2-Faktor-Authentifizierung an der Freien Universität Berlin. Steffen Hofmann, Paul Mainz Freie Universität Berlin

Ähnliche Dokumente
Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Stand der Entwicklung von Shibboleth 2

Steffen Hofmann Freie Universität Berlin ZEDAT Identity Management & Media (IM) IdP3-Authentifizierung

Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Shibboleth und Kerberos in gemischten Umgebungen Erfahrungen und Grenzen

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Zwei-Faktor-Authentifizierung

Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI, Franck Borel - UB Freiburg

Shibboleth Identity Provider im Thüringer Codex-Projekt

Neuerungen bei Shibboleth 2

Best Practices - WatchGuard AuthPoint - Active Directory / LDAP Integration

Raoul Borenius, DFN-AAI

Blockchain-basiertes Föderiertes Identity Management am Beispiel von Ethereum Smart Contracts

Neues zu den Verlässlichkeitsklassen in der DFN-AAI

DAS IDENTITY MANAGEMENT DER ZUKUNFT

Zweifaktor-Authentifizierung

DFN-AAI und DFN-Cloud. Thomas Gebhardt, tubit TU Berlin Steffen Hofmann, ZEDAT der FU Berlin

Ausblick auf Shibboleth 2.0

Steffen Hofmann Freie Universität Berlin ZEDAT Identity and Customer Management (ICM) Aktueller Stand Shibboleth IdP3

Einführung in Shibboleth 2

Identity Propagation in Fusion Middleware

2FA mit Shibboleth mit LinOTP

Authentifizierung und Autorisierung in einem Portal-basierten Grid (C3-Grid)

Mobile Devices und 2-FaktorAuthentifzierung. Andreas Grupp. Landesakademie für Fortbildung und Personalentwicklung an Schulen

TechNet Webcast Aufbau eines sicheren WLANs. Wireless LAN. Page: 1

OpenID-Sicherheit. Tobias Dussa. 3. DFN-Forum KT, 27. Mai KIT-CERT. Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825

Personalisierung mit Shibboleth

OpenCA & Shibboleth Universität Konstanz, Rechenzentrum Gruppe Kommunikationsinfrastruktur

NGN Versuch einer Standortbestimmung

NextCloud der Feintechnikschule

Humboldt-Universität zu Berlin Wintersemester 2012/2013. OpenID

Integration von Informationsdiensten in einer bundesweiten AA-Infrastruktur

Authentifizierung, Autorisierung und Rechtverwaltung Aufbau einer verteilten Infrastruktur

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

OAuth 2.0. Ralf Hoffmann 03 /

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Authentisierung für die Cloud mit dem neuen Personalausweis

(c) 2014, Peter Sturm, Universität Trier

Single Sign On mit Active Directory

Raoul Borenius, DFN-AAI

Grundlagen AAI, Web-SSO, Metadaten und Föderationen

OpenID Connect Kurzer Überblick, Vergleich mit SAML2

uapprove Ein Blick unter die Motorhaube inklusive Tuning-Tipps Lukas Hämmerle AAI Forum, Berlin, März 2014

Projekt bwidm Vereinfachter Zugang zu Landesdiensten

Das Projekt NDS-AAI. ZKI-AK Verzeichnisdienste, Hamburg, Peter Gietz, CEO, DAASI International GmbH

KomFIT 2018 DS-GVO Konformität durch Zwei-Faktor-Authentifizierung

Netzwerksicherheit. Teil 10: Authentifikation und Autorisierung. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

Identity Management an den hessischen Hochschulen

Workshop. Oskar Truffer, studer + raimann ag

Oracle Platform Security Service in Ihrer Umgebung. DOAG 2012 Andreas Chatziantoniou Foxglove-IT

Einführung in das Verfahren Shibboleth Schwerpunkt Iden:ty Provider

WLAN - aber sicher! Platzhalter für Bild, Bild auf Titelfolie hinter das Logo einsetzen

Einstellung der Multi-Faktor- Authentifizierung

Innovationen. EGIZ Inside Out. Andreas Fitzek Christian Maierhofer Wien,

Eduroam-Einrichtung unter Android

Das neue DFN-CERT Portal. Tilmann Holst 50. DFN-Betriebstagung 3. März 2009

Best Practices WatchGuard Accessportal - Grundlagen und Konfiguration

Einführung in das Verfahren Shibboleth Schwerpunkt Iden:ty Provider

Sicherheit für Web-Anwendungen mit SAML2 und OAuth2

Einbindung von Lokalen Bibliothekssystemen in das Identity Management einer Hochschule

TÜV Rheinland. Ihr Partner für Informationssicherheit.

1. Voraussetzungen für die Heimnutzung von beck-online.die DATENBANK. 2. Kostenlos registrieren. 3. Eingabe Ihrer Daten. Heimzugänge für Studierende

Raoul Borenius, DFN-AAI-Team

tubcloud und DFN-Cloud der TU Berlin Thomas Hildmann tubit IT Dienstleistungszentrum ZKI AKe Web & CM 03/2015

Entwicklung einer REST-API zur Erstellung und Konfiguration von Microsoft Teams. Jan Kruse, utilitas GmbH

aibrowser Ausgabe

1. Voraussetzungen für die Heimnutzung von beck-online.die DATENBANK. 2. Kostenlos registrieren. 3. Eingabe Ihrer Daten. Heimzugänge für Studierende

10 Jahre DFN-AAI. 67. DFN-Betriebstagung Berlin, 26. September Bernd Oberknapp Universitätsbibliothek Freiburg

How to access licensed products from providers who are already operating productively in. General Information Shibboleth login...

edugain Eine Meta-Infrastruktur verbindet heterogene AAI-Welten Torsten Kersting

Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance. Version 2017 Summer Release

Medizinische Universität Wien ITSC Handbuch

Best Practices WPA2 Enterprise und Radius-SSO

Dokumentation für Studierende

Dienstleistungsportfolio von Hochschulen in der Ruhr-Region (DiepRuR)

OpenID Connect im Einsatz auf Föderationsebene

OpenID Connect. im Einsatz auf Föderationsebene. Wolfgang Pempe, DFN-Verein

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Steffen Hofmann (Dipl.-Inf.) ZEDAT, Identity and Customer Management (ICM) Neue Shibboleth Versionen, neue Features

Improving the Scalability of Identity Federations through Level of Assurance Management Automation Michael Grabatin, Wolfgang Hommel, Stefan Metzger

Anleitung Nutzung eduroam

Projekt: Vertrauenswürdige Verbindung Angriffsvektor Connection-Pool

Informatikdienste. Meeting IT-Verantwortliche Lotus Groupware

Office 365 User Integration

Eduroam Einrichtung bei Android-Geräten mittels EduroamCAT

IdP Cluster Strukturen und zentrales Logging

Zuhause On-Premises und in der Cloud mit Identity Management

Shibboleth in hochskalierbaren Umgebungen

Ebenen einer Sicherheitsarchitektur am Beispiel der Teleradiologie

Anwendungen schützen mit Shibboleth

Ermittlung der Schutzanforderungen und erforderlicher Maßnahmen anhand einer Datenschutz-Folgenabschätzung

!"#$"%&'()*$+()',!-+.'/',

Transkript:

2-Faktor-Authentifizierung an der Freien Universität Berlin Steffen Hofmann, Paul Mainz Freie Universität Berlin DFN Betriebstagung, 14. März 2018

Outline Anforderungen Übersicht - TAN-Verfahren Technische Umsetzung Organisatorisches Ausblick Verwendung im Shibboleth Identity Provider(3) Shibboleth Workshop FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 2

Anforderungen Absicherung von einzelnen, über Shibboleth authentifizierten Web-Diensten Mehrere TAN-Verfahren zur Auswahl für die Nutzer*innen (itan, vtan, TOTP) Verwaltungsmöglichkeit individueller TAN-Einstellungen für Nutzer*innen Bereitstellung der 2-Faktor-Authentifizierung für alle Mitarbeiter*innen Pilot-Phase mit Ausrollung für begrenzte Benutzer*innen-Gruppen steht an FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 3

Übersicht - TAN-Verfahren itan - Papierliste mit TANs; Standard- und Fallback-Verfahren; immer aktiv vtan - TAN über unser VoIP-Netz auf ein Diensttelefon TOTP - Time-based One-time Password, generiert z.b. durch eine App auf einem Mobilgerät FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 4

Technische Umsetzung FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 5

Organisatorisches Verteilung von itan-listen ist wichtige und schwierige Aufgabe: initiale Verteilung via dezentraler Ausgabestellen Erstellung durch die Nutzer*innen selber unter Verwendung einer TAN ist kein Verfahren verfügbar -> Ausgabestelle FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 6

Ausblick Sicherung von nicht Web-Diensten (z.b. VPN) Ausrollung für Studierende Mitarbeiter*innenkarte als 2. Faktor FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 7

Authentication Context Classes in SAML2 Standard: http://docs.oasis-open.org/security/saml/v2.0/ saml-authn-context-2.0-os.pdf Hierarchie von Klassen häufig: urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport Service Provider kann benötigte Klasse festlegen z.b../shibboleth.sso/login?authncontextclassref=urn:de:fuberlin:fudis:saml:2.0:ac:classes:2fa Vergleichsregel kann auch angegeben werden z.b../shibboleth.sso/login?authncontextcomparison=minimum Werte: exact, minimum, maximum, better default: exact Hierarchie nicht immer eindeutig festlegbar FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 8

Authentication Context Classes als Principals Authentication Context Classes werden als Principals im IdP realisiert Festlegung pro Authentifizierungsverfahren in ${idp.home}/conf/authn/general-authn.xml sind mehrere Authentifizierungsverfahren passend, wird erstes aus der Liste in general-authn.xml verwendet Authentication Context Classes nach erfolgreicher Authentifizierung im AuthenticationResult im Subject mit enthalten FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 9

Authentication Context Classes als Principals, Teil 2 FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 10

Multi Factor Authentication (MFA) https://wiki.shibboleth.net/confluence/display/idp30/ MultiFactorAuthnConfiguration sehr mächtig, sehr viel Variabilität, aber auch viel Fehlerpotential supportedprincipals in general-authn.xml legt nur fest, ob MFA für angeforderte Authentication Context Class zuständig ist Ergebnisse der durch MFA angesprochenen authn-flows werden am Ende verbunden ist Authentication Context Class nicht im Gesamtergebnis enthalten, kommt es zum Fehler besondere Sorgfalt auch bei Post-Login Subject Canonicalization idp.authn.flows.initial ist deprecated, komplette Konfiguration über ${idp.home}/conf/authn/mfa-authn-config.xml FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 11

Beispiel mfa-authn-config.xml... alles weitere im Shibboleth Workshop FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 12

Shibboleth Workshop Datum: 22. und 23.11.2018 Ort: Seminaris CampusHotel Berlin zwei volle Tage von jeweils 9 bis 18 Uhr für Fortgeschrittene Themen Konfiguration und Implementierung eigener authn-flows Konfiguration MFA Realisierung verschiedener Realms/Scopes es wird ein eigenes Notebook benötigt Preis:??? Anmeldung demnächst über Weiterbildungszentrum der Freien Universität Berlin Anzahl Teilnehmer: mindestens 20 ein Beginners-Workshop kann auch parallel bei mindestens 15 Teilnehmern angeboten werden FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 13

Fragen...?! Vielen Dank fürs Zuhören und Diskutieren! FU Berlin, 2-Faktor-Authentifizierung an der Freien Universität Berlin, DFN 2018 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback