privacyIDEA 2.17 ist nun auf für den Univention Corporate Server verfügbar. Über die Neuerungen in privacyIDEA 2.17 berichteten wir bereits. Mit der Paketierung für UCS stehen die neuen Funktionen nun auch über das leichte Update aus dem Univention App Center den Kunden, die auf UCS aufsetzen, zur Verfügung.

privacyIDEA Enterprise Edition Subscription

privacyIDEA auf dem Univention Corporate Server hat den gleichen Funktionsumfang wie ein natives privacyIDEA. Neben den üblichen Subskriptions-Stufen der Enterprise Version gibt es auf dem UCS außerdem einfache Update-Subskriptionen.

Mit den neuen Token Handler und Skript Handler können Arbeitsabläufe stark automatisiert werden.

privacyIDEA wurde in der Version 2.17 veröffentlicht. Es gibt vier neue Hauptfunktionalitäten. Das Event-Handler-Framework hat zwei weitere Module (Token Hander und Skript Handler) bekommen. Die Challenge-Response REST API wurde erweitert, um einen flexibleren SMS-Versand zu ermöglichen und die Richtlinien können nun auch die Zugehörigkeit eines Benutzers zu einem sekundären Resolver überprüfen.

Neue Hauptfunktionen

Token Handler

Der Token Handler kann als Reaktion auf ein Ereignis wie eine fehlgeschlagene Authentifizierung, das Ausrollen oder Sperren eines Tokens, eine neue Aktion auf diesen Token ausführen.

Der Administrator kann eine Event-Handler-Einstellung definieren, so dass bspw. beim Ausrollen eines speziellen Tokentyps der Token vom Event Handler erstmal deaktiviert wird. Dies kann für manche Rollout-Strategien, in denen der ausgestellte Token erst aktiv sein soll, wenn der Benutzer den Empfang bestätigt hat, interessant sein.

Auch könnte eine Event-Handler-Einstellung definiert werden, so dass ein verwaister Token (dessen Benutzer aus dem Active Directory gelöscht wurde) automatisch aus der Tokendatenbank gelöscht wird, es sich bei dem Token um einen Softtoken handelt.

Mehr Informationen finden sich in der Dokumentation zum Token Handler.

Skript Handler

privacyIDEA 2.17 bietet zwei neue Event Handler Module: Token und Skript.

Der Skript Handler kann als Reaktion auf ein beliebiges Ereignis ein externes Skript ausführen. Dem Skript können verschieden Parameter wie die Seriennummer

des Tokens oder der Benutzername übergeben werden.

Ein solches Skript kann bspw. den Druck von PIN-Briefen veranlassen, ein Backup der Datenbank erstellen oder beliebige andere Operationen durchführen.

Der Administrator kann beliebige Shell-Skripte selber erstellen und in den entsprechenden privacyIDEA-Skript-Ordner ablegen und sie somit für die Event-Handler-Definitionen verfügbar machen. Die verfügbaren Skripte sind im WebUI dann als möglichen Aktionen auswählbar.

Mehr Informationen finden sich in der Dokumentation zum Skript Handler.

Mit Hilfe des Token Handlers und des Skript Handlers können Arbeitsabläufe beim Token-Rollout und bei der täglichen Arbeit weiter automatisiert werden und erleichtern so die Arbeit der Administratoren und des Helpdesks, helfen Fehler zu vermeiden und erhöhen damit auch die Anmeldesicherheit.

Erweiterte Challenge-Response REST API

Die zusätzliche REST API /validate/triggerchallenge können nun auch SMS zur Authentifizierung versandt werden, ohne dass der Benutzer vorher seine OTP PIN eingegeben hat. Vielmehr wird hierzu ein minderprivilegierter Account verwendet, der die Berechtigung hat, für beliebige Benutzer SMS auszulösen. Für manche Applikationen, bei denen die PIN-Nutzung nicht sinnvoll oder nicht möglich ist, ist das eine große Hilfe.

So wird diese Funktion zum Beispiel in Kürze Einzug in die privacyIDEA ownCloud App halten.

Erweiterte Richtlinien

Die Richtlinien wurden dahingehend erweitert, dass in gewissen Situationen alternative Benutzer-Resolver für das Überprüfen der Richtlinie herangezogen werden können. Ein Benutzer-Realm kann aus mehreren Benutzer-Resolvern aufgebaut sein. Hierbei kann es vorkommen, dass ein Benutzerobjekt in mehreren Resolvern innerhalb des Realms vorkommt. Die Priorität der eingeordneten Resolver bestimmte dann das gefundene Benutzerobjekt. Dieses wird weiterhin für die Authentifizierung herangezogen. Zusätzlich können aber weitere Richtlinien überprüft werden, ob ein sekundäres Benutzerobjekt in den nieder-priorisierten Resolvern gefunden wird.

Diese zugegebener Maßen etwas schwer eingängige Funktionalität bietet aber die Möglichkeit zum Einen sehr einfache Benutzerstrukturen für die Token-Zuweisung zu haben und zum anderen aber sehr fein differenzierte Richtlinien für verschiedene Benutzergruppen zu erstellen.

Wenn Sie hier in Ihrem Szenario Bedarf sehen, steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

ChangeLog

Das originale ChangeLog findet sich bei Github. Hier eine deutschsprachige Entsprechung:

Funktionen

  • Token Handler zum gezielten, automatischen Ausführen von Token-Aktionen. (#532)
  • Script Hander zum Ausführen von Shell-Skripten. (#536)
  • Zusätzliche Challenge Response REST API für leichteren SMS-Versand. (#531)
  • Erweiterte Richtlinien mit sekundärem Benutzer-Resolver. (#543)

Erweiterungen

  • In den Bedingungen der Event Handler wird eine Seriennummer bestimmt, selbst wenn der Request keine Seriennummer enthält. Dies gilt für Benutzer, die nur einen Token haben. (#571)
  • Event Handler Definitionen können deaktiviert werden. (#537)
  • Event Handler Definitionen können einen beschreibenden Namen erhalten. (#522)
  • LDAP Performanz verbessert. Es wird auf unterschiedliche Funktionalitäten des ldap3 Moduls in den Versionen 1.x und 2.x eingegangen. (#549)
  • SQL Audit Tabelle wurde zum Schema hinzugefügt. Dadurch eine Leistungssteigerung, weil die Tabelle nicht mehr bei einem Request erzeugt wird. (#557)
  • Alter der Audit-Einträge kann festgelegt werden. Benutzer können bspw. nur Einträge des letzten Monats sehen. (#541)
  • Verbesserung der Lesbarkeit von Richtlinien-Details. Es wurde eine Checkbox ergänzt, die nur angewählte Aktionen zeigt. (#573)
  • Audit Log kann auch gefiltert heruntergeladen werden. (#539)

Fehlerbehebungen

  • Beim Löschen eines Tokens wird nun auch die bisher fehlende Seriennummer des Tokens ins Audit Log geschrieben. (#546)
  • Fehler beim Speichern von Event Handlern behoben. (#551)
  • HttpSMSProvider akzeptiert nun Status Codes 201 und 202 zusätzlich zu 200. (#562)
  • Fehler mit der Checkbox NOREFERRALS im LDAP Resolver behoben. (#563)
  • Dokumentation für SMS Provider ergänzt. (#566)
  • HTTP 301 Redirects aus dem WebUI entfernt. (#576)


Chemnitzer Linux-Tage Logo

Auch 2017 wird die NetKnights GmbH wieder als Sponsor bei den Chemnitzer Linuxtagen dabei sein. Wir freuen uns, dass im universitären Umfeld und auf großer freiwilliger Basis mit viel Engagement so interessante Opensource Events organisiert werden.

Die Chemnitzer Linuxtage finden am 11. und 12. März statt.

Am Stand werden Neuerungen zu privacyIDEA zu sehen sein. Wir haben zwei Vorträge zu den Themen „Zwei-Faktor-Authentifizierung mit ownCloud“ und „Erfahrungen mit dem Rollout von 35.000 Benutzern“ eingereicht. In der Vergangenheit hat Cornelius Kölbel schon interessante Vorträge bei den CLT halten können.

Wir freuen uns auf Ihren Besuch am 11./12.03.2017 in Chemnitz!

 

Im Mai diesen Jahres haben wir privacyIDEA als Projekt bei dem Open Source Business Award eingereicht.

Am Mittwoch Abend wurden im Rahmen der Open!2016 Konferenz die Gewinner gekührt.

privacyIDEA belegt den ersten Platz beim Open Source Business Award

Die Spannung steigt! Schließlich wurde privacyIDEA auf die Bühne gerufen. Die hochkarätig besetzte Jury verleiht dem Open Source Projekt privacyIDEA den ersten Platz (in Gold 😉 beim OSBAR. 

Ich war in Stuttgart am Mittwoch Abend zugegen und konnte freudig den Preis entgegennehmen. Die Sponsoren Kopano, Nextcloud und Spreed unterstützen die Auszeichnung außerdem noch jeweils mit einem Sachwert. Das erstplatzierte Projekt darf sich über eine Spreedbox freuen, mit der sichere Webkonferenzen durchgeführt werden können.

Ausgezeichnete Sicherheit

Nicht nur wurden Projekte nach dem Innovations- und Reifegrad bewertet sondern vor allem auch nach dem Nutzen für Business-Anwender. Lange schien in der Öffentlichkeit die Bereitschaft, etwas für Sicherheit zu tun, ein Lippenbekenntnis zu sein.

Meine persönliche Interpretation der Auszeichnung ist, dass die Jury erkannt hat, dass durch die Verwendung einer Sicherheitslösung wie privacyIDEA eben durchaus ein Mehrwert für Unternehmen geschaffen wird – indem geheime Daten geschützt und Complience-Regeln eingehalten werden. Als Open Source Produkt, das unter der Kontrolle des Anwenders on Premise läuft, behält ein Unternehmen vollständig seine Identitätssouveränität.

Ihre Sicherheit

privacyIDEA ist ein System zur zentralen Verwaltung von Authentifizierungsobjekten zur Zwei- oder Mehr-Faktor-Authentifizierung. Das Open Source Produkt ist produktiv zuverlässig einsetzbar, für den Unternehmenseinsatz ist eine Enterprise Edition mit entsprechenden Subskriptionen/SLAs verfügbar.

privacyIDEA 2.16.1 ist nun auf dem Univention Corporate Server verfügbar. Damit stehen nun auch den Kunden, die eine UCS Subskription erworben haben, die erweiterten Event-Handler und das verbesserte UI zur Verfügung. Auf dem UCS ist eine patch Version 2.16.1 veröffentlicht, die zusätzlich zur 2.16 ein paar LDAP-Optimierungen enthält.

Verschiedene Subskriptionsstufen

Für den Univention Corporate Server gibt es zwei Subskriptionsvarianten. Mit der normalen privacyIDEA Enterprise Edition kann privacyIDEA auf dem UCS mit beliebig vielen Benutzern betrieben werden. Daneben ist eine eine privacyIDEA4UCS Subscription erhältlich, die sich an kleinere Installation mit bis zu 50 Benutzern richtet.

 

Am 10.11.2016 wurde privacyIDEA in der Version 2.16 veröffentlicht. Es gibt drei neue Hauptfunktionalitäten: Eine neue Untersützung für Hardware-Sicherheits-Module, eine Subskriptionsfunktionalität und eine Erweitertung des Event-Handler-Frameworks.

Neue Hauptfunktionen

Event-Handler-Framework

Das Handler-Modul „UserNotification“ hat viele Erweiterungen erfahren. Die Bedingungen, wann eine Benachrichtigung erfolgt, wurde stark erweitert. Es können nun Benutzer (Token-Besitzer), Administratoren, Administrator-Gruppen oder einfache Email-Adressen benachrichtigt werden. Die Vorlagen für die Texte der Benachrichtigungen können wesentlich mehr Variablen und Platzhalter enthalten. So kann nun auch bspw. der Tokentyp oder der Registrierungscode in der Benachrichtigung enthalten sein.

eventhandler-1

Mehr Möglichkeiten zur flexiblen Benachrichtigung.

Subskriptionen

privacyIDEA steht als zentrale Authentifzierungsinstanz im Netzwerk zur Verfügung. Beliebige Applikationen nutzen privacyIDEA zur Mehrfaktor-Authentifizierung der Benutzer. privacyIDEA kann nun für diese Applikationen wie bspw. die privacyIDEA ownCloud App Subskriptionsdateien verwalten.

Hardware-Sicherheits-Modul

In enger Zusammenarbeit mit unserem Partner AxiadIDS erfolgte die Erweiterung für die Unterstützung für Hardware-Sicherheits-Module. Auf einem HSM wie der SafeNet LunaSA oder Thales nShield Connect können AES Schlüssel abgelegt werden, mit denen die sensiblen Informationen wie die OTP Seeds oder abgespeicherte Passwörter verschlüsselt werden. Die AES Schlüssel verlassen dabei das HSM nicht.

Die NetKnights steht Ihnen mit Ihre HSM-Expertise bei der Planung und der Installation eines solchen Setups beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

Partnerschaft zwischen Nitrokey und NetKnights

Offene Hard- und Software zur vertrauenswürdigen
Zwei-Faktor-Authentifizierung

Die Nitrokey UG und die NetKnights GmbH bieten gemeinsam eine vollständig offene und überprüfbare Gesamtlösung zur vertrauenswürdigen Zwei-Faktor-Authentifizierung. Diese Lösung besteht aus dem USB-Schlüssel Nitrokey und dem Mehr-Faktor-Authentifizierungssystem privacyIDEA, die beide als Open-Source bzw. als offene Hardware veröffentlicht sind.

Die einfache Authentifizierung von Anwendern per Passwort ist in vielen Firmen und bei zahllosen Anwendungen nicht sicher genug. Sehr viel sicherer ist die Zwei- oder Mehr-Faktor-Authentifizierung, bei der ein Benutzer zusätzlich zu seinem Passwort einen weiteren Besitzfaktor, etwa ein Smartphone, eine Karte oder eben einen USB-Schlüssel vorweisen muss. Wenn es sich dabei allerdings um proprietäre, geschlossene Systeme handelt, kann der Anwender letztlich nicht vor Hintertüren oder Datendiebstahl bei dem Hersteller des Authentifizierungssystems sicher sein.

Dem gegenüber bieten Open-Source-Systeme elementare Vorteile. Die Systeme sind auditierbar, so dass sichergestellt werden kann, dass keine Hintertüren und Schwachstellen vorhanden sind. Die federführend von NetKnights entwickelte Software privacyIDEA ist vollständig offen und transparent. Zu schützende Applikationen authentifizieren die Benutzer mittels privacyIDEA, welches Besitzfaktoren der Benutzer verwaltet. Der USB-Schlüssel Nitrokey ist zusätzlich zum Passwort ein weiterer Besitzfaktor zur Authentifizierung.

Mit der neuen Version 2.15 von privacyIDEA kann der Administrator die Einmalpasswörter des Nitrokey Pro und Nitrokey Storage konfigurieren. Das entsprechende Schlüsselmaterial wird dabei nicht beim Hersteller erzeugt, sondern bleibt jederzeit unter der Kontrolle des eigenen Unternehmens. So können professionelle Anwender den Nitrokey als vertrauenswürdigen Einmalpasswort-Token für die Zwei-Faktor-Authentifizierung nutzen. Bei der
Benutzerauthentifizierung gibt der Benutzer sein Passwort ein, und zusätzlich generiert der Nitrokey ein Einmalpasswort, ähnlich einer TAN. Mit dem Nitrokey als Authentifizierungsgerät und privacyIDEA als Backend-Software steht ein durchgängig offenes und auditierbares Zwei-Faktor-Authentifizierungssystem für den kritischen Unternehmenseinsatz zur Verfügung.

Zum Start der Partnerschaft bieten NetKnights und Nitrokey ein Paket mit privacyIDEA und Nitrokey-Hardware zum besonders günstigen Preis an. So kosten 100 Nitrokey Pro und die privacyIDEA Enterprise Edition statt des regulären Preises von 9568 Euro zusammen im Angebot nur 7999 Euro. Der Sonderpreis gilt bis zum 31.12.2016. Weitere Preise auf Anfrage.

Mehr Details unter https://netknights.it/nitrokey-privacyidea-bundle

Über NetKnights GmbH und privacyIDEA

Die NetKnights GmbH, Kassel, ist ein unabhängiges IT-Security-Unternehmen, das Dienstleistungen und Produkte aus den Bereichen starke Authentisierung, Identitätsmanagement sowie Verschlüsselung anbietet. Die NetKnights GmbH stellt das Core-Entwickler-Team für die modulare Authentifizierungslösung privacyIDEA, die sich auf einfache Weise in bestehende IT-Infrastrukturen integrieren lässt. privacyIDEA hat als Open-Source-Software kein herstellerbestimmtes End-of-Life und lässt sich damit auf unbegrenzte Zeit nutzen. Für den kritischen Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH eine Enterprise Edition mit verschiedenen Subskriptions- und Support-Stufen an.

Weitere Informationen unter https://netknights.it.

Über Nitrokey UG und den Nitrokey

Die Nitrokey UG, Berlin, stellt USB-Hardware zur hochsicheren Datenverschlüsselung, Schlüsselverwaltung und Benutzerauthentifikation her. Die Veröffentlichung aller Produkte als Open-Source und Open Hardware gewährleistet ein hohes Maß an Überprüfbarkeit und Vertrauen. Neben Einmalpasswörtern bietet der Nitrokey einen sicheren Schlüssel- und Zertifikatsspeicher, der sich zum Beispiel zur E-Mail-Verschlüsselung verwenden lässt. Der Nitrokey Storage verfügt zusätzlich über einen Hardware-verschlüsselten Massenspeicher, auf dem der Benutzer bis zu 64
GB Daten sicher speichern kann. Er wurde einem unabhängigen Sicherheitsaudit unterzogen, dessen Bericht auf der Nitrokey-Webseite einsehbar ist.

Weitere Informationen unter https://www.nitrokey.com.