privacyIDEA 2.10 ist nun auch auf dem Univention Corporate Server verfügbar.

Enrollment-Wizard, Benutzer-Registrierung, Email-Handling

Ab gestern Abend stehen die neuen Funktionen Enrollment-Wizard, Benutzer-Registrierung und das verbesserte Management der SMTP-Server mit privacyIDEA 2.10 auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA kann aus dem Univention App Center heraus leicht installiert und aktualisiert werden.

enrollmentwizard-1-de

privacyIDEA Token Enrollment Wizard

Für Ihr individuelles Projekt im Rahmen Zwei-Faktor-Authentifizierung stehen wir Ihnen beratend in der Planung und Durchführung zur Seite. Sprechen Sie uns einfach an.

Veränderte Subscription auf dem Univention Corporate Server

Bisher erhielten Sie die Möglichkeit privacyIDEA mit bis zu 10 Benutzern auf dem Univention Corporate Server zu testen. Zwei-Faktor-Authentifizierung ist ein Thema das heute fast in aller Munde ist. Doch dadurch ist das Thema nicht einfacher geworden. Die Überlegungen, wie und wo sie eingesetzt werden soll, welche Authentisierungs-Devices verwendet werden und wie der Rollout an die Benutzer erfolgt stellen viele IT-Abteilungen vor bisher unbekannte Aufgaben.

Daher will die NetKnights GmbH Sie bei der Evaluierung von privacyIDEA auf dem Univention Corporate Server nicht im Regen stehen lassen. Um privacyIDEA zu evaluieren, können Sie sich im Subscription-Formular Ihre individuelle Evaluations-Subscription erstellen, so dass Sie privacyIDEA mit bis zu 20 Benutzern und bis zu 3 Monaten kostenfrei testen können. Gleichzeitig erhalten Sie eine halbe Stunde Standard-Support, so dass Sie sowohl die Software als auch den Support testen können.

Wir wollen, dass Sie ein zügiges, freudvolles und erfolgreiches Zwei-Faktor-Authentifizierungs-Projekt durchführen können!

Univention Corporate Server

privacyIDEA ist seit Anfang 2015 auf dem Univention Corporate Server verfügbar. Durch die einfache Installation von privacyIDEA auf Univention, die sicheren Updates und das zuverlässige Basisbetriebssystem UCS eignet sich diese Kombination hervorragend für den Unternehmenseinsatz.

Veranstaltungen

Wenn Sie die Neuerungen in privacyIDEA 2.10 kennenlernen wollen, so sind Sie herzlich zum Webcast am Freitag, 26.02.2016 eingeladen.

 

Wir freuen uns, Ihnen mitteilen zu können, dass heute privacyIDEA 2.10 veröffentlicht wurde. Diese Version erleichtert an vielen Stellen die Handhabung für den normalen Benutzer und hilft Ihrem Unternehmen somit Kosten und Aufwände im Help Desk bzw. Benutzer-Support zu sparen.

Benutzer-Registrierung und Passwort-Reset

checklist-911841_640In den Richtlinien enthält privacyIDEA nun einen neuen Bereich „Register“. Wenn diese Richtlinie gesetzt ist, kann eine Person einen neuen Benutzeraccount registrieren. Die Erzeugung des Benutzeraccounts kann für bestimmt Realms oder für Email-Adressen beschränkt werden. So kann z.B. sichergestellt werden, dass nur Personen mit einem Email-Konto zu einer bestimmten Domain einen Account anlegen können.

Nach der Erzeugung des Accounts erhält der Benutzer eine Email mit einem Registrierungstoken, so dass er sich im privacyIDEA Web UI anmelden kann.

Die Benutzer-Registrierung wurde schonmal kurz in diesem Blog-Post vorgestellt.

Die Benutzer-Registrierung ist aufgrund der beschreibbaren Benutzerquellen möglich. Diese wurden schon früher in privacyIDEA eingeführt. Eine andere Möglichkeit, die sich aus den beschreibbaren Benutzerquellen ergibt, ist der Passwort-Reset durch den Benutzer. In einer Benuzer-Richtlinie kann der Administrator definieren, ob Benutzer ihr Passwort zurücksetzen dürfen.

Passwort-Reset

Einem Benutzer kann ermöglicht werden, sein Passwort eigenständig zurückzusetzen.

Token Enrollment Wizard

Die Verteilung der Token an die Benutzer ist immer die zentrale Herausforderung. Jedes Projekt und jede Installation funktioniert hier leicht unterschiedlich. Es gibt viele verschiedene Enrollment-Strategien. Es erscheint immer sehr attraktiv, den Benutzer viel in den Ausroll-Prozess mit einzubeziehen. Doch damit man an dieser Stelle wirklich Geld sparen kann, muss der Aufwand für den User Help Desk möglichst gering gehalten werden. D.h. der Ausrollprozess muss für den Benutzer einfach und klar sein.

In privacyIDEA 2.10 wurde der Ausroll-Prozess drastisch vereinfacht und in einen zweistufigen „Enrollment Wizard“ gegossen. Dieser Enrollment Wizard kann über eine entsprechende Richtlinie aktiviert werden. Der Enrollment Wizard wird aktiv, wenn der Benutzer noch keinen Token zugewiesen hat. Wenn sich der Benutzer in diesem Fall an der privacyIDEA Web UI anmeldet, bekommt er sofort und nur den Enrollment Wizard angezeigt – ohne ablenkende Fragen und Auswahlmöglichkeiten.

enrollmentwizard-1-de

Erster Schritt des Token Enrollment Wizards.

Der Enrollment Wizard unterstützt alle Tokentypen. In diesem Beispiel wird der smartphonebasierte Google Authenticator ausgerollt.

enrollmentwizard-2-de

Zweiter Schritt des Token Enrollment Wizards.

Email

Nach all den Erweiterungen, die dem Benutzer das Leben einfacher machen schließt sich nun noch ein neues Feature für die Administratoren an. Die Email-Funktionalität und Konfigurationsmöglichkeit wurde in privacyIDEA 2.10 entscheidend verbessert. In privacyIDEA werden Emails an verschiedenen Stellen verwendet: Email Token, SMS Token, Benutzer-Registrierung und Passwort-Reset. Nun kann der Administrator zentral eine oder mehrere SMTP-Server-Konfigurationen definieren und an den jeweiligen Stellen in privacyIDEA, wo Emails verwendet werden, auf diese Konfigurationen zugreifen.

smtp-server-de

Zentral werden die SMTP-Server-Konfigurationen verwaltet, die später für Email-Token, SMS oder Registrierung verwendet werden können.

So wird bei der Konfiguration des Email-Tokentypen bspw. nur noch angegeben, über welchen konfigurierten SMTP-Server die Emails versendet werden sollen.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Leistungen für unsere Kunden

Unsere Support-Kunden mit einem gültigen Support-Vertrag für privacyIDEA erhalten zusätzlich für die Distributionen CentOS 7 und Univention Corporate Server kostenfreie Updates. Kunden mit der Support-Stufe „Gold“ oder „Enterprise“ haben außerdem das Anrecht, ein aktiv durchgeführtes Update zu vereinbahren.

ChangeLog

Hier nochmal die komplette Liste der Änderungen von Version 2.10:

Neue Funktionalitäten

  • Benutzer-Registrierung: Ein Benutzer kann sich selber registrieren und somit für sich einen neuen Account erzeugen.
  • Passwort-Reset: Mit Hilfe eines Recovery Tokens kann der Benutzer sein Passwort zurücksetzen, ohne den Administrator oder den Helpdesk behelligen zu müssen.
  • Token Enrollment Wizard zum einfachen und kostensparenden Ausrollen durch den Benutzer selbst.
  • SMTP Server: Der Administrator kann eine oder mehrere Email-Server-Konfigurationen zentral definieren, um diese dann an verschiedenen Stellen in privacyIDEA zu nutzen:
    • Email Token,
    • SMTP SMS Provider,
    • Registrierungsprozess,
    • Passwort-Reset.

Erweiterungen

  • Einfacheres Rollout von Smartphone Apps für HOTP und TOTP. Es werden OTP-Länge, Hash und Timestep in der UI nicht angezeigt, wenn entsprechende Richtlinien definiert sind.
  • Import von Aladdin/SafeNet XML Dateien.
  • Import von PSKC-Dateien (mit Passwort verschlüsselt)
  • Import von PSKC-Dateien (mit AES-Key verschlüsselt)

Fehlerbehebungen

  • LDAP-Passwörter mit Sonderzeichen.
  • LDAP-Bind mit Sonderzeichen.
  • Problem mit verschlüsseltem Verschlüsselungskey behoben.
  • Problem mit Upgrade des DB Schemas bei Verwendung von postgresql+psycopg2 behoben.
  • Problem mit dem Speichern von SMS Provider behoben.
  • Challenge/Response mit einem gesperrten oder inaktiven Token verhindert.

privacyIDEA 2.9 ist nun auch auf dem Univention Corporate Server verfügbar.

TAN-Listen

Somit steht die neue Token-Art „TAN-Listen“ oder auch Papier-Token nun auch auf dem UCS zur Verfügung. Bei der TAN-Liste werden die nächsten 100 OTP-Werte für den Benutzer auf einem Stück Papier ausgedruckt. Damit können diverse Rollout- oder Backup-Szenarien abgebildet werden. Da privacyIDEA-200pxprivacyIDEA prinzipiell mit einer Mischung aus vielen verschiedenen Token-Typen arbeiten kann, kann die TAN-Liste auch eine Authentifizierungsart für weniger kritische Zugänge sein.

Sicherheitsfragen

Die andere neue Token-Art sich die „Sicherheitsfragen“. Der Benutzer beantwortet eine Reihe an vorgegebenen Fragen und kann sich später durch die Beantwortung von einer zufällig ausgewählten Frage ausweisen. Auch dieser Tokentyp dient dazu, spezielle Workflows und Backup-Szenarien umzusetzen.

Univention Corporate Server

privacyIDEA ist seit Anfang 2015 auf dem Univention Corporate Server verfügbar. Durch die einfache Installation von privacyIDEA auf Univention, die sicheren Updates und das zuverlässige Basisbetriebssystem UCS eignet sich diese Kombination hervorragend für den Unternehmenseinsatz.

Veranstaltungen

Wenn Sie mehr über privacyIDEA erfahren wollen, melden Sie sich bitte zu unserem Webinar am 15. Januar 2016 an. Am 21. Januar 2016 findet in Bremen der Univention Summit statt, bei dem die NetKnights GmbH die Integration von privacyIDEA in den Univention Corporate Server vorstellen wird und an einem Stand vertreten ist, um all Ihre Fragen zu beantworten. Melden Sie sich noch heute an.

Heute konnten wir privacyIDEA 2.9 veröffentlichen. Die Version 2.9 bringt zwei neuen Tokentypen mit sich.

Features

Sicherheitsfragen

questionnaire-token

Beim Questionnaire Token bekommt der Benutzer vorher beantwortete Fragen gestellt.

Bei diesem neuen Tokentyp kann der Benutzer Fragen aus einem Fragenkatalog beantworten. Im Challenge Response Verfahren bekommt der Benutzer dann bei der Anmeldung zufällig eine der beantworteten Fragen gestellt, die er dann aus seinem Gedächtnis richtig beantworten muss.

Hiermit lassen sich Notfall-Szenarien abbilden, wenn der Benutzer bpsw. seine Hardware-Token verloren hat.

TAN-Liste

Im Falle der TAN-Liste oder des Papier/Paper-Token kann der Benutzer eine Liste von OTP-Werten ausdrucken. Eben eine TAN-Liste. In weniger kritischen Umgebungen oder Notfall-Szenarien kann der Benutzer dann diese Liste in der Brieftasche mitführen. paper-token

Yubico Validation Protokoll

Das Yubico Validation Protokoll wird vom Yubico Server zur Authentifizierung mit einem Yubikey verwendet. Nun wurde dieses Protokoll auch als API (/ttype/yubikey) in privacyIDEA implementiert. Somit können beliebige Clients – wie bpsw. das PAM Module für Mac OS – die dieses Protokoll unterstützen auch mit privacyIDEA verwendet werden.

Erweiterungen

Außerdem sind folgende Erweiterungen in privacyIDEA 2.9 eingeflossen:

  • Im WebUI können die aktiven Challenges der Challenge-Response-Token
    angesehen werden.
  • Beim Ausrollen eines Google Authenticators kann eine Policy mit dem „Issuer“ gesetzt werden.
  • Der LDAP Maschinen-Resolver nutzt nun auch ein LDAP Server-Pool.
  • Der LDAP-Resolver liefert eine Liste von Handy-Nummern zurück. Aus dieser kann beim Ausrollen eines SMS-Token eine Nummer
    ausgewählt werden.

Fehlerbehebungen

  • Die Test-Email des Email-Tokens enthält nun auch ein Datum.
  • Problem mit dem verschlüsselten Verschlüsselungskey behoben.
  • Problem mit Großbuchstaben behoben, wenn man sich am UI mit REMOTE_USER anmeldet.
  • Im WebUI kann nun eine leere PIN gesetzt werden.
  • Problem beim Import von Token-Dateien wurde behoben.

privacyIDEA kann wie gewohnt heruntergeladen werden. Updates stehen für Kunden mit einem gülitigen Support-Vertrag bereit.