Beiträge

Wir freuen uns, Ihnen mitteilen zu können, dass heute privacyIDEA 2.10 veröffentlicht wurde. Diese Version erleichtert an vielen Stellen die Handhabung für den normalen Benutzer und hilft Ihrem Unternehmen somit Kosten und Aufwände im Help Desk bzw. Benutzer-Support zu sparen.

Benutzer-Registrierung und Passwort-Reset

checklist-911841_640In den Richtlinien enthält privacyIDEA nun einen neuen Bereich „Register“. Wenn diese Richtlinie gesetzt ist, kann eine Person einen neuen Benutzeraccount registrieren. Die Erzeugung des Benutzeraccounts kann für bestimmt Realms oder für Email-Adressen beschränkt werden. So kann z.B. sichergestellt werden, dass nur Personen mit einem Email-Konto zu einer bestimmten Domain einen Account anlegen können.

Nach der Erzeugung des Accounts erhält der Benutzer eine Email mit einem Registrierungstoken, so dass er sich im privacyIDEA Web UI anmelden kann.

Die Benutzer-Registrierung wurde schonmal kurz in diesem Blog-Post vorgestellt.

Die Benutzer-Registrierung ist aufgrund der beschreibbaren Benutzerquellen möglich. Diese wurden schon früher in privacyIDEA eingeführt. Eine andere Möglichkeit, die sich aus den beschreibbaren Benutzerquellen ergibt, ist der Passwort-Reset durch den Benutzer. In einer Benuzer-Richtlinie kann der Administrator definieren, ob Benutzer ihr Passwort zurücksetzen dürfen.

Passwort-Reset

Einem Benutzer kann ermöglicht werden, sein Passwort eigenständig zurückzusetzen.

Token Enrollment Wizard

Die Verteilung der Token an die Benutzer ist immer die zentrale Herausforderung. Jedes Projekt und jede Installation funktioniert hier leicht unterschiedlich. Es gibt viele verschiedene Enrollment-Strategien. Es erscheint immer sehr attraktiv, den Benutzer viel in den Ausroll-Prozess mit einzubeziehen. Doch damit man an dieser Stelle wirklich Geld sparen kann, muss der Aufwand für den User Help Desk möglichst gering gehalten werden. D.h. der Ausrollprozess muss für den Benutzer einfach und klar sein.

In privacyIDEA 2.10 wurde der Ausroll-Prozess drastisch vereinfacht und in einen zweistufigen „Enrollment Wizard“ gegossen. Dieser Enrollment Wizard kann über eine entsprechende Richtlinie aktiviert werden. Der Enrollment Wizard wird aktiv, wenn der Benutzer noch keinen Token zugewiesen hat. Wenn sich der Benutzer in diesem Fall an der privacyIDEA Web UI anmeldet, bekommt er sofort und nur den Enrollment Wizard angezeigt – ohne ablenkende Fragen und Auswahlmöglichkeiten.

enrollmentwizard-1-de

Erster Schritt des Token Enrollment Wizards.

Der Enrollment Wizard unterstützt alle Tokentypen. In diesem Beispiel wird der smartphonebasierte Google Authenticator ausgerollt.

enrollmentwizard-2-de

Zweiter Schritt des Token Enrollment Wizards.

Email

Nach all den Erweiterungen, die dem Benutzer das Leben einfacher machen schließt sich nun noch ein neues Feature für die Administratoren an. Die Email-Funktionalität und Konfigurationsmöglichkeit wurde in privacyIDEA 2.10 entscheidend verbessert. In privacyIDEA werden Emails an verschiedenen Stellen verwendet: Email Token, SMS Token, Benutzer-Registrierung und Passwort-Reset. Nun kann der Administrator zentral eine oder mehrere SMTP-Server-Konfigurationen definieren und an den jeweiligen Stellen in privacyIDEA, wo Emails verwendet werden, auf diese Konfigurationen zugreifen.

smtp-server-de

Zentral werden die SMTP-Server-Konfigurationen verwaltet, die später für Email-Token, SMS oder Registrierung verwendet werden können.

So wird bei der Konfiguration des Email-Tokentypen bspw. nur noch angegeben, über welchen konfigurierten SMTP-Server die Emails versendet werden sollen.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Leistungen für unsere Kunden

Unsere Support-Kunden mit einem gültigen Support-Vertrag für privacyIDEA erhalten zusätzlich für die Distributionen CentOS 7 und Univention Corporate Server kostenfreie Updates. Kunden mit der Support-Stufe „Gold“ oder „Enterprise“ haben außerdem das Anrecht, ein aktiv durchgeführtes Update zu vereinbahren.

ChangeLog

Hier nochmal die komplette Liste der Änderungen von Version 2.10:

Neue Funktionalitäten

  • Benutzer-Registrierung: Ein Benutzer kann sich selber registrieren und somit für sich einen neuen Account erzeugen.
  • Passwort-Reset: Mit Hilfe eines Recovery Tokens kann der Benutzer sein Passwort zurücksetzen, ohne den Administrator oder den Helpdesk behelligen zu müssen.
  • Token Enrollment Wizard zum einfachen und kostensparenden Ausrollen durch den Benutzer selbst.
  • SMTP Server: Der Administrator kann eine oder mehrere Email-Server-Konfigurationen zentral definieren, um diese dann an verschiedenen Stellen in privacyIDEA zu nutzen:
    • Email Token,
    • SMTP SMS Provider,
    • Registrierungsprozess,
    • Passwort-Reset.

Erweiterungen

  • Einfacheres Rollout von Smartphone Apps für HOTP und TOTP. Es werden OTP-Länge, Hash und Timestep in der UI nicht angezeigt, wenn entsprechende Richtlinien definiert sind.
  • Import von Aladdin/SafeNet XML Dateien.
  • Import von PSKC-Dateien (mit Passwort verschlüsselt)
  • Import von PSKC-Dateien (mit AES-Key verschlüsselt)

Fehlerbehebungen

  • LDAP-Passwörter mit Sonderzeichen.
  • LDAP-Bind mit Sonderzeichen.
  • Problem mit verschlüsseltem Verschlüsselungskey behoben.
  • Problem mit Upgrade des DB Schemas bei Verwendung von postgresql+psycopg2 behoben.
  • Problem mit dem Speichern von SMS Provider behoben.
  • Challenge/Response mit einem gesperrten oder inaktiven Token verhindert.