Abilitare l'autenticazione FIDO2 in Omnissa Horizon True SSO

enable-fido2-authentication-omnissa-horizon-true-sso-01

Per rafforzare il processo di login, l'autenticazione FIDO2 aggiunge un ulteriore livello di sicurezza, abilitando un robusto processo di autenticazione MFA.

Sfruttare i metodi di autenticazione di Azure e le funzionalità True SSO di Omnissa Horizon migliora la sicurezza dell'infrastruttura VDI contro gli accessi indesiderati.

 

Configurare Omnissa Horizon True SSO

Prima di configurare l'autenticazione FIDO2, è necessario disporre di un'infrastruttura Omnissa Horizon funzionante che sfrutti SAML e True SSO (True SSO è consigliato ma non obbligatorio) per l'autenticazione.

Per configurare Horizon True SSO, è possibile seguire questa guida.

autenticazione fido2 1

 

 

Configurare il security group in Azure

Accedere al portale di Azure e fare clic su Microsoft Entra ID.

autenticazione fido2 2

Selezionare Manage > Groups per creare un nuovo gruppo.

autenticazione fido2 3

Cliccare su New group.

autenticazione fido2 4

Specificare il Group type come Security e inserire il Group name desiderato. Cliccare sul link No members selected per aggiungere gli utenti richiesti.

autenticazione fido2 5Selezionare gli utenti da aggiungere e cliccare su Select per confermare.

autenticazione fido2 6

Cliccare Create.

autenticazione fido2 7

Il nuovo Security Group è stato creato con successo.

autenticazione fido2 8

 

Abilitare le passkey (FIDO2) per l'organization

Dopo aver creato il Security Group, posizionarsi nell'area Microsoft Entra ID > Manage > Security. Selezionare la voce Manage > Authentication methods.

Nella sezione Authentication method policies, cliccare su Passkey (FIDO2) per procedere con la configurazione.

autenticazione fido2 9

Posizionarsi nella sezione Manage > Policies e cliccare sull'opzione Passkey (FIDO2).

autenticazione fido2 10

Nella sezione Enable and Target, cliccare sull'interruttore Enable e selezionare l'opzione Select groups. Cliccare sul link Add groups per assegnare il security group desiderato per la modalità di autenticazione selezionata.

autenticazione fido2 11

Selezionare il security group creato in precedenza (FIDO2 nell'esempio) e poi cliccare su Select.

autenticazione fido2 12

Il gruppo scelto è stato aggiunto.

autenticazione fido2 13

Ora spostarsi nella sezione Configure e sotto la voce GENERAL selezionare Yes sia per le opzioni Allow self-service set up che per Enforce attestation. Cliccare Yes per l'opzione Enforce key restriction.

autenticazione fido2 14

Questa opzione richiede l'aggiunta dell'AAGUID per applicare le restrizioni della chiave. Ogni fornitore di chiavi di sicurezza deve fornire l'Authenticator Attestation GUID (AAGUID), un identificatore a 128-bit che indica il tipo di chiave, come la marca e il modello. In questo esempio è stata utilizzata la Thetis PRO-C FIDO2 Security Key Device - Passkey, USB-C & NFC.

Un elenco di chiavi di sicurezza idonee per l'attestazione con Microsoft Entra ID può essere trovato in questa pagina.

Identificare e copiare l'AAGUID scritto in fondo alla pagina del Prodotto corrispondente (AAGUID a3975549-b191-fd67-b8fb-017e2917fdb3).

autenticazione fido2 15

Ora cliccare su Add AAGUID per aggiungere il codice corretto.

autenticazione fido2 16

Incollare il codice copiato dal sito web e cliccare OK per salvare.

autenticazione fido2 17

Cliccare su Save per salvare la configurazione del metodo di autenticazione FIDO2.

autenticazione fido2 18

La Passkey (FIDO2) è stata configurata correttamente.

autenticazione fido2 19

 

Configurare la security key

Innanzitutto, inserire la security key nella porta USB del computer.

Scaricare il software Key Manager per la chiave di sicurezza FIDO2 che si ha a disposizione ed eseguire l'applicazione.

Nell'esempio è stata utilizzata la security key Thetis. Accedere all'area FIDO e specificare il PIN per la tua chiave. Per configurare correttamente il PIN, è richiesto un PIN di 6 numeri.

autenticazione fido2 20

Posizionarsi nella sezione Settings e selezionare OATH OTP. Cliccare su Save.

autenticazione fido2 21

Nell'area HOTP, cliccare Configure.

autenticazione fido2 22

Cliccare Generate e quindi Save.

autenticazione fido2 23

Ora andare in Product Info ed annotare il numero di serie per identificare meglio la chiave in caso di necessità.

autenticazione fido2 24

 

Configurare l'autenticazione FIDO2 per gli utenti

Aprire il browser preferito e inserire l'URL: https://mysignins.microsoft.com/security-info. Inserire lo username dell'utente che si desidera configurare, quindi cliccare su Next.

autenticazione fido2 25

Inserire la Password e cliccare Sign in.

autenticazione fido2 26

Specificare il Codice MFA usando l'Autenticator, quindi cliccare su Verify. Notare che l'utente che si vuole configurare con FIDO2 deve avere MFA abilitata in Azure.

autenticazione fido2 27

Nell'area Security info, cliccare Add sign-in method.

autenticazione fido2 28

Selezionare l'opzione Security key.

autenticazione fido2 29

Selezionare USB device.

autenticazione fido2 30

Cliccare Next per procedere.

autenticazione fido2 31

Si viene reindirizzati a una nuova finestra.

autenticazione fido2 32

Inserire la chiave di sicurezza nella porta USB e cliccare Back.

autenticazione fido2 33

Selezionare Use an external security key.

autenticazione fido2 34

Cliccare OK.

autenticazione fido2 35

Cliccare OK.

autenticazione fido2 36

Inserire il security PIN configurato in precedenza e cliccare OK.

autenticazione fido2 37

Premere il pulsante sulla chiave di sicurezza

autenticazione fido2 38

Nella chiave di sicurezza FIDO2 utilizzata in questo esempio, il pulsante è identificato dall'icona della chiave.

autenticazione fido2 39

Specificare un Name per la security key e cliccare Next  per completare la configurazione.

autenticazione fido2 40

Cliccare Done per chiudere la finestra.

autenticazione fido2 41

Il metodo Passkey è stato configurato correttamente per l'utente selezionato.

autenticazione fido2 42

 

Testare la connessione a una VDI Horizon utilizzando True SSO e FIDO2

Inserire la security key FIDO2 nella porta USB del computer.

Utilizzando il browser preferito, inserire il nome DNS pubblico per accedere alla propria infrastruttura VDI (ad esempio https://vdi.domain.com). Cliccare su Omnissa Horizon Web Client (si può utilizzare anche l'Horizon Client).

autenticazione fido2 43

Poiché l'infrastruttura è configurata per avere MFA con Azure, è necessario specificare le credenziali. Inserire lo username e cliccare Next.

autenticazione fido2 44

Digitare la Password e cliccare su Sign in.

autenticazione fido2 45

Poiché l'utente è configurato per avere l'autenticazione FIDO2 come metodo di autenticazione aggiuntivo, viene richiesto di specificare la passkey da utilizzare. Cliccare su Windows Hello or external security key (il tipo di messaggio dipende dalla versione del sistema operativo utilizzata.

autenticazione fido2 46

Inserire il PIN della security key e cliccare OK.

autenticazione fido2 47

Premere il pulsante sulla chiave per completare il processo di accesso.

autenticazione fido2 48

Se il processo di autenticazione ha successo, l'utente viene reindirizzato alla tipica console di Horizon. Selezionare il Desktop Pool desiderato per accedere alla VDI.

autenticazione fido2 49

Poiché l'infrastruttura è configurata per sfruttare True SSO, non sono richieste credenziali aggiuntive per accedere alla VDI.

autenticazione fido2 50

Proteggendo l'accesso all'infrastruttura Omnissa Horizon con l'autenticazione FIDO2, viene rafforzato il processo di sicurezza del login fornendo la Multi Factor Authentication (MFA) agli utenti.

signature

Leave a Reply