Beiträge

,

NetKnights kombiniert Single Sign-on mit Zwei-Faktor-Authentifizierung

Einfache und sichere Anmeldung am Firmennetz, Webseite oder Kundenportal

Kassel, 11. Februar 2016. Sich auf komfortable, aber dennoch sichere Weise an einem PC, dem Unternehmensnetz oder einem Web-Portal anmelden zu können, ist ein Wunsch vieler IT-Nutzer und vieler IT-Verantwortlicher. Die NetKnights GmbH aus Kassel hat eine Lösung entwickelt, die diese Anforderung erfüllt. Sie kombiniert ein Single Sign-on-Verfahren (SSO) mit Zwei-Faktor-Authentifizierung. Single Sign-on macht die sichere Anmeldung einfacher, weil sich ein Nutzer nur einmal authentisieren muss, um auf unterschiedliche IT-Systeme oder Anwendungen zuzugreifen. Zwei-Faktor-Authentifizierung macht diese einmalige Anmeldung erheblich sicherer, da der Benutzer für die Authentifizierung eben einen zweiten Faktor – meist einen Besitz – vorweisen muss.

SSO mittels SAML

Ein Bestandteil der Lösung von NetKnights ist die aktuelle Version 2.10 von privacyIDEA in Verbindung mit dem privacyIDEA SAML-Plugin (Security Assertion Markup Language). privacyIDEA ist eine modulare Lösung für die Zwei-Faktor-Authentifizierung. Sie unterstützt nicht nur klassische OTP-Token (Einmal-Passwort) und Yubikeys, sondern auch SSH-Schlüssel, X.509-Zertifikate und U2F-Token (Universal Second Factor), etwa den Yubikey U2F oder Nitrokey U2F.

U2F-Token im Unternehmen und privat nutzen

Ein Vorteil von U2F-Token ist, dass ein Nutzer sie sowohl im Unternehmen als auch privat einsetzen kann. Somit kann er sich an IT-Systemen oder Online-Diensten anmelden. Diese doppelte Nutzung macht es Unternehmen leichter, ihre Mitarbeiter zu motivieren, solche Token zu verwenden.
Der U2F-Token wird in privacyIDEA für einen bestimmten Nutzer registriert. Weiterhin kann der User den Token auch bei anderen Diensten registrieren. Bei der Single Sign-on-Anmeldung steckt der Nutzer den registrierten U2F-Token einen USB-Port seines Rechners oder Tablets – fertig. Anschließend kann er sich mit diesem zweiten Faktor an Portalen anmelden oder über ein virtuelles privates Netz (VPN) auf das Firmennetzwerk zugreifen.

Details zu privacyIDEA

privacyIDEA lässt sich dank der modulare Struktur auf einfache Weise anpassen und um neue Typen von Token erweitern. Eine einfache REST-Schnittstelle ermöglicht es zudem, die Lösung ohne hohen Aufwand in bestehende Arbeitsabläufe einzubinden. Dadurch eignet sich privacyIDEA auch für heterogene und große Installationen, beispielsweise in Universitäten, Krankenhäusern und bei Service Providern.
privacyIDEA ist Open Source und ermöglicht es somit Unternehmen, die Software leicht zu auditieren und sich von der ordnungsgemäßen Funktion zu überzeugen.

Einsatzszenarien

privacyIDEA lässt sich auf beliebigen Linux-Distributionen installieren. Auch auf dem Univention Corporate Server (UCS) von Univention ist privacyIDEA im App Center vertreten. Daher kann die Lösung von NetKnights in einer Univention-Domäne in vielen Bereichen die Anmeldung um einen zweiten Faktor erweitern und das Sicherheitsniveau deutlich erhöhen. In diesem Fall wird das Single Sign-on am SAML-Identity-Provider durchgeführt, der auch im UCS zum Einsatz kommt.

privacyIDEA kommt für eine große Zahl von Anwendungsfällen in Betracht. Außendienstmitarbeiter können beispielsweise mithilfe der Lösung auf sichere Weise von unterwegs aus über ein VPN auf vertrauliche Informationen im Unternehmensnetz zugreifen. Kommt ihnen ihr Notebook oder das Passwort für das VPN abhanden, hat ein Angreifer dank der Zwei-Faktor-Authentifizierung dennoch keine Möglichkeit, sich Zugang zum Unternehmensnetzwerk zu verschaffen.

Auch der Zugriff auf Arbeitsplatzrechner und mobile Systeme lässt sich mit privacyIDEA absichern. Weiterhin kann die Lösung verschiedene Portale wirkungsvoll schützen. Beispiele dafür sind Kundenportale, Börsenhandelsplätze und Web-Portale, über die vertrauliche Informationen wie medizinische Daten eingegeben werden.

Web-Cast zu privacyIDEA und Single Sign-on

Am 19.02.2016 wird um 10 Uhr zu diesem Thema ein Webcast angeboten: „SSO und Zwei-Faktor-Authentifizierung auf dem Univention Corporate Server mittels privacyIDEA“. Über den Link können Sie sich für diesen Webcast registrieren.

Über NetKnights GmbH

Die NetKnights GmbH ist ein unabhängiges IT-Security-Unternehmen und ein Anbieter von Dienstleistungen und Produkten aus den Bereichen starke Authentisierung, Identitätsmanagement und Verschlüsselung. Gegründet wurde NetKnights im Mai 2014 in Kassel. Mit privacyIDEA hat NetKnights eine modulare Lösung für die Zweifaktor-Authentisierung entwickelt, die sich auf einfache Weise in bestehende IT-Infrastrukturen integrieren lässt. Für den Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH unterschiedliche Support-Stufen an.
Weitere Informationen unter www.netknights.it.

Pressekontakt

punktgenau PR
Christiane Schlayer
Fon +49 (0)911 9644332
Mobil +49 (0)179 5053522
christiane.schlayer@punktgenau-pr.de
www.punktgenau-pr.de

Kontakt zu Netknights

Netknights GmbH
Cornelius Kölbel
Mobil +49 (0)151 29601417
cornelius.koelbel@netknights.it
www.netknights.it

,

Webcast zu Single Sign On mit Zwei-Faktor Authentisierung

Single Sign On

In einem Webcast am Freitag zeigt Cornelius Kölbel, wie Single Sign On mit Zwei-Faktor-Authentifizierung auf dem Univention Corporate Server privacyIDEA-200pxumgesetzt werden kann. privacyIDEA bindet sich dabei an den SAML Identity Provider des Univention Corporate Servers an. Nun können sich Mitarbeiter gegen SAML mit einem bestehenden zweiten Faktor authentisieren, der von privacyIDEA verwaltet werden kann.

Der Zweite Faktor

Der zweite Faktor kann, wie bei privacyIDEA üblich ein normaler OTP-Token, ein Yubikey oder eine Smartdisplayer OTP-Karte sein. Es werden aber ebenso Challenge Response Mechanismen wie der Versand per Email oder SMS unterstützt. Interessant ist vor allem die Nutzung eines U2F-Tokens. Denn Mitarbeiter können ein und denselben U2F-Token sowohl bei privacyIDEA für den Single Sign On aber ebenso bei jedem anderen Webdienst (wie Google oder Github) registrieren. So kann ein Unternehmen die Akzeptanz für den zweiten Faktor bei den Mitarbeitern nachhaltig steigern.

Webcast

Melden Sie sich noch heute zu diesem spannenten Webcast am Freitag 19.02.2016 um 10 Uhr an.

privacyIDEA 2.8 mit SSO und U2F

One key to rule them all...

One key to rule them all…

privacyIDEA 2.8 ist nun erschienen. Der Schwerpunkt liegt auf U2F und SAML.

Features

U2F Authentifizierung an anderen Webseiten und Diensten

privacyIDEA wurde im Bereich U2F nachhaltig erweitert. Es unterstützt nun die „Trusted Facets“. D.h. mit einem U2F Gerät, das man bei privacyIDEA zentral registriert hat, kann man sich an beliebigen Hosts im Netzwerk authentisieren.

U2F und Single Sign On

Das simpleSAMLphp Plugin wurde erweitert, so dass es nun auch U2F unterstützt. Somit kann man nun den U2F Token zentral bei privacyIDEA registrieren und sich dann an simpleSAMLphp anmelden, um für alle angeschlossenen Dienste ein Single Sign On zu erreichen.

Außerdem wurde das simpleSAMLphp Plugin um die Unterstützung für Challenge-Response-Token erweitert. Somit können nun auch SMS und Email, aber auch HOTP und TOTP im Challenge Response Mode verwendet werden.

Web UI Theme

Nun können eigene CSS definiert werden, um das Look and Feel des Web UI anzupassen. Dabei gehen diese Änderungen nach einem Update nicht mehr verloren.

Anmeldung mit HTTP Basic Authentication

Benutzer können sich nun mit Basic Authentication bzw. REMOTE_USER an dem Web UI anmelden. Somit lassen sich alle Apache Auth Plugins verwenden. Mit Hilfe des Shibboleth Plugins kann am WebUI auch SSO umgesetzt werden.

Fuzzy Authentication

Nachdem die Fuzzy Logic schon vor Jahren bei den Waschmaschinen Einzug gehalten hat, startet privacyIDEA mit den ersten Umsetzungen für Fuzzy Authentication. Die Idee ist dabei, die Authentifizierung von weiteren, eher weichen Faktoren abhängig zu machen.

In der Version 2.8 gibt es drei neue Richtlinien, die in diese Richtung gehen: auth_max_success, auth_max_fail und last_auth.

Mit auth_max_fail lässt sich bspw. festlegen, wieviele fehlerhafte Anmeldeversuche innerhalb eines Zeitraums erlaubt sind. Werden bspw. 3 fehlerhafte Anmeldeversuche in 5 Minuten erlaubt, so wird ein vierter Anmeldeversuch innerhalb der 5 Minuten nicht gelingen, selbst wenn die richtigen Credentials geschickt werden. Dies erhöht den Schutz vor Brute-Force-Angriffen.

Mit last_auth lässt sich verhindern, dass brachliegende Accounts oder Token missbraucht werden können. Wenn bspw. ein Token länger als ein definierter Zeitraum nicht mehr benutzt worden ist, so kann dieses Gerät für die Anmeldung nicht mehr verwendet werden.

In großen Installation kann es vorkommen, dass nicht ersichtlich ist, welcher Benutzer mit welchen Token noch aktiv ist oder aus der Organisation ausgeschieden. Dies führt zu Authentisierungsdevices, die technisch noch eine Anmeldung ermöglichen würden, aber eben vom Benutzer wahrscheinlich nicht mehr kontrolliert werden.

Erweiterungen

  • Die „Mangle“ Richtlinien lassen sich nun auch auf SSH Keys anwenden.
  • Das ownCloud Plugin wurde um die Unterstützung für Realms erweitert.
  • Der SQL Resolver unterstützt nun Drupal Passwörter.
  • Beim Rollout eines Tokens kann direkt der Gültigkeitszeitraum  angegeben werden.
  • Der Token-Typ, der zum Rollout in dem Web UI vorbelegt ist, kann festgelegt werden.
  • Der LDAP Resolver unterstützt nun LDAP Scope.

Fehlerbehebungen

  •  Failcounter Reset bei Challenge Response Token.
  • Die irreführenden Fehlermeldungen über existierende Tabellenspalten bei der Installation wurden beseitigt.
  • Das inkonsistente Verhalten der TLS Checkbox bei den Email-Token-Settings wurde korrigiert.
  • Der fehlerhafte Test in den Token-Details der TOTP Token wurde korrigiert.
  • Das Laden der SMS-Token-Settings wurde korrigiert.

privacyIDEA kann von den üblichen Quellen bezogen werden.

Bei Fragen, wie Sie ein modernes Zwei-Faktor-Authentifizierungs-System in Ihrem Netzwerk einbinden können, sprechen Sie uns einfach an.

,

Mehr-Faktor-Authentisierung am Univention Corporate Server mit privacyIDEA und SAML

privacyIDEA arbeitet hervoragend mit dem Univention Corporate Server zusammen. In einem Gastbeitrag im Univention-Blog beschreibt Cornelius Kölbel, wie Zwei-Faktor-Authentisierung auch die Sicherheit von SSO nachhaltig erhöht.