privacy-id3a-authentication-system-logo-blog-header

Viele Dienste werden heute als Web-Applikation angeboten. Das können selbstgehostete Systeme wie ownCloud oder Kopano sein oder Cloud-Dienste wie die Google G Suite / Google Apps for Work. Die Anzahl der Dienste, die ein Benutzer für seine tägliche Arbeit verwendet, steigt stetig. So ist der Wunsch nach Single Sign-On verständlich. Der Benutzer meldet sich einmal zentral an und kann dann alle angeschlossenen Dienste nutzen. Die Umsetzung von Single Sign-On wurde bereits in dem Artikel Kurz erklärt: SAML für sichere, komfortable Webzugänge genauer beschrieben.

Doch in allen Fällen, ob es die eigenen ownCloud-Instanz oder Google G Suite ist, meldet sich der Benutzer an einer Web-Applikation, die im Internet verfügbar ist, an. Die Anmeldung ist von überall her erreichbar – aber eben auch für alle – und ist somit für Cracker, Cyberkriminelle und Industriespione ein interessantes Ziel.

Mit der neuen Version der privacyIDEA SAML App können Unternehmen die Sicherheit bei der Single Sign-On Anmeldung entscheidend erhöhen.

Die Ausgangslage

Sie haben entsprechend der einschlägigen Dokumentation bereits UCS als SAML Identity Provider für Ihre Dienste eingerichtet. Derzeit melden sich die Benutzer aber noch ausschließlich mit dem Domänenpasswort an.

Screenshot Zweifaktor-Login privacyIDEAUm die Single Sign-On Anmeldung um einen zweiten Faktor zu erweitern, muss der Administrator zuerst das Zwei-Faktor-Management-System privacyIDEA aus dem Univention App Center installieren. Das kann er auf einem Domänen-Controller oder auf einem normalen Member-Server tun. In einer wachsenden Domäne ist es sinnvoll, privacyIDEA auf einem Member-Server zu installieren. Bei der Installation aus dem App Center wird privacyIDEA bereits so konfiguriert, dass sich der Administrator an der privacyIDEA Management Oberfläche anmelden kann und den Benutzer zum Test bspw. Smartphone-Token für den Google Authenticator ausrollen kann.

privacyIDEA unterstützt eine Reihe weiterer Token-Typen wie OTP-Schlüsselanhänger, OTP-Karten, Yubikeys, SMS oder EMail.

Für Ihre Tests sollten Sie sich hier eine Demo-Subscription für privacyIDEA ausstellen.

Nur einmal authentisieren, aber sicher

Nun kann der Administrator die SSO-Anmeldung um einen zweiten Faktor erweitern. Beim Single Sign-On mit SAML meldet sich der Benutzer auf dem Identity Provider an. Der SAML Identity Provider läuft auf dem UCS Domänencontroller. D.h. der Administrator muss auch die privacyIDEA SAML App aus dem App Center auf dem jeweiligen Domänencontroller installieren.

Auf UCS 4.3 ist nun die privacyIDEA SAML App in der Version 1.7 verfügbar, die wir hier weiter betrachten. Denn in der Version 1.7 kann privacyIDEA nun auch als sogenannter „Auth-Proc-Filter“ eingesetzt werden. Dabei meldet sich der Benutzer wie gewohnt im ersten Schritt mit seinem Domänen-Passwort an, in einem zusätzlichen zweiten Schritt wird er nach seinem zweiten Faktor gefragt. Dieser wird vom den privacyIDEA Server überprüft.

Die Vorteile hierbei sind, dass der jeweilige Dienst, ob es nun Google G Suite, Microsoft Office 365 oder ein selbstgehosteter Dienst ist, weiterhin die SAML Attribute ausschließlich vom LDAP-Modul des UCS Identity Provider erhält. An der Kommunikation zwischen dem Dienst (dem SAML Service Provider) und dem Identity Provider ändert sich nichts. D.h. der Administrator kann sichergehen, dass jeder Dienst, der bereits per SAML Single Sign-On an den UCS angebunden ist, auch weiterhin mit zwei Faktoren nahtlos funktioniert.

Um die Zwei-Faktor-Authentifizierung auf dem Identity Provider zu aktivieren, muss der Administrator lediglich folgende UCR Variablen auf dem Identity Provider setzen:

ucr set privacyidea/saml/enable=authproc
ucr set privacyidea/saml/url=https://your.privacyidea.server/privacyidea

Damit wird Zwei-Faktor-Authentisierung mit „Auth-Proc-Filter“ aktiviert und die Authentifizierung mit dem zweiten Faktor erfolgt gegen den im Netzwerk befindlichen privacyIDEA-Server „your.privacyidea.server“.

Ausblick

Eine Organisation hat somit die volle Kontrolle darüber, dass sich Benutzer immer sicher an öffentlich verfügbaren Diensten anmelden. Weiterhin bietet die zentrale Verwaltung der zweiten Faktoren noch weitere Vorteile. Diese können ebenso leicht für die Anmeldung an VPN, SSH-Server oder Desktop-Clients genutzt werden. Den Möglichkeiten, die Anmeldesicherheit nachhaltig zu erhöhen, sind hier nahezu keine Grenzen gesetzt.

Jetzt privacyIDEA als Univention App sofort nutzen

Cornelius Kölbel

Cornelius Kölbel kann auf über 20 Jahre Erfahrung in der IT zugreifen. Seit 2003 liegt sein Schwerpunkt in der IT-Security. Seine ausgesprochene Expertise weist er in den Bereichen Content-Security, Verschlüsselung und starke Authentisierung auf. Er wirkte als Leiter des Produktmanagements federführend an der Entwicklung des Authentisierungsproduktes LinOTP mit und hielt auf vielen Messen und Veranstaltungen Vorträge über starke Authentisierung.
2014 folgte er dem Ruf seines Herzens und gründete die NetKnights GmbH.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.