Mit der Integration von Kopano Konnect in den Single-Sign-on-Verbund von Univention Corporate Server steht eine weitere Option zur Verfügung, mit der Nutzern über ein einmaliges, initiales Login mit ihrem Benutzernamen und Passwort Zugriff auf unterschiedlichste Applikationen, die mit UCS integriert werden, zu geben.
Die beiden Authentifizierungsstandards SAML (Security Assertion Markup Language) und OpenID Connect stehen schon länger für die Authentifizierung von Nutzern an UCS zur Verfügung. Bisher hat es sich bei den beiden Technologien aber um voneinander getrennte Welten gehandelt. Wenn ein Teil der Web-Dienste SAML und ein anderer Teil OpenID Connect für die Authentifizierung gegen das Identity Management von UCS nutzt, war es notwendig, dass sich Anwender in Umgebungen mit mehreren Diensten zweimal einloggen. Mit Unterstützung des Teams von Kopano konnten wir eine Erweiterung der App „OpenID Connect IDP“ im App Center veröffentlichen, die die beiden Standards miteinander integriert und so ein einziger Authentifkations-Vorgang durch die Endanwender ausreichend ist.
Ich möchte Ihnen kurz erklären, wie ein Single Sign-on grundsätzlich mit UCS funktioniert. Anschließend erkläre ich Ihnen das Zusammenspiel von Kerberos, SAML und OpenID Connect und zeige, welche Funktionen die neue Implementierung von Kopano Konnect für UCS-Nutzer mitbringt.
Was bedeutet „Single Sign-on“
Bei einem Single Sign-on meldet sich der oder die Anwender*in beispielsweise am Desktop-Rechner in der Domäne an und kann anschließend direkt auch auf andere Dienste wie Datei- und Druckserver zugreifen. Die Anwender*innen muss sich also nur einmalig gegenüber einer Entität (Server) authentifizieren (z. B. durch Passworteingabe oder andere Faktoren) und der SSO-Mechanismus übernimmt anschließend transparent im Hintergrund die Authentifizierung gegenüber weiteren Diensten.
In der Regel bekommt der oder die Anwender*in nach der erfolgten Authentifizierung ein als Ticket, Token oder Cookie bezeichnetes Datenpaket, das für eine begrenzte Dauer („Session“) als Zugangsschlüssel für die Authentifizierung an den weiteren Diensten dient. Der SSO-Mechanismus speichert den Zugangsschlüssel und stellt sicher, dass der Schlüssel zum richtigen Zeitpunkt vorgelegt wird. Die Nutzer*innen müssen so ihren Benutzernamen und ihr Passwort nur einmal eingeben.
SAML und OpenID – Single Sign-on dezentral und webbasiert
OpenID und SAML sind dezentrale, webbasierte Single-Sign-on-Systeme, bei denen sich die Anwender*innen bei einem Identity Provider (IDP) authentifiziert haben müssen, um anschließend auf die angebundenen Dienste – sogenannten Service Provider (SP) – wie z. B. Websites zugreifen zu können.
Am Authentifizierungsdienst erhält der Browser der Anwender*in einen zeitlich befristet gültigen Session-Cookie, mit dem er oder sie Zugriff auf die integrierten internen und externen Dienste erhält. Die Absicherung erfolgt dabei über die Signatur des Session-Cookies, die auf vorher zwischen IDP und SP ausgetauschten Schlüsseln bzw. Zertifikaten basiert.
Kerberos – netzwerkbasiertes Single-Sign-on-Protokoll
Kerberos wiederum ist ein Single-Sign-on-Protokoll, das darauf ausgelegt ist, dass die beteiligten Systeme im gleichen Netzwerk verbunden sind. Ein Client authentifiziert sich beim Kerberos-Server und erhält ein Ticket (TGT – Ticket Granting Ticket). Mit diesem Ticket können anschließend weitere Tickets für verschiedene Dienste abgerufen werden.