Beiträge

privacyIDEA Authenticator – der bessere Smartphone-Faktor

privacyIDEA Authenticator Smartphone App

Das Smartphone ist nicht mehr wegzudenken. Es ist zum täglichen Begleiter und zum digitalen Spiegelbild der eigenen Identität geworden.
Die gesellschaftlichen Implikationen zu erörtern ist heute nicht Thema. Wir nehmen einfach den Fakt wahr.

Das Smartphone als zweiter Faktor

Für viele Benutzer und Organisationen ist es deswegen auch naheliegend und attraktiv, das Smartphone für eine sichere oder auch bequemere Anmeldung zu nutzen. Mit Hilfe von Applikationen wie dem Google Authenticator soll das Smartphone zum zweiten Faktor bei der Anmeldung werden. Auch wenn wir das Smartphone nicht als einen sehr sicheren Faktor ansehen, so hat das privacyIDEA Authentication System seit jeher das Smartphone als zweiten Faktor unterstützt.

Werfen wir kurz einen Blick zurück auf die Sicherheit einer App wie dem Google Authenticator. Denn die Problematik, die beim Ausrollen dieses Faktors an die Benutzer entsteht, haben wir in einem früheren Blogbeitrag bereits diskutiert. Der einfache und aber auch sehr unsichere Rollout einer Smartphone-App hat uns lange umgetrieben und schließlich dazu bewegt, eine eigene Smartphone-App zu entwickeln. Wir stellen heute den privacyIDEA Authenticator vor, den wir ebenfalls transparent in einem Github-Repository entwickeln.

Sicherer Rollout

Das erste zentrale, neue Feature auf der langen Featureliste ist, den Rollout-Prozess der Smartphone-App sicherer zu machen. Dies erreicht der privacyIDEA Authenticator, indem beim Rollout auch das Smartphone selbst eine Schlüssel-Komponente generiert und der eigentliche OTP-Schlüssel aus der Server-Komponente und der Smartphone-Komponente zusammengesetzt wird.

Der QR-Code eines TOTP-Tokens kann jederzeit von beliebig vielen Smartphones gescannt werden und liefert immer den gleichen OTP-Wert.

Damit wird effektiv das leichte Kopieren des geheimen Schlüssels während des Rollouts verhindert. Durch das zu leichte Kopieren konnten Benutzer oder Angreifer einfach und unbemerkt das Authentifizierungsdevice und damit die Identität des Benutzers klonen. Mit der privacyIDEA Authenticator App gehört dies nun der Vergangenheit an.

Beta-Tests

Die privacyIDEA Authenticator App ist abwärtskompatibel zum Google Authenticator oder FreeOTP. Ihr volles Potential spielt der privacyIDEA Authenticator mit dem privacyIDEA Server ab Version 2.21 aus. Ab dieser Version ist der gerade beschriebene, sichere Rollout (Two-Step-Enrollment) möglich.

Die privacyIDEA Authenticator App befindet sich im Beta-Status. privacyIDEA 2.21 wird ebenfalls diesen Monat veröffentlicht werden. Im Python Package Index bzw. im Developer PPA repository für Ubuntu 14.04LTS und 16.04LTS sind die Release Kandidaten bereits verfügbar.

Das privacyIDEA Server pre-Release kann installiert werden wie folgt:

pip install privacyidea==2.21dev2

oder die Repositories einbinden via

add-apt-repository ppa:privacyidea/privacyidea-dev

Mehr Infos zur Installation enthält die Online-Dokumentation.

Wer die privacyIDEA Authneticator App testen möchte, ist herzlich eingeladen, Kontakt mit uns aufzunehmen. Sie haben die Mögichkeit im Vorfeld vor dem Release Einfluss auf die App zu nehmen. Der privacyIDEA Authenticator ist für Android verfügbar. Die Installlation im Beta-Test erfolgt ganz normal über den Playstore, so dass keine Änderungen an ihrem Smartphone nötig sind.

Kontaktieren Sie uns noch heute für die Teilnahme am Beta-Test.

privacyIDEA 2.19 – Performance, U2F und sichere Smartphone Apps

Heute wurde privacyIDEA 2.19 veröffentlicht. Pakete sind in den Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Neue Funktionen in privacyIDEA

Performance bei der Authentifizierung

privacyIDEA 2.19 ist bis zu 72% schneller!

Die Version 2.19 verzeichnet in Labortests einen Geschwindigkeitszuwachs. Die Zeiten für eine Authentifizierungsanfrage konnten um bis zu 72% gesenkt werden. Dies ist unter anderem einem neuen, generischen User-Cache zu verdanken. Dieser speichert die Zuordnung von Loginname zu Benutzerobjekt in der lokalen Datenbank und macht somit die Zugriffe auf das Benutzerverzeichnisse für einen konfigurierbaren Zeitraum übeflüssig.

Ausgewählte U2F Geräte für Benutzer

Der Administrator kann nun über Richtlinien definieren, welchen Typ eines U2F-Gerätes ein Benutzer registrieren kann. Außerdem kann der Administrator ebenfalls über Richtlinien steuern, mit welchem Typ U2F-Gerät sich ein Benutzer an einem bestimmten System anmelden darf. Somit können gewissen U2F-Geräte von der Nutzung in Ihrem Unternehmen ausgeschlossen werden bzw. die Nutzung von Geräten spezieller Hersteller erzwungen werden.

Sichere Smartphone Apps mit privacyIDEA

Der klassische Rollout-Prozess beinhaltet viele Probleme, die privacyIDEA 2.19 lösen kann.

In einem früheren Beitrag haben wir bereits auf die Beschränkungen der üblichen Smartphone-Apps wie dem Google Authenticator hingewiesen. Es ist nachteilig, als Unternehmen oder große Organisation nicht die volle Kontrolle über den Rollout-Prozess beim Benutzer zu haben. Daher wurde in der Version 2.19 von privacyIDEA nun eine bessere Rollout-Möglichkeit geschaffen, bei der sowohl eine Smartphone-App als auch privacyIDEA Komponenten zur Berechnung des geheimen Schlüssels beitragen können. Dies verhindert ein einfaches Kopieren des QR-Codes.

Mehr Details zu diesem Thema finden Sie im privacyIDEA Blog.

Weitere Funktionen

Die Version 2.19 kommt mit weiteren Detail-Verbesserungen wie der Nutzung von IP-Adressen oder Browser Agents im Event-Handler. Außerdem wurde die Speicherung von Datums- und Zeitangaben in privacyIDEA konsolidiert. So werden nun bei jeder Zeit die Zeitzone mitgespeichert, was die Arbeit in internationalen, weltumspannenden Setups erleichtert.

Es lohnt sich ein Blick auf das komplette Changelog zu werfen.

Enterprise Edition und Beratung

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA. Stabile Enterprise-Pakete runden das Angebot ab.

 

Sie wollen auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

Sie möchten Sich das System selber ansehen? Beantragen Sie eine Testinstanz!

Sie wollen mehr wissen? Rufen Sie uns an!

privacyIDEA 2.17 – Mehr Event-Handling und flexiblerer SMS-Versand

Mit den neuen Token Handler und Skript Handler können Arbeitsabläufe stark automatisiert werden.

privacyIDEA wurde in der Version 2.17 veröffentlicht. Es gibt vier neue Hauptfunktionalitäten. Das Event-Handler-Framework hat zwei weitere Module (Token Hander und Skript Handler) bekommen. Die Challenge-Response REST API wurde erweitert, um einen flexibleren SMS-Versand zu ermöglichen und die Richtlinien können nun auch die Zugehörigkeit eines Benutzers zu einem sekundären Resolver überprüfen.

Neue Hauptfunktionen

Token Handler

Der Token Handler kann als Reaktion auf ein Ereignis wie eine fehlgeschlagene Authentifizierung, das Ausrollen oder Sperren eines Tokens, eine neue Aktion auf diesen Token ausführen.

Der Administrator kann eine Event-Handler-Einstellung definieren, so dass bspw. beim Ausrollen eines speziellen Tokentyps der Token vom Event Handler erstmal deaktiviert wird. Dies kann für manche Rollout-Strategien, in denen der ausgestellte Token erst aktiv sein soll, wenn der Benutzer den Empfang bestätigt hat, interessant sein.

Auch könnte eine Event-Handler-Einstellung definiert werden, so dass ein verwaister Token (dessen Benutzer aus dem Active Directory gelöscht wurde) automatisch aus der Tokendatenbank gelöscht wird, es sich bei dem Token um einen Softtoken handelt.

Mehr Informationen finden sich in der Dokumentation zum Token Handler.

Skript Handler

privacyIDEA 2.17 bietet zwei neue Event Handler Module: Token und Skript.

Der Skript Handler kann als Reaktion auf ein beliebiges Ereignis ein externes Skript ausführen. Dem Skript können verschieden Parameter wie die Seriennummer

des Tokens oder der Benutzername übergeben werden.

Ein solches Skript kann bspw. den Druck von PIN-Briefen veranlassen, ein Backup der Datenbank erstellen oder beliebige andere Operationen durchführen.

Der Administrator kann beliebige Shell-Skripte selber erstellen und in den entsprechenden privacyIDEA-Skript-Ordner ablegen und sie somit für die Event-Handler-Definitionen verfügbar machen. Die verfügbaren Skripte sind im WebUI dann als möglichen Aktionen auswählbar.

Mehr Informationen finden sich in der Dokumentation zum Skript Handler.

Mit Hilfe des Token Handlers und des Skript Handlers können Arbeitsabläufe beim Token-Rollout und bei der täglichen Arbeit weiter automatisiert werden und erleichtern so die Arbeit der Administratoren und des Helpdesks, helfen Fehler zu vermeiden und erhöhen damit auch die Anmeldesicherheit.

Erweiterte Challenge-Response REST API

Die zusätzliche REST API /validate/triggerchallenge können nun auch SMS zur Authentifizierung versandt werden, ohne dass der Benutzer vorher seine OTP PIN eingegeben hat. Vielmehr wird hierzu ein minderprivilegierter Account verwendet, der die Berechtigung hat, für beliebige Benutzer SMS auszulösen. Für manche Applikationen, bei denen die PIN-Nutzung nicht sinnvoll oder nicht möglich ist, ist das eine große Hilfe.

So wird diese Funktion zum Beispiel in Kürze Einzug in die privacyIDEA ownCloud App halten.

Erweiterte Richtlinien

Die Richtlinien wurden dahingehend erweitert, dass in gewissen Situationen alternative Benutzer-Resolver für das Überprüfen der Richtlinie herangezogen werden können. Ein Benutzer-Realm kann aus mehreren Benutzer-Resolvern aufgebaut sein. Hierbei kann es vorkommen, dass ein Benutzerobjekt in mehreren Resolvern innerhalb des Realms vorkommt. Die Priorität der eingeordneten Resolver bestimmte dann das gefundene Benutzerobjekt. Dieses wird weiterhin für die Authentifizierung herangezogen. Zusätzlich können aber weitere Richtlinien überprüft werden, ob ein sekundäres Benutzerobjekt in den nieder-priorisierten Resolvern gefunden wird.

Diese zugegebener Maßen etwas schwer eingängige Funktionalität bietet aber die Möglichkeit zum Einen sehr einfache Benutzerstrukturen für die Token-Zuweisung zu haben und zum anderen aber sehr fein differenzierte Richtlinien für verschiedene Benutzergruppen zu erstellen.

Wenn Sie hier in Ihrem Szenario Bedarf sehen, steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

ChangeLog

Das originale ChangeLog findet sich bei Github. Hier eine deutschsprachige Entsprechung:

Funktionen

  • Token Handler zum gezielten, automatischen Ausführen von Token-Aktionen. (#532)
  • Script Hander zum Ausführen von Shell-Skripten. (#536)
  • Zusätzliche Challenge Response REST API für leichteren SMS-Versand. (#531)
  • Erweiterte Richtlinien mit sekundärem Benutzer-Resolver. (#543)

Erweiterungen

  • In den Bedingungen der Event Handler wird eine Seriennummer bestimmt, selbst wenn der Request keine Seriennummer enthält. Dies gilt für Benutzer, die nur einen Token haben. (#571)
  • Event Handler Definitionen können deaktiviert werden. (#537)
  • Event Handler Definitionen können einen beschreibenden Namen erhalten. (#522)
  • LDAP Performanz verbessert. Es wird auf unterschiedliche Funktionalitäten des ldap3 Moduls in den Versionen 1.x und 2.x eingegangen. (#549)
  • SQL Audit Tabelle wurde zum Schema hinzugefügt. Dadurch eine Leistungssteigerung, weil die Tabelle nicht mehr bei einem Request erzeugt wird. (#557)
  • Alter der Audit-Einträge kann festgelegt werden. Benutzer können bspw. nur Einträge des letzten Monats sehen. (#541)
  • Verbesserung der Lesbarkeit von Richtlinien-Details. Es wurde eine Checkbox ergänzt, die nur angewählte Aktionen zeigt. (#573)
  • Audit Log kann auch gefiltert heruntergeladen werden. (#539)

Fehlerbehebungen

  • Beim Löschen eines Tokens wird nun auch die bisher fehlende Seriennummer des Tokens ins Audit Log geschrieben. (#546)
  • Fehler beim Speichern von Event Handlern behoben. (#551)
  • HttpSMSProvider akzeptiert nun Status Codes 201 und 202 zusätzlich zu 200. (#562)
  • Fehler mit der Checkbox NOREFERRALS im LDAP Resolver behoben. (#563)
  • Dokumentation für SMS Provider ergänzt. (#566)
  • HTTP 301 Redirects aus dem WebUI entfernt. (#576)

privacyIDEA Ausroll-Station für Yubikey und Nitrokey

In der neuen Integrationsanleitung wird gezeigt, wie Sie eine dedizierte Ausroll-Station erstellen. Diese hilft dabei schnell und einfach initialisierbare Token wie den Yubikey und den Nitrokey mit eigenem Schlüsselmaterial zu versehen.

privacyIDEA 2.10 mit Enrollment Wizard auf dem Univention Corporate Server

privacyIDEA 2.10 ist nun auch auf dem Univention Corporate Server verfügbar.

Enrollment-Wizard, Benutzer-Registrierung, Email-Handling

Ab gestern Abend stehen die neuen Funktionen Enrollment-Wizard, Benutzer-Registrierung und das verbesserte Management der SMTP-Server mit privacyIDEA 2.10 auch auf dem Univention Corporate Server zur Verfügung. privacyIDEA kann aus dem Univention App Center heraus leicht installiert und aktualisiert werden.

enrollmentwizard-1-de

privacyIDEA Token Enrollment Wizard

Für Ihr individuelles Projekt im Rahmen Zwei-Faktor-Authentifizierung stehen wir Ihnen beratend in der Planung und Durchführung zur Seite. Sprechen Sie uns einfach an.

Veränderte Subscription auf dem Univention Corporate Server

Bisher erhielten Sie die Möglichkeit privacyIDEA mit bis zu 10 Benutzern auf dem Univention Corporate Server zu testen. Zwei-Faktor-Authentifizierung ist ein Thema das heute fast in aller Munde ist. Doch dadurch ist das Thema nicht einfacher geworden. Die Überlegungen, wie und wo sie eingesetzt werden soll, welche Authentisierungs-Devices verwendet werden und wie der Rollout an die Benutzer erfolgt stellen viele IT-Abteilungen vor bisher unbekannte Aufgaben.

Daher will die NetKnights GmbH Sie bei der Evaluierung von privacyIDEA auf dem Univention Corporate Server nicht im Regen stehen lassen. Um privacyIDEA zu evaluieren, können Sie sich im Subscription-Formular Ihre individuelle Evaluations-Subscription erstellen, so dass Sie privacyIDEA mit bis zu 20 Benutzern und bis zu 3 Monaten kostenfrei testen können. Gleichzeitig erhalten Sie eine halbe Stunde Standard-Support, so dass Sie sowohl die Software als auch den Support testen können.

Wir wollen, dass Sie ein zügiges, freudvolles und erfolgreiches Zwei-Faktor-Authentifizierungs-Projekt durchführen können!

Univention Corporate Server

privacyIDEA ist seit Anfang 2015 auf dem Univention Corporate Server verfügbar. Durch die einfache Installation von privacyIDEA auf Univention, die sicheren Updates und das zuverlässige Basisbetriebssystem UCS eignet sich diese Kombination hervorragend für den Unternehmenseinsatz.

Veranstaltungen

Wenn Sie die Neuerungen in privacyIDEA 2.10 kennenlernen wollen, so sind Sie herzlich zum Webcast am Freitag, 26.02.2016 eingeladen.

 

privacyIDEA 2.10 mit Token Enrollment Wizard, Benutzer-Registrierung und Passwort-Reset

Wir freuen uns, Ihnen mitteilen zu können, dass heute privacyIDEA 2.10 veröffentlicht wurde. Diese Version erleichtert an vielen Stellen die Handhabung für den normalen Benutzer und hilft Ihrem Unternehmen somit Kosten und Aufwände im Help Desk bzw. Benutzer-Support zu sparen.

Benutzer-Registrierung und Passwort-Reset

checklist-911841_640In den Richtlinien enthält privacyIDEA nun einen neuen Bereich „Register“. Wenn diese Richtlinie gesetzt ist, kann eine Person einen neuen Benutzeraccount registrieren. Die Erzeugung des Benutzeraccounts kann für bestimmt Realms oder für Email-Adressen beschränkt werden. So kann z.B. sichergestellt werden, dass nur Personen mit einem Email-Konto zu einer bestimmten Domain einen Account anlegen können.

Nach der Erzeugung des Accounts erhält der Benutzer eine Email mit einem Registrierungstoken, so dass er sich im privacyIDEA Web UI anmelden kann.

Die Benutzer-Registrierung wurde schonmal kurz in diesem Blog-Post vorgestellt.

Die Benutzer-Registrierung ist aufgrund der beschreibbaren Benutzerquellen möglich. Diese wurden schon früher in privacyIDEA eingeführt. Eine andere Möglichkeit, die sich aus den beschreibbaren Benutzerquellen ergibt, ist der Passwort-Reset durch den Benutzer. In einer Benuzer-Richtlinie kann der Administrator definieren, ob Benutzer ihr Passwort zurücksetzen dürfen.

Passwort-Reset

Einem Benutzer kann ermöglicht werden, sein Passwort eigenständig zurückzusetzen.

Token Enrollment Wizard

Die Verteilung der Token an die Benutzer ist immer die zentrale Herausforderung. Jedes Projekt und jede Installation funktioniert hier leicht unterschiedlich. Es gibt viele verschiedene Enrollment-Strategien. Es erscheint immer sehr attraktiv, den Benutzer viel in den Ausroll-Prozess mit einzubeziehen. Doch damit man an dieser Stelle wirklich Geld sparen kann, muss der Aufwand für den User Help Desk möglichst gering gehalten werden. D.h. der Ausrollprozess muss für den Benutzer einfach und klar sein.

In privacyIDEA 2.10 wurde der Ausroll-Prozess drastisch vereinfacht und in einen zweistufigen „Enrollment Wizard“ gegossen. Dieser Enrollment Wizard kann über eine entsprechende Richtlinie aktiviert werden. Der Enrollment Wizard wird aktiv, wenn der Benutzer noch keinen Token zugewiesen hat. Wenn sich der Benutzer in diesem Fall an der privacyIDEA Web UI anmeldet, bekommt er sofort und nur den Enrollment Wizard angezeigt – ohne ablenkende Fragen und Auswahlmöglichkeiten.

enrollmentwizard-1-de

Erster Schritt des Token Enrollment Wizards.

Der Enrollment Wizard unterstützt alle Tokentypen. In diesem Beispiel wird der smartphonebasierte Google Authenticator ausgerollt.

enrollmentwizard-2-de

Zweiter Schritt des Token Enrollment Wizards.

Email

Nach all den Erweiterungen, die dem Benutzer das Leben einfacher machen schließt sich nun noch ein neues Feature für die Administratoren an. Die Email-Funktionalität und Konfigurationsmöglichkeit wurde in privacyIDEA 2.10 entscheidend verbessert. In privacyIDEA werden Emails an verschiedenen Stellen verwendet: Email Token, SMS Token, Benutzer-Registrierung und Passwort-Reset. Nun kann der Administrator zentral eine oder mehrere SMTP-Server-Konfigurationen definieren und an den jeweiligen Stellen in privacyIDEA, wo Emails verwendet werden, auf diese Konfigurationen zugreifen.

smtp-server-de

Zentral werden die SMTP-Server-Konfigurationen verwaltet, die später für Email-Token, SMS oder Registrierung verwendet werden können.

So wird bei der Konfiguration des Email-Tokentypen bspw. nur noch angegeben, über welchen konfigurierten SMTP-Server die Emails versendet werden sollen.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Die wesentlich vereinfachte Konfiguration der Email-Token.

Leistungen für unsere Kunden

Unsere Support-Kunden mit einem gültigen Support-Vertrag für privacyIDEA erhalten zusätzlich für die Distributionen CentOS 7 und Univention Corporate Server kostenfreie Updates. Kunden mit der Support-Stufe „Gold“ oder „Enterprise“ haben außerdem das Anrecht, ein aktiv durchgeführtes Update zu vereinbahren.

ChangeLog

Hier nochmal die komplette Liste der Änderungen von Version 2.10:

Neue Funktionalitäten

  • Benutzer-Registrierung: Ein Benutzer kann sich selber registrieren und somit für sich einen neuen Account erzeugen.
  • Passwort-Reset: Mit Hilfe eines Recovery Tokens kann der Benutzer sein Passwort zurücksetzen, ohne den Administrator oder den Helpdesk behelligen zu müssen.
  • Token Enrollment Wizard zum einfachen und kostensparenden Ausrollen durch den Benutzer selbst.
  • SMTP Server: Der Administrator kann eine oder mehrere Email-Server-Konfigurationen zentral definieren, um diese dann an verschiedenen Stellen in privacyIDEA zu nutzen:
    • Email Token,
    • SMTP SMS Provider,
    • Registrierungsprozess,
    • Passwort-Reset.

Erweiterungen

  • Einfacheres Rollout von Smartphone Apps für HOTP und TOTP. Es werden OTP-Länge, Hash und Timestep in der UI nicht angezeigt, wenn entsprechende Richtlinien definiert sind.
  • Import von Aladdin/SafeNet XML Dateien.
  • Import von PSKC-Dateien (mit Passwort verschlüsselt)
  • Import von PSKC-Dateien (mit AES-Key verschlüsselt)

Fehlerbehebungen

  • LDAP-Passwörter mit Sonderzeichen.
  • LDAP-Bind mit Sonderzeichen.
  • Problem mit verschlüsseltem Verschlüsselungskey behoben.
  • Problem mit Upgrade des DB Schemas bei Verwendung von postgresql+psycopg2 behoben.
  • Problem mit dem Speichern von SMS Provider behoben.
  • Challenge/Response mit einem gesperrten oder inaktiven Token verhindert.

Webcast: Was ist neu in privacyIDEA 2.10

Die Version 2.10 von privacyIDEA enthält interessante neue Features.

Provider-Umfeld

privacyIDEA-200pxBenutzer-Registrierung und Passwort-Reset erlauben den Einsatz von privacyIDEA in einem Umfeld, in dem die Benutzergruppe vorher nicht bekannt ist. Neue Benutzer können sich bei Bedarf selber registrieren.So kann mit privacyIDEA 2.10 ein Dienst bei Providern aufgebaut werden, bei dem sich Kunden für die Zwei-Faktor-Authentifizierung selber registrieren können. Die Möglichkeit das Passwort zurückzusetzen senkt Kosten im User Help Desk.

 

Token-Enrollment-Wizard

Der Token-Enrollment-Wizard erleichtert es Benutzern ihr Authentisierungsdevice selbst auszurollen. Der Wizard ist so einfach gehalten, dass keine weiteren Buttons oder Auswahlfelder den Benutzer ablenken, irritieren und zu unplanmäßigen Aktionen führen. Auch dies hilft, Kosten im User Help Desk zu senken.

Enterprise Support

Die NetKnights GmbH bietet Beratung und Integrationsdienstleistungen zu privacyIDEA. Abgerundet wird dies durch verschiedene Service Level Agreements. Für Eilige gibt es außerdem die OTP Starter Kits.

Webcast zu privacyIDEA 2.10

Cornelius Kölbel stellt Ihnen am Freitag, 26.02. um 10 Uhr diese neuen Funktionalitäten in einem kurzen Webcast vor. Melden Sie Sich heute und hier an. Die Plätze sind begrenzt.

Benutzerregistrierung mit privacyIDEA – Der Blick hinter die Kulissen

Die Entwicklungen für privacyIDEA 2.10 rund um das Thema Benutzerregistrierung laufen auf Hochtouren.

Benutzerregistrierung in privacyIDEA.

In der Version 2.10 von privacyIDEA wird es die Möglichkeit geben, dass sich neue Benutzer registrieren. Im Blog von privacyIDEA.org finden sich weitere technische Details.

Neue Szenarien mit Benutzerregistrierung

Mit der Möglichkeit, dass sich Benutzer am privacyIDEA-System selber registrieren können, ergeben sich neue Benutzungsszenarien für Zwei-Faktor Authentisierung.

Zwei-Faktor-Provider

Zwei-Faktor Authentifizierung kann nun also Benutzer angeboten werden, die vorher nicht bekannt sind. So kann bspw. ein Provider mit Hilfe einer privacyIDEA-Installation einen öffentlichen Zwei-Faktor-Dienst anbieten. Benutzer können sich somit frei an privacyIDEA registrieren, der Provider kann mit einem entsprechenden Abrechnungsmodell für den Benutzer eine monatliche Gebühr erheben. Der Benutzer kann ein Authentisierungs-Gerät aus der vom Provider vorgegebenen Liste wählen. Dies können klassische HOTP oder TOTP Token sein, Google Authenticator oder andere Apps oder U2F-Geräte wie der Yubikey oder NitroKey.

Die Authentifizierung kann der Provider über unterschiedliche Protokolle wie bspw. SAML, RADIUS oder die WebAPI anbieten.

Gast-Accounts

In Unternehmen oder Hotels können sich Gäste an einem privacyIDEA System registrieren, um einen zweiten Faktor auszurollen. Damit können sie bspw. für einen bestimmten Zeitraum Zugriff auf sensible Resourcen erhalten. Wenn sich ein externer Mitarbeiter registriert und einen zweiten Authentisierungs-Faktor im privacyIDEA erstellt hat, könnte das Unternehmen ihm mit diesem zweiten Faktor Zugriff auf schützenswerte Projektinformationen gewähren.

Neue Workflows

Auch innerhalb eines Unternehmens, einer Organisation oder einer Universität ermöglicht die Benutzerregistrierung neue Abläufe. Anstatt während des Rollout-Prozesses aktiv den Benutzern den Token zuzuweisen oder den Rolloutprozess lediglich an das Wissen des Domänenpasswortes zu binden, kann ein Mitarbeiter sich selber registrieren müssen. Durch den Registrierungsprozess wird er identifiziert und erhält seinen zweiten Faktor, den er dann bpsw. für den Remote-Zugriff mittels VPN nutzen kann.

Die Registrierung kann auf einen bestimmten Mitarbeiterkreis bspw. anhand der Email-Adresse beschränkt werden.

privacyIDEA Workshop

Über die Registrierung hinaus bietet privacyIDEA bereits eine Vielzahl an flexiblen Einsatzmöglichkeiten. Lernen Sie privacyIDEA besser kennen und sehen Sie, wie es in Ihrem Unternehmen die Anmeldeverfahren sicherer machen kann und wie Sie auf einfache Art und Weise Ihren Mitarbeitern einen zweiten Faktor ausstellen. Besuchen Sie hierzu im Januar das kostenlosen privacyIDEA-Webinar.

 

Einfaches und sicheres OTP Massendeployment

Wenn in großen Umgebungen mit vielen Benutzern Zwei-Faktor-Authentisierung mit OTP ausgerollt werden soll, ist es oft eine Herausforderung, die Authentisierungsgeräte (Token) an die Benutzer zu verteilen. Die anschließend genutzte Zwei-Faktor-Authentisierung ist nur so sicher, wie die initiale Identifizierung der Benutzer. Da reicht das einfache Passwort nicht immer aus. Denn wenn ein Angreifer nur das Passwort des Benutzers erbeuten muss, um sich selber einen zweiten Faktor auszurollen, ist der zweiten Faktor nicht mehr wert, als das Passwort alleine.

Der Benutzer muss also zusätzlich identifiziert werden. Hier kann z.B. der Postversand eines zusätzlichen Registrierungscodes genutzt werden. Somit kann der Benutzer nur einen OTP-Token erhalten, wenn der das Passwort kennt und Zugriff auf seinen persönlichen Briefkasten hat, in dem der Brief mit dem Registrierungscode landet.

privacyIDEA bietet in der neusten Version eben eine solche Funktionalität eines Registrierungscodes, wodurch das automatisierte Deployment einer großen Benutzerzahl nochmal wesentlich erleichtert wird.

Die NetKnights GmbH unterstützt Sie bei der Planung Ihrer Authentisierungsinfrastruktur und erstellt mit Ihnen zusammen Workflows, die zu Ihnen passen.