Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Transkript

1 rmation bi-cube Identity Server T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

2 Inhalt 1 DIE LÖSUNG ZU EINER GESICHERTEN AUTHENTIFIKATION BI-CUBE IDENTITY SERVER IN EINEM IPM - SYSTEM TOKENGENERIERUNG ABLAUF DER AUTHENTIFIKATION TWO-PASS AUTHENTIFIKATION DURCH DEN BI-CUBE IDENTITY SERVER IN CITRIX..7 6 ZENTRALES TOKEN-MANAGEMENT NUTZERKATEGORIEN info@secu-sys.de Web: Seite 2 von 9

3 1 Die Lösung zu einer gesicherten Authentifikation Authentifikation mittels bi-cube Identity Server ist ein Verfahren zur sicheren Identifikation eines Users als Komponente von bi-cube Professional in einem Zentralem User Management. One-Pass-Authentifikationen als gesicherte Authentifikation Die Lösung einer gesicherten Authentifikation ist jeweils abhängig von der Anwendungssituation, von den verschiedenen Technologien und vor allem von deren Kombinationen. Relativ wenige Authentifikationverfahren entsprechen den heutigen Anforderungen zur eindeutigen Identifizierung des Users. Die hohen Standards erfüllen bisher nur biometrische Verfahren. Auch die als so sicher angepriesene digitale Signatur hat in manchen Nutzungsarten gerade das Security-Niveau eines Passwortes, da zur Freigabe der Signatur auch wiederum ein Passwort genutzt wird. Selbst Chipkarten oder Hardware-Token verlieren ihren Sicherheitsanspruch, wenn sie unbeaufsichtigt gelassen werden. Duale Authentifizierung als gesicherte Authentifikation Die Two- Pass- Authentifikation kombiniert die Sicherheiten von zwei einzelnen Verfahren und erreicht damit ein hinreichendes Security- Niveau. Die duale Authentifikation ist deshalb zunehmend erforderlich, um eine gesicherte Identifikation eines Nutzers zu erreichen. Sie geht davon aus, dass der Nutzer zwei unabhängige Informationen beibringt, die jeweils seine Identität belegen. Dies können sein: Passwort (PIN) / Zertifikat Passwort / Token User-ID / Biometrie-ID In vielen Fällen haben Unternehmen in ihrer IT-Strategie mittel- oder langfristig den Einsatz einer PKI vorgesehen. Bis zur unternehmens- und anwendungsweiten Einführung einer PKI kann eine der anderen Varianten der dualen Authentifikation genutzt werden. info@secu-sys.de Web: Seite 3 von 9

4 2 bi-cube Identity Server in einem IPM - System Der bi-cube Identity Server des ism als integrierte Lösung in einem Identity und Provisioning Management (IPM) erhöht das Security-Niveau in Unternehmen. Im IPM-System des ism ist ein Identity Server mit einem Tokensystem enthalten, das einen optimalen und flexiblen Einsatz je nach Security- und Komfort-Anforderungen des Kunden ermöglicht. Das bi-cube Token als ein allgemeiner Softwaretoken kann in drei weitere Nutzungsarten unterteilt werden: Token mit Biometrie SMS-Token Token unter Citrix Die jeweilige Nutzungsart wird bei der Generierung personen-bezogen eingestellt. Weiterhin kann das bi-cube Token entweder portabel oder Device-gebunden generiert und dem Nutzer bereitgestellt werden. Das bi-cube Token ist mit Triple DES verschlüsselt und hat eine begrenzte Lebensdauer (im Standard 5 min), so dass es unproblematisch über das Netz verteilt werden kann. Diese Security Features in Verbindung mit der Länge und der Vielzahl der enthaltenen Prüfinformationen macht das Token unangreifbar. Software- Token portabel Mit Devicebindung Mit Verfallsdatum Mit Passwortprüfung Security- Niveau Bemerkung X Mittel Moving User X Hoch Für feste Arbeitsplätze auf USB-Token X Mittel Für temporäre Berechtigungen Mit integrierten Bio-Template Nicht notwendig Sehr hoch Kann mit den ersten drei Nutzungsarten kombiniert werden. B379F3A64191FD9D52C06D8C87DE6BEC00E6CF71B38432D3A52D4331C4811ED2BCA42F2E8 7DC8DD346B78438BF1A5C8E1687D14D4DA4A46C8558A C65A5F18BF957803F5F670 0ACC92891A6C B4EF4CDC5A89147AE88BFDC4BC3F5817A93FFFBE Abb. Beispiel eines generierten Tokens info@secu-sys.de Web: Seite 4 von 9

5 3 Tokengenerierung bi-cube Token mit Biometrie Um auch beim remote Einsatz ein sehr hohes Security-Niveau zu erreichen, kann ein so genanntes Bio-Token generiert werden. Dieses Token fordert vor der Tokengenerierung die Biometrie- Authentifizierung des Users an. Der Bio-Token ist manipulationssicher, da in dem Tokengenerator das persönliche Bio- Template des Users rein-compiliert wurde. In einem Speicher-Stick wird das personifizierte bi-cube Token abgespeichert und nur an dieses Devices gebunden. Es ist nicht möglich, das Token-Programm vom Speicher-Stick zu kopieren und dann von einem anderen Laufwerk aus zu starten. Versendung des SMS-Token Bindung des bi-cube Token oder des Bio- Token an ein USB-Device Das SMS-Token wird nicht von einer Codekarte, einem USB-Stick oder ähnlichem erzeugt, sondern dem User vom Authentifizierungserver per SMS auf sein Mobiltelefon übermittelt. Anstelle zusätzlicher Hardware wird also das vorhandene Handy für diese Anwendung genutzt. Ein nennenswerter Vorteil ist auch, dass ein Handy bei einem Diebstahl viel schneller sperren und ersetzen lässt als eine Codekarte. Web: Seite 5 von 9

6 4 Ablauf der Authentifikation Der bi-cube Identity Server erlaubt die zuverlässige Authentifikation des Benutzers für den sicheren Zugang zu Firmendaten und Ressourcen. Die Authentifikation erfolgt typischerweise nach dem Two-Pass Verfahren. Zuerst werden User-ID und Passwort am bi-cube Authentifizierungsserver geprüft und dann vom User das Token abgefordert. Erst dann startet die Anwendung. Für den Nutzer stellt sich der Ablauf derzeit so dar, dass er nach User-ID und Passwort in einem zweiten Fenster eine Tokenübergabe veranlasst. Dieses Verfahren wird in Kombination mit dem bi-cube Authenfizierungsserver für bestehende Web-Portale ermöglicht, die Einbindung der Web-Komponente zur Authentifizierung kann über eine aspx-api Schnittstelle erfolgen. Eine integrierte Lösung stellt die Two-Pass Authentifkation für das Standard Citrix Web Portal dar (siehe nächste Seite). In Verbindung mit dem SMS-Token, das der Authentifizierungsserver wahlweise bereitstellt, kann der User bei der Authentifkation zwischen Software- und SMS- Token wählen. So wird sichergestellt, dass die Anmeldung an einem Web-Portal z.b. auch von einem beliebigen Internet-Café aus funktioniert, auf dessen Rechnern das bi- Cube Token nicht initiiert werden kann. Das SMS Token wird mit wechselndem Code auf das Handy verschickt und unterliegt ebenfalls einer begrenzten Lebensdauer (im Standard 10 min). Web: Seite 6 von 9

7 5 Two-Pass Authentifikation durch den bi-cube Identity Server in Citrix Die Integration des bi-cube Identity Server in das Login am Standard Citrix Web Portal ermöglicht den Einsatz eines Token für bestehende Portallösungen ohne Integration über eine API- Schnittstelle des Authentifizierungserver. Es genügt die Anbindung des Citrix Web Portals an den bi-cube Authentifizierungserver über ein mitgeliefertes Setup. Bei dieser Lösung werden Anmeldedaten und ein Token in einem Schritt an die Authentifikation übergeben. Nach erfolgreicher Tokenprüfung erfolgt die Authentifizierung durch Citrix gegen das LAN in gewohnter Weise. Ermöglicht wird dieses Vorgehen durch die Aufnahme des LAN-Keys (Username) in den personifizierten Token. Um die Flexibilität dieser integrierten Lösung zu erhöhen, ist auch hier die Kombination mit dem SMS-Token vorgesehen, so dass der Nutzer wahlweise Software- oder SMS-Token für die Anmeldung benutzen kann. Web: Seite 7 von 9

8 6 Zentrales Token-Management Die Einsatzentscheidung für eine Security- Lösung ist neben dem eigentlichen Sicherheitseffekt und den Kosten eindeutig durch die Handhabbarkeit bestimmt. Wenn ein Verfahren kompliziert und damit aufwendig in Bedienung und Verwaltung ist, bestehen sehr hohe Einsatz-Barrieren. Innerhalb von bi-cube IPM kann einfach und bedienerfreundlich gesteuert werden, ob ein Nutzer die Token Authentifikation benötigt. Abgleich der Security Klassifikation Die Integration in die zentrale IPM-Lösung des ism ermöglicht die Definition von Regeln und Rollen, die das Token-Management in hohem Maße automatisiert. Es wird für eine Anwendung über eine Security-Classification gesteuert, welcher Nutzer eine zusätzliche Token Authentifikation benötigt oder nicht. Die Verpflichtung, das Token für eine bestimmte Authentifikation zu nutzen, ergibt sich dann automatisch aus dem Abgleich der Klassifikation. Auch eine Rolle mit hohem Gefährdungsmaß kann beispielsweise nur genutzt werden, wenn der Rolleninhaber ein Token hat. Weiterhin können bereits aufgenommene Fingerprints, die z.b. im bi-cube Single Sign-On genutzt werden, problemlos in das Token integriert werden, ohne zusätzliche Erfassung der Fingerabdrücke. Nutzer-Klassifikation Klassifikation der Anwendung Web: Seite 8 von 9

9 7 Nutzerkategorien Durch die Einteilung der Mitarbeiter in verschiedene Nutzerkategorien werden diese automatisch an Authentifikationsverfahren gebunden. Die jeweilige Nutzungsart, die Technologie und deren Integration in ein geschlossenes Security-Konzept richten sich nach dem Schutzbedarf der Anwendungen, nach den zu schützen Daten und der Nutzerkategorie. Daraus ergeben sich Nutzergruppen mit jeweils unterschiedlichen Anforderungen: Da sich diese Kategorien entweder direkt aus den Attributen eines Users (z.b. Organisationseinheit, Funktion oder ähnliches) oder seinen Rollen ableiten lassen, können auch Regeln zur automatischen Zuordnung eines geeigneten bzw. erforderlichen Authentifikationsverfahrens definiert werden. Einsatzempfehlung Aus Kosten-, Security- und Funktionssicht kann dieses Verfahren unbedingt empfohlen werden. Ein besonders hoher Effekt kann erreicht werden, wenn das Token dort eingesetzt wird, wo bereits ein zentrales User Management bi-cube Professional eingesetzt wird. Komfort Mobilität Nutzungsbreite der Daten Schutzbedarf verfügbarer Daten Vertretbarer Kostenfaktor Aufgrund der Useranzahl Vorstände hoch hoch hoch hoch hoch Externe Makler mittel gering gering hoch gering Außendienst mittel hoch mittel mittel gering Innendienst mittel gering mittel mittel gering Administratoren mittel mittel hoch hoch mittel Externe Dienstleister gering gering gering mittel mittel Web: Seite 9 von 9