Microsoft Entra: Keskitetty hallinta hajautetuille identiteeteille

Microsoft Entra: Keskitetty hallinta hajautetuille identiteeteille

Kävin eilen kuntosalilla, vähän niinkuin työajalla. Tarkistin sähköpostit ja pikaviestit ennen alkulämmittelyä, ja heti tiukan treenin jälkeen puhelin oli täynnä notifikaatioita. Microsoft Entra on julkaistu virallisesti! Tässä artikkelissa otetaan tuntumaa julkistukseen – mistä on kyse, ja mihin tämä vaikuttaa?

Microsoft Entra: Tutut jutut ja vähän uutta

Viime viikon Microsoft Build oli todella ohut tietoturvajulkistusten osalta. Yllätyin mutta osasin vähän odottaakin, että perästä kuuluu. Nyt sitten heti perään isohko mutta samalla – luonnehtisin sanalla esoteerinen – julkistus.

Rajusti yksinkertaistaen, Microsoft Entra on tuotebrändäys, joka sisältää kolme isoa palvelua tai tuotetta:

  • Azure Active Directory, eli vanha tuttu Azure AD pilvessä
  • CloudKnox, joka on uudelleennimetty nyt Microsoft Entra Permission Management-palveluksi
  • Azure AD Verifiable Credentials, joka on uudelleennimetty nyt Microsoft Entra Verified ID-palveluksi

Heti kättelyssä täytyy todeta, että Azure AD ei muutu millään tasolla Microsoft Entran myötä. Se on vain paketoitu nyt osaksi tätä uutta julkistusta, mutta kaikki jatkuu sen osalta ennallaan. Myös lisenssimallit säilyvät samana – Azure AD Premium P1 ja P2 lisenssit ovat aivan kuten aiemminkin, ja sisältyvät yhä esimerkiksi Microsoft 365 E3 ja Microsoft 365 E5 lisenssikokoelmiin.

Microsoft osti CloudKnox Security-nimisen yrityksen reipas vuosi sitten, kesällä 2021. Heillä oli ratkaisu Cloud Infrastructure Entitlement Managementtiin, eli hienommin CIEMiin. Yrityskaupan jälkeen CloudKnox-palvelu ehti tulla julkiseen preview-tilaan jo aiemmin tänä vuonna, mutta nyt tuote sai myös uuden nimen – Microsoft Entra Permission Management. Tätä ei nyt kannata sekoittaa Azure AD:n Entitlement Managementtiin, joka on osa Identity Governance-ominaisuuksia. CloudKnoxin ratkaisu on enemmän multi cloud- ja hajautettujen ympäristöjen käyttövaltuushallintaa, kun taas Azure AD:n vastaava kyvykkyys on enemmän identiteettien ja pääsyhallinnan elinkaaren hallintaa. Osin näissä on päällekkäisyyttä toki. Tällä ratkaisulla voidaan siis keskitetysti hallita käyttäjien ja työkuormien käyttöoikeuksia Azuressa, Amazon Web Servicesissä ja Google Cloud Platformissa. Mukaan on ujutettu myös lisenssien inventaariota, ja äärimmäisen mielenkiintoista Permission Creepiä: ”miksikäs Matilla on vielä adminit tänne, eikös ne pitänyt poistaa kesän jälkeen..

Azure AD Verifiable Credentials on myös saatavilla preview-tasolla. Tämä on ehkä haastavin näistä kolmesta Entran palikasta, ja nyt uusi nimi on siis Microsoft Entra Verified ID. Taustalla vaanii Decentralized Identity-käsite, eli DID. Tämä ei ole Microsoftin oma innovaatio, vaan perustuu julkisiin standardeihin, jossa mm. W3C on aktiivisesti mukana. Rajusti jälleen yksinkertaistaen, Microsoft Entra Verified ID mahdollistaa käyttäjille identiteetin omistamisen, jota käyttämällä muihin järjestelmiin voidaan tunnistautua ja samalla tunnistaa, että tunnus kuuluu väitetylle taholle. Kuulostaa aika samalta kuin federoidut identiteetit joskus 10 vuotta sitten, eikö? No kyllä, mutta tässä ajatus on modernimpi ja, identiteetti on, no, hajautettu. Voidaan siis unohtaa kömpelöt federointipalvelut ja hähmäiset SAML-tokenit.

Todella nopea esimerkki, ja koska DID on Microsoft-maailmassa melko alkuvaiheessa, ei kannata tähän mennä vielä supersyvälle. Haluaisin käyttää omaa työtiliäni (jussi@notbadsecurity.com, joka siis Azure AD-pohjainen identiteetti) kirjautuakseni yhteistyökumppanin myyntipalveluun. Sen sijaan, että luon uuden identiteetin ovelasti samalla sähköpostiosoitteella tähän ulkoiseen palveluun, rakennan omalle yritykselleni Entran avulla todennuspalvelun. Kun kirjaudun myyntipalveluun, voin tarjota tätä omaa tunnustani erillisen ledger-palvelun kautta ikäänkuin keittiön kautta. ”Kyllä, minä se olen, Jussi täältä Not Bad Securitystä ja olisin tulossa myyntipalveluunne omalla identiteetilläni”. Ja suuri ero vaikkapa tilanteeseen jossa käyttäisin Facebook-tiliäni kirjautumiseen on se, että omistan itse identiteettini – enkä ulkoista sen hallintaa ja varmennusta kolmannelle osapuolelle.

Microsoft Entra tänään käyttöön?

Uusien ratkaisujen myötä en malta odottaa, että pääsen hypistelemään ja koeponnistamaan palveluita ja kyvykkyyksiä. Microsoft Entran osalta tämä onkin kyllä vielä vähän haastavampaa. Azure AD on vanha tuttu, ja sen osalta mikään ei muutu.

Microsoft Entra Permission Management (eli se vanha CloudKnoxin käyttöoikeuksien ja luvituksen hallinta) ei ole vielä saatavilla EU-alueen Azure AD-tenantteihin. Myöhemmin kun se sinne aktivoituu, tulee myös Defender for Cloud-tuki käyttöön.Microsoft Entra Verified ID on jo tänään käytettävissä, toki preview-tilassa. Laitoin tämän jutun loppuun lisälukemista aiheeseen liittyen. Tämä palvelu vaatii käytännössä yhden Azure Key Vault-instanssin ja sääntösetin esittelyn.

Kaikki Entra-palvelut löytyvät typistetystä Azure-hallintanäkymästä osoitteesta https://entra.microsoft.com. Se näyttää tältä:

Azure AD:n alta löytyy tutut hallintanäkymät, Verified ID:n alta voidaan määritellä ledger-asetukset ja identiteetin käytön säännöt. Harmillisesti vielä tänään, julkistuspäivänä, tuo toiminto hajoaa kesken sääntöjen lisäämisen. Annetaan kypsyä hetken.

Lopuksi – tarvitsetko Microsoft Entraa?

Tämä on helppo – et vielä. Myöhemmin, mahdollisesti ja ehkä todennäköisesti. Haastaisin tässä pohtimaan identiteettienhallintaa kypsyystasolla. Microsoft Entra on jossain kuvitteellisella asteikolla tasolla 5. Azure AD, kertakirjautuminen, self-service password resetit sun muut ovat tasolla 1-2. Siihen väliin mahtuu aika paljon tekemistä Zero Trustin, external identityjen, Identity Governancen ja vastaavien kanssa. Mikään ei estä heti ottamasta Entran osia koeajoon, mutta kattavin hyöty ja varsinainen liiketoimintaa lisäävä arvo saadaan vasta, kun pohjatyöt ovat kunnossa.

Me Not Bad Securityllä otamme Microsoft Entran laajempaan koeajoon, kunhan ratkaisut ovat hieman stabiloituneet ja rehellisesti saatavilla myös EU-tenanteissa. Ole yhteydessä, jos tarvitset ajatuksia Microsoft Entran osalta!

Lisätietoja