a pak se pustíme do jednotlivých scénářů a vyzkoušíme si je s Azure Active Directory. Nejste programátoři? Já také ne, nemusíte se děsit....

12. 9. 2019

Téma: Security AAD

Synchronizace AD do Azure Active Directory: password hash scénář

V minulém díle jsme prošli základní možnosti synchronizace vašeho Active Directory s Azure Active Directory. Dnes si ukážeme detailně první možnost - synchronizaci password hash. Je to řešení bezpečné, jednoduché a vaše cloudové prostředí není závislé na dostupnosti on-premises. Rekapitulace jak to funguje Připomeňme si jak to funguje. V první...

18. 6. 2018

Téma: AAD

Synchronizace AD do Azure Active Directory: přehled možností

Pokud chcete využívat cloudové služby Microsoftu jako je Office 365 nebo Azure, potřebujete Azure Active Directory. O něj můžete opřít i vaše aplikace s využitím moderních metod přihlašování a získat celou řadu nadstavbových vlastností v oblasti bezpečnosti (například Azure Identity Protection), řízení přístupů (conditional access, Priviledged Identity Management), správy stavu...

7. 6. 2018

Téma: AAD

Nepřeceňujte firewall a síť, identita je váš nový perimetr

Klasická bezpečnost byla o zdi mezi zlem a dobrem. Firewally, oddělené sítě, chytré síťové krabičky. Klíčem k zabezpečení "na vstupu" byl drát, způsob připojení. V dnešním světě mobility a cloudu se ale stává novým perimetrem identita. Velmi často se ocitám v diskusích na téma, že PaaS služby mají veřejné endpointy,...

19. 3. 2018

Téma: AAD

Autentizace aplikací i bez psaní kódu s Azure App Service

Vaše aplikace v Azure platformě můžete zabezpečit s Azure Active Directory včetně vícefaktorového ověřování a synchronizace s on-premise Active Directory bez napsání jediné řádky kódu. Totéž dokážete třeba pro Google, Twitter nebo Microsoft konzumerský účtet. Jak nasadit veřejnou a zabezpečenou část webu? Jak implementovat autorizaci na základě členství uživatele v...

28. 8. 2017

Téma: AAD AppService

Cloud-only s Windows 10 a Azure Active Directory

Naprostá většina firem má za sebou dlouhou historii různých operačních systémů, aplikací a IT. V souvislosti s řízením identit tak často nasazují hybridní přístupy, například integraci Active Directory v on-premise prostředí s Azure Active Directory, Azure AD Domain Services nebo federované služby. Co když ale jste malá firma, která chce být...

20. 3. 2017

Téma: AAD

Více-faktorové ověřování v on-premise díky Azure MFA

V Azure je perfektní prostředí pro moderní řízení a ověřování identit - Azure AD postavená na OAuth 2.0 pro aplikace a podpora velmi bezpečného více-faktorového ověřování (kromě jména a hesla i telefonát, SMS, aplikace v mobilu apod.). Ale co on-premise svět? Váš Exchange s OWA, remote desktop, VPNky, intranet a...

13. 3. 2017

Téma: Security AAD