Im letzten Artikel haben wir uns über die Kontrolle des Zugriffes externe Gäste unterhalten. Heute plaudern wir darüber, wie sich Externe beim Zugriff auf meine Ressourcen authentifizieren können.
OnPrem war es ja bis jetzt meistens so, das die externen Gäste einen AD Account von mir bekommen haben.
Das hat ein paar massive Nachteile – einerseits, weil der User dann (wieder) einen Account + PW hat und weil ich für die Pflege des PWs verantwortlich bin (wenn der Benutzer das PW vergessen hat)
Office 365 bietet die Möglichkeit, das der externe Gast sich mit unterschiedlichen Accounts bei mir anmelden kann
Azure Active Directory
Die beste Authentifizierung im Businessbereich ist, wenn sich mein Gast über das Azure Active Directory authentifiziert.
Dh ich lade zB Hans.Mustermann@meinlieferant.at auf meinen SharePoint ein.
Hans Mustermann kann sich dann auf MEINEM SharePoint mit SEINEM AD Account und PW anmelden.
Hat er sein PW vergessen, geht er zu SEINEM IT Support und nicht zu mir.
Der aus meiner Sicht größte Vorteil ist aber, das ich mir sicher sein kann, das Hans Mustermann nur so lange auf meinen SharePoint zugreifen kann, solange er bei der Firma MeinLieferant arbeitet.
Weil die Firma ihn aus dem AD streicht, sobald er die Firma verläßt und er sich dann auch nicht mehr über das Azure AD bei mir anmelden kann.
Microsoft Account (LiveID)
Die zweite Option in Office 365 ist der Zugriff über einen Microsoft Account (früher genannt LiveID)
Hier kann ich mir jederzeit eine kostenlose LiveId – auch mit meiner Mailadresse – erstellen.
Auch hier liegt die Passwort-Verwaltung beim User selber und nicht bei mir als Einladender.
Google Account
Standardmässig nicht automatisch aktiv ist die Authentifizierung über einen Google Account.
Hier muss ich zuerst eine Federation zwischen meinem Azure AD und dem Google Directory erstellen
https://docs.microsoft.com/en-us/azure/active-directory/b2b/google-federation
Ist keine Hexerei und im oben genannten Link gut beschrieben.
Sobald ich das eingerichtet habe, kann ich Benutzer über ihre Google ID einladen und diese können sich mit ihrem Google Account bei meinen Ressourcen authentifizieren
OneTime Password (OTP)
Derzeit im Preview ist die Möglichkeit, das sich der User mit jeder beliebigen Mailadresse über ein OneTime Password authentifiziert.
Diese Option muss ich einmal enablen – das erfolgt im Azure AD Portal unter https://portal.azure.com
Die Authentifizierung erfolgt dann sehr ähnlich wie die beim Sharen von Dateien an “bestimmte Benutzer” in OneDrive:
Der Benutzer bekommt eine Einladung an seine Mailadresse:
Klickt er auf den Link, kommt er zu folgender Seite:
Beim Klicken auf “Code Senden” erhält der Benutzer eine Mail in seine Inbox
und trägt diesen Code dann auf der Webseite ein
Damit hat der User jetzt für 24 Stunden Zugriff, danach muss er den Vorgang wiederholen
In meinem Azure AD sehe ich, über welches Directory bzw. über welche Methode der Benutzer authentifiziert ist:
