2-Faktor-Authentifizierung an der Freien Universität Berlin Steffen Hofmann, Paul Mainz Freie Universität Berlin DFN Betriebstagung, 14. März 2018
Outline Anforderungen Übersicht - TAN-Verfahren Technische Umsetzung Organisatorisches Ausblick Verwendung im Shibboleth Identity Provider(3) Shibboleth Workshop FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 2
Anforderungen Absicherung von einzelnen, über Shibboleth authentifizierten Web-Diensten Mehrere TAN-Verfahren zur Auswahl für die Nutzer*innen (itan, vtan, TOTP) Verwaltungsmöglichkeit individueller TAN-Einstellungen für Nutzer*innen Bereitstellung der 2-Faktor-Authentifizierung für alle Mitarbeiter*innen Pilot-Phase mit Ausrollung für begrenzte Benutzer*innen-Gruppen steht an FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 3
Übersicht - TAN-Verfahren itan - Papierliste mit TANs; Standard- und Fallback-Verfahren; immer aktiv vtan - TAN über unser VoIP-Netz auf ein Diensttelefon TOTP - Time-based One-time Password, generiert z.b. durch eine App auf einem Mobilgerät FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 4
Technische Umsetzung FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 5
Organisatorisches Verteilung von itan-listen ist wichtige und schwierige Aufgabe: initiale Verteilung via dezentraler Ausgabestellen Erstellung durch die Nutzer*innen selber unter Verwendung einer TAN ist kein Verfahren verfügbar -> Ausgabestelle FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 6
Ausblick Sicherung von nicht Web-Diensten (z.b. VPN) Ausrollung für Studierende Mitarbeiter*innenkarte als 2. Faktor FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 7
Authentication Context Classes in SAML2 Standard: http://docs.oasis-open.org/security/saml/v2.0/ saml-authn-context-2.0-os.pdf Hierarchie von Klassen häufig: urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport Service Provider kann benötigte Klasse festlegen z.b../shibboleth.sso/login?authncontextclassref=urn:de:fuberlin:fudis:saml:2.0:ac:classes:2fa Vergleichsregel kann auch angegeben werden z.b../shibboleth.sso/login?authncontextcomparison=minimum Werte: exact, minimum, maximum, better default: exact Hierarchie nicht immer eindeutig festlegbar FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 8
Authentication Context Classes als Principals Authentication Context Classes werden als Principals im IdP realisiert Festlegung pro Authentifizierungsverfahren in ${idp.home}/conf/authn/general-authn.xml sind mehrere Authentifizierungsverfahren passend, wird erstes aus der Liste in general-authn.xml verwendet Authentication Context Classes nach erfolgreicher Authentifizierung im AuthenticationResult im Subject mit enthalten FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 9
Authentication Context Classes als Principals, Teil 2 FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 10
Multi Factor Authentication (MFA) https://wiki.shibboleth.net/confluence/display/idp30/ MultiFactorAuthnConfiguration sehr mächtig, sehr viel Variabilität, aber auch viel Fehlerpotential supportedprincipals in general-authn.xml legt nur fest, ob MFA für angeforderte Authentication Context Class zuständig ist Ergebnisse der durch MFA angesprochenen authn-flows werden am Ende verbunden ist Authentication Context Class nicht im Gesamtergebnis enthalten, kommt es zum Fehler besondere Sorgfalt auch bei Post-Login Subject Canonicalization idp.authn.flows.initial ist deprecated, komplette Konfiguration über ${idp.home}/conf/authn/mfa-authn-config.xml FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 11
Beispiel mfa-authn-config.xml... alles weitere im Shibboleth Workshop FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 12
Shibboleth Workshop Datum: 22. und 23.11.2018 Ort: Seminaris CampusHotel Berlin zwei volle Tage von jeweils 9 bis 18 Uhr für Fortgeschrittene Themen Konfiguration und Implementierung eigener authn-flows Konfiguration MFA Realisierung verschiedener Realms/Scopes es wird ein eigenes Notebook benötigt Preis:??? Anmeldung demnächst über Weiterbildungszentrum der Freien Universität Berlin Anzahl Teilnehmer: mindestens 20 ein Beginners-Workshop kann auch parallel bei mindestens 15 Teilnehmern angeboten werden FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 13
Fragen...?! Vielen Dank fürs Zuhören und Diskutieren! FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 14