Single Sign-On Step 1 Novell Tour 2006 Stefan Stiehl Senior Technology Specialist sstiehl@novell.com Holger Dopp Senior Consultant hdopp@novell.com
Was ist Single Sign-On? Eine Befugnisverwaltungstechnologie, die Benutzer mit einer einheitlichen Identität zum schnellen und sicheren Zugang zu entsprechend konfigurierten Systemen ausstattet.
Passwort Management - Kosten 30% der Help Desk Tickets sind Passwort Thematiken. Einige Unternehme reporten mehr als das Dopplete. Ant Allan, Gartner: presentation Gartner IT Security Summit, 2005) viele Unternehmen konnten mit SSO die Help Desk Tickets um mehr als 30% reduzieren. Mike Neuenschwander, Burton Group: Enterprise Identity Management: Moving from Theory to Practice Passwort Management: 100-250 pro Benutzer pro Jahr Aberdeen Group Study: Passwords are Gobbling Up Your Profits, May 2003 3
Single Sign On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 4
Client-SSO: Novell Secure Login Identity Store (AD, edir, LDAP)
Client-SSO: Novell Secure Login WARNUNG: Diese Software macht schnell abhängig und bequem! 6
Client-SSO: Novell Secure Login Bequem Helpdesk: weniger Passwort reset Stärkere Passwörter in den einzelnen Applikationen trotz der Anforderung sich weniger Passwörter merken zu müssen Zentrales Policy Management/Enforcement Sichere Ablage der Anmeldedetails Keine Modifikation des Back-Ends On und off-line Fähigkeit Unterstützung von Advanced Authentication Integration mit Firmenfremden Applikationen möglich Applikationen: Web; Windows; Citrix; Terminal-Emulatoren One key to the kingdom (Abhilfe durch Starke Authentication) Benötigt auf jedem Desktop den Secure Login Client 7
Single Sign-On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 8
Web-SSO: Demo http://idpa.simed.utopia.novell.com:81 Public http://idpa.simed.utopia.novell.com:81/sales Basic Authentication http://idpa.simed.utopia.novell.com:81/form Form Authentication
Web-SSO: Demo http://idpa.simed.utopia.novell.com:81 Public http://www.am3bc.com http://www.am3bc.com/sales http://www.am3bc.com/form http://idpa.simed.utopia.novell.com:81/sales Basic Authentication http://idpa.simed.utopia.novell.com:81/form Form Authentication
Web-SSO: Demo http://www.am3bc.com http://www.am3bc.com/sales http://www.am3bc.com/form www.am3bc.com Access Gateway http://idpa.simed.utopia.novell.com:81 Public http://idpa.simed.utopia.novell.com:81/sales Basic Authentication http://idpa.simed.utopia.novell.com:81/form Identity Server Form Authentication
Web-SSO Novell Access Manager Role und Policy Management -> geringere Komplexität der Implementation und Verwaltung von Web- Applikationen Keine Modifikationen der Web-Applikationen Granulare Zugriff auf Java Applikationen (J2EE Agents) SSL VPN für nicht HTML fähige Applikationen Multi-Path homing SSL nicht am Web Server nötig Scalierbarkeit Federation für non Federated Applikationen One key to the kingdom (Abhilfe durch Starke Authentication) SSO nur für Web Applikationnen! 12
Single Sign-On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 13
Was ist Federation? Eine Federation ist eine Gruppe von zwei oder mehr verläßlichen Teilnehmern mit Geschäfts und technischen Vereinbarungen, die einen Benutzer eines Partners erlauben Betriebsmittel von einem anderen Partner in einer sicheren und vertrauenswürdigen Weise nahtlos zugänglich zu machen.
Web-SSO: Federation Web Applikation Firma A Standards: SAML 1.1, 2.0 Liberty Alliance Web Applikation Firma B
Web-SSO/ Federated Authentication Role und Policy Management -> geringere Komplexität der Implementation und Verwaltung von Web- Applikationen Mit Application Gateway: keine Modifikationen der Web- Applikationen für SSO notwendig Mit Application Gateway: Federation von nicht Federation fägigen Applikationen Sicheres Teilen von Identitäts Daten zwischen Teilnehmern der Federation (z.b. Kreditkarten info etc.) Offenes und Standardisiertes Protokoll One key to the kingdom (Abhilfe durch Starke Authentication) Nur für Web Applikationnen! Federation: Web Applikationen müssen den Spezifikationen angepasst sein Shibboleth? 16
Single Sign-On Varianten Client/Host Single Sign-On Web Single Sign-On Federation Kerberos 17
Was ist Kerberos? Offenes, sicheres Authentifizierungsprotokoll Definiert in RFC 4210 Erste Definition 1983 Project Athena am MIT Erste vollständige Definition 1987 Kerberos v4
Wie funktioniert Kerberos? Verwaltungseinheit in Kerberos ist Realm DNS Schreibweise in Großbuchstaben verwendet, also z.b. DUS.NOVELL.COM Mehere Realms können sich mit Cross-Realm Trusts vertrauen. User erhält eindeutigen Namen, sogenannten Principal Name. Format: username@realm z.b: sstiehl@dus.novell.com Password erzeugt Userkey Verschlüsselungsmethoden: DES, 3DES, AES, RC4 Hash Methoden: MD5, SHA-1, HMAC, CRC-32
Wie funktioniert Kerberos? Kerberos Authentication Server -> u_key -> s_key Realm DB u_id -> u_key s_id -> s_key Ticket Granting Service -> u_key -> s_key -> tgs_key ->tgs_id
Wie funktioniert Kerberos? 1. Anfrage TGT Kerberos Authentication Server Client: User u -> u_key -> u_id 2. Antwort: TGT *tgs_key tgs_session key u_id KEY *u_key tgs_session key tgs_id -> u_key -> s_key 5. ST *s_key s_session_key u_id KEY *s_session key timestamp s_id Service S KEY *s_session_key response -> s_key -> s_id 4. Antwort: ST *s_key s_session_key u_id 3. Anfrage Service KEY *tgs_session key s_session_key s_id TGT *tgs_key tgs_session key u_id Realm DB u_id -> u_key s_id -> s_key Ticket Granting Service -> u_key -> s_key -> tgs_key ->tgs_id
Novell KDC Komponenten Kerberos Distribution Center Authentifizierungs- und Ticket Distribution Server Administration Server Server für die Command Line Administration Password Server Server zum Wechseln der Kerberos Passworte
Verwaltung Principal Name wird nicht automtisch angelegt Loopback Driver Universal Password benötigt Muss für Realms oder Benutzer eingeschaltet werden Bidirektionale Passwordsynchronisation
Kerberos Sehr sicher ab V5 (1991) Offenes und Standardisiertes Protokoll Gutes in sich geschlossenes Security Konzept One key to the kingdom Applikationen müssen Kerberos enabled sein Keys müssen zu den Services verteilt werden Uhrzeiten müssen synchronisiert sein Nicht ohne weiteres mit Firewalls einsetzbar (NAT) On Off Line? 24
Novell Single Sign-On Lösungen Novell KDC Novell ichain/ Access Manager Kerberos Single Sign On Web Single Sign On Novell SecureLogin Novell ichain/ Access Manager Client-based Single Sign On Federated Authentication 25
Novell Single Sign-On Lösungen Novell KDC Novell ichain/ Access Manager Kerberos Single Sign On Web Single Sign On Novell SecureLogin Client-based Single Sign On Novell Identity Manager Novell ichain/ Access Manager Federated Authentication 26 Passwort Synchronisation