Per rafforzare il processo di login, l'autenticazione FIDO2 aggiunge un ulteriore livello di sicurezza, abilitando un robusto processo di autenticazione MFA.
Sfruttare i metodi di autenticazione di Azure e le funzionalità True SSO di Omnissa Horizon migliora la sicurezza dell'infrastruttura VDI contro gli accessi indesiderati.
Configurare Omnissa Horizon True SSO
Prima di configurare l'autenticazione FIDO2, è necessario disporre di un'infrastruttura Omnissa Horizon funzionante che sfrutti SAML e True SSO (True SSO è consigliato ma non obbligatorio) per l'autenticazione.
Per configurare Horizon True SSO, è possibile seguire questa guida.
Configurare il security group in Azure
Accedere al portale di Azure e fare clic su Microsoft Entra ID.
Selezionare Manage > Groups per creare un nuovo gruppo.
Cliccare su New group.
Specificare il Group type come Security e inserire il Group name desiderato. Cliccare sul link No members selected per aggiungere gli utenti richiesti.

Cliccare Create.
Il nuovo Security Group è stato creato con successo.
Abilitare le passkey (FIDO2) per l'organization
Dopo aver creato il Security Group, posizionarsi nell'area Microsoft Entra ID > Manage > Security. Selezionare la voce Manage > Authentication methods.
Nella sezione Authentication method policies, cliccare su Passkey (FIDO2) per procedere con la configurazione.
Posizionarsi nella sezione Manage > Policies e cliccare sull'opzione Passkey (FIDO2).
Nella sezione Enable and Target, cliccare sull'interruttore Enable e selezionare l'opzione Select groups. Cliccare sul link Add groups per assegnare il security group desiderato per la modalità di autenticazione selezionata.
Selezionare il security group creato in precedenza (FIDO2 nell'esempio) e poi cliccare su Select.
Il gruppo scelto è stato aggiunto.
Ora spostarsi nella sezione Configure e sotto la voce GENERAL selezionare Yes sia per le opzioni Allow self-service set up che per Enforce attestation. Cliccare Yes per l'opzione Enforce key restriction.
Questa opzione richiede l'aggiunta dell'AAGUID per applicare le restrizioni della chiave. Ogni fornitore di chiavi di sicurezza deve fornire l'Authenticator Attestation GUID (AAGUID), un identificatore a 128-bit che indica il tipo di chiave, come la marca e il modello. In questo esempio è stata utilizzata la Thetis PRO-C FIDO2 Security Key Device - Passkey, USB-C & NFC.
Un elenco di chiavi di sicurezza idonee per l'attestazione con Microsoft Entra ID può essere trovato in questa pagina.
Identificare e copiare l'AAGUID scritto in fondo alla pagina del Prodotto corrispondente (AAGUID a3975549-b191-fd67-b8fb-017e2917fdb3).
Ora cliccare su Add AAGUID per aggiungere il codice corretto.
Incollare il codice copiato dal sito web e cliccare OK per salvare.
Cliccare su Save per salvare la configurazione del metodo di autenticazione FIDO2.
La Passkey (FIDO2) è stata configurata correttamente.
Configurare la security key
Innanzitutto, inserire la security key nella porta USB del computer.
Scaricare il software Key Manager per la chiave di sicurezza FIDO2 che si ha a disposizione ed eseguire l'applicazione.
Nell'esempio è stata utilizzata la security key Thetis. Accedere all'area FIDO e specificare il PIN per la tua chiave. Per configurare correttamente il PIN, è richiesto un PIN di 6 numeri.
Posizionarsi nella sezione Settings e selezionare OATH OTP. Cliccare su Save.
Nell'area HOTP, cliccare Configure.
Cliccare Generate e quindi Save.
Ora andare in Product Info ed annotare il numero di serie per identificare meglio la chiave in caso di necessità.
Configurare l'autenticazione FIDO2 per gli utenti
Aprire il browser preferito e inserire l'URL: https://mysignins.microsoft.com/security-info. Inserire lo username dell'utente che si desidera configurare, quindi cliccare su Next.
Inserire la Password e cliccare Sign in.
Specificare il Codice MFA usando l'Autenticator, quindi cliccare su Verify. Notare che l'utente che si vuole configurare con FIDO2 deve avere MFA abilitata in Azure.
Nell'area Security info, cliccare Add sign-in method.
Selezionare l'opzione Security key.
Selezionare USB device.
Cliccare Next per procedere.
Si viene reindirizzati a una nuova finestra.
Inserire la chiave di sicurezza nella porta USB e cliccare Back.
Selezionare Use an external security key.
Cliccare OK.
Cliccare OK.
Inserire il security PIN configurato in precedenza e cliccare OK.
Premere il pulsante sulla chiave di sicurezza
Nella chiave di sicurezza FIDO2 utilizzata in questo esempio, il pulsante è identificato dall'icona della chiave.
Specificare un Name per la security key e cliccare Next per completare la configurazione.
Cliccare Done per chiudere la finestra.
Il metodo Passkey è stato configurato correttamente per l'utente selezionato.
Testare la connessione a una VDI Horizon utilizzando True SSO e FIDO2
Inserire la security key FIDO2 nella porta USB del computer.
Utilizzando il browser preferito, inserire il nome DNS pubblico per accedere alla propria infrastruttura VDI (ad esempio https://vdi.domain.com). Cliccare su Omnissa Horizon Web Client (si può utilizzare anche l'Horizon Client).
Poiché l'infrastruttura è configurata per avere MFA con Azure, è necessario specificare le credenziali. Inserire lo username e cliccare Next.
Digitare la Password e cliccare su Sign in.
Poiché l'utente è configurato per avere l'autenticazione FIDO2 come metodo di autenticazione aggiuntivo, viene richiesto di specificare la passkey da utilizzare. Cliccare su Windows Hello or external security key (il tipo di messaggio dipende dalla versione del sistema operativo utilizzata.
Inserire il PIN della security key e cliccare OK.
Premere il pulsante sulla chiave per completare il processo di accesso.
Se il processo di autenticazione ha successo, l'utente viene reindirizzato alla tipica console di Horizon. Selezionare il Desktop Pool desiderato per accedere alla VDI.
Poiché l'infrastruttura è configurata per sfruttare True SSO, non sono richieste credenziali aggiuntive per accedere alla VDI.
Proteggendo l'accesso all'infrastruttura Omnissa Horizon con l'autenticazione FIDO2, viene rafforzato il processo di sicurezza del login fornendo la Multi Factor Authentication (MFA) agli utenti.



























































