Single Sign-On Step 1

Transkript

1 Single Sign-On Step 1 Novell Tour 2006 Stefan Stiehl Senior Technology Specialist [email protected] Holger Dopp Senior Consultant [email protected]

2 Was ist Single Sign-On? Eine Befugnisverwaltungstechnologie, die Benutzer mit einer einheitlichen Identität zum schnellen und sicheren Zugang zu entsprechend konfigurierten Systemen ausstattet.

3 Passwort Management - Kosten 30% der Help Desk Tickets sind Passwort Thematiken. Einige Unternehme reporten mehr als das Dopplete. Ant Allan, Gartner: presentation Gartner IT Security Summit, 2005) viele Unternehmen konnten mit SSO die Help Desk Tickets um mehr als 30% reduzieren. Mike Neuenschwander, Burton Group: Enterprise Identity Management: Moving from Theory to Practice Passwort Management: pro Benutzer pro Jahr Aberdeen Group Study: Passwords are Gobbling Up Your Profits, May

4 Single Sign On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 4

5 Client-SSO: Novell Secure Login Identity Store (AD, edir, LDAP)

6 Client-SSO: Novell Secure Login WARNUNG: Diese Software macht schnell abhängig und bequem! 6

7 Client-SSO: Novell Secure Login Bequem Helpdesk: weniger Passwort reset Stärkere Passwörter in den einzelnen Applikationen trotz der Anforderung sich weniger Passwörter merken zu müssen Zentrales Policy Management/Enforcement Sichere Ablage der Anmeldedetails Keine Modifikation des Back-Ends On und off-line Fähigkeit Unterstützung von Advanced Authentication Integration mit Firmenfremden Applikationen möglich Applikationen: Web; Windows; Citrix; Terminal-Emulatoren One key to the kingdom (Abhilfe durch Starke Authentication) Benötigt auf jedem Desktop den Secure Login Client 7

8 Single Sign-On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 8

9 Web-SSO: Demo Public Basic Authentication Form Authentication

10 Web-SSO: Demo Public Basic Authentication Form Authentication

11 Web-SSO: Demo Access Gateway Public Basic Authentication Identity Server Form Authentication

12 Web-SSO Novell Access Manager Role und Policy Management -> geringere Komplexität der Implementation und Verwaltung von Web- Applikationen Keine Modifikationen der Web-Applikationen Granulare Zugriff auf Java Applikationen (J2EE Agents) SSL VPN für nicht HTML fähige Applikationen Multi-Path homing SSL nicht am Web Server nötig Scalierbarkeit Federation für non Federated Applikationen One key to the kingdom (Abhilfe durch Starke Authentication) SSO nur für Web Applikationnen! 12

13 Single Sign-On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 13

14 Was ist Federation? Eine Federation ist eine Gruppe von zwei oder mehr verläßlichen Teilnehmern mit Geschäfts und technischen Vereinbarungen, die einen Benutzer eines Partners erlauben Betriebsmittel von einem anderen Partner in einer sicheren und vertrauenswürdigen Weise nahtlos zugänglich zu machen.

15 Web-SSO: Federation Web Applikation Firma A Standards: SAML 1.1, 2.0 Liberty Alliance Web Applikation Firma B

16 Web-SSO/ Federated Authentication Role und Policy Management -> geringere Komplexität der Implementation und Verwaltung von Web- Applikationen Mit Application Gateway: keine Modifikationen der Web- Applikationen für SSO notwendig Mit Application Gateway: Federation von nicht Federation fägigen Applikationen Sicheres Teilen von Identitäts Daten zwischen Teilnehmern der Federation (z.b. Kreditkarten info etc.) Offenes und Standardisiertes Protokoll One key to the kingdom (Abhilfe durch Starke Authentication) Nur für Web Applikationnen! Federation: Web Applikationen müssen den Spezifikationen angepasst sein Shibboleth? 16

17 Single Sign-On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 17

18 Was ist Kerberos? Offenes, sicheres Authentifizierungsprotokoll Definiert in RFC 4210 Erste Definition 1983 Project Athena am MIT Erste vollständige Definition 1987 Kerberos v4

19 Wie funktioniert Kerberos? Verwaltungseinheit in Kerberos ist Realm DNS Schreibweise in Großbuchstaben verwendet, also z.b. DUS.NOVELL.COM Mehere Realms können sich mit Cross-Realm Trusts vertrauen. User erhält eindeutigen Namen, sogenannten Principal Name. Format: z.b: Password erzeugt Userkey Verschlüsselungsmethoden: DES, 3DES, AES, RC4 Hash Methoden: MD5, SHA-1, HMAC, CRC-32

20 Wie funktioniert Kerberos? Kerberos Authentication Server -> u_key -> s_key Realm DB u_id -> u_key s_id -> s_key Ticket Granting Service -> u_key -> s_key -> tgs_key ->tgs_id

21 Wie funktioniert Kerberos? 1. Anfrage TGT Kerberos Authentication Server Client: User u -> u_key -> u_id 2. Antwort: TGT *tgs_key tgs_session key u_id KEY *u_key tgs_session key tgs_id -> u_key -> s_key 5. ST *s_key s_session_key u_id KEY *s_session key timestamp s_id Service S KEY *s_session_key response -> s_key -> s_id 4. Antwort: ST *s_key s_session_key u_id 3. Anfrage Service KEY *tgs_session key s_session_key s_id TGT *tgs_key tgs_session key u_id Realm DB u_id -> u_key s_id -> s_key Ticket Granting Service -> u_key -> s_key -> tgs_key ->tgs_id

22 Novell KDC Komponenten Kerberos Distribution Center Authentifizierungs- und Ticket Distribution Server Administration Server Server für die Command Line Administration Password Server Server zum Wechseln der Kerberos Passworte

23 Verwaltung Principal Name wird nicht automtisch angelegt Loopback Driver Universal Password benötigt Muss für Realms oder Benutzer eingeschaltet werden Bidirektionale Passwordsynchronisation

24 Kerberos Sehr sicher ab V5 (1991) Offenes und Standardisiertes Protokoll Gutes in sich geschlossenes Security Konzept One key to the kingdom Applikationen müssen Kerberos enabled sein Keys müssen zu den Services verteilt werden Uhrzeiten müssen synchronisiert sein Nicht ohne weiteres mit Firewalls einsetzbar (NAT) On Off Line? 24

25 Novell Single Sign-On Lösungen Novell KDC Novell ichain/ Access Manager Kerberos Single Sign On Web Single Sign On Novell SecureLogin Novell ichain/ Access Manager Client-based Single Sign On Federated Authentication 25

26 Novell Single Sign-On Lösungen Novell KDC Novell ichain/ Access Manager Kerberos Single Sign On Web Single Sign On Novell SecureLogin Client-based Single Sign On Novell Identity Manager Novell ichain/ Access Manager Federated Authentication 26 Passwort Synchronisation

27