Heute wurde privacyIDEA 2.22 veröffentlicht. Die Pakete sind im öffentlichen Launchpad-Repository für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.
Beiträge
Will ein Unternehmen oder eine Organisation Zwei-Faktor-Authentifizierung für tausende von Benutzern ausrollen, so ergeben sich spezielle Herausforderungen.
Die Benutzer werden nicht mehr einzeln in das Büro des Administrators kommen und sich erklären lassen, wie das alles funktioniert. Der Helpdesk kann nicht jedem einzelnen Benutzer seinen Token in die Hand geben oder dessen Smartphone initialisieren.
Die Benutzer sind so zahlreich, dass sie den Administratoren oder den Helpdeskmitarbeitern gar nicht mehr persönlich bekannt sind! Es muss also eine Möglichkeit geben, dass der Prozess selber sicherstellt, dass der richtige Benutzer adressiert wird – und das möglichst automatisch.
Die Benutzer sind über Städte, Regionen oder weltweit verteilt. Und sie sind normale Endanwender, die selten Computer-affin sind. Der Rollout und Einsatz der Zwei-Faktor-Authentifizierung sollte den Benutzer so wenig wie möglich belasten.
privacyIDEA 2.17 ist nun auf für den Univention Corporate Server verfügbar. Über die Neuerungen in privacyIDEA 2.17 berichteten wir bereits. Mit der Paketierung für UCS stehen die neuen Funktionen nun auch über das leichte Update aus dem Univention App Center den Kunden, die auf UCS aufsetzen, zur Verfügung.
privacyIDEA Enterprise Edition Subscription
privacyIDEA auf dem Univention Corporate Server hat den gleichen Funktionsumfang wie ein natives privacyIDEA. Neben den üblichen Subskriptions-Stufen der Enterprise Version gibt es auf dem UCS außerdem einfache Update-Subskriptionen.
Mit den neuen Token Handler und Skript Handler können Arbeitsabläufe stark automatisiert werden.
privacyIDEA wurde in der Version 2.17 veröffentlicht. Es gibt vier neue Hauptfunktionalitäten. Das Event-Handler-Framework hat zwei weitere Module (Token Hander und Skript Handler) bekommen. Die Challenge-Response REST API wurde erweitert, um einen flexibleren SMS-Versand zu ermöglichen und die Richtlinien können nun auch die Zugehörigkeit eines Benutzers zu einem sekundären Resolver überprüfen.
Neue Hauptfunktionen
Token Handler
Der Token Handler kann als Reaktion auf ein Ereignis wie eine fehlgeschlagene Authentifizierung, das Ausrollen oder Sperren eines Tokens, eine neue Aktion auf diesen Token ausführen.
Der Administrator kann eine Event-Handler-Einstellung definieren, so dass bspw. beim Ausrollen eines speziellen Tokentyps der Token vom Event Handler erstmal deaktiviert wird. Dies kann für manche Rollout-Strategien, in denen der ausgestellte Token erst aktiv sein soll, wenn der Benutzer den Empfang bestätigt hat, interessant sein.
Auch könnte eine Event-Handler-Einstellung definiert werden, so dass ein verwaister Token (dessen Benutzer aus dem Active Directory gelöscht wurde) automatisch aus der Tokendatenbank gelöscht wird, es sich bei dem Token um einen Softtoken handelt.
Mehr Informationen finden sich in der Dokumentation zum Token Handler.
Skript Handler
privacyIDEA 2.17 bietet zwei neue Event Handler Module: Token und Skript.
Der Skript Handler kann als Reaktion auf ein beliebiges Ereignis ein externes Skript ausführen. Dem Skript können verschieden Parameter wie die Seriennummer
des Tokens oder der Benutzername übergeben werden.
Ein solches Skript kann bspw. den Druck von PIN-Briefen veranlassen, ein Backup der Datenbank erstellen oder beliebige andere Operationen durchführen.
Der Administrator kann beliebige Shell-Skripte selber erstellen und in den entsprechenden privacyIDEA-Skript-Ordner ablegen und sie somit für die Event-Handler-Definitionen verfügbar machen. Die verfügbaren Skripte sind im WebUI dann als möglichen Aktionen auswählbar.
Mehr Informationen finden sich in der Dokumentation zum Skript Handler.
Mit Hilfe des Token Handlers und des Skript Handlers können Arbeitsabläufe beim Token-Rollout und bei der täglichen Arbeit weiter automatisiert werden und erleichtern so die Arbeit der Administratoren und des Helpdesks, helfen Fehler zu vermeiden und erhöhen damit auch die Anmeldesicherheit.
Erweiterte Challenge-Response REST API
Die zusätzliche REST API /validate/triggerchallenge können nun auch SMS zur Authentifizierung versandt werden, ohne dass der Benutzer vorher seine OTP PIN eingegeben hat. Vielmehr wird hierzu ein minderprivilegierter Account verwendet, der die Berechtigung hat, für beliebige Benutzer SMS auszulösen. Für manche Applikationen, bei denen die PIN-Nutzung nicht sinnvoll oder nicht möglich ist, ist das eine große Hilfe.
So wird diese Funktion zum Beispiel in Kürze Einzug in die privacyIDEA ownCloud App halten.
Erweiterte Richtlinien
Die Richtlinien wurden dahingehend erweitert, dass in gewissen Situationen alternative Benutzer-Resolver für das Überprüfen der Richtlinie herangezogen werden können. Ein Benutzer-Realm kann aus mehreren Benutzer-Resolvern aufgebaut sein. Hierbei kann es vorkommen, dass ein Benutzerobjekt in mehreren Resolvern innerhalb des Realms vorkommt. Die Priorität der eingeordneten Resolver bestimmte dann das gefundene Benutzerobjekt. Dieses wird weiterhin für die Authentifizierung herangezogen. Zusätzlich können aber weitere Richtlinien überprüft werden, ob ein sekundäres Benutzerobjekt in den nieder-priorisierten Resolvern gefunden wird.
Diese zugegebener Maßen etwas schwer eingängige Funktionalität bietet aber die Möglichkeit zum Einen sehr einfache Benutzerstrukturen für die Token-Zuweisung zu haben und zum anderen aber sehr fein differenzierte Richtlinien für verschiedene Benutzergruppen zu erstellen.
Wenn Sie hier in Ihrem Szenario Bedarf sehen, steht Ihnen die NetKnights GmbH gerne beratend zur Seite.
Enterprise Edition
Die NetKnights bieten Ihnen Beratung und Support im Rahmen der privacyIDEA Enterprise Edition. Damit haben Sie den Investitionsschutz von Opensource und die Betriebssicherheit durch einen professionellen SLA.
ChangeLog
Das originale ChangeLog findet sich bei Github. Hier eine deutschsprachige Entsprechung:
Funktionen
- Token Handler zum gezielten, automatischen Ausführen von Token-Aktionen. (#532)
- Script Hander zum Ausführen von Shell-Skripten. (#536)
- Zusätzliche Challenge Response REST API für leichteren SMS-Versand. (#531)
- Erweiterte Richtlinien mit sekundärem Benutzer-Resolver. (#543)
Erweiterungen
- In den Bedingungen der Event Handler wird eine Seriennummer bestimmt, selbst wenn der Request keine Seriennummer enthält. Dies gilt für Benutzer, die nur einen Token haben. (#571)
- Event Handler Definitionen können deaktiviert werden. (#537)
- Event Handler Definitionen können einen beschreibenden Namen erhalten. (#522)
- LDAP Performanz verbessert. Es wird auf unterschiedliche Funktionalitäten des ldap3 Moduls in den Versionen 1.x und 2.x eingegangen. (#549)
- SQL Audit Tabelle wurde zum Schema hinzugefügt. Dadurch eine Leistungssteigerung, weil die Tabelle nicht mehr bei einem Request erzeugt wird. (#557)
- Alter der Audit-Einträge kann festgelegt werden. Benutzer können bspw. nur Einträge des letzten Monats sehen. (#541)
- Verbesserung der Lesbarkeit von Richtlinien-Details. Es wurde eine Checkbox ergänzt, die nur angewählte Aktionen zeigt. (#573)
- Audit Log kann auch gefiltert heruntergeladen werden. (#539)
Fehlerbehebungen
- Beim Löschen eines Tokens wird nun auch die bisher fehlende Seriennummer des Tokens ins Audit Log geschrieben. (#546)
- Fehler beim Speichern von Event Handlern behoben. (#551)
- HttpSMSProvider akzeptiert nun Status Codes 201 und 202 zusätzlich zu 200. (#562)
- Fehler mit der Checkbox NOREFERRALS im LDAP Resolver behoben. (#563)
- Dokumentation für SMS Provider ergänzt. (#566)
- HTTP 301 Redirects aus dem WebUI entfernt. (#576)
privacyIDEA ermöglicht individuelle Mehr-Faktor-Anmeldeszenarien
Kassel, 12. Juli 2016. Mit der neuen Version 2.13 von privacyIDEA erweitert die NetKnights GmbH die Möglichkeiten, Anmeldeverfahren an IT-Systemen und -Netzen sicher und individuell umzusetzen. Damit können Unternehmen die Anmeldeverfahren exakt auf Ihre Bedürfnisse anpassen.
privacyIDEA ist eine Lösung für die modulare Multi-Faktor-Authentifizierung. Das heißt, ein Nutzer benötigt nicht nur ein Passwort, um sich anzumelden, sondern einen oder mehrere weitere Authentisierungsobjekte, die beispielsweise als Besitzfaktor dem jeweiligen Benutzer zugeordnet sind.
Diese zusätzlichen Faktoren erhöhen entscheidend die Datensicherheit . Denn mit ihnen haben Cyber-Kriminelle keine Möglichkeit, sich mithilfe von Keyloggern oder Trojanern Zugang zu IT-Systemen oder Online-Services zu verschaffen
Event Handler für individuelle Arbeitsabläufe
Die neue Version 2.13 von privacyIDEA gestattet neben der sicheren Anmeldung eine flexible Reaktion auf Ereignisse. So kann privacyIDEA die Nutzer per E-Mail oder SMS automatisch benachrichtigen, wenn ein Administrator Änderungen am Benutzerkonto oder den Komponenten vornimmt, mit deren Hilfe sich ein User authentisiert. Eine solche zusätzliche Sicherungsebene ist vor allem für sensible Fachkonten relevant. Denn sie macht transparent, ob User mit privilegierten Zugriffsrechten, zum Beispiel Systemverwalter, Berechtigungen und Zugangsverfahren manipulieren.
Ein weiterer Vorteil ist, dass sich mithilfe des Event-Handler-Frameworks Ereignisse mit bestimmten Aktionen verknüpfen lassen. Dadurch können Unternehmen individuelle Arbeitsabläufe abbilden. privacyIDEA passt somit Workflows dem Verhalten von Nutzern und den jeweiligen Anforderungen im Unternehmen an – nicht umgekehrt.
Cornelius Kölbel, Geschäftsführer der NetKnights GmbH, sieht darin deutliche Vorteile für Anwender: „Wir können innerhalb weniger Stunden neue Event-Handler-Module erstellen, die exakt auf die Anforderungen eines Kunden abgestimmt sind. Mit privacyIDEA 2.13 verfügen wir somit über ein Werkzeug, um kundenspezifische, existierende Managementprozesse auf einfache und robuste Weise abzubilden. Das hilft dem Kunden bei der Einführung, da es bei gewohnten Arbeitsabläufen bleiben kann.“
Zeitbasierte Richtlinien erhöhen die Sicherheit
Bereits die früheren Versionen von privacyIDEA boten die Möglichkeit, mithilfe von Richtlinien das Anmeldeverhalten zu steuern. Solche „Policies“ erweitert die neue Version 2.13 um zeitbezogene Richtlinien. Damit kann ein Unternehmen vorgeben, dass sich außerhalb der normalen Arbeitszeiten nur bestimmte Benutzergruppen an IT-Systemen oder dem Unternehmensnetz anmelden dürfen.
Außerdem können Administratoren definieren, dass der Zugriff auf IT-Ressourcen zu bestimmten Zeiten nur dann möglich ist, wenn ein Nutzer besonders sichere Authentifizierungsverfahren verwendet. Solche zeitbezogenen Richtlinien erhöhen die Sicherheit, da Abweichungen vom normalen Arbeitsverhalten der Benutzer schneller auffallen.
Auf dem Weg zum Mehrfaktor-Authentifizierungs-System
privacyIDEA stammt aus dem Bereich der Zwei-Faktor-Authentifizierung mittels Einmal- Passwörtern (One-Time Passwords, OTP). Doch mittlerweile lassen sich mit der Software auch SSH-Schlüssel und X.509-Zertifikate verwalten. Mit der Version 2.13 erfolgt ein weiterer Schritt auf dem Weg zu einem vollumfänglichen Authentifizierungssystem. Zum Beispiel kann der Administrator Token-spezifische Passwörter mit einem Ablaufdatum belegen. Somit müssen Benutzer die so genannte Token-PIN nach einer gewissen Zeitspanne ändern. Und das erhöht das Sicherheitsniveau in erheblichem Maß.
Anwendungsfälle
Die Einsatzgebiete von privacyIDEA sind vielfältig. Sie reichen von der sicheren Anmeldung von Außendienstmitarbeitern am Unternehmensnetz über die Absicherung von Kundenportalen und verschlüsselten Notebooks bis hin zum SSH-Key-Management für Rechenzentren. Mit dem privacyIDEA Credential Provider ist auch die Absicherung von Arbeitsplatzrechnern mit einem zweiten Besitzfaktor abgedeckt. privacyIDEA agiert als zentrale Authentifizierungsinstanz, die alle Authentifzierungsobjekte der Benutzer verwaltet. Nachdem ein privacyIDEA-System einmal aufgesetzt ist, kann die IT-Abteilung leicht nach und nach weitere Anwendungsfälle umsetzen. Der Kunde erhält dadurch ein System, das Schritt für Schritt in unterschiedlichen Unternehmensbereichen die Sicherheit erhöht.
Über NetKnights GmbH
Die NetKnights GmbH ist ein unabhängiges IT-Security-Unternehmen und ein Anbieter von Dienstleistungen und Produkten aus den Bereichen starke Authentisierung, Identitätsmanagement und Verschlüsselung. Gegründet wurde NetKnights im Mai 2014 in Kassel. Mit privacyIDEA hat NetKnights eine modulare Authentifizierungslösung entwickelt, die sich auf einfache Weise in bestehende IT-Infrastrukturen integrieren lässt. Für den Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH unterschiedliche Support-Stufen an.
Weitere Informationen unter www.netknights.it.
Pressekontakt
punktgenau PR
Christiane Schlayer
Fon +49 (0)911 9644332
Mobil +49 (0)179 5053522
christiane.schlayer@punktgenau-pr.de
www.punktgenau-pr.de
Kontakt zu NetKnights
NetKnights GmbH
Cornelius Kölbel
Mobil +49 (0)151 29601417
cornelius.koelbel@netknights.it
www.netknights.it
privacyIDEA wird in der kommenden Version um ein Event Handler Framework erweitert.
Richtlinien für Zwei-Faktor-Authentifizierung
Das Zwei-Faktor-Authentifizierungssystem privacyIDEA lässt sich bereits über Richtlinien (Policies) detailliert konfigurieren und das Verhalten abhängig von vielen Rahmenbedingungen beeinflussen. So lassen sich mit Hilfe der Richtlinien unterschiedliche Szenarien abbilden und zu nahezu allen Herausforderungen eine Lösungen finden. Richtlinien verändern das Authentifizierungs- und Autorisierungsverhalten. Der Administrator kann beispielsweise verschiedene Sicherheitsstufen abbilden oder einfache Migrationen durchführen.
Event-Handler
Mit Hilfe der neuen Event-Handler eröffnen sich noch mehr Möglichkeiten. Die Richtlinien beeinflussen und verändern das Verhalten von privacyIDEA an sich. Der Event-Handler hingegen ändert nichts an dem Verhalten, sondern startet, abhängig von eintretenden Ereignissen, zusätzliche Aktionen, ohne das eigentliche Ereignis zu verändern.
So wird in dem obigen Beispiel an das Ereignis „token_init“ (Ein Token wird für einen Benutzer ausgerollt) die Aktion „sendmail“ gehängt.
Um die Logik kümmert sich das Event-Handler-Modul „UserNotification“. Das Interessante ist nun, dass der Administrator ganz flexibel die entsprechende Aktion an jedes beliebige Ereignis hängen kann.
Weitere Event-Handler-Module
Als erstes Event-Handler-Modul wird „UserNotification“ ausgeliefert. Weitere Module sind denkbar und können schnell folgen. So könnte ein Modul „Enrollment“ für einen Benutzer einen speziellen Token-Typen ausstellen — als Reaktion auf ein beliebiges Ereignis.
Somit eröffnen sich ungeahnte Möglichkeiten, neue, kreative Konfigurationen und Workflows abzubilden. Einmal mehr beweist privacyIDEA, dass es ein modernes, innovatives und richtungsweisendes Authentifizierungssystem ist.
Abonnieren Sie unseren Newsletter, um immer auf dem Laufenden zu sein.
