Self-service Password Reset

13. 4. 2020 Azure, IT Pro

V tomto článku si povíme něco ohledně technologie zvané zkratkou „SSPR“, neboli Self-service Password Reset, česky tedy Samoobslužný reset hesla. Dále si povíme něco o dvoufázovém ověření a ve finále nasadíme tuto technologii na náš tenant.

V první řadě bychom si ovšem měli říct požadavky, které potřebujeme splnit pro to, abychom mohli tuto technologii nasadit. Než začneme, potřebujeme funkční tenant s Azure Active Directory, který má předplatné na úrovni minimálně Premium P1 a účet s rolí globálního administrátora. Nyní musíme ještě vybrat metodu ověřování.

Jako správce tenantu si můžete zvolit metody ověřovaní pomocí Azure Multi-Factor Authentication (zkráceně MFA) a samoobslužné resetování hesla (zkráceně SSPR). Pokud uživatel nemá dostupnou jednu metodu ověření (například SMS), tak si bude moci vybrat, že bude ověřen jinou metodou, například e-mailovou adresou. Microsoft vřele doporučuje umožnit uživatelům zvolit si více ověřovacích metod pro případ, že ztratí k jedné z nich přístup. Máme proto spoustu metod ověřovaní, jako například bezpečnostní otázky, e-mailovou adresu, telefon nebo technologii zvanou OATH hardware tokens.

První metodou, která je v Azure AD považováno za metodu ověřování, je heslo. Je to jediná metoda, kterou nelze zakázat.

Druhou metodou ověřování jsou právě bezpečnostní otázky. Ty jsou k dispozici pouze při používání samoobslužného resetu hesla služby Azure AD na účty, které nejsou určeny pro správce, ale pro běžné uživatele. Příkladem typické bezpečnostní otázky, kterou již asi všichni viděli, může být například: „V jakém městě se vaši rodiče potkali?“, „Jaké je vaše oblíbené jídlo?“ nebo například i „Jaká byla vaše první práce?“ Všechny tyto předdefinované otázky jsou přeloženy a lokalizovány do plné sady jazyků, které jsou přeloženy na základě lokace daného uživatele.

Dále Microsoft nabízí takzvanou „Microsoft Authenticator App,“ tedy aplikaci, která si vás ověří. Aplikace Microsoft Authenticator poskytuje další úroveň zabezpečení pro Váš Azure AD účet nebo účet Microsoft. Tato aplikace, distribuovaná přímo společností Microsoft, je dostupná pro Android i iOS.

Následující metodou ověřování může být ověření pomocí technologie OATH, kde je vygenerován dočasný, takzvaný jednorázový kód (OTP). Azure AD podporuje použití OATH-TOTP SHA-1 tokenu, který se bude generovat v rozmezí 30 až 60 sekund. Tyto klíče jsou omezeny na 128 znaků, tudíž to nemusí být kompatibilní se všemi tokeny.

A v neposlední řadě máme ověření pomocí mobilního telefonu, které se nám dělí na dvě různá odvětví. Buď ověřování pomocí SMS nebo ověřování pomocí automatického hovoru. První metoda, tedy SMS, vám po přihlášení odešle na vámi zadané telefonní číslo ověřovací kód, který bude nutné zadat pro přihlášení. Ve druhé variantě, tedy v mobilním hovoru, vám automaticky po přihlášení zavolá IVR, která vám následně nadiktuje kód a vy se díky tomuto kódu úspěšně přihlásíte.

Začneme tím, že navštívíme portál Azure jako globální administrátor. Následně klikneme do záložky „Azure Active Directory“ v levém okraji. Poté si v této záložce najdeme podzáložku „Resetování hesla.“

Nyní se nacházíme v kartě „Vlastnosti,“ kde se obecně nastavuje tato technologie. Zde klikneme na tlačítko „Vše.“ V základním stavu by mělo být vybrané tlačítko „Vybráno.“ Pamatujte, že toto nastavení platí pouze pro koncové uživatele tenantu (organizace). Správci mají samoobslužné resetování hesel povolené vždy a při resetování se vyžaduje, aby použili dvě metody ověřování.

Karta Resetování hesla s možností zapnutí SSPR
Karta Resetování hesla s možností zapnutí SSPR | zdroj: Azure Active Directory

Dále vejdeme do karty „Metody ověřování.“ Zde si můžeme vybrat mezi jednou nebo dvěma metodami, které jsou třeba pro to, aby si uživatel mohl resetovat své heslo. O něco níže máme políčka, kde můžeme zaškrtnout metody, které budou dostupné pro ověření.

Karta Metody ověřování
Karta Metody ověřování | zdroj: Azure Active Directory

V záložce „Oznámení“ si můžeme vybrat, zda bude uživateli chodit upozornění, pokud si své heslo vyresetuje, ale můžeme zanechat původní možnost. O řádek níže najdeme ještě jedno upozornění, a to aby chodilo správcům organizace upozornění, když si někdo resetuje své heslo. Zde záleží čistě na vás, jakožto správci organizace, jak si toto přizpůsobíte.

A nyní máme úspěšně zavedenou technologii samoobslužného resetu hesla. Už nám zbývá jen otestovat řádně tuto technologii na koncovém uživateli. Jsou zde dvě metody přístupu k resetu hesla. Můžeme si resetovat heslo buď z internetového prohlížeče, když se budeme pokoušet přihlásit například do portálu Office, nebo přímo ze školních počítačů, při přihlašování na přihlašovací obrazovce Windows. Když uživatel své heslo zapomene a bude chtít zajistit reset hesla, tak při přihlášení klikne na zobrazované tlačítko pod přihlášením „Nemohu se přihlásit.“ Dále uživatel vybere, zda je jeho účet školní nebo pracovní, a poté už se budou využívat metody ověřování, které jsme vybrali v průběhu nasazování této technologie. Pokud uživatel zadá všechny ověřovací údaje správně a prokáže se jako vlastník účtu, bude umožněno nastavení nového hesla.

A nyní jeho heslo bylo úspěšně vyresetováno bez jakéhokoliv zásahu IT techniků a správců a zcela automaticky. Samotnému správci sítě, učiteli nebo adminovi tato technologie ušetří spoustu práce a času se správou hesel a uživatelé už nemusí docházet za administrátorem sítě s problémem zapomenutím hesla.

Nastavení souborů Cookies

1. Co jsou soubory cookies

Soubory cookies jsou krátké textové soubory, které internetová stránka odešle do vašeho prohlížeče. Umožňují internetové stránce zaznamenat informace o vaší návštěvě, například zvolený jazyk a podobně. Následující návštěva stránek tak pro vás může být snazší a příjemnější. Soubory cookies jsou důležité, neboť bez nich by procházení sítě Internet bylo mnohem složitější. Soubory cookies umožňují lepší využití naší internetové stránky a přizpůsobení jejího obsahu vašim potřebám. Soubory cookies používá téměř každá internetová stránka na světě.

2. Druhy souborů cookies

Relační (tedy dočasné) soubory cookies nám umožňují propojovat vaše jednotlivé aktivity po dobu prohlížení těchto internetových stránek. V okamžiku otevření okna vašeho prohlížeče se tyto soubory vytvoří a po zavření okna vašeho prohlížeče se odstraní.

Trvalé soubory cookies nám pomáhají váš počítač identifikovat, jestliže opětovně navštívíte naši internetovou stránku.

3. Využívání souborů cookies

V souladu s ustanovením § 89 odst. 3 zák. č. 127/2005 Sb., o elektronických komunikacích, v účinném znění, si vás tímto dovolujeme informovat, že naše internetové stránky využívají pro svoji činnost soubory cookies, tedy vaše soubory cookies, včetně trvalých, zpracováváme.

Internetové prohlížeče obvykle obsahují správu souborů cookies. V rámci nastavení vašeho prohlížeče tak pravděpodobně můžete jednotlivé soubory cookies ručně mazat, blokovat či zcela zakázat jejich používání. Pro více informací použijte nápovědu vašeho internetového prohlížeče. Jsou-li cookies povoleny, lze toto nastavení internetového prohlížeče považovat za souhlas se zpracováním osobních údajů.

4. Účel použití souborů cookies

K personalizaci obsahu a reklam, poskytování funkcí sociálních médií a analýze naší návštěvnosti využíváme soubory cookies. Informace o tom, jak náš web používáte, sdílíme se svými partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním internetových stránek vyjadřujete souhlas propojením následujících služeb: Google Analytics, Google Tag Manager, Facebook Pixel, Microsoft Clarity.

Soubory cookies využíváme, kromě účelu uvedeného v předchozím odstavci, pouze pro měření návštěvnosti webové stránky.

5. Správce osobních údajů

Provozovatelem webové stránky studuj.digital a správcem osobních údajů je společnost: pg-sec s.r.o., sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, identifikační číslo 09580905, zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 338028.

​6. Zásady ochrany osobních údajů

Podrobnější informace o souborech cookies a zpracování tvých osobních údajů najdete v našich Zásadách ochrany osobních údajů.

Nezbytné

Tyto soubory cookie jsou nutné pro základní funkce stránky, a jsou proto vždy povolené. Mezi ně patří soubory cookie, které stránce umožňují si vás zapamatovat při procházení stránky v rámci jedné relace nebo, pokud o ně požádáte, mezi relacemi.

Volitelné

Výkon

Tyto soubory cookie nám pomáhají vylepšovat funkce stránek sledováním využití této webové stránky. V některých případech zrychlují zpracování vašeho požadavku a umožňují nám zapamatovat si vaše vybrané předvolby na stránce. Pokud soubory cookie zakážete, může se tím zhoršit přesnost našich doporučení a zpomalit funkčnost stránek.

Sociální média a relamy

Díky souborům cookies sociálních médií si můžete připojit ke svým sociálním sítím a prostřednictvím sociálních médií sdílet obsah z naší webové stránky. Reklamní soubory cookie (třetích stran) shromažďují informace pro lepší přizpůsobení reklamy tvým zájmům, a to na webových stránkách studuj.digital i mimo ně. V některých případech tyto soubory cookies zpracovávají vaše osobní údaje. Pokud chcete získat více informací o zpracování osobních údajů, přečtěte si naše Zásady ochrany osobních údajů. Pokud zakážete soubory cookies, mohou se zobrazovat reklamy, které méně souvisejí s vašimi zájmy, nebo nebudete moci účinně používat odkazy na Facebook, Instagram či jiné sociální sítě anebo nebudete moci sdílet obsah na sociálnch médiích.