Beiträge

Unternehmen nutzen immer mehr Cloud-Dienste. Damit wächst die Menge an Accounts sowie auch die Menge an Logindaten. Wenn die Zahl an Benutzernamen und Passwörtern aber stetig zunimmt, erhöhen sich die Schnittstellen und damit die Sicherheitsrisiken. Single Sign-on mit privacyIDEA bietet deshalb die Möglichkeit, eine Identität zentral zu verwalten, um für mehr Sicherheit und Flexibilität zu sorgen.

Single Sign-on (kurz SSO) wird gerne missverstanden: Die Zuschreibung „Single” bedeutet nicht zwangsläufig, dass man sich als Nutzer nur noch ein einziges Passwort zu merken hätte – das gilt nur bedingt. Vielmehr meint SSO, dass sich ein User nur einmal anmelden muss, dann aber am selben Arbeitsplatz trotzdem Zugriff hat auf mehrere (Cloud-) Anwendungen – ohne weitere „Logins”.

Nicht zuletzt deshalb nutzen Unternehmen SSO gerne für die eigenen Webdienste. Ausschlaggebend ist aber eben nicht die Reduktion auf ein Passwort – dafür würde ein zentraler LDAP-Server ausreichen –, sondern der Umstand, dass sich Nutzer nur einmal anmelden. Mit SSO bieten Unternehmen ihren Angestellten so eine zentrale Anlaufstelle, wobei sie mit einem einzigen „Login” auf alle ERP-, Web- oder Cloud-Anwendungen zugreifen können, die sie für ihre (alltägliche) Arbeit benötigen.

Da laut Bitkom mittlerweile 44% aller Anwendungen und Arbeitsprozesse cloudbasiert ablaufen (bei Großunternehmen sogar 83 Prozent) und immer mehr Cloud-Services genutzt werden, wird der Bedarf an Single-Sign-on-Lösungen zunehmend wichtiger. Deshalb an dieser Stelle: ein Überblick, nicht über den Nutzen von SSO, sondern auch darüber, worauf Unternehmen achten müssen, wenn sie SSO sicher und effizient für ihre Organisation nutzen möchten.

Was ist Single Sign-on (SSO)?

Insbesondere der wachsende Bedarf an Cloud-Anwendungen führt zu einem vermehrten Einsatz von SSO. Der Grund dafür ist offensichtlich: Mehr Anwendungen (in der Cloud) bedeuten auch mehr Passwörter bzw. Logindaten für verschiedene Accounts. Single Sign-on bietet genau die Möglichkeit: sich nur einmal anmelden zu müssen, dann aber bei mehreren Anwendungen eingeloggt zu sein.

Welchen Nutzen kann ein Unternehmen aus SSO ziehen?

Unternehmen umschiffen damit „mehrere Problemfelder” auf einmal: So steigert ein Single-Sign-on-System den Wildwuchs an verschiedenen Accounts und Passwörtern, sodass der Bedienkomfort für die Mitarbeiter deutlich steigt. Diese merken sich bestimmt lieber einen „Master-Zugang” als viele, viele einzelne Zugänge.

Außerdem verschlechtern zu viele Account nachweislich die Passwort-Hygiene, das heißt: zu viele Nutzer verwenden dann oft dieselben Passwörter für unterschiedliche Portale, was der IT-Sicherheit nicht zugutekommen kann.

Verstreute „Account-Silos” über mehrere Lösungen hinweg – das möchten Unternehmen vermeiden, nicht nur weil es einfach unpraktisch, sondern auch unsicher ist. Mit SSO kann die IT-Abteilung neue User-Accounts einfach zentral erstellen und sogar einzelne Berechtigungen verwalten. Und wenn ein Mitarbeiter das Unternehmen verlässt, sind auch „Offboarding-Prozesse” zentral administrierbar.

Genau eben diese Reduzierung auf ein „Credential” – z.B. Passwort und Benutzername – minimiert das Risiko, dass Zugangsdaten verloren gehen oder aus leicht zu erratenden Passwörtern bestehen. Im Gegenteil: Richtig eingesetzt erhöht SSO die Produktivität, erleichtert ein effektives IT-Monitoring und sorgt unterm Strich für mehr Kontrolle und Sicherheit – während den Mitarbeitern mit einer Anmeldung Zugriff auf mehrere Systeme, Plattformen und andere unternehmensrelevante Ressourcen gewährt oder entzogen wird.

Wie kann man SSO im Unternehmen einsetzen?

Um aber reibungslos zu funktionieren, müssen Single-Sign-on-Dienste auf bestimmte Protokolle zugreifen. Davon gibt es nicht wenige – zum Beispiel SAML2, das intensiv bspw. von Salesforce eingesetzt wird, oder OpenID Connect (OIDC), das bspw. auch bei Google Anwendung findet.

SAML-Protokoll

Bei einem SAML-Protokoll erhält der User einen verschlüsselten Session-Cookie, mit dem sich der Nutzer über einen festgelegten Zeitraum bei bestimmten (Cloud-) Diensten authentifizieren kann. Der große Vorteil dabei ist, dass der externe Dienst keine Verbindung zum internen Authentifizierungsdienst (Identity Provider – IdP) aufbauen muss – es genügt die Verbindung zum Browser des Users.

OAuth2 mit OpenID Connect

Das OAuth2-Protokoll wird u.a. bei Google-Diensten wie Gmail oder Google Drive zur Autorisierung verwendet. Bei OpenID Connect handelt es sich um eine Weiterentwicklung gängiger Protokolle wie OpenID oder SAML. Da es allgemein als einfach und sicher gilt, entwickelt sich OAuth2 mit OpenID Connect immer mehr zum Standard für die Autorisierung von API-Zugriffen im Web (und auch bei Apps).

Dabei erhalten Nutzer einen singulären Zugangsschlüssel der in Verbindung mit dem OAuth2-Protokoll den Login ermöglicht. So werden Informationen über die Identität des Users sowie die erbrachte Authentifizierung über einen OpenID-spezifischen Token, auch ID Token genannt, an einen Client zurückgegeben. Das Login gilt dann nur für diesen einen Client.

Individuelle Autorisierungsprozesse – mit Keycloak

Da Unternehmen aber oft unterschiedliche IT-Security- und Compliance-Vorgaben zu erfüllen haben, nutzen sie sog. Identitäts- oder Zugriffsmanagement-Systeme – wie z.B. die  Open-Source-Lösung Keycloak, die übrigens die beiden oben genannten Protokolle nutzt und von JBoss unter der Leitung von RedHat entwickelt wird. Wenn die rollenbasierte Autorisierung also nicht den betriebsinternen Bedürfnissen entspricht, so bietet Keycloak justierbare Autorisierungsdienste an.

Auf diese Weise können Unternehmen die Berechtigungen für alle Ihre Dienste über die Keycloak-Verwaltungskonsole verwalten und haben die Möglichkeit, genau die Richtlinien zu definieren, die sie gerade benötigen.

Das Thema Sicherheit – Chance und Hürde zugleich

Dass Single-Sign-on-Systeme die Sicherheit grundsätzlich erhöhen ist unbestritten: sie reduzieren den Passwort-Dschungel, verhindern die Entstehung von (Account-) Silos, erhöhen die Produktivität und erleichtern Offboarding-Prozesse. Doch ein großes Restrisiko bleibt: Ein erfolgreicher Angriff würde immer dazu führen, dass mit einem Schlag mehrere Anwendungen betroffen sind.

Diese Hürde lässt sich aber überwinden, indem man zusätzlich eine 2-Faktor-Authentifizierungslösung für SSO integriert. Mit privacyIDEA als authproc-Filter (in simpleSAMLphp) können Anwender beispielsweise den Authentifizierungsprozess auf vielfältige Weise erweitern und individualisieren. Der erste Faktor wird dabei gegen die Authentifizierungsquelle (z.B. LDAP) und der zweite gegen privacyIDEA authentifiziert.

Funktionen, die Keycloak und privacyIDEA bieten

Seit kurzem kann man sich auch bei Keycloak mit einem zweiten Faktor von privacyIDEA anmelden. Dabei ermöglichen folgende Funktionen ein sicheres und benutzerfreundliches Einloggen:

  • Sicheres Anmelden mit SSO
  • Ausschluss bestimmter Gruppen
  • Automatisches Token Enrollment (falls ein Nutzer noch keinen Token hat)
  • Seit privacyIDEA 3.0: Unterstützung von Pushtoken
  • Keine Eingabe notwendig: Benutzerbestätigung via Smartphone

Fazit

Das Konzept Single Sign-on war in vielen Organisationen immer schon ein großes Thema. Wenn Unternehmen heute gängige Software- und Cloud-Lösungen wie Office 365, Box oder Slack nutzen, bedeutet das nicht, dass sie für diese Services auch unterschiedliche Passwörter und Login-Daten benötigen bzw. haben möchten.

Insbesondere mit Blick auf kulturelle Themen wie Bring your own device (BYOD) oder die Zunahme dezentraler Arbeitsplätze, die von der internen IT nicht mehr kontrolliert werden können, wird der Einsatz von SSO immer mehr zu einer Grundvoraussetzung, um nachvollziehbare Authentifizierungsprozesse sicher und flexibel zu gestalten.

Wir sind stolz, dass wir heute privacyIDEA 3.0 veröffentlichen können. Denn mit privacyIDEA 3.0 stellen wir die Weichen für eine stabile Zukunft.

Während viele sich schnell in verlockenden MFA SaaS-Angeboten verlieren, wollen wir unseren Kunden weiter die Möglichkeit geben, ihre sichere Mehr-Faktor-Authentifizierung mit einem vertrauenswürdigen System unter der eigenen Kontrolle, on Premise, durchzuführen. Damit das auch in Zukunft so bleibt, haben wir an mehreren Punkten in den vergangenen Monaten gearbeitet. Vordergründig scheinen die erstmal keinen Wow-Effekt zu bringen, aber Ihnen als Unternehmenskunde geben sie das, was für Sie zählt: Langfristige Stabilität!

Python 3

privacyIDEA ist in Python geschrieben. Die Python Version 2.7 wird ab 2020 nicht mehr weiterentwickelt. Wir haben den Code von privacyIDEA 3.0 so geschrieben, dass er sowohl unter Python 2.7 als auch unter Python 3.x läuft. Das gibt Ihnen die Sicherheit, dass Sie ohne Migrationsprojekte von Python 2.7 auf Python 3 wechseln können und auch nach 2020 privacyIDEA entspannt einsetzen können.

Eine PIP-Installation von privacyIDEA 3.0 können Sie wahlweise schon auf Python 3 betreiben. Die Enterprise-Pakete werden wir derzeit noch mit Python 2.7 ausliefern und sie dann im Laufe der kommenden Monate auf Python 3 ändern. Für Sie ist dann außer einem normalen Update nichts weiter zu tun.

Cryptofunktionen

Unter der Haube haben wir auch Crypto-Bibliotheken ausgetauscht. Die alte Bibliothek pycrypto musste dem de-Facto-Standard cryptography weichen. Signaturen und verschlüsselte Daten haben nun zusätzlich eine eigene Versionierung, so dass wir hier zukunftssicher sind, wenn wir die Art und Weise, wie wir signieren oder verschlüsseln, austauschen wollen. Dank der Versionierung können wir hier einfach die Abwärtskompatibilität sicherstellen.

Datenbank-Schema

Wir haben mit einer Design-Altlast gebrochen, die auf die ersten Versionen im Jahr 2009 zurückgeht. Bisher wurde die Zuordnung eines Tokens zum Benutzer in der Datenbank in der Tokentabelle selber gespeichert. Das war zwar einfach, aber nicht flexibel. Die Zuordnung erfolgt nun in einer eigenen Tabelle, so dass wir datenbankseitig schon vorbereitet haben, dass mehrere Benutzer den gleichen Token besitzen können. Dies wird es uns in der Zukunft erleichtern, ganz neue Tokentypen zu entwickeln.

Installationsvarianten

Wir haben uns entschieden, alle Installationsvarianten als sogenannte Python virtualenv auszuliefern. In einem dedizierten Verzeichnis bringt privacyIDEA alle Abhängigkeiten mit, die es benötigt. Dadurch stellen wir sicher, dass unabhängig davon, ob privacyIDEA auf einem Debian, Ubuntu, RHEL oder SLES läuft und per pip, apt oder yum installiert wurde, in einer gegebenen Version der komplett gleiche Code läuft. Das hilft, Seiteneffekte von unterliegenden Abhängigkeiten auszuschließen. Die Installationen werden homogener und stabiler.

Dennoch ist weiterhin wie gehabt eine einfache Installation und Update mittels apt/aptitude oder yum möglich.

Ab privacyIDEA 3.0 werden wir keine Pakete mehr für Ubuntu 14.04LTS bauen. Dafür bieten wir ab 3.0 Pakete für Ubuntu 18.04LTS und 16.04LTS an. Die Pakete für Ubuntu können wir aber nicht mehr in den PPA Launchpad Repositories veröffentlichen. Vielmehr veröffentlichen wir diese nun in einem eigenen Repository.

Installation der neuen Version privacyIDEA 3.0

privacyIDEA 3.0 ist die Community Edition, die auf dem Python Package Index und in Repositories für Ubuntu 16.04LTS und 18.04LTS verfügbar ist. Wegen der Änderungen bitten wir Sie, die Installations- und Update-Anleitungen genau zu lesen.

Die Enterprise Edition für Unternehmenskunden wird in einigen Wochen als Version 3.0.1 folgen.

Lesen Sie außerdem unsere Pressemitteilung zum Release von privacyIDEA 3.0.

Heute am 29.08.2018 wurde die Version 2.23 von privacyIDEA veröffentlicht. Die Pakete sind in den öffentlichen Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Außerdem kann das Mehr-Faktor-Authentifizierung-System privacyIDEA über den Python Package Index privacyIDEA auf beliebigen Distributionen installiert werden.

Automatisierte Prozesse

In Version 2.12 wurden bereits Event Handler eingeführt. Sie ermöglichen es dem Administrator, Funktionen zur Benachrichtigung von Benutzern, Modifikation von Token oder Skripte mit beliebigen Ereignisse in privacyIDEA zu verknüpfen. Tritt ein solches Ereignis mit definierten Rahmenbedingungen ein, so wird vom System die vordefinierte Aufgabe ausgeführt.

In der Version 2.23 kann diese Aufgabe nun auch durchgeführt werden, bevor das eigentliche Ereignis ausgeführt wird. Es wird also das Post-Event-Handling und das Pre-Event-Handling unterschieden. Der Administrator kann bspw. definieren, dass einem Benutzer, der keinen Token hat, automatisch ein Token ausgerollt wird, wenn dieser versucht sich anzumelden. Handelt es sich dabei um einen Email- oder SMS-Token, so wird dieser neue Token auch direkt in der gerade stattfindenden Anmeldung verwendet. Das Anmeldeerlebnis für den Benutzer ist völlig transparent, für den Administrator entsteht kein Aufwand.

Somit lassen sich viele Aufgaben, die sonst manuell oder per Skript aufgerufen werden müssten, genau zum richtigen Zeitpunkt automatisch direkt in privacyIDEA ausführen. Dies ermöglicht dem Administrator, ungeahnte Szenarien abzubilden und die entsprechenden Schritte zu automatisieren.

Der Pre-Event-Handler stellt dem Benutzer, wenn er keinen Token besitzt, einen Token aus, der sofort für die Anmeldung verwendet werden kann.

Wiederkehrende Aufgaben

In der Version 2.23 von privacyIDEA kann der Administrator nur regelmäßige, wiederkehrende Aufgaben definieren. Unter anderem können diese  genutzt werden, um Informationen über das privacyIDEA-System zu erfassen. Verschiedene Module wie ein „Ereignis-Zähler“ oder ein „Statistik-Modul“ definieren dabei, was regelmäßig passieren soll.

Mit dem Statistik-Modul kann nun bspw. die Anzahl der nicht zugewiesenen Hardware-Token erfasst werden. In vielen Fällen ist diese Information für den Administrator relevant, damit er weiß, wann Authentisierungsgeräte nachbestellt werden müssen. Das „Ereignis-Zähler-Modul“ erfasst, wie oft flexibel definierte Ereignisse aufgetreten sind. Im einfachsten Fall ist das eine fehlgeschlagene Anmeldung.

privacyIDEA speichert diese Informationen in Zeitreihen. Diese können mit Hilfe von Tools wie Grafana entsprechend grafisch dargestellt werden.

Mit privacyIDEA 2.23 können Ereignisse wie die Anzahl der durchgeführten Authentisierungsversuche grafisch dargestellt werden.

2FA für die Massen

Zwei-Faktor-Authentifizierung ist weit verbreitet. Viele Dienste bieten es an und viele Endbenutzer fordern es. Doch kann nicht immer an jeden Benutzer ein Hardware-Token ausgehändigt werden. Nicht jeder Benutzer hat ein Smartphone oder möchte dieses benutzen. Manchmal scheidet auch SMS aus, wenn aus Datenschutzbedenken Benutzer ihre Handynummer nicht weitergeben möchten. Hier kommt eine weitere Stärke von privacyIDEA ins Spiel. privacyIDEA unterstützt eine große Bandbreite an unterschiedlichen Token-Typen.

Mit der Version 2.23 kommt nun noch ein TAN-Token hinzu, bei dem existierende TAN-Listen in privacyIDEA auch importiert werden können. Dies ermöglicht zum Einen, eine breite Masse an Benutzern mit unterschiedlichen Sicherheitsanforderungen anzusprechen und zum Anderen, leicht von existierenden TAN-Lösungen zu privacyIDEA zu migrieren.

Mehr auf Github

Das komplette Changelog findet sich bei Github.

In wenigen Wochen wird die NetKnights GmbH die privacyIDEA Enterprise Edition 2.23.1 veröffentlichen. Diese wird zusätzlich für RHEL/CentOS7 und für den Univention Corporate Server verfügbar sein.

Im Oktober bietet die NetKnights einen Workshop-Tag an, bei dem Kunden und Interessierte die neuen Funktionen von privacyIDEA näher kennenlernen können.

Am 18.10.2018 findet in den Räumen der NetKnights GmbH in Kassel ein weiterer Workshop zu privacyIDEA statt. Bereits im Januar hatten wir einen entsprechenden Workshop veranstaltet – nun möchten wir unseren Kunden und Interessenten erneut die Möglichkeit bieten, privacyIDEA aus erster Hand tiefer kennen zu lernen.

Auf der Agenda steht die Version privacyIDEA 2.23, die bis dahin erschienen sein wird. Mit dieser Version kommen relevante neue Funktionalitäten, so dass wir Ihnen anbieten, hier tiefer einzutauchen. Es soll vor allem um die erweiterten Funktionen des Event-Handlers, um periodische Tasks, um Monitoring und Statistiken gehen. Die Version 2.23 hat einige Neuerungen zu bieten, die bspw. eine charmante Anbindung an Grafana ermöglicht.

Metriken von privacyIDEA in Grafana

Agenda

Wir wollen uns zu den folgenden Themen austauschen:

  • Einführung in privacyIDEA, wir kommen alle auf einen gleichen Stand
  • Vorstellung der Pre- und Post-Event-Handler
    • Konfiguration von Event-Handlern für den automatischen Rollout, Benutzerbenachrichtigung und anderer Workflows
  • Vorstellung der wiederkehrenden Aufgaben
  • Vorstellung von Monitorung und Statistiken
    • Konfiguration von Monitoring-Tasks
    • Anbindung von privacyIDEA an Grafana

Darüberhinaus sind wir entsprechend des Open Source-Gedankens für weitere Anregungen und Wünsche offen!

Wer sollte teilnehmen

Der Workshop richtet sich gleichermaßen an Anwender, die bereits privacyIDEA einsetzen und auch an solche, die planen, ein Mehr-Faktor-System anzuschaffen bzw. eine bestehende Software abzulösen.

Die angedachten Themen können sehr technisch werden, so dass Sie als IT-Architekt, Entwickler oder Administrator bei uns genau richtig sind. Da die Themen „Event Handler“, „Statistiken“, „Workflows“ aber durchaus auch planerisch oder organisatorisch relevant sind, können Sie auch als IT-Leiter oder Geschäftsführer von diesem Workshop profitieren und neue Ideen sammeln, wie Sie privacyIDEA für sich, Ihr Unternehmen oder für Ihre Endkunden weiter gewinnbringend einsetzen können.

Was kostet der Workshop

Wir erheben für den Workshop einen Unkostenbeitrag von 90€ zzgl. MWSt. pro Teilnehmer. Getränke, Verpflegung über den Tag und Mittagessen sind natürlich enthalten.

Für Teilnehmer, deren Unternehmen einen aktuellen Support-Vertrag der privacyIDEA Enterprise Edition hat, bieten wir den Workshop komplett kostenfrei an!

Anmeldung

Auch dieses Jahr ist die NetKnights GmbH wieder auf der it-sa vertreten. Als Partner am Stand von ownCloud, in Halle 10.0-428 ist die NetKnights mit dem Thema Mehr-Faktor-Authentifizierung in guter Gesellschaft. Mit der privacyIDEA ownCloud App ermöglicht privacyIDEA eine flexible, unternehmens-taugliche Mehrfaktor-Authentifizierung an der Enterprise-File-Sync-And-Share Lösung aus Nürnberg.

Neues bei privacyIDEA

Doch auch unter der Haube gibt es bei privacyIDEA viel neues zu entdecken.

Wir stellen die Version 2.23 von privacyIDEA vor. Innovative Neuerungen sind die Pre-Event-Handler, die bspw. vor der Abarbeitung eines Authentifizierungsrequests frei konfigurierbare Aktionen ausführen können. Dies kann der Administrator z.B. für den automatischen Rollout nutzen und so die Arbeit für sich und die Anwender erleichtern. Das Event-Handler-Framework im Zusammenspiel mit Periodischen Tasks ermöglicht ein flexibles und fein granuliertes Monitoring und Statistiken. Im Handumdrehen lassen sich Metriken wie Authentifizierungsversuche, ausgerollte Token, beliebige administrative Zugriffe aufzeichnen und bspw. in Grafana grafisch darstellen.

Wir streben weiterhin danach, dass privacyIDEA eines der flexibelsten Mehr-Faktor-Authentifizerungs-System am Markt ist und keine ungeahnten Wünsche der Anwender offen lässt.

Überzeugen Sie sich selbst! vereinbaren Sie noch heute Ihren persönlichen Gesprächstermin!

 

Heute wurde die stabile Version 2.22.1 der privacyIDEA Enterprise Edition veröffentlicht.

Für die neuen Funktionalitäten der Version 2.22 (2.22.1) gegenüber der Version 2.21 leben Sie bitte den entsprechenden Blog Post zur Veröffentlichung von 2.22.

Weiterlesen

Heute wurde privacyIDEA 2.22 veröffentlicht. Die Pakete sind im öffentlichen Launchpad-Repository für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Weiterlesen

Vollbepackt nach Chemnitz

Auch dieses Jahr hat die NetKnights GmbH die Chemnitzer Linuxtage als Sponsor unterstützt und wir haben den Community-Stand von privacyIDEA gestellt. Also sind drei Mitarbeiter der NetKnights am Freitag Nachmittag mit dem vollgepackten Auto in Kassel aufgebrochen.

Weiterlesen

Am 27. Februar 2018 fand in den Räumlichkeiten der NetKnights GmbH ein Workshop zur 2-Faktor-Authentifizierung statt. IT-Verantwortliche aus verschiedensten Branchen hatten den ganzen Tag Gelegenheit, ihre Fragen zu stellen, Anwendungsszenarien zu klären und privacyIDEA im Detail kennenzulernen.

(mehr …)

Auch in diesem Jahr ist NetKnights als Sponsor auf den Chemnitzer Linuxtagen am 10. und 11. März 2018 vertreten. Die Messe ist mit über 2000 Besuchern, 7 parallelen Tracks, 100 Vorträgen und Workshops das größte Linux- und Open-Source-Event in der DACH-Region. Als Referent legt Geschäftsführer Cornelius Kölbel den Fokus auf die Verbindung von Open- und Closed Source und führt in einem Workshop durch die Installation der Mehr-Faktor-Authentifizierungslösung privacyIDEA.

Weiterlesen