2-Faktor-Authentifizierung an der Freien Universität Berlin. Steffen Hofmann, Paul Mainz Freie Universität Berlin

Transkript

1 2-Faktor-Authentifizierung an der Freien Universität Berlin Steffen Hofmann, Paul Mainz Freie Universität Berlin DFN Betriebstagung, 14. März 2018

2 Outline Anforderungen Übersicht - TAN-Verfahren Technische Umsetzung Organisatorisches Ausblick Verwendung im Shibboleth Identity Provider(3) Shibboleth Workshop FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

3 Anforderungen Absicherung von einzelnen, über Shibboleth authentifizierten Web-Diensten Mehrere TAN-Verfahren zur Auswahl für die Nutzer*innen (itan, vtan, TOTP) Verwaltungsmöglichkeit individueller TAN-Einstellungen für Nutzer*innen Bereitstellung der 2-Faktor-Authentifizierung für alle Mitarbeiter*innen Pilot-Phase mit Ausrollung für begrenzte Benutzer*innen-Gruppen steht an FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

4 Übersicht - TAN-Verfahren itan - Papierliste mit TANs; Standard- und Fallback-Verfahren; immer aktiv vtan - TAN über unser VoIP-Netz auf ein Diensttelefon TOTP - Time-based One-time Password, generiert z.b. durch eine App auf einem Mobilgerät FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

5 Technische Umsetzung FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

6 Organisatorisches Verteilung von itan-listen ist wichtige und schwierige Aufgabe: initiale Verteilung via dezentraler Ausgabestellen Erstellung durch die Nutzer*innen selber unter Verwendung einer TAN ist kein Verfahren verfügbar -> Ausgabestelle FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

7 Ausblick Sicherung von nicht Web-Diensten (z.b. VPN) Ausrollung für Studierende Mitarbeiter*innenkarte als 2. Faktor FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

8 Authentication Context Classes in SAML2 Standard: saml-authn-context-2.0-os.pdf Hierarchie von Klassen häufig: urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport Service Provider kann benötigte Klasse festlegen z.b../shibboleth.sso/login?authncontextclassref=urn:de:fuberlin:fudis:saml:2.0:ac:classes:2fa Vergleichsregel kann auch angegeben werden z.b../shibboleth.sso/login?authncontextcomparison=minimum Werte: exact, minimum, maximum, better default: exact Hierarchie nicht immer eindeutig festlegbar FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

9 Authentication Context Classes als Principals Authentication Context Classes werden als Principals im IdP realisiert Festlegung pro Authentifizierungsverfahren in ${idp.home}/conf/authn/general-authn.xml sind mehrere Authentifizierungsverfahren passend, wird erstes aus der Liste in general-authn.xml verwendet Authentication Context Classes nach erfolgreicher Authentifizierung im AuthenticationResult im Subject mit enthalten FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

10 Authentication Context Classes als Principals, Teil 2 FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

11 Multi Factor Authentication (MFA) MultiFactorAuthnConfiguration sehr mächtig, sehr viel Variabilität, aber auch viel Fehlerpotential supportedprincipals in general-authn.xml legt nur fest, ob MFA für angeforderte Authentication Context Class zuständig ist Ergebnisse der durch MFA angesprochenen authn-flows werden am Ende verbunden ist Authentication Context Class nicht im Gesamtergebnis enthalten, kommt es zum Fehler besondere Sorgfalt auch bei Post-Login Subject Canonicalization idp.authn.flows.initial ist deprecated, komplette Konfiguration über ${idp.home}/conf/authn/mfa-authn-config.xml FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

12 Beispiel mfa-authn-config.xml... alles weitere im Shibboleth Workshop FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

13 Shibboleth Workshop Datum: 22. und Ort: Seminaris CampusHotel Berlin zwei volle Tage von jeweils 9 bis 18 Uhr für Fortgeschrittene Themen Konfiguration und Implementierung eigener authn-flows Konfiguration MFA Realisierung verschiedener Realms/Scopes es wird ein eigenes Notebook benötigt Preis:??? Anmeldung demnächst über Weiterbildungszentrum der Freien Universität Berlin Anzahl Teilnehmer: mindestens 20 ein Beginners-Workshop kann auch parallel bei mindestens 15 Teilnehmern angeboten werden FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN

14 Fragen...?! Vielen Dank fürs Zuhören und Diskutieren! FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN