Das Release von Version 4.4-5 von Univention Corporate Server (UCS) bringt eine Reihe technischer Neuerungen für das Single Sign-on von Benutzer*innen an auf UCS angebundene Applikationen. Ebenfalls neue Funktionen gibt es beim UCS Self Service. Nutzer*innen können sich über den User Self Service nun auch selbst an einer UCS-Domäne registrieren und ein Benutzerkonto anlegen, einen Benutzernamen und Passwort vergeben und weitere Informationen hinterlegen. Performance Verbesserungen im LDAP-Verzeichnisdienst haben dazu geführt, dass die Replikation von Gruppen beschleunigt wurde. Und als Vorbereitung für UCS 5.0, das Ende dieses Jahres veröffentlicht werden soll, hat unsere Entwicklungsabteilung in über 45 Paketen von UCS die Kompatibilität auf Python 3 hergestellt, sodass beim Upgrade auf UCS 5.0 die entsprechenden Codeteile in UCS sowohl für Python 2 als auch Python 3 ausgeführt werden. Außerdem haben wir ein Preview auf das neue Portal von UCS 5.0 als App im App Center für Tester veröffentlicht, das bereits wichtige technische, neue Funktionalitäten wie die Einbettung von Apps direkt in die Portalseite mitbringt.
Single Sign-on via SAML für komplette Gruppen einrichten
Systemadministratoren können in UCS für Anwendungen, die Single Sign-on via SAML unterstützen, die Nutzungsberechtigung nun auch an komplette Gruppen vergeben. Dadurch wird die Verwaltung von Benutzerzugängen für Organisationen erheblich vereinfacht, die viele Benutzer*innen mit unterschiedlichen Aufgaben und Berechtigungen für die Nutzung von IT-Services haben. Mehr zu diesem Thema lesen Sie im Blogartikel Single-Sign-on-Anmeldung für Applikationen auch für Gruppen anlegen.
Für die Single Sign-on Anbindung an das Identity Management von Apps oder externen Diensten via SAML besteht jetzt außerdem die Möglichkeit, die im LDAP-Verzeichnisdienst an Benutzern hinterlegten Attribute auf die erwarteten Attributnamen pro Anwendung bzw. Dienst über ein konfigurierbares Mapping abzubilden. So kann beispielsweise der LDAP-Attributname für E-Mail-Adressen „mailPrimaryAddress“, auf den von einer Anwendung erwarteten Attributnamen „email“ gemapped werden. Damit ist es möglich, mehr Dienste via SAML an UCS anzubinden, die einen fest vorgegebenen Satz an Benutzerattributen für die Anmeldung via Single Sign-on erwarten.
Neuer OpenID Connect Provider integriert die Authentifizierung von OpenID Connect und SAML
Aber nicht nur für das Single Sign-on mit SAML gibt es Neuerungen. Im Univention App Center steht seit Kurzem eine aktualisierte Version der OpenID Connect Provider App zur Integration in UCS bereit, die SAML auch als Authentifizierungsbackend für OpenID Connect unterstützt. Nutzer*innen, die per Single Sign-on via SAML an UCS angemeldet sind, können damit auch Applikationen ohne erneute Anmeldung verwenden, die zur Authentifizierung die Technologie OpenID Connect nutzen. Egal welcher der beiden Standards – SAML oder OpenID Connect – durch eine Applikation für die Benutzerauthentifizierung genutzt wird, funktioniert Single Sign-on somit nun standardübergreifend in UCS. Mehr dazu im Artikel: Zwei Standards, aber ein gemeinsames Single Sign-on: Integration von SAML und OpenID Connect.