Event Handler und zeitbasierte Richtlinien erhöhen die administrative Sicherheit

Mit Hilfe des Event Handler Frameworks lassen sich innerhalb des Zwei-Faktor-Authentifizierungs-Systems privacyIDEA nun ganz neue Abläufe abbilden. Der Administrator kann an beliebige Ereignisse wie das Ausrollen eines Tokens, das Löschen eines Tokens, das Anlegen eines Benutzers oder das Ändern der Token-PIN eine völlig neue Aktion anknüpfen. Das Ereignis selber wird dabei nicht verändert.

So können im ersten Schritt Benutzerbenachrichtigungen mit den entsprechenden Ereignissen verbunden werden. Wird für einen Benutzer vom Administrator oder dem Helpdesk ein neuer Token ausgerollt, so wird der Benutzer per Email darüber informiert. Dies hilft gerade bei sensiblen Benutzerkonten das Vertrauen zu erhöhen und verhindert, dass ein Support-Mitarbeiter unkontrolliert die Identität eines beliebigen Benutzers annimmt.

nitrokey

Nitrokey HSM

Zusätzlich wurden in der Version 2.12 die bestehenden Richtlinien derart erweitert, dass sie nun auch zeitabhängig definiert werden können. Hierdurch lassen sich bspw. zeitabhängige Login-Bedingungen definieren. Aber so kann bspw. auch die Administration von sensiblen Accounts nicht nur auf bestimmte Orte (Client-IP) sondern auch auf bestimmte Zeiträume beschränkt werden.

Bessere Zertifikatsverwaltung und HSM-Unterstützung

privacyIDEA hat sich schon lange vom reinen OTP-System weiterentwickelt, hin zu einem System zur Verwaltung von Authentifizierungs- und Identitäts-Informationen. In der Version 2.12 wurde die Verwaltung  und das Ausstellen von Benutzerzertifikaten verbessert. RSA-Schlüsselpaare können nun nicht nur im Browser sondern auch von privacyIDEA erzeugt werden. Der Benutzer oder Administrator kann dann die PKCS12-Dateien herunterladen. Dies ist in bestimmten Szenarien wie bspw. VPN-Clients, die ein lokales Clientzertifikate mittels PKCS12/PFX importieren müssen, interessant.

privacyIDEA legt jeher alle sensiblen Informationen verschlüsselt in der Datenbank ab. Die Verschlüsselung kann nun auch durch ein HSM wie dem Nitrokey HSM durchgeführt werden. Der private Schlüssel, der zum Entschlüsseln der sensiblen Daten verwendet wird, verlässt dabei die Hardware nicht.

Über privacyIDEA

privacyIDEA ist ein Open Source Projekt zur Zwei-Faktor-Authentifizierung für das die NetKnights GmbH Service Level Agreements für Unternehmen anbietet. Mit der Version 2.12 wurde privacyIDEA erneut um interessante Funktionen erweitert, die die Nutzung im Unternehmensumfeld ausgesprochen attraktiv machen.

Alle Änderungen

Funktionen

  • Event Handler Framework.
  • Der lokale CA Konnektor kann Zertifikate für Benutzer erzeugen. Die Zertifikate können als PKCS12 heruntergeladen werden.
  • Benutzer in LDAP Verzeichnissen können aus privacyIDEA heraus angelegt und bearbeitet werden.
  • Untersützung für Hardware-Sicherheits-Module.
  • Zeitabhängige Richtlinien.

Erweiterungen

  • UI: Richtlinie für den Enrollment-Wizard hinzugefügt.
  • UI: Auswahlbox für den Realm beim Login.
  • TOTP QR Code verbessert.
  • Enrollment-Wizard dokumentiert.
  • pi-manage backup Skript unterstützt nun pymysql.
  • X-Forwarded-For HTTP header wird als Client IP verwendet.
  • Meta-Paket privacyidea-mysql erlaubt flexiblere Installation.

Fehlerbehebungen

  • Adduser beachtet nun die Resolver-Einstellung in Richtlinien #403.
  • Dokumentation zum SPASS token #399.
  • Enrollment Menü wird nicht angezeigt, wenn Benutzer keine Token ausrollen dürfen #398.
  • Fehler getSerial für TOTP Token behoben #393.
  • Verhalten der System-Konfiguration Checkboxen korrigiert #378.
  • Manage Tokenrealms: Ein Realm kann nun von einem Token entfernt werden #363.
  • Bessere Datumsanzeige in Emails #352.
  • Versandt von Test-Emails verbessert #350.
  • Authentisierung mit einem aktiven Token ist nun möglich, wenn der Benutzer einen deaktivierten Token hat #339.