Beiträge

privacyIDEA 2.10 mit Enrollment Wizard auf dem Univention Corporate Server

privacyIDEA 2.10 ist nun auch auf dem Univention Corporate Server verfügbar.

Enrollment-Wizard, Benutzer-Registrierung, Email-Handling

Ab gestern Abend stehen die neuen Funktionen Enrollment-Wizard, Benutzer-Registrierung und das verbesserte Management der SMTP-Server mit privacyIDEA 2.10 auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA kann aus dem Univention App Center heraus leicht installiert und aktualisiert werden.

enrollmentwizard-1-de

privacyIDEA Token Enrollment Wizard

Für Ihr individuelles Projekt im Rahmen Zwei-Faktor-Authentifizierung stehen wir Ihnen beratend in der Planung und Durchführung zur Seite. Sprechen Sie uns einfach an.

Veränderte Subscription auf dem Univention Corporate Server

Bisher erhielten Sie die Möglichkeit privacyIDEA mit bis zu 10 Benutzern auf dem Univention Corporate Server zu testen. Zwei-Faktor-Authentifizierung ist ein Thema das heute fast in aller Munde ist. Doch dadurch ist das Thema nicht einfacher geworden. Die Überlegungen, wie und wo sie eingesetzt werden soll, welche Authentisierungs-Devices verwendet werden und wie der Rollout an die Benutzer erfolgt stellen viele IT-Abteilungen vor bisher unbekannte Aufgaben.

Daher will die NetKnights GmbH Sie bei der Evaluierung von privacyIDEA auf dem Univention Corporate Server nicht im Regen stehen lassen. Um privacyIDEA zu evaluieren, können Sie sich im Subscription-Formular Ihre individuelle Evaluations-Subscription erstellen, so dass Sie privacyIDEA mit bis zu 20 Benutzern und bis zu 3 Monaten kostenfrei testen können. Gleichzeitig erhalten Sie eine halbe Stunde Standard-Support, so dass Sie sowohl die Software als auch den Support testen können.

Wir wollen, dass Sie ein zügiges, freudvolles und erfolgreiches Zwei-Faktor-Authentifizierungs-Projekt durchführen können!

Univention Corporate Server

privacyIDEA ist seit Anfang 2015 auf dem Univention Corporate Server verfügbar. Durch die einfache Installation von privacyIDEA auf Univention, die sicheren Updates und das zuverlässige Basisbetriebssystem UCS eignet sich diese Kombination hervorragend für den Unternehmenseinsatz.

Veranstaltungen

Wenn Sie die Neuerungen in privacyIDEA 2.10 kennenlernen wollen, so sind Sie herzlich zum Webcast am Freitag, 26.02.2016 eingeladen.

 

privacyIDEA 2.10 mit Token Enrollment Wizard, Benutzer-Registrierung und Passwort-Reset

Wir freuen uns, Ihnen mitteilen zu können, dass heute privacyIDEA 2.10 veröffentlicht wurde. Diese Version erleichtert an vielen Stellen die Handhabung für den normalen Benutzer und hilft Ihrem Unternehmen somit Kosten und Aufwände im Help Desk bzw. Benutzer-Support zu sparen.

Benutzer-Registrierung und Passwort-Reset

checklist-911841_640In den Richtlinien enthält privacyIDEA nun einen neuen Bereich „Register“. Wenn diese Richtlinie gesetzt ist, kann eine Person einen neuen Benutzeraccount registrieren. Die Erzeugung des Benutzeraccounts kann für bestimmt Realms oder für Email-Adressen beschränkt werden. So kann z.B. sichergestellt werden, dass nur Personen mit einem Email-Konto zu einer bestimmten Domain einen Account anlegen können.

Nach der Erzeugung des Accounts erhält der Benutzer eine Email mit einem Registrierungstoken, so dass er sich im privacyIDEA Web UI anmelden kann.

Die Benutzer-Registrierung wurde schonmal kurz in diesem Blog-Post vorgestellt.

Die Benutzer-Registrierung ist aufgrund der beschreibbaren Benutzerquellen möglich. Diese wurden schon früher in privacyIDEA eingeführt. Eine andere Möglichkeit, die sich aus den beschreibbaren Benutzerquellen ergibt, ist der Passwort-Reset durch den Benutzer. In einer Benuzer-Richtlinie kann der Administrator definieren, ob Benutzer ihr Passwort zurücksetzen dürfen.

Passwort-Reset

Einem Benutzer kann ermöglicht werden, sein Passwort eigenständig zurückzusetzen.

Token Enrollment Wizard

Die Verteilung der Token an die Benutzer ist immer die zentrale Herausforderung. Jedes Projekt und jede Installation funktioniert hier leicht unterschiedlich. Es gibt viele verschiedene Enrollment-Strategien. Es erscheint immer sehr attraktiv, den Benutzer viel in den Ausroll-Prozess mit einzubeziehen. Doch damit man an dieser Stelle wirklich Geld sparen kann, muss der Aufwand für den User Help Desk möglichst gering gehalten werden. D.h. der Ausrollprozess muss für den Benutzer einfach und klar sein.

In privacyIDEA 2.10 wurde der Ausroll-Prozess drastisch vereinfacht und in einen zweistufigen „Enrollment Wizard“ gegossen. Dieser Enrollment Wizard kann über eine entsprechende Richtlinie aktiviert werden. Der Enrollment Wizard wird aktiv, wenn der Benutzer noch keinen Token zugewiesen hat. Wenn sich der Benutzer in diesem Fall an der privacyIDEA Web UI anmeldet, bekommt er sofort und nur den Enrollment Wizard angezeigt – ohne ablenkende Fragen und Auswahlmöglichkeiten.

enrollmentwizard-1-de

Erster Schritt des Token Enrollment Wizards.

Der Enrollment Wizard unterstützt alle Tokentypen. In diesem Beispiel wird der smartphonebasierte Google Authenticator ausgerollt.

enrollmentwizard-2-de

Zweiter Schritt des Token Enrollment Wizards.

Email

Nach all den Erweiterungen, die dem Benutzer das Leben einfacher machen schließt sich nun noch ein neues Feature für die Administratoren an. Die Email-Funktionalität und Konfigurationsmöglichkeit wurde in privacyIDEA 2.10 entscheidend verbessert. In privacyIDEA werden Emails an verschiedenen Stellen verwendet: Email Token, SMS Token, Benutzer-Registrierung und Passwort-Reset. Nun kann der Administrator zentral eine oder mehrere SMTP-Server-Konfigurationen definieren und an den jeweiligen Stellen in privacyIDEA, wo Emails verwendet werden, auf diese Konfigurationen zugreifen.

smtp-server-de

Zentral werden die SMTP-Server-Konfigurationen verwaltet, die später für Email-Token, SMS oder Registrierung verwendet werden können.

So wird bei der Konfiguration des Email-Tokentypen bspw. nur noch angegeben, über welchen konfigurierten SMTP-Server die Emails versendet werden sollen.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Leistungen für unsere Kunden

Unsere Support-Kunden mit einem gültigen Support-Vertrag für privacyIDEA erhalten zusätzlich für die Distributionen CentOS 7 und Univention Corporate Server kostenfreie Updates. Kunden mit der Support-Stufe „Gold“ oder „Enterprise“ haben außerdem das Anrecht, ein aktiv durchgeführtes Update zu vereinbahren.

ChangeLog

Hier nochmal die komplette Liste der Änderungen von Version 2.10:

Neue Funktionalitäten

  • Benutzer-Registrierung: Ein Benutzer kann sich selber registrieren und somit für sich einen neuen Account erzeugen.
  • Passwort-Reset: Mit Hilfe eines Recovery Tokens kann der Benutzer sein Passwort zurücksetzen, ohne den Administrator oder den Helpdesk behelligen zu müssen.
  • Token Enrollment Wizard zum einfachen und kostensparenden Ausrollen durch den Benutzer selbst.
  • SMTP Server: Der Administrator kann eine oder mehrere Email-Server-Konfigurationen zentral definieren, um diese dann an verschiedenen Stellen in privacyIDEA zu nutzen:
    • Email Token,
    • SMTP SMS Provider,
    • Registrierungsprozess,
    • Passwort-Reset.

Erweiterungen

  • Einfacheres Rollout von Smartphone Apps für HOTP und TOTP. Es werden OTP-Länge, Hash und Timestep in der UI nicht angezeigt, wenn entsprechende Richtlinien definiert sind.
  • Import von Aladdin/SafeNet XML Dateien.
  • Import von PSKC-Dateien (mit Passwort verschlüsselt)
  • Import von PSKC-Dateien (mit AES-Key verschlüsselt)

Fehlerbehebungen

  • LDAP-Passwörter mit Sonderzeichen.
  • LDAP-Bind mit Sonderzeichen.
  • Problem mit verschlüsseltem Verschlüsselungskey behoben.
  • Problem mit Upgrade des DB Schemas bei Verwendung von postgresql+psycopg2 behoben.
  • Problem mit dem Speichern von SMS Provider behoben.
  • Challenge/Response mit einem gesperrten oder inaktiven Token verhindert.

Benutzerregistrierung mit privacyIDEA – Der Blick hinter die Kulissen

Die Entwicklungen für privacyIDEA 2.10 rund um das Thema Benutzerregistrierung laufen auf Hochtouren.

Benutzerregistrierung in privacyIDEA.

In der Version 2.10 von privacyIDEA wird es die Möglichkeit geben, dass sich neue Benutzer registrieren. Im Blog von privacyIDEA.org finden sich weitere technische Details.

Neue Szenarien mit Benutzerregistrierung

Mit der Möglichkeit, dass sich Benutzer am privacyIDEA-System selber registrieren können, ergeben sich neue Benutzungsszenarien für Zwei-Faktor Authentisierung.

Zwei-Faktor-Provider

Zwei-Faktor Authentifizierung kann nun also Benutzer angeboten werden, die vorher nicht bekannt sind. So kann bspw. ein Provider mit Hilfe einer privacyIDEA-Installation einen öffentlichen Zwei-Faktor-Dienst anbieten. Benutzer können sich somit frei an privacyIDEA registrieren, der Provider kann mit einem entsprechenden Abrechnungsmodell für den Benutzer eine monatliche Gebühr erheben. Der Benutzer kann ein Authentisierungs-Gerät aus der vom Provider vorgegebenen Liste wählen. Dies können klassische HOTP oder TOTP Token sein, Google Authenticator oder andere Apps oder U2F-Geräte wie der Yubikey oder NitroKey.

Die Authentifizierung kann der Provider über unterschiedliche Protokolle wie bspw. SAML, RADIUS oder die WebAPI anbieten.

Gast-Accounts

In Unternehmen oder Hotels können sich Gäste an einem privacyIDEA System registrieren, um einen zweiten Faktor auszurollen. Damit können sie bspw. für einen bestimmten Zeitraum Zugriff auf sensible Resourcen erhalten. Wenn sich ein externer Mitarbeiter registriert und einen zweiten Authentisierungs-Faktor im privacyIDEA erstellt hat, könnte das Unternehmen ihm mit diesem zweiten Faktor Zugriff auf schützenswerte Projektinformationen gewähren.

Neue Workflows

Auch innerhalb eines Unternehmens, einer Organisation oder einer Universität ermöglicht die Benutzerregistrierung neue Abläufe. Anstatt während des Rollout-Prozesses aktiv den Benutzern den Token zuzuweisen oder den Rolloutprozess lediglich an das Wissen des Domänenpasswortes zu binden, kann ein Mitarbeiter sich selber registrieren müssen. Durch den Registrierungsprozess wird er identifiziert und erhält seinen zweiten Faktor, den er dann bpsw. für den Remote-Zugriff mittels VPN nutzen kann.

Die Registrierung kann auf einen bestimmten Mitarbeiterkreis bspw. anhand der Email-Adresse beschränkt werden.

privacyIDEA Workshop

Über die Registrierung hinaus bietet privacyIDEA bereits eine Vielzahl an flexiblen Einsatzmöglichkeiten. Lernen Sie privacyIDEA besser kennen und sehen Sie, wie es in Ihrem Unternehmen die Anmeldeverfahren sicherer machen kann und wie Sie auf einfache Art und Weise Ihren Mitarbeitern einen zweiten Faktor ausstellen. Besuchen Sie hierzu im Januar das kostenlosen privacyIDEA-Webinar.