Beiträge

Zwei-Faktor-System privacyIDEA 3.2 bringt vollständig individualisierbare Authentisierungs-Workflows

, ,

Kassel, 2.12.2019. Der Open-Source-Security-Spezialist NetKnights hat eine neue Version der Mehr-Faktor-Authentifizierungssoftware „privacyIDEA“ bereitgestellt. Sie bietet neue Möglichkeiten, das Authentifizierungssystem durch flexible Konfiguration anzupassen und in die eigenen Workflows zu integrieren.

Mit der Version 3.2 von privacyIDEA erhält der Administrator zwei neue Event-Handler-Module, um Regeln zu definieren, die sowohl HTTP-Requests als auch HTTP-Responses der REST-API beliebig modifizieren können. Hierüber lassen sich Workflows hochgradig individualisieren. Es ist nun möglich, Audit-Informationen leicht an externe Log-Management-Tools wie Splunk oder Logstash weiter zu leiten und dort zu verarbeiten. Die Authentifizierung an der REST-API wurde so ausgebaut, dass eine robuste Integration in beliebige andere Applikationen umgesetzt werden kann.

privacyIDEA ist ab sofort über den Python Package Index und in Repositories für Ubuntu LTS verfügbar.

Zwei neue Event-Handler-Module machen flexibler

Bisher gab es im Event-Handler-Framework neben den Benachrichtigungen die Token-, Script-, Federation- und Statistik-Handler. Jetzt stehen mit dem Request-Handler und dem Response-Handler zwei weitere, sehr flexible Module zur Verfügung. Diese ermöglichen es dem Administrator, Regeln zu definieren, die abhängig von definierbaren Bedingungen einen REST-Request an privacyIDEA und auch den Response beliebig verändern.

Das Verhalten von privacyIDEA lässt sich somit äußerst flexibel anpassen. Naheliegende Anwendungsfälle sind beispielsweise das sichere Zurücksetzen von Passwörtern, spezielle Rollout-Szenarien oder individuelle Authentifizierungsregeln. Das System lässt sich damit beliebig auf unterschiedliche Anwenderanforderungen an das Verhalten und die gegebenen Abläufe anpassen.

Audit-Daten at your fingertip

privacyIDEA schreibt alle Logdaten, wer wann wie und was mit welchem Erfolg gemacht hat, in ein internes, strukturiertes SQL-Audit-Modul. Ab der Version 3.2 gibt es daneben ein File-Audit-Modul. Dessen Einträge lassen sich nun leicht in beliebige Log-Management-System wie Splunk oder Logstash importieren. Unternehmen bekommen so die Möglichkeit, Events – auch aus privacyIDEA – zu korrelieren, gegebenenfalls auftretende Probleme leichter zu identifizieren und zu bearbeiten.

Einbindung beliebiger Funktionen in eigene Portale

Über die REST-API lässt sich privacyIDEA bereits in die Portale eines Anwenders einbinden, beispielsweise in einen Browser-basierten Self-Service- oder internes, existierendes Management-Portal.

Dies ist durch den Einsatz von vertrauenswürdigen JSON Web Tokens in privacyIDEA mit der Version 3.2 erheblich einfacher geworden. Jetzt kann ein Endanwender häufige Aktionen wie den Bezug oder das Sperren eines Authentifizierungs-Token in einem bestehenden, vertrauten Web UI selbst ausführen, ohne die Unterstützung von Administratoren oder Helpdesk zu benötigen.

Diese Token-Management-Funktionen ließen sich auch in andere Applikationen einbauen, was besonders für Eigenentwicklungen interessant sein dürfte. Unverändert obliegt es jedoch dem privacyIDEA-Administrator, sämtliche Rechte zentral in privacyIDEA zu gewähren oder auch wieder zu entziehen.

Viele zusätzliche Erweiterungen

Auch die Richtlinien, die allgemein das Verhalten von privacyIDEA steuern, wurden erweitert. Der Administrator kann nun beliebige HTTP-Header als Bedingung für die jeweiligen Richtlinien heranziehen.

Event-Handler können ebenfalls den anfragenden HTTP-Client oder auch den Rollout-Zustand eines Tokens als Bedingung verwenden.

Der Benachrichtigungs-Handler enthält neben der Benachrichtigung per E-Mail und SMS nun auch die Möglichkeit, Nachrichten einfach in Dateien in einem Spool-Verzeichnis zu schreiben.

Auch das Verhalten des PUSH-Tokens wurden verbessert. Der Authentifizierungsablauf ist jetzt so gestaltet, dass er sich einfacher in andere Applikationen integrieren lässt.

Insgesamt gab es mehr als 25 Erweiterungen und sechs Bug-Fixes. Eine komplette Liste der Änderungen findet sich im Changelog bei Github.

privacyIDEA installieren oder aktualisieren

https://pypi.org/project/privacyIDEA/privacyIDEA 3.2 ist ab sofort über die öffentlichen Repositories für Ubuntu 16.04 und 18.04 verfügbar. Außerdem lässt sich die Software über den Python Package Index auf beliebigen Distributionen installierten. Enterprise Releases für Ubuntu LTS und RHEL/CentOS folgen in Kürze.

Besuchen Sie unseren Blog.

Abonnieren Sie unseren Newsletter.

Lesen Sie die Mitteilung auf privacyIDEA.org.

/von

privacyIDEA 2.23 verbessert einmal mehr die Einbindung in automatisierte Prozesse

,

Heute am 29.08.2018 wurde die Version 2.23 von privacyIDEA veröffentlicht. Die Pakete sind in den öffentlichen Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Außerdem kann das Mehr-Faktor-Authentifizierung-System privacyIDEA über den Python Package Index privacyIDEA auf beliebigen Distributionen installiert werden.

Automatisierte Prozesse

In Version 2.12 wurden bereits Event Handler eingeführt. Sie ermöglichen es dem Administrator, Funktionen zur Benachrichtigung von Benutzern, Modifikation von Token oder Skripte mit beliebigen Ereignisse in privacyIDEA zu verknüpfen. Tritt ein solches Ereignis mit definierten Rahmenbedingungen ein, so wird vom System die vordefinierte Aufgabe ausgeführt.

In der Version 2.23 kann diese Aufgabe nun auch durchgeführt werden, bevor das eigentliche Ereignis ausgeführt wird. Es wird also das Post-Event-Handling und das Pre-Event-Handling unterschieden. Der Administrator kann bspw. definieren, dass einem Benutzer, der keinen Token hat, automatisch ein Token ausgerollt wird, wenn dieser versucht sich anzumelden. Handelt es sich dabei um einen Email- oder SMS-Token, so wird dieser neue Token auch direkt in der gerade stattfindenden Anmeldung verwendet. Das Anmeldeerlebnis für den Benutzer ist völlig transparent, für den Administrator entsteht kein Aufwand.

Somit lassen sich viele Aufgaben, die sonst manuell oder per Skript aufgerufen werden müssten, genau zum richtigen Zeitpunkt automatisch direkt in privacyIDEA ausführen. Dies ermöglicht dem Administrator, ungeahnte Szenarien abzubilden und die entsprechenden Schritte zu automatisieren.

Der Pre-Event-Handler stellt dem Benutzer, wenn er keinen Token besitzt, einen Token aus, der sofort für die Anmeldung verwendet werden kann.

Wiederkehrende Aufgaben

In der Version 2.23 von privacyIDEA kann der Administrator nur regelmäßige, wiederkehrende Aufgaben definieren. Unter anderem können diese  genutzt werden, um Informationen über das privacyIDEA-System zu erfassen. Verschiedene Module wie ein „Ereignis-Zähler“ oder ein „Statistik-Modul“ definieren dabei, was regelmäßig passieren soll.

Mit dem Statistik-Modul kann nun bspw. die Anzahl der nicht zugewiesenen Hardware-Token erfasst werden. In vielen Fällen ist diese Information für den Administrator relevant, damit er weiß, wann Authentisierungsgeräte nachbestellt werden müssen. Das „Ereignis-Zähler-Modul“ erfasst, wie oft flexibel definierte Ereignisse aufgetreten sind. Im einfachsten Fall ist das eine fehlgeschlagene Anmeldung.

privacyIDEA speichert diese Informationen in Zeitreihen. Diese können mit Hilfe von Tools wie Grafana entsprechend grafisch dargestellt werden.

Mit privacyIDEA 2.23 können Ereignisse wie die Anzahl der durchgeführten Authentisierungsversuche grafisch dargestellt werden.

2FA für die Massen

Zwei-Faktor-Authentifizierung ist weit verbreitet. Viele Dienste bieten es an und viele Endbenutzer fordern es. Doch kann nicht immer an jeden Benutzer ein Hardware-Token ausgehändigt werden. Nicht jeder Benutzer hat ein Smartphone oder möchte dieses benutzen. Manchmal scheidet auch SMS aus, wenn aus Datenschutzbedenken Benutzer ihre Handynummer nicht weitergeben möchten. Hier kommt eine weitere Stärke von privacyIDEA ins Spiel. privacyIDEA unterstützt eine große Bandbreite an unterschiedlichen Token-Typen.

Mit der Version 2.23 kommt nun noch ein TAN-Token hinzu, bei dem existierende TAN-Listen in privacyIDEA auch importiert werden können. Dies ermöglicht zum Einen, eine breite Masse an Benutzern mit unterschiedlichen Sicherheitsanforderungen anzusprechen und zum Anderen, leicht von existierenden TAN-Lösungen zu privacyIDEA zu migrieren.

Mehr auf Github

Das komplette Changelog findet sich bei Github.

In wenigen Wochen wird die NetKnights GmbH die privacyIDEA Enterprise Edition 2.23.1 veröffentlichen. Diese wird zusätzlich für RHEL/CentOS7 und für den Univention Corporate Server verfügbar sein.

Im Oktober bietet die NetKnights einen Workshop-Tag an, bei dem Kunden und Interessierte die neuen Funktionen von privacyIDEA näher kennenlernen können.

/von

privacyIDEA Workshop-Tag 2018.2

, ,

Am 18.10.2018 findet in den Räumen der NetKnights GmbH in Kassel ein weiterer Workshop zu privacyIDEA statt. Bereits im Januar hatten wir einen entsprechenden Workshop veranstaltet – nun möchten wir unseren Kunden und Interessenten erneut die Möglichkeit bieten, privacyIDEA aus erster Hand tiefer kennen zu lernen.

Auf der Agenda steht die Version privacyIDEA 2.23, die bis dahin erschienen sein wird. Mit dieser Version kommen relevante neue Funktionalitäten, so dass wir Ihnen anbieten, hier tiefer einzutauchen. Es soll vor allem um die erweiterten Funktionen des Event-Handlers, um periodische Tasks, um Monitoring und Statistiken gehen. Die Version 2.23 hat einige Neuerungen zu bieten, die bspw. eine charmante Anbindung an Grafana ermöglicht.

Metriken von privacyIDEA in Grafana

Agenda

Wir wollen uns zu den folgenden Themen austauschen:

  • Einführung in privacyIDEA, wir kommen alle auf einen gleichen Stand
  • Vorstellung der Pre- und Post-Event-Handler
    • Konfiguration von Event-Handlern für den automatischen Rollout, Benutzerbenachrichtigung und anderer Workflows
  • Vorstellung der wiederkehrenden Aufgaben
  • Vorstellung von Monitorung und Statistiken
    • Konfiguration von Monitoring-Tasks
    • Anbindung von privacyIDEA an Grafana

Darüberhinaus sind wir entsprechend des Open Source-Gedankens für weitere Anregungen und Wünsche offen!

Wer sollte teilnehmen

Der Workshop richtet sich gleichermaßen an Anwender, die bereits privacyIDEA einsetzen und auch an solche, die planen, ein Mehr-Faktor-System anzuschaffen bzw. eine bestehende Software abzulösen.

Die angedachten Themen können sehr technisch werden, so dass Sie als IT-Architekt, Entwickler oder Administrator bei uns genau richtig sind. Da die Themen „Event Handler“, „Statistiken“, „Workflows“ aber durchaus auch planerisch oder organisatorisch relevant sind, können Sie auch als IT-Leiter oder Geschäftsführer von diesem Workshop profitieren und neue Ideen sammeln, wie Sie privacyIDEA für sich, Ihr Unternehmen oder für Ihre Endkunden weiter gewinnbringend einsetzen können.

Was kostet der Workshop

Wir erheben für den Workshop einen Unkostenbeitrag von 90€ zzgl. MWSt. pro Teilnehmer. Getränke, Verpflegung über den Tag und Mittagessen sind natürlich enthalten.

Für Teilnehmer, deren Unternehmen einen aktuellen Support-Vertrag der privacyIDEA Enterprise Edition hat, bieten wir den Workshop komplett kostenfrei an!

Anmeldung

/von

privacyIDEA 2.22 ermöglicht flexiblere Anbindung von Firewalls und VPNs

,

Heute wurde privacyIDEA 2.22 veröffentlicht. Die Pakete sind im öffentlichen Launchpad-Repository für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Weiterlesen

/von

Zwei-Faktor-Authentifizierung für tausende Benutzer

,

Will ein Unternehmen oder eine Organisation Zwei-Faktor-Authentifizierung für tausende von Benutzern ausrollen, so ergeben sich spezielle Herausforderungen.

Die Benutzer werden nicht mehr einzeln in das Büro des Administrators kommen und sich erklären lassen, wie das alles funktioniert. Der Helpdesk kann nicht jedem einzelnen Benutzer seinen Token in die Hand geben oder dessen Smartphone initialisieren.

Die Benutzer sind so zahlreich, dass sie den Administratoren oder den Helpdeskmitarbeitern gar nicht mehr persönlich bekannt sind! Es muss also eine Möglichkeit geben, dass der Prozess selber sicherstellt, dass der richtige Benutzer adressiert wird – und das möglichst automatisch.

Die Benutzer sind über Städte, Regionen oder weltweit verteilt. Und sie sind normale Endanwender, die selten Computer-affin sind. Der Rollout und Einsatz der Zwei-Faktor-Authentifizierung sollte den Benutzer so wenig wie möglich belasten.

Weiterlesen

/von

privacyIDEA 2.17 für den Univention Corporate Server

,

privacyIDEA 2.17 ist nun auf für den Univention Corporate Server verfügbar. Über die Neuerungen in privacyIDEA 2.17 berichteten wir bereits. Mit der Paketierung für UCS stehen die neuen Funktionen nun auch über das leichte Update aus dem Univention App Center den Kunden, die auf UCS aufsetzen, zur Verfügung.

privacyIDEA Enterprise Edition Subscription

privacyIDEA auf dem Univention Corporate Server hat den gleichen Funktionsumfang wie ein natives privacyIDEA. Neben den üblichen Subskriptions-Stufen der Enterprise Version gibt es auf dem UCS außerdem einfache Update-Subskriptionen.

/von

privacyIDEA 2.17 – Mehr Event-Handling und flexiblerer SMS-Versand

,

Mit den neuen Token Handler und Skript Handler können Arbeitsabläufe stark automatisiert werden.

privacyIDEA wurde in der Version 2.17 veröffentlicht. Es gibt vier neue Hauptfunktionalitäten. Das Event-Handler-Framework hat zwei weitere Module (Token Hander und Skript Handler) bekommen. Die Challenge-Response REST API wurde erweitert, um einen flexibleren SMS-Versand zu ermöglichen und die Richtlinien können nun auch die Zugehörigkeit eines Benutzers zu einem sekundären Resolver überprüfen.

Neue Hauptfunktionen

Token Handler

Der Token Handler kann als Reaktion auf ein Ereignis wie eine fehlgeschlagene Authentifizierung, das Ausrollen oder Sperren eines Tokens, eine neue Aktion auf diesen Token ausführen.

Der Administrator kann eine Event-Handler-Einstellung definieren, so dass bspw. beim Ausrollen eines speziellen Tokentyps der Token vom Event Handler erstmal deaktiviert wird. Dies kann für manche Rollout-Strategien, in denen der ausgestellte Token erst aktiv sein soll, wenn der Benutzer den Empfang bestätigt hat, interessant sein.

Auch könnte eine Event-Handler-Einstellung definiert werden, so dass ein verwaister Token (dessen Benutzer aus dem Active Directory gelöscht wurde) automatisch aus der Tokendatenbank gelöscht wird, es sich bei dem Token um einen Softtoken handelt.

Mehr Informationen finden sich in der Dokumentation zum Token Handler.

Skript Handler

privacyIDEA 2.17 bietet zwei neue Event Handler Module: Token und Skript.

Der Skript Handler kann als Reaktion auf ein beliebiges Ereignis ein externes Skript ausführen. Dem Skript können verschieden Parameter wie die Seriennummer

des Tokens oder der Benutzername übergeben werden.

Ein solches Skript kann bspw. den Druck von PIN-Briefen veranlassen, ein Backup der Datenbank erstellen oder beliebige andere Operationen durchführen.

Der Administrator kann beliebige Shell-Skripte selber erstellen und in den entsprechenden privacyIDEA-Skript-Ordner ablegen und sie somit für die Event-Handler-Definitionen verfügbar machen. Die verfügbaren Skripte sind im WebUI dann als möglichen Aktionen auswählbar.

Mehr Informationen finden sich in der Dokumentation zum Skript Handler.

Mit Hilfe des Token Handlers und des Skript Handlers können Arbeitsabläufe beim Token-Rollout und bei der täglichen Arbeit weiter automatisiert werden und erleichtern so die Arbeit der Administratoren und des Helpdesks, helfen Fehler zu vermeiden und erhöhen damit auch die Anmeldesicherheit.

Erweiterte Challenge-Response REST API

Die zusätzliche REST API /validate/triggerchallenge können nun auch SMS zur Authentifizierung versandt werden, ohne dass der Benutzer vorher seine OTP PIN eingegeben hat. Vielmehr wird hierzu ein minderprivilegierter Account verwendet, der die Berechtigung hat, für beliebige Benutzer SMS auszulösen. Für manche Applikationen, bei denen die PIN-Nutzung nicht sinnvoll oder nicht möglich ist, ist das eine große Hilfe.

So wird diese Funktion zum Beispiel in Kürze Einzug in die privacyIDEA ownCloud App halten.

Erweiterte Richtlinien

Die Richtlinien wurden dahingehend erweitert, dass in gewissen Situationen alternative Benutzer-Resolver für das Überprüfen der Richtlinie herangezogen werden können. Ein Benutzer-Realm kann aus mehreren Benutzer-Resolvern aufgebaut sein. Hierbei kann es vorkommen, dass ein Benutzerobjekt in mehreren Resolvern innerhalb des Realms vorkommt. Die Priorität der eingeordneten Resolver bestimmte dann das gefundene Benutzerobjekt. Dieses wird weiterhin für die Authentifizierung herangezogen. Zusätzlich können aber weitere Richtlinien überprüft werden, ob ein sekundäres Benutzerobjekt in den nieder-priorisierten Resolvern gefunden wird.

Diese zugegebener Maßen etwas schwer eingängige Funktionalität bietet aber die Möglichkeit zum Einen sehr einfache Benutzerstrukturen für die Token-Zuweisung zu haben und zum anderen aber sehr fein differenzierte Richtlinien für verschiedene Benutzergruppen zu erstellen.

Wenn Sie hier in Ihrem Szenario Bedarf sehen, steht Ihnen die NetKnights GmbH gerne beratend zur Seite.

Enterprise Edition

Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.

ChangeLog

Das originale ChangeLog findet sich bei Github. Hier eine deutschsprachige Entsprechung:

Funktionen

  • Token Handler zum gezielten, automatischen Ausführen von Token-Aktionen. (#532)
  • Script Hander zum Ausführen von Shell-Skripten. (#536)
  • Zusätzliche Challenge Response REST API für leichteren SMS-Versand. (#531)
  • Erweiterte Richtlinien mit sekundärem Benutzer-Resolver. (#543)

Erweiterungen

  • In den Bedingungen der Event Handler wird eine Seriennummer bestimmt, selbst wenn der Request keine Seriennummer enthält. Dies gilt für Benutzer, die nur einen Token haben. (#571)
  • Event Handler Definitionen können deaktiviert werden. (#537)
  • Event Handler Definitionen können einen beschreibenden Namen erhalten. (#522)
  • LDAP Performanz verbessert. Es wird auf unterschiedliche Funktionalitäten des ldap3 Moduls in den Versionen 1.x und 2.x eingegangen. (#549)
  • SQL Audit Tabelle wurde zum Schema hinzugefügt. Dadurch eine Leistungssteigerung, weil die Tabelle nicht mehr bei einem Request erzeugt wird. (#557)
  • Alter der Audit-Einträge kann festgelegt werden. Benutzer können bspw. nur Einträge des letzten Monats sehen. (#541)
  • Verbesserung der Lesbarkeit von Richtlinien-Details. Es wurde eine Checkbox ergänzt, die nur angewählte Aktionen zeigt. (#573)
  • Audit Log kann auch gefiltert heruntergeladen werden. (#539)

Fehlerbehebungen

  • Beim Löschen eines Tokens wird nun auch die bisher fehlende Seriennummer des Tokens ins Audit Log geschrieben. (#546)
  • Fehler beim Speichern von Event Handlern behoben. (#551)
  • HttpSMSProvider akzeptiert nun Status Codes 201 und 202 zusätzlich zu 200. (#562)
  • Fehler mit der Checkbox NOREFERRALS im LDAP Resolver behoben. (#563)
  • Dokumentation für SMS Provider ergänzt. (#566)
  • HTTP 301 Redirects aus dem WebUI entfernt. (#576)
/von

privacyIDEA mit Event-Handler-Framework und zeitbasierte Richtlinien

,

privacyIDEA ermöglicht individuelle Mehr-Faktor-Anmeldeszenarien

Kassel, 12. Juli 2016. Mit der neuen Version 2.13 von privacyIDEA erweitert die NetKnights GmbH die Möglichkeiten, Anmeldeverfahren an IT-Systemen und -Netzen sicher und individuell umzusetzen. Damit können Unternehmen die Anmeldeverfahren exakt auf Ihre Bedürfnisse anpassen.

privacyIDEA ist eine Lösung für die modulare Multi-Faktor-Authentifizierung. Das heißt, ein Nutzer benötigt nicht nur ein Passwort, um sich anzumelden, sondern einen oder mehrere weitere Authentisierungsobjekte, die beispielsweise als Besitzfaktor dem jeweiligen Benutzer zugeordnet sind.

Diese zusätzlichen Faktoren erhöhen entscheidend die Datensicherheit . Denn mit ihnen haben Cyber-Kriminelle keine Möglichkeit, sich mithilfe von Keyloggern oder Trojanern Zugang zu IT-Systemen oder Online-Services zu verschaffen

Event Handler für individuelle Arbeitsabläufe

Die neue Version 2.13 von privacyIDEA gestattet neben der sicheren Anmeldung eine flexible Reaktion auf Ereignisse. So kann privacyIDEA die Nutzer per E-Mail oder SMS automatisch benachrichtigen, wenn ein Administrator Änderungen am Benutzerkonto oder den Komponenten vornimmt, mit deren Hilfe sich ein User authentisiert. Eine solche zusätzliche Sicherungsebene ist vor allem für sensible Fachkonten relevant. Denn sie macht transparent, ob User mit privilegierten Zugriffsrechten, zum Beispiel Systemverwalter, Berechtigungen und Zugangsverfahren manipulieren.

Ein weiterer Vorteil ist, dass sich mithilfe des Event-Handler-Frameworks Ereignisse mit bestimmten Aktionen verknüpfen lassen. Dadurch können Unternehmen individuelle Arbeitsabläufe abbilden. privacyIDEA passt somit Workflows dem Verhalten von Nutzern und den jeweiligen Anforderungen im Unternehmen an – nicht umgekehrt.

Cornelius Kölbel, Geschäftsführer der NetKnights GmbH, sieht darin deutliche Vorteile für Anwender: „Wir können innerhalb weniger Stunden neue Event-Handler-Module erstellen, die exakt auf die Anforderungen eines Kunden abgestimmt sind. Mit privacyIDEA 2.13 verfügen wir somit über ein Werkzeug, um kundenspezifische, existierende Managementprozesse auf einfache und robuste Weise abzubilden. Das hilft dem Kunden bei der Einführung, da es bei gewohnten Arbeitsabläufen bleiben kann.“

Zeitbasierte Richtlinien erhöhen die Sicherheit

Bereits die früheren Versionen von privacyIDEA boten die Möglichkeit, mithilfe von Richtlinien das Anmeldeverhalten zu steuern. Solche „Policies“ erweitert die neue Version 2.13 um zeitbezogene Richtlinien. Damit kann ein Unternehmen vorgeben, dass sich außerhalb der normalen Arbeitszeiten nur bestimmte Benutzergruppen an IT-Systemen oder dem Unternehmensnetz anmelden dürfen.
Außerdem können Administratoren definieren, dass der Zugriff auf IT-Ressourcen zu bestimmten Zeiten nur dann möglich ist, wenn ein Nutzer besonders sichere Authentifizierungsverfahren verwendet. Solche zeitbezogenen Richtlinien erhöhen die Sicherheit, da Abweichungen vom normalen Arbeitsverhalten der Benutzer schneller auffallen.

Auf dem Weg zum Mehrfaktor-Authentifizierungs-System

privacyIDEA stammt aus dem Bereich der Zwei-Faktor-Authentifizierung mittels Einmal- Passwörtern (One-Time Passwords, OTP). Doch mittlerweile lassen sich mit der Software auch SSH-Schlüssel und X.509-Zertifikate verwalten. Mit der Version 2.13 erfolgt ein weiterer Schritt auf dem Weg zu einem vollumfänglichen Authentifizierungssystem. Zum Beispiel kann der Administrator Token-spezifische Passwörter mit einem Ablaufdatum belegen. Somit müssen Benutzer die so genannte Token-PIN nach einer gewissen Zeitspanne ändern. Und das erhöht das Sicherheitsniveau in erheblichem Maß.

Anwendungsfälle

Die Einsatzgebiete von privacyIDEA sind vielfältig. Sie reichen von der sicheren Anmeldung von Außendienstmitarbeitern am Unternehmensnetz über die Absicherung von Kundenportalen und verschlüsselten Notebooks bis hin zum SSH-Key-Management für Rechenzentren. Mit dem privacyIDEA Credential Provider ist auch die Absicherung von Arbeitsplatzrechnern mit einem zweiten Besitzfaktor abgedeckt. privacyIDEA agiert als zentrale Authentifizierungsinstanz, die alle Authentifzierungsobjekte der Benutzer verwaltet. Nachdem ein privacyIDEA-System einmal aufgesetzt ist, kann die IT-Abteilung leicht nach und nach weitere Anwendungsfälle umsetzen. Der Kunde erhält dadurch ein System, das Schritt für Schritt in unterschiedlichen Unternehmensbereichen die Sicherheit erhöht.

Über NetKnights GmbH

Die NetKnights GmbH ist ein unabhängiges IT-Security-Unternehmen und ein Anbieter von Dienstleistungen und Produkten aus den Bereichen starke Authentisierung, Identitätsmanagement und Verschlüsselung. Gegründet wurde NetKnights im Mai 2014 in Kassel. Mit privacyIDEA hat NetKnights eine modulare Authentifizierungslösung entwickelt, die sich auf einfache Weise in bestehende IT-Infrastrukturen integrieren lässt. Für den Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH unterschiedliche Support-Stufen an.
Weitere Informationen unter www.netknights.it.

Pressekontakt

punktgenau PR
Christiane Schlayer
Fon +49 (0)911 9644332
Mobil +49 (0)179 5053522
christiane.schlayer@punktgenau-pr.de
www.punktgenau-pr.de

Kontakt zu NetKnights

NetKnights GmbH
Cornelius Kölbel
Mobil +49 (0)151 29601417
cornelius.koelbel@netknights.it
www.netknights.it

/von

Zwei-Faktor-Authentifizierung mit Event Handler Framework

,

privacyIDEA wird in der kommenden Version um ein Event Handler Framework erweitert.

Richtlinien für Zwei-Faktor-Authentifizierung

Das Zwei-Faktor-Authentifizierungssystem privacyIDEA lässt sich bereits über Richtlinien (Policies) detailliert konfigurieren und das Verhalten abhängig von vielen Rahmenbedingungen beeinflussen. So lassen sich mit Hilfe der Richtlinien unterschiedliche Szenarien abbilden und zu nahezu allen Herausforderungen eine Lösungen finden. Richtlinien verändern das Authentifizierungs- und Autorisierungsverhalten. Der Administrator kann beispielsweise verschiedene Sicherheitsstufen abbilden oder einfache Migrationen durchführen.

Event-Handler

Mit Hilfe der neuen Event-Handler eröffnen sich noch mehr Möglichkeiten. Die Richtlinien beeinflussen und verändern das Verhalten von privacyIDEA an sich. Der Event-Handler hingegen ändert nichts an dem Verhalten, sondern startet, abhängig von eintretenden Ereignissen, zusätzliche Aktionen, ohne das eigentliche Ereignis zu verändern.

event-handler-privacyidea

So wird in dem obigen Beispiel an das Ereignis „token_init“ (Ein Token wird für einen Benutzer ausgerollt) die Aktion „sendmail“ gehängt.

Um die Logik kümmert sich das Event-Handler-Modul „UserNotification“. Das Interessante ist nun, dass der Administrator ganz flexibel die entsprechende Aktion an jedes beliebige Ereignis hängen kann.

Weitere Event-Handler-Module

Als erstes Event-Handler-Modul wird „UserNotification“ ausgeliefert. Weitere Module sind denkbar und können schnell folgen. So könnte ein Modul „Enrollment“ für einen Benutzer einen speziellen Token-Typen ausstellen — als Reaktion auf ein beliebiges Ereignis.

Somit eröffnen sich ungeahnte Möglichkeiten, neue, kreative Konfigurationen und Workflows abzubilden. Einmal mehr beweist privacyIDEA, dass es ein modernes, innovatives und richtungsweisendes Authentifizierungssystem ist.

Abonnieren Sie unseren Newsletter, um immer auf dem Laufenden zu sein.

/von