Ein Security Token Service (STS) ist ein

Größe: px
Ab Seite anzeigen:

Download "Ein Security Token Service (STS) ist ein"

Transkript

1 Security Token Services mit dem Geneva-Framework implementieren Bitte ein Security-Token Das Geneva-Framework vereinfacht die Implementierung eines Security Token Service. Es unterstützt Protokolle wie WS-Federation und WS-Trust und bietet eine nahtlose Integration in ASP.NET und WCF. dotnetpro gibt hier eine Übersicht über die Architektur des Frameworks. Ein Leitfaden hilft bei sicherheitsrelevanten Entscheidungen. Auf einen Blick Dominick Baier ist unabhängiger Sicherheitsberater bei thinktecture. Er unterstützt Unternehmen beim Entwickeln von sicheren verteilten Anwendungen, Code Reviews und Content Development. Er leitet Trainings bei DevelopMentor und ist Developer Security Microsoft MVP. Seinen Blog finden Sie unter Inhalt Die Architektur der Geneva Security Token Services kennenlernen. Sicherheitsrelevante Entscheidungen überlegt treffen. Security Token Services in ASP.NET und WCF integrieren. Grundlagen Geneva-Grundlagen, QdnpCodeA0905STS Claimbasierte Anwendungen erstellen, QdnpCodeA0907Geneva dnpcode A0911Geneva Ein Security Token Service (STS) ist ein Dienst, welcher Security-Token erzeugt. Clients können Security-Token anfordern, um sich danach bei den sogenannten Relying Parties damit zu authentifizieren. Die ersten beiden Teile dieser Artikelserie haben bereits ausführlich die Gesamtarchitektur eines solchen Systems sowie die Verarbeitung von Token in Relying Parties beleuchtet, [1] und [2]. Dieser Artikel konzentriert sich ausschließlich auf das Erstellen von Token sowie die Integration von Token-Services in ASP.NET und WCF. Das Geneva-Projekt [3] bietet grundsätzlich zwei Alternativen für Security Token Services. Zum einen den Geneva-Server, ein IT-Infrastrukturprodukt, das Token für Active-Directory-Benutzer erzeugen kann. Zum anderen bietet das Geneva-Framework die gesamte Basisinfrastruktur zur Erstellung eigener Token-Services. Ehe man den Schritt macht, einen eigenen Token-Service zu implementieren (dies ist immerhin eine zentrale, sicherheitskritische Komponente), sollte man genau prüfen, ob der Geneva-Server oder das Produkt eines Drittanbieters nicht bereits die gewünschten Features bieten. Aufgabe eines Security Token Service ist das Erstellen von Security-Token. Diese Token können wiederum Claims enthalten. Die Teilaufgaben können in folgende logische Phasen unterteilt werden: Authentifizierung des Clients, Auswerten der Token-Anfrage, Erzeugen der Claims, Erzeugen des Tokens, Erzeugen der Antwort auf die Token-Anfrage. Authentifizierung des Clients: Ein STS benutzt ein beliebiges Authentifizierungsprotokoll, um die Identität des Clients sicherzustellen. Als typische Vertreter wären hier HTTP-basierte Authentifizierung, Kerberos oder WS-Security zu nennen. Das Ergebnis der Authentifizierung ist eine eindeutige Benutzerkennung, die in den nachfolgenden Phasen für die Erzeugung von Claims und für sicherheitsrelevante Entscheidungen verwendet wird. Auswerten der Token-Anfrage: Die weitaus komplexeste Aufgabe eines Identity-Providers ist die Auswertung der Token-Anfrage. Je nach verwendetem Protokoll kann diese Anfrage mehr oder weniger Detailinformationen über das gewünschte Token beinhalten. Zum einen kann der RST (RequestSecurityToken) technische Details enthalten, zum Beispiel Token-Typ (beispielsweise SAML 1.1 oder SAML 2.0), Schlüsseltypen (symmetrisch oder asymmetrisch), Schlüssellängen. Weiterhin kann der RST auch die ID einer Information Card oder eine Liste erforderlicher und optionaler Claims übermitteln. Im Zusammenspiel mit allen anderen Parametern muss der Security Token Service dann entscheiden, ob diese Anfrage zulässig ist. Einer der wichtigsten Phasen bei der Auswertung der Anfrage ist das Ermitteln der Relying Party, für welche das Token bestimmt ist. Dabei muss der STS grundlegende Entscheidungen treffen: Sind beliebige oder lediglich registrierte Relying Parties zugelassen? Werden anonyme Relying Parties unterstützt? Werden Sicherheitsschlüssel im Voraus ausgehandelt? Wird die Verwendung von SSL beziehungsweise Verschlüsselung von Token erzwungen? WS-Trust erlaubt es zum Beispiel, die Relying Party über ein Zertifikat zu authentifizieren, während WS-Federation typischerweise nur eine Zeichenkette als Identifier verwendet. Hier muss je nach dem vorliegenden Sicherheitsbedürfnis eine entsprechende Richtlinie etabliert werden. Erzeugen der Claims: In dieser (optionalen) Phase werden Claims, welche den Benutzer beschreiben, erzeugt, um später in das Token eingebettet zu werden. Bei der Erzeugung von Claims kommen typische Muster zum Einsatz: fester Satz von Claims, unabhängig von Benutzer und Relying Party, Erzeugung von Claims in Abhängigkeit von der Relying-Party-Identität, Erzeugung von Claims, basierend auf der Liste der gewünschten Claims im RST

2 Erzeugen des Tokens: In dieser Phase werden die Claims sowie etwaige Schlüssel in ein Token verpackt. Verschiedene Faktoren spielen hier eine Rolle: Der angefragte Token-Typ muss von dem Identity-Provider und dem verwendeten Protokoll unterstützt werden. Im Fall von SAML-Token wird der Relying Party Identifier als Audience-URI eingebettet. Damit kann die Relying Party überprüfen, ob das Token auch wirklich für sie bestimmt ist. Token werden typischerweise verschlüsselt. Dadurch wird erreicht, dass das Token, unabhängig vom benutzten Transportmedium, vor Einsicht geschützt ist. Zudem können nur Empfänger mit dem entsprechenden Schlüsselmaterial das Token wieder entschlüsseln. Zuletzt wird das Token vom STS digital signiert. Das gewährleistet die Integrität und erlaubt der Relying Party, den Herausgeber des Tokens zu authentifizieren. Erzeugen der Token-Antwort (RSTR): Das Token wird in dieser Phase in eine Token- Antwortnachricht verpackt und an den Client zurückgesandt. Abhängig vom verwendeten Protokoll geschieht das über eine SOAP-Nachricht oder über einen reinen HTTP-POST-Aufruf. Architektur Security-Token können über diverse Protokolle angefragt (etwa WS-Federation oder WS-Trust) und in verschiedenen Formaten ausgeliefert werden (zum Beispiel SAML 1.1/2.0). Das Geneva-Framework hat den Anspruch, eine Basisarchitektur für Security Token Services bereitzustellen, die von diesen technischen Details abgekoppelt ist. Die Geneva-STS-Infrastruktur besteht aus einer Handvoll erweiterbarer Klassen, die von der Bearbeitung einer Token-Anfrage und der damit verbundenen Erzeugung eines Tokens abstrahieren. Diese Infrastruktur ist hostunabhängig und wird über öffentliche Erweiterungspunkte in einen konkreten Host eingebunden werden.von Haus aus liefert Geneva eine vorgefertigte Integration für ASP.NET und WCF. Abbildung 1 gibt eine Übersicht über die involvierten Klassen und ihre Beziehung untereinander. Im Nachfolgenden wird die Aufgabe der Klassen genauer untersucht. Generell ist zu sagen, dass das gesamte Geneva-Framework auf Erweiterbarkeit hin entworfen wurde. Alle angesprochenen Komponenten sind öffentliche Klassen mit Erweiterungspunkten. Dies macht das Framework [Abb. 1] Die Architektur der Geneva Security Token Services. sehr flexibel. Die Klasse SecurityTokenServiceConfiguration beschreibt alle konfigurierbaren Aspekte des STS, zum Beispiel: Herausgeber-URI, Standard-Signaturzertifikat, Standard- und unterstützte Token-Typen, Standard- und Maximallebensdauer von Token, Standard- und Maximal-Schlüssellängen, die STS-Implementierung. Über die Konfigurationsklasse kann der STS über die statische Methode CreateSecurityTokenService() erzeugt und konfiguriert werden. Die Konfiguration kann sowohl pur in Code als auch auf Basis einer XML-Konfigurationsdatei erzeugt werden. Die Klasse RequestSecurityToken abstrahiert eine Token-Anfrage. Diese Klasse ist bewusst protokollunabhängig gehalten, erlaubt aber direkten Zugriff auf die üblichen WS-Trust-/WS-Federation- sowie Identity- Metasystem-Spezifika, zum Beispiel: AppliesTo/Realm Adresse, RepliesTo-Adresse, Context, AuthenticationType, Token-Typ, Lebensdauer, Verschlüsselungs- und Signaturalgorithmen, Schlüsselarten und -größen, Claims-Anforderungen, Information Card ID, Clientpseudonym, Display-Token. Über Erweiterungspunkte lassen sich auch zukünftige Protokollanforderungen realisieren. Der Benutzer, der die Token-Anfrage initiiert hat, wird über ein Standard-IClaims- Principal modelliert. Diese Identität wird vom STS verwendet, um sicherheitsrelevante Entscheidungen zu treffen und um Claims zu erzeugen. Die Antwort auf eine Token-Anfrage ist in der Klasse RequestSecurityToken94Response abgebildet. Auch hier ist der direkte Zugriff auf die WS-Trust- und WS-Federation-Eigenschaften erlaubt, zum Beispiel: Security-Token, Proof-Token, Display-Token, Token-Referenzen. Die Klasse SecurityTokenService hat die Aufgabe, die Token-Anfrage in eine Token- Antwort umzuwandeln. Dazu existiert eine erweiterbare Verarbeitungspipeline, die es erlaubt, die involvierten Teilschritte für die eigenen Bedürfnisse anzupassen. Diese Klasse wird genauer im Abschnitt über die Token-Erzeugung untersucht. Ein SecurityTokenDescriptor ist eine technologieunabhängige Beschreibung eines Security-Tokens. Der Descriptor wird vom STS erzeugt und an einen SecurityToken- Handler weitergegeben, welcher dann letztendlich einen konkreten Security-Token erzeugt. Security Token Services verwenden SecurityTokenHandler, um Security-Token zu erzeugen. Diese werden vom STS in die Token-Antwort eingebettet. SecurityToken ist die Abbildung eines Security-Tokens im.net Framework. Geneva sowie.net selbst stellen diverse Bibliotheken zur Verfügung, um die Token in diverse Kabelrepräsentierungen zu serialisieren beziehungsweise zu deserialisieren

3 _Security Token Services mit dem Geneva-Framework implementieren [Abb. 2] STS-Integration in ASP.NET. [Abb. 3] STS-Integration in WCF. Der Host Integration Layer besteht aus Modulen und Erweiterungen für ASP.NET und WCF. Hier werden die hostingspezifischen Anfragen in das RST/RSTR-Format umgewandelt. Der Host bedient Clientanfragen und kann eine beliebige.net-anwendung sein. Token-Erzeugung Die benutzerdefinierte Logik in einem STS ist hauptsächlich in der Klasse SecurityTokenService enthalten. Diese Klasse verfügt über vier Einstiegspunkte, die die typischen Token-Anfrage-Operationen abbilden: Issue, Ausstellen eines Tokens, Renew, Verlängern eines bestehenden Tokens, Validate, Überprüfen eines Tokens, Cancel, Invalidieren eines Tokens. Für den häufigsten Fall (Issue) bietet SecurityTokenService eine vorgefertigte Pipeline, die an diversen Stellen durch eigene Logik angepasst werden kann, siehe [4] für eine ausführliche Beschreibung der Pipeline. Zwei Methoden dieser Basisklasse sind abstrakt und müssen implementiert werden. Die Aufgabe der Methode GetScope() ist es, den Request zu analysieren und, darauf basierend, ergänzende Werte wie Adressen und Schlüsselmaterial zu ermitteln. Hierfür verwendet man das RequestSecurity-Token, das in diese Methode reingereicht wird. Typische Aufgaben, die hier erledigt werden müssen, sind: Analysieren der Relying-Party-Identität. DiesenWert finden Sie auf der AppliesTo- Eigenschaft. Sie beinhaltet die Adresse sowie eventuell einen zu verwendenden Schlüssel. Es hängt von den Richtlinien für den STS ab, welche Kombination von Werten hier zulässig ist. Ermitteln von Schlüsselmaterial. Falls das resultierendetoken verschlüsselt werden soll, muss der entsprechende Schlüssel ermittelt werden. Dies geschieht entweder auf Basis einer Konfigurationseinstellung oder mithilfe des vom Client beigelegten Schlüssels. Welche Methode hier zulässig ist, entscheiden die Richtlinien für diesen STS. Protokollspezifische Arbeit. Darunter könnte das Prüfen einer übermittelten Information-Card-ID fallen oder das Setzen derws-federation-replyto-adresse. In der Methode GetOutputClaimsIdentity() wird eine IClaimsIdentity erzeugt, die die Identitätsinformationen im resultierenden Token repräsentiert. Hier muss die Entscheidung getroffen werden, wie die Benutzeridentität modelliert wird und welche Claims erzeugt werden. Dies hängt typischerweise von der Benutzer- und Relying-Party-Identität ab sowie von eventuell vorhandenen Claims-Anforderungen in der Anfrage. Die Aufgabe des Hosts ist es, physikalische Token-Anfragen entgegenzunehmen und diese in das technologieunabhängige RST/RSTR-Format zu konvertieren. Das kann zwar prinzipiell von beliebigen Hosts durchgeführt werden, das Geneva-Framework bietet aber von Haus aus eine direkte Unterstützung für ASP.NET und WCF. Die Details der Integration für die beiden Umgebungen sind sehr unterschiedlich und werden im folgenden Abschnitt genauer untersucht. ASP.NET ASP.NET-basierende Security Token Services bieten sich für passive Token-Anfragen, etwa WS-Federation, an. Hierbei wird der Token-Service in einem normalen ASP.NET- Handler, beispielsweise in einer normalen Webform, gehostet. Als Authentifizierungsmechanismus kommen ASP.NET-Bordmittel zum Einsatz (Windows Integrated, Clientzertifikate, Forms-basiert). Eine Standard- Token-Service-Host-Implementierung findet man im FederatedPassiveTokenService-Webcontrol, das auf einer Seite eingebettet werden kann, siehe Abbildung 2. Das Control benötigt den Namen der Klasse, in der die SecurityTokenServiceConfiguration zu finden ist, um den Token-Service zu aktivieren. Das Standardverhalten des Controls ist wie folgt: Auswerten der WS-Federation-Query- String-Parameter in eine SignInRequest- Message-Klasse. Erzeugen eines IClaimsPrincipals auf Basis des aktuellen von ASP.NET erzeugten IPrincipals. Hierzu wird die statische Methode ClaimsPrincipal.CreateFromPrincipal() verwendet. Diese Methode unterstützt die Konvertierung aller ASP.NET- Standard-Principals. Erzeugen von Serializern, um zwischen denws-federation-spezifischen Klassen SignInRequestMessage / SignInResponse- Message und RequestSecurityToken / RequestSecurityTokenResponsezuübersetzen. Erzeugen des Security Token Service anhand der SecurityToken Service Configuration. Aufrufen der Issue-Methode. Konvertieren des RSTR in eine SignInResponseMessage

4 Rendern der SignInResponseMessage in ein WS-Federation-POST-Formular, um die Token-Antwort zur Relying Party zu übertragen. Auch hier gilt wiederum: Alle diese Vorgänge basieren auf öffentlichen APIs und können nach Belieben angepasst werden. WCF Die Integration des Security Token Service in einen WCF-Dienst wird durch einen speziellen WCF-Service durchgeführt, WSTrustServiceContract. Dieser Service implementiert die WS-Trust-1.3- und -Feb2005-Schnittstellen und serialisiert WS-Trust-Anfragen und -Antworten in RequestSecurityToken / RequestSecurityTokenResponse. Dieser Klasse wird bei der Erzeugung eine Instanz der SecurityToken- ServiceConfiguration übergeben, damit die Token-Anfrage durch die STS-Pipeline geleitet werden kann. Das Hosten dieser Klasse wird von einem speziellen WCF-Service-Host durchgeführt dem WSTrustServiceHost. Dieser Host verlangt eine SecurityTokenServiceConfiguration zur Initialisierung und führt sämtliche Konfigurationsschritte durch, um die STS- Implementierung über SOAP/WS-Trust erreichbar zu machen. Im Vergleich zu einem Standard-WCF-Service-Host werden die folgenden zusätzlichen Schritte durchgeführt: Aktivierung der Metadata-Exchange- Endpunkte für alle verfügbaren Basisadressen. Aktivierung der Geneva-Token-Verarbeitungspipeline via FederatedService- Credentials.ConfigureHost(). Weiterhin existiert eine Service Host Factory (WSTrustServiceHostFactory), die für IIS gehostete Umgebungen den WS- TrustServiceHost erzeugt und initialisiert, siehe Abbildung 3. Ein Beispiel Das Geneva-Framework-SDK enthält diverse einfache Beispiele für Security Token Services. Diese sind zu empfehlen, um den Einstieg in die Klassenbibliothek und die Hostingtechniken zu finden. Die typischen Aufgaben eines richtigen Token-Service werden mit diesen Samples allerdings nicht herausgearbeitet. Der letzte Teil dieses Artikels verwendet den thinktecture Starter STS [5], um die Gesamtarchitektur und Coding-Strategien eines Geneva-basierenden Security Token Service zu verdeutlichen. Listing 1 Sicherheitsrichtlinien spezifizieren. <startersts sitename="thinktecture Security Token Service Starter Sample" issueruri="http://sample.thinktecture.com/trust" claimsbaseuri="http://sample.thinktecture.com/claims" requireencryption="false" requiressl="true" allowknownrealmsonly="false" enablemessagewstrust="false" enablemixedwstrust="true" /> Listing 2 Relevantes Schlüsselmaterial definieren. <certificatereferences> <!-- STS signing certificate --> <add name="signingcertificate" findvalue="58 C2" x509findtype="findbythumbprint" storelocation="localmachine" storename="my" /> <!-- encryption certificates for relying parties --> <!-- starter RP encryption certificate --> <add name="https://roadie/starterrp/" findvalue="23 B4" x509findtype="findbythumbprint" storelocation="localmachine" storename="my" /> </certificatereferences> Listing 3 Den Service konfigurieren. public class StarterTokenServiceConfiguration : SecurityTokenServiceConfiguration { public StarterTokenServiceConfiguration() : base(sts.configuration.issueruri, STS.SigningCredentials) { SecurityTokenService = typeof(startertokenservice); Listing 4 Den Token-Service in einer ASP.NET-Seite hosten. Page Title="Issue Token..." Language="C#" %> <form id="form1" runat="server"> <idfx:federatedpassivetokenservice ID="_starterTokenService" runat="server" ServiceConfiguration="StarterTokenServiceConfiguration, App_Code" /> </form> Der Starter STS ist ein einfacher Token- Service für aktive und passive Clients mit Unterstützung fürws-federation,ws-trust, SAML 1.1/2.0 sowie Information Cards. Weiterhin benutzt der STS das ASP.NET- Providermodell (Membership, Roles, Profile) für die Authentifizierung und Claims- Erzeugung. Im Nachfolgenden werden

5 _Security Token Services mit dem Geneva-Framework implementieren Listing 5 WS-Trust-Endpunkte öffnen. public class StarterTokenServiceHostFactory : WSTrustServiceHostFactory { public override ServiceHostBase CreateServiceHost( string constructorstring, Uri[] baseaddresses) { var config = CreateSecurityTokenServiceConfiguration(constructorString); var host = new WSTrustServiceHost(config, baseaddresses); Listing 6 // add and configure a message security endpoint if (STS.Configuration.EnableMessageWSTrust) { host.addserviceendpoint( typeof(iwstrust13synccontract), CreateBinding(SecurityMode.Message), "message"); var credential = new ServiceCredentials(); credential.servicecertificate.certificate = STS.SigningCertificate; host.description.behaviors.add(credential); // add and configure a mixed mode security endpoint if (STS.Configuration.EnableMixedWSTrust) {... return host; Zulässigkeit der Token-Anfrage überprüfen. protected override Scope GetScope( IClaimsPrincipal principal, RequestSecurityToken request) { // analyze RST var options = ScopeOptions.Create(request); // check if realm is allowed if (STS.Configuration.AllowKnownRealmsOnly && (!options.isknownrealm)) { throw new InvalidRequestException("Unknown realm"); // check if token must be encrypted if (STS.Configuration.RequireEncryption && (!options.usesencryption)) { throw new InvalidRequestException("No encryption key available"); // check if SSL is used (for passive only) if (STS.Configuration.RequireSSL &&!options.usesssl) { if (!options.isactive) { throw new InvalidRequestException("SSL is required"); // create scope var scope = new Scope( request.appliesto.uri.absoluteuri, SecurityTokenServiceConfiguration.SigningCredentials); scope.replytoaddress = options.replytoaddress.absoluteuri; if (options.usesencryption) { scope.encryptingcredentials = new X509EncryptingCredentials(options.EncryptingCertificate); return scope; Konfiguration Der Konfigurationsabschnitt für den Starter STS formuliert die Sicherheitsrichtlinie sowie die freigeschalteten Features, siehe Listing 1. Hier wird spezifiziert, ob Relying Parties über SSL mit dem STS kommunizieren müssen (requiressl), ob Token verschlüsselt werden müssen (requireencryption) und ob Relying Parties zuerst explizit registriert werden müssen (allowknownrealmsonly). Weiterhin können hier die aktiven WS-Trust-Endpunkte für Message und Mixed Mode Security aktiviert werden (enablemessagewstrust und enablemixed- WSTrust). Diese Konfiguration wird an diversen Stellen im STS referenziert. Weiterhin existiert einverzeichnis von relevantem Schlüsselmaterial, das für den Betrieb des STS benötigt wird, siehe Listing 2. Hier werden sowohl das Signaturzertifikat als auch Realm-zu-Public-Key-Mappings für das Verschlüsseln von Token eingetragen. Weiterhin muss eine Klasse existieren, die von SecurityTokenServiceConfiguration ableitet. Diese wird verwendet, um die Token-Erzeugungslogik aus ASP.NET und WCF aufzurufen. Im Minimum werden hier der Issuer-URI, das Signaturzertifikat sowie der Security-Token-Service-Typ spezifiziert, siehe Listing 3. Authentifizierung und Hosting Der Token-Service wird sowohl über ASP.NET (passive) als auch WCF (active) gehostet. Im passiven Fall kommt hier eine ganz normale ASP.NET-Seite mit dem FederatedPassiveTokenService-Control zum Einsatz, siehe Listing 4. Dieses Control liest die angegebene STS-Konfiguration aus, um den Token-Service zu instanzieren. Geschützt wird diese Seite mit ganz normalen ASP.NET-Bordmitteln in diesem konkreten Fall mit Forms Authentication, basierend auf dem konfigurierten Membership- Provider. Für das WCF-basierte Hosting ist es am geschicktesten, eine sogenannte Service Host Factory zu verwenden. Die Factory wird durch den Aufruf einer WCF-svc- Datei gestartet und kann die STS-Konfiguration auslesen. ServiceHost Factory="StarterTokenServiceHostFactory, App_Code" Service="StarterTokenService- Configuration, App_Code" %> einige der STS-Konzepte anhand Implementierungsdetails des Starter STS erläutert. Deswegen wird empfohlen, sich den STS bei Codeplex herunterzuladen und die Screencasts [6] und [7] über das Setup und die Features anzuschauen. Danach werden die entsprechenden WS-Trust-Endpunkte geöffnet, was durch die von Geneva bereitgestellte Klasse

6 WSTrustServiceHost erheblich vereinfacht wird, siehe Listing 5. WCF verwendet die Geneva-Security-Token-Handler-Infrastruktur für die Authentifizierung. Einer der eingebauten Handler basiert wiederum auf einem Membership- Provider, was es komfortabel erlaubt, die gleiche Anmeldelogik für ASP.NET und WCF zu verwenden (und damit auch die gleiche Benutzerdatenbank). Token-Erzeugung Die Claims- und Token-Erzeugung findet in der von SecurityTokenService abgeleiteten Klasse statt. Wie bereits erläutert, unterteilt sich dieser Vorgang in zwei Phasen: Auswerten der Token-Anfrage und Erzeugung der Claims. Das Parsen der Anfrage ist nicht ganz trivial, und es bietet sich an, diesen Vorgang zu abstrahieren. Der Starter STS verwendet eine Klasse mit Namen ScopeOptions, die die gewünschten Werte direkt als Properties zur Verfügung stellt. Weiterhin wertet die statische Methode Create die Token-Anfrage aus und setzt die oben genannten Properties (siehe im Starter STS Source Code für Details). Danach kann ScopeOptions in der Get- Scope()-Methode verwendet werden, um zu entscheiden, ob die Token-Anfrage zulässig ist, siehe Listing 6. In der Methode GetOutputClaimsIdentity werden die Claims für den Benutzer zusammengesucht und als IClaimsIdentity an Geneva zurückgeliefert. Der Starter STS verwendet den Membership-, Roles- und Profile-Provider, um die nötigen Informationen zu ermitteln, siehe Listing 7. Das von dieser Methode zurückgelieferte Claims- Principal wird danach von der Geneva-Infrastruktur in den gewünschten Token-Typ (typischerweise SAML) serialisiert. Das Geneva-Framework verfügt über ein Tool namens FedUtil.exe. Damit können Relying Parties auf einfache Art und Weise an Token-Services angedockt werden (mehr dazu im Geneva-Framework-SDK). Dazu muss der STS ein WS-Federation- Metadatendokument publizieren. Das Geneva-Framework verfügt über alle Klassen, um dieses Metadatendokument zu erstellen, und der Starter STS publiziert ein solches Dokument dynamisch in dem von der Spezifikation beschriebenen Standardverzeichnis (http://server/startersts/ FederationMetadata/ /Federation- MetaData.xml). Dies bewerkstelligt ein Standard-ASP.NET-HTTP-Handler, siehe Listing 8. Listing 7 Claims für den Benutzer zusammensuchen. protected override IClaimsIdentity GetOutputClaimsIdentity( IClaimsPrincipal principal, RequestSecurityToken request, Scope scope) { // user name and authentication information var claims = new List<Claim> { new Claim( WSIdentityConstants.ClaimTypes.Name, principal.identity.name), new Claim( ClaimTypes.AuthenticationMethod, AuthenticationType.PasswordUri), AuthenticationInstantClaim.Now ; // address string = Membership.FindUsersByName(principal.Identity.Name) [principal.identity.name]. ; if (!String.IsNullOrEmpty( )) { claims.add(new Claim(WSIdentityConstants.ClaimTypes. , )); // roles if (Roles.Enabled) { foreach (var role in Roles.GetRolesForUser(principal.Identity.Name)) { claims.add(new Claim(ClaimTypes.Role, role)); // profile data claims.addrange(getprofiledata(principal)); return new ClaimsIdentity(claims); Fazit Das Geneva-Framework verfügt über alle APIs und Einrichtungen, die für die technische Implementierung von Security Token Services benötigt werden. Wie aber in diesem Artikel gezeigt, entstehen die Schwierigkeiten beim Einsatz eines STS nicht bei der technischen Umsetzung, sondern beim Formulieren der Sicherheitsrichtlinien. Dies muss in jedem Fall vom Entwickler entsprechend implementiert werden. Weiter ist zu bedenken, dass ein STS ein wichtiger Sicherheits-Infrastrukturbaustein ist, der sowohl robust als auch verwaltbar sein sollte. Alle diese Features und noch mehr existieren bereits im Geneva-Server jedoch mit der Einschränkung, dass nur Active-Directory-Benutzer unterstützt werden. Wenn das Listing 8 Relying Parties an Token-Services andocken. kein Problem darstellt, sollte dieses Serverprodukt auf jeden Fall vor dem Schreiben eines eigenen STS evaluiert werden. [ml] [1] Milan Spalek: Wer ist das? Was darf der? dotnetpro 5/2009, Seite 84ff. QdnpCodeA0905STS [2] Dominick Baier: Claims abstecken. dotnetpro 7/2009, Seite 76ff. QdnpCodeA0907Geneva [3] [4] Dominick Baier, (SAML) Token Creation in a Geneva STS, QdnpCodeSL0910Geneva1 [5] thinktecture STS Starter Kit, [6] StarterSTS Setup and Overview, QdnpCodeSL0910Geneva2 [7] StarterSTS Advanced, QdnpCodeSL0910Geneva3 <location path="federationmetadata/ "> <system.webserver><handlers> <add name="metadatagenerator" path="federationmetadata.xml" verb="get" type="metadatagenerator, App_Code" /> </handlers></system.webserver> </location>

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier Di 8.3 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier In-depth support and

Mehr

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs

Mehr

Security in.net 2.0. Thomas Stanek

Security in.net 2.0. Thomas Stanek Security in.net 2.0 2 Content 1. Verwendung 2. Überblick 3. Features im Detail a. Windows Accounts und SIDs b. Sichere Datenübertragung (SSL) c. X509 -Zertifikate d. Data Protection API (DPAPI) e. SecureStrings

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

.NET-Networking 2 Windows Communication Foundation

.NET-Networking 2 Windows Communication Foundation .NET-Networking 2 Windows Communication Foundation Proseminar Objektorientiertes Programmieren mit.net und C# Fabian Raab Institut für Informatik Software & Systems Engineering Agenda Grundproblem Bestandteile

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Knowlegde Guide Wien, Februar 2004 INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server SharePoint Security Einführung in das SharePoint Sicherheitssystem Fabian Moritz MVP Office SharePoint Server 1 Agenda SharePoint Identitäten Authentifizierungsverfahren Benutzer, Gruppen und Rollen Heraufstufung

Mehr

Social Login mit Facebook, Google und Co.

Social Login mit Facebook, Google und Co. IAM EXCELLENCE OAuth 2.0 und OpenID Connect Social Login mit Facebook, Google und Co. Stefan Bohm www.ic-consult.com Geschützte Ressourcen = Userattribute + Steuerung des Logins + Information über Login

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Veröffentlichung und Absicherung von SharePoint Extranets

Veröffentlichung und Absicherung von SharePoint Extranets Veröffentlichung und Absicherung von SharePoint Extranets Denis Holtkamp, ITaCS GmbH Senior Consultant IT-Infrastruktur Goldsponsor: Partner: Silbersponsoren: Veranstalter: Agenda Intranet Extranet-Szenarien

Mehr

KompaSbilität zu Standards (WS- I) Contracts. Interfaces und Generics Umfangreiche AXribuSerung. Mehr Spielraum auf Transportebene

KompaSbilität zu Standards (WS- I) Contracts. Interfaces und Generics Umfangreiche AXribuSerung. Mehr Spielraum auf Transportebene Komponenten WCF (.NET Framework) WCF Verfeinerung und Reifung der ursprünglichen Version Geringere Unterschiede zu ASMX 2.0 (.NET 2.0) + WSE 3.0 Schwerpunkte KompaSbilität zu Standards (WS- I) Contracts

Mehr

Sicherheit in Web Services. Seminar Service-orientierte Software Architekturen Melanie Storm

Sicherheit in Web Services. Seminar Service-orientierte Software Architekturen Melanie Storm Sicherheit in Web Services Seminar Service-orientierte Software Architekturen Melanie Storm Agenda Motivation Fallbeispiel WS-Security XML Encryption XML Signature WS-Policy WS-SecurityPolicy WS-Trust

Mehr

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz, 25.06.2013

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz, 25.06.2013 MOA-ID Workshop Anwendungsintegration, Installation und Konfiguration Graz, 25.06.2013 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Überblick»

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Internet Information Services v6.0

Internet Information Services v6.0 Internet Information Services v6.0 IIS History Evolution von IIS: V1.0 kostenlos auf der CeBit 1996 verteilt V2.0 Teil von Windows NT 4.0 V3.0 Als Update in SP3 von NT4.0 integriert V4.0 Windows NT 4.0

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Paynet Adapter Spezifikationen Voraussetzungen Datum : 21.07.08 Version : 1.0.0.2 21.07.2008 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Architektur... 3 2.1 Grundsätze

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Yellowbill Adapter Spezifikationen Voraussetzungen Datum : 22.08.2013 Version : 1.0.0.2 22.08.2013 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung...3 2 Architektur...3 2.1 Grundsätze

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

3. Web Service Security 3.3 WS-Trust. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

3. Web Service Security 3.3 WS-Trust. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit XML- und Webservice- Sicherheit 3. Web Service Security 3.3 WS-Trust Gliederung 1. WS-Trust 2. WS-Trust: X.509 CustomToken 3. WS-Trust: Kerberos X.509 Literatur: J. Rosenberg and D. Remy, Securing Web

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

Wenn ein Entwickler die Funktionalität

Wenn ein Entwickler die Funktionalität Grundlagen der Authentifizierung in der WCF Erkennungsdienst Die Authentifizierung ist der erste Schritt zu einem sicheren WCF-Service. Dabei findet sich der Entwickler aber schnell in einem Gewirr von

Mehr

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der RACFBroker/z Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP RACFBroker/z ist ein Produkt der XPS Software GmbH Eching RACFBroker/z XPS Software GmbH Untere Hauptstr. 2

Mehr

Identitätsmanagement mit ASP.NET

Identitätsmanagement mit ASP.NET Identitätsmanagement mit ASP.NET Inhaltsverzeichnis Einleitung...1 Systemumgebung...2 Grundsätze von ASP.NET...2 Integrierte Authentifizierung...4 Providermodell...4 MembershipProvider...5 RoleProvider...5

Mehr

Neuerungen bei Shibboleth 2

Neuerungen bei Shibboleth 2 Neuerungen bei Shibboleth 2 Shibboleth-Workshop BW Stuttgart, 7. Februar 2008 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de Übersicht Aktueller Status Kommunikation IdP

Mehr

Sicherheitskonzepte in SOA auf Basis sicherer Webservices

Sicherheitskonzepte in SOA auf Basis sicherer Webservices HAW Hamburg Seminarvortrag - 16.12.2005 Thies Rubarth Folie 1 Sicherheit machen wir später...... wie hätt's auch anders sein sollen? Sicherheitskonzepte in SOA auf Basis sicherer Webservices Thies Rubarth

Mehr

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...

Mehr

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

Collax NCP-VPN. Howto

Collax NCP-VPN. Howto Collax NCP-VPN Howto Dieses Howto beschreibt wie eine VPN-Verbindung zwischen einem Collax Server und dem NCP Secure Entry Client (NCP) eingerichtet werden kann. Der NCP ist ein sehr einfach zu bedienender

Mehr

IIS 7.5 mit Exchange Server 2010 OWA FBA Intern und Extern ueber Forefront TMG

IIS 7.5 mit Exchange Server 2010 OWA FBA Intern und Extern ueber Forefront TMG IIS 7.5 mit Exchange Server 2010 OWA FBA Intern und Extern ueber Forefront TMG Interne Exchange Benutzer sollen Outlook Web Access mit Formularbasierter Authentifizierung (FBA) verwenden. Aber auch Benutzer

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Wireless & Management

Wireless & Management 4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung

Mehr

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Switching. Übung 9 EAP 802.1x. 9.1 Szenario Übung 9 EAP 802.1x 9.1 Szenario In der folgenden Übung konfigurieren Sie eine portbasierte Zugangskontrolle mit 802.1x. Den Host 1 haben Sie an Port 2 angeschlossen, der eine Authentifizierung vor der

Mehr

KompaRbilität zu Standards (WS- I) Contracts. Interfaces und Generics Umfangreiche AWribuRerung. Mehr Spielraum auf Transportebene

KompaRbilität zu Standards (WS- I) Contracts. Interfaces und Generics Umfangreiche AWribuRerung. Mehr Spielraum auf Transportebene Komponenten WCF (.NET Framework) WCF Verfeinerung und Reifung der ursprünglichen Version Geringere Unterschiede zu ASMX 2.0 (.NET 2.0) + WSE 3.0 Schwerpunkte KompaRbilität zu Standards (WS- I) Contracts

Mehr

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe)

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe) Sysadmin Day 2010 Windows & Linux just good friends? friends!!! Ralf Wigand MVP Directory Services KIT (Universität Karlsruhe) Voraussetzungen Sie haben ein Active Directory Sie haben einen Linux Client

Mehr

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 ÖSTERREICH RECHNET MIT UNS Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 www.brz.gv.at BRZ GmbH 2015 AGENDA Ausgangsbasis Webservice bei E-RECHNUNG.GV.AT SERWS Ziele

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Seminarvortrag Secure NFS

Seminarvortrag Secure NFS Seminarvortrag Secure NFS Michael Stilkerich michael.stilkerich@informatik.stud.uni-erlangen.de am 12. Mai 2003 Einleitung Das Network File System ist ein sehr eleganter Weg, gemeinsam genutzte Dateisysteme

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Analyse von Sicherheitaspekten in Service-orientierten Architekturen

Analyse von Sicherheitaspekten in Service-orientierten Architekturen Analyse von Sicherheitaspekten in Service-orientierten Architekturen Vortragende: Jia Jia Betreuer: Dipl.-Inf. Matthias Lehmann Dresden,10.12.2009 10.12.2009 Analyse von Sicherheitaspekten in SOA 1 Gliederung

Mehr

Application Layer Gateway

Application Layer Gateway Gesicherte Videokonferenzen mit einem Application Layer Gateway Karl-Hermann Fischer Sales Consultant fischer@gsmue.pandacom.de 1 Das Unternehmen Systemintegrator und Dienstleister im Bereich der Netzwerke

Mehr

Informationsbroschüre

Informationsbroschüre Informationsbroschüre Überwachung, Lastverteilung, automatische Aufgaben für Microsoft Dynamics NAV Mit IT IS control 2011 können Sie viele Mandanten und NAV-Datenbanken praktisch gleichzeitig mit wenigen

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Securing SOAP e-services

Securing SOAP e-services Securing SOAP e-services Nilson Reyes Sommersemester 2004 aus: E. Damiani, S. De Capitani di Vermercati, S. Paraboschi, P. Samarati, Securing SOAP e-sservices, IJIS, Ausgabe 1 (2002), S.110-115. Gliederung

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Performance Untersuchung von WS Security Implementierungen in interoperablen Umgebungen

Performance Untersuchung von WS Security Implementierungen in interoperablen Umgebungen Performance Untersuchung von WS Security Implementierungen in interoperablen Umgebungen Master Thesis Outline Eike Falkenberg Im Master Studiengang Informatik Wintersemester 2006 / 2007 Department Informatik

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Zinching Dang 24. November 2014 1 Apache HTTP-Server Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216 WS-Security Sicherheitskonzepte in global verteilten Anwendungen Thies Rubarth 21. Sep 2007 ACM/GI Localgroup #216 Thies Rubarth, M.Sc. (Informatik) IT Berater Jahrgang 1979 Anwendungsentwicklung seit

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft. Microsoft Identity & Access Plattform Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.com Herausforderung Identity & Access Management Wie und wo verwalte

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

Norm 260 Sicherheitsmechanismen

Norm 260 Sicherheitsmechanismen 1 Norm 260 Sicherheitsmechanismen 2 3 Release und Version Release 1, Version 4.0, vom 19. Juni 2007 4 5 Status Offizielle Norm 6 7 Editor Dr. Thomas Kippenberg, NÜRNBERGER 8 9 10 11 12 13 14 Autoren Dr.

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

Knowledge Base Importieren von Zertifikaten

Knowledge Base Importieren von Zertifikaten Datum 25.02.10 14:50 Hersteller Fortinet, Seppmail, Watchguard, Mailfoundry Modell Type(n) n/a Firmware Copyright Boll Engineering AG, Wettingen Autor Tech-Abteilung Dokument-Version 1.1 Situation: In

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Eclipse Equinox als Basis für Smart Client Anwendungen. Christian Campo, compeople AG, 5.7.2007 Java Forum Stuttgart 2007

Eclipse Equinox als Basis für Smart Client Anwendungen. Christian Campo, compeople AG, 5.7.2007 Java Forum Stuttgart 2007 Eclipse Equinox als Basis für Smart Client Anwendungen Christian Campo, compeople AG, 5.7.2007 Java Forum Stuttgart 2007 Übersicht Definition / Architektur Smart Client Smart Client mit RCP / Equinox Gesamtfazit

Mehr

Windows Server 2012 R2 Essentials & Hyper-V

Windows Server 2012 R2 Essentials & Hyper-V erklärt: Windows Server 2012 R2 Essentials & Hyper-V Windows Server 2012 R2 Essentials bietet gegenüber der Vorgängerversion die Möglichkeit, mit den Boardmitteln den Windows Server 2012 R2 Essentials

Mehr

Zustandsgebundene Webservices

Zustandsgebundene Webservices Zustandsgebundene Webservices Präsentation ausgewählter Problemstellungen der Informatik Markus Oertel oer@uni-paderborn.de Universität Paderborn 25. September 2005 Zustandsgebundene Webservices Seite

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Roadtrip Plugin. Dokumentation

Roadtrip Plugin. Dokumentation Roadtrip Plugin Dokumentation Inhaltsverzeichnis Beschreibung... 3 Installation... 3 Konfiguration der Dienste... 3 Erläuterung...3 Twitter...3 Instagram... 5 Konfiguration der User...5 Eingabe... 5 Aktivierung...

Mehr

estos Phone Tools for Lync 4.0.4.32841 4.0.4.32841

estos Phone Tools for Lync 4.0.4.32841 4.0.4.32841 estos Phone Tools for Lync 4.0.4.32841 4.0.4.32841 1 Willkommen zu estos Phone Tools for Lync... 4 2 Installation... 5 3 Allgemeine Einstellungen... 6 4 HotKey Einstellungen... 7 5 Hotkey Wahl... 8 6 Tapi

Mehr

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft

Mehr

Kerberos. Markus Schade

Kerberos. Markus Schade Kerberos Markus Schade Agenda Einleitung Authentifizierung Protokoll Implementierungen Anwendungen Vertraust Du mir? Oder mir? Historie 1988 am MIT im Rahmen des Athena Projekts entwickelt Client/Server-Architektur

Mehr

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Das E-Mail-Programm Outlook 98 von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Protokolls S/MIME (Secure/MIME) die Möglichkeit,

Mehr

Integration in die Office-Plattform. machen eigene Erweiterungen Sinn?

Integration in die Office-Plattform. machen eigene Erweiterungen Sinn? Integration in die Office-Plattform machen eigene Erweiterungen Sinn? Agenda Apps Warum eigentlich? Apps für Office Apps für SharePoint Entwicklungsumgebungen Bereitstellung Apps Warum eigentlich? Bisher

Mehr

Bildungsportal-Verbund

Bildungsportal-Verbund Bildungsportal-Verbund BPVP Bildungsportal-Verbund Protokoll Kurzspezifikation Für weitere technische Details nehmen kontaktieren Sie bitte: Robert.kristoefl@bmbwk.gv.at Thomas.menzel@bmbwk.gv.at Version

Mehr

Fraunhofer Institute for Secure Information Technology

Fraunhofer Institute for Secure Information Technology Fraunhofer Institute for Secure Information Technology Entwicklung sichere Unternehmens-Apps: gut gemeint oder gut gemacht? Dr. Jens Heider Head of Department Testlab Mobile Security Amt für Wirtschaft

Mehr

VPN- Beispielkonfigurationen

VPN- Beispielkonfigurationen VPN- Beispielkonfigurationen für die Router-Modelle FVS114 FVS318v1, v2, v3 FVM318 FVS328 FVS338 FVL328 FWAG114 FWG114Pv1, v2 FVG318 FDVG338 FVX538 sowie die ProSafe VPN Client Software Seite 1 von 113

Mehr

Norm 260 Sicherheitsmechanismen

Norm 260 Sicherheitsmechanismen 1 Norm 260 Sicherheitsmechanismen 2 3 Release und Version Release 1, Version 5.0, vom 15.04.2014 4 5 Status Offizielle Norm 6 7 Editor Geschäftsstelle BiPRO e.v. 8 9 10 11 12 13 14 15 Autoren Dr. Thomas

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION

INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION Allgemein Infomon bietet die Architektur für das Informations-Monitoring in einer Windows- Topologie. Die Serverfunktionalität wird in einer IIS-Umgebung

Mehr

Sichere Web-Services in einem föderierten Umfeld

Sichere Web-Services in einem föderierten Umfeld Sichere Web-Services in einem föderierten Umfeld ZKI Arbeitskreis Verzeichnisdienste ZEDAT FU Berlin Axel Maurer Die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) integrierte

Mehr

IP Telefonie Sicherheit mit Cisco Unified Communications Manager

IP Telefonie Sicherheit mit Cisco Unified Communications Manager IP Telefonie Sicherheit mit Cisco Unified Communications Manager Dipl. Ing. (FH) Thomas Ströhm Friday, November 09, 2007 Überblick Security Herausforderungen der IP-Telefonie Einsatz von Secure RTP mit

Mehr

Fortgeschrittene Servlet- Techniken. Ralf Gitzel ralf_gitzel@hotmail.de

Fortgeschrittene Servlet- Techniken. Ralf Gitzel ralf_gitzel@hotmail.de Fortgeschrittene Servlet- Techniken Ralf Gitzel ralf_gitzel@hotmail.de 1 Themenübersicht Ralf Gitzel ralf_gitzel@hotmail.de 2 Übersicht Servlet Initialisierung Attribute und Gültigkeitsbereiche Sessions

Mehr

Aus diesem Grund unterscheidet sich dieser Artikel etwas von der erfolgreichen Reihe der Step-by-Step Anleitungen auf www.msisafaq.de.

Aus diesem Grund unterscheidet sich dieser Artikel etwas von der erfolgreichen Reihe der Step-by-Step Anleitungen auf www.msisafaq.de. Seite 1 von 19 ISA Server 2004 ISA Server 2004 Zertifikatmanagement - Von Marc Grote -------------------------------------------------------------------------------- Die Informationen in diesem Artikel

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen.

In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen. 181 In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen. Wir beginnen mit dem Startup-Unternehmen Seals GmbH aus Frankfurt,

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Datenspuren, 13.09.14, Dresden Cornelius Kölbel cornelius@privacyidea.org Identität - Wikipedia Bergriffsklärung Wikipedia:

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de Grundlagen AAI, Web-SSO, Metadaten und Föderationen Wolfgang Pempe, DFN-Verein pempe@dfn.de DFN-AAI IdP-Workshop, 24./25. Juni 2015, HS Amberg-Weiden Was ist DFN-AAI? AAI Authentifizierung Autorisierung

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Benutzer- und Gruppenverwaltung, Registrierung

Benutzer- und Gruppenverwaltung, Registrierung OS Content Management mit Zope/Plone Benutzer- und Gruppenverwaltung, Registrierung in Plone 4.0 Jennifer Meyer, Christopher Oehmig Inhalt 1. Benutzer- und Gruppenverwaltung a. Allgemeine Arbeitsweise

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

7 Der Exchange Server 2010

7 Der Exchange Server 2010 Der Exchange Server 2010 7 Der Exchange Server 2010 Prüfungsanforderungen von Microsoft: Configuring and Managing Messaging and Collaboration o Configure email. o Manage Microsoft Exchange Server. Managing

Mehr