Your SlideShare is downloading. ×
  • Like
Single Sign-On Technologieüberblick
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Single Sign-On Technologieüberblick

  • 1,043 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,043
On SlideShare
0
From Embeds
0
Number of Embeds
3

Actions

Shares
Downloads
12
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost www.belsoft.ch Russenweg 26 CH-8008 Zürich T +41 44 388 13 31 Eichenstrasse 2 CH-8808 Pfäffikon (SZ) T +41 55 410 55 50 Espenstrasse 139 CH-9443 Widnau (SG) T +41 71 727 75 75 Single Sign-On Technologieüberblick Toni Feric Andreas Ponte
  • 2. ©2014BelsoftAG|www.belsoft.ch Abstract  Das Konzept hinter Lösungen - SSO, PW Synch, SPNEGO, SAML  Übersicht der - Anforderungen - Beschränkungen - Vorteile  Überblick über eine Reihe von verwirrenden Abkürzungen  Grundlage dieser Präsentation: “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” by Gab Davis & Chris Miller
  • 3. ©2014BelsoftAG|www.belsoft.ch Single Sign-On Single Password Passwort nur einmal eingeben Hohe Sicherheit Hoher Aufwand Gleiches Passwort für alle Applikationen Viel Komfort, wenig Aufwand Niedrigere Sicherheit
  • 4. ©2014BelsoftAG|www.belsoft.ch Zentrales Directory Netzwerk Webmail Sametime Connections LDAP Directory Single Password
  • 5. ©2014BelsoftAG|www.belsoft.ch Passwort Synchronisation Netzwerk Webmail Sametime Connections Passwort Sync-Tool Single Password
  • 6. ©2014BelsoftAG|www.belsoft.ch Netzwerk Webmail HR CRM ACMENETMME Marlies.Buergi@acme.ch S002173 Marlies Bürgi-Meier Verschiedene ID’s – Gleicher Benutzer
  • 7. ©2014BelsoftAG|www.belsoft.ch  Alle Applikationen sollten das gleiche LDAP Verzeichnis verwenden • Domino: Einbinden eines LDAP Verzeichnisses (Windows AD?) via Directory Assistance • LDAP Attribut «Distinguished Name» wird benötigt • HTTP Passwörter aus allen Personendokumenten entfernen • Funktioniert für Domino Webzugriff (Applikationen, Webmail, Traveler, Sametime, etc.) • Funktioniert auch wenn ein User extern arbeitet (ohne direkten LDAP Zugriff) Single Password Zentrales Directory
  • 8. ©2014BelsoftAG|www.belsoft.ch Applikation Benutzer Identity Provider Ticket Single Sign-On
  • 9. ©2014BelsoftAG|www.belsoft.ch SPNEGO Simple Protected GSSAPI Negotiation Mechanism Kerberos NTLM
  • 10. ©2014BelsoftAG|www.belsoft.ch SPNEGO – Beispiel für Domino Login auf der Windows Workstation Active Directory erstellt SPNEGO Token Benutzer versucht auf eine Domino Webseite zuzugreifen Browser schickt im Request den Usernamen und das SPNEGO Token an Domino Domino validiert das SPNEGO Token via Active Directory Server
  • 11. ©2014BelsoftAG|www.belsoft.ch SSO Windows Domino Active Directory Domino Domain SPNEGO Token LTPA Token
  • 12. ©2014BelsoftAG|www.belsoft.ch SPNEGO konfigurieren • Multi-Server Single Sign-On auf dem Domino Server • Domino Web SSO Dokument erstellen • Im AD einen SPN (Service Principal Name) für den Domino Server erstellen. • Domino muss unter diesem SPN AD Account laufen. • «domspnego» ausführen. • Die Ausgabe des Befehls an den AD Administrator schicken für die Ausführung des «setspn» Befehls. • «setspn –a http://<dominohostname> <WindowsID_Domino>» ausführen. • Personendokumente (FullName) mit dem AD Namen ergänzen (und optional dem krbPrincipalName und LTPA User Namen) • Verzeichnisse synchronisieren (AD, Domino, etc.).
  • 13. ©2014BelsoftAG|www.belsoft.ch Gründe gegen SPNEGO Funktioniert nicht ohne Active Directory Benutzer müssen sich im Active Directory anmelden Funktioniert nur mit Browsern, die von Microsoft unterstützt werden Benutzer müssen mit einem Windows Client arbeiten Domino muss unter einer Windows Platform laufen (zumindest der erste Webserver, welcher das Multi-Server SSO Token erstellt) Funktioniert nicht, wenn ein Benutzer von Remote arbeitet und sich nicht im Active Directory anmelden kann Deckt nur ein spezifisches Szenario ab
  • 14. ©2014BelsoftAG|www.belsoft.ch Language Security Assertion Markup XML Protokoll und Prozess zum Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen Benutzern, Webservices und Servern SAML
  • 15. ©2014BelsoftAG|www.belsoft.ch SAML - Vorteile Keine Passwörter! Passwörter können nicht mehr… kompromittiert werden ablaufen abgefangen werden Ist der Benutzer einmal beim Identity Provider authentifiziert, wird nicht mehr nach dem Passwort gefragt
  • 16. ©2014BelsoftAG|www.belsoft.ch SP Service Provider Principal IdP Identity Provider Identity Assertion SAML - Begriffe
  • 17. ©2014BelsoftAG|www.belsoft.ch SAML – Schritt für Schritt User greift auf Webservice zu und will einloggen User wird an den Identity Provider geleitet Identity Provider stellt Authentifizierung sicher und erteilt die Identity Assertion User wird zum Webservice geleitet und greift mit der SAML Assertion zu Webservice erkennt SAML Assertion und gewährt Zugriff
  • 18. ©2014BelsoftAG|www.belsoft.ch SAML - Definitionen IdP – Identity Provider  ADFS – Active Directory Federation Services (Windows 2008/2012) • Ab SAML 2.0 (SAML 1.x nicht unterstützt) • Kann kombiniert werden mit SPNEGO • Verbessert IWA (Integrated Windows Authentication)  TFIM – Tivoli Federated Identity Manager • SAML 1.1 und 2.0
  • 19. ©2014BelsoftAG|www.belsoft.ch SAML - Definitionen SP – Service Provider  IBM Domino – Web federated login  IBM WebSphere  IBM Notes – Notes federated login (Voraussetzung ID Vault)
  • 20. ©2014BelsoftAG|www.belsoft.ch HTTP / SOAP HTTP / SOAP IdP SP SAML Assertions können Aussagen machen über:  Authentifizierung  Autorisierung  Attribute von Subjekten SAML Assertion SAML Assertion SAML - Definitionen Funktionsweise
  • 21. ©2014BelsoftAG|www.belsoft.ch IdP SP IdP SP SP SP SP SP SPSP SP SAML - Definitionen Funktionsweise
  • 22. ©2014BelsoftAG|www.belsoft.ch Gründe gegen SAML Nicht alle Applikationen unterstützen SAML Traveler Notes Browser Plug-in Sametime ID Vault ist Voraussetzung für Notes Client SAML SSO Notes ID’s die nicht «gevaulted» werden können, funktionieren nicht mit SAML Notes ID’s mit mehreren Passwörtern, Smartcards, etc
  • 23. ©2014BelsoftAG|www.belsoft.ch Zusammenfassung: Eine Frage – mehrere Antworten
  • 24. ©2014BelsoftAG|www.belsoft.ch Zusammenfassung  Überlegen Sie, was wirklich das Problem oder die Anforderung ist. Es gibt viele Technologien die helfen können, aber deren Aufbau und Pflege wird immer komplexer. - Was sind die Prioritäten? Ein einzelnes Passwort? Kein Passwort? Keine Authentifizierung mit einem bestimmten Dienst?  Viele Lösungen benötigen ein spezifisches OS, Software oder Client Versionen - Stellen Sie sicher, dass alle Voraussetzungen erfüllt werden, bevor Sie mit dem Aufbau beginnen.  Es gibt einfachere Lösungen (Single Passwort, SPNEGO), es gibt schwierigere Lösungen (SAML)  Es gibt nicht DIE Lösung, Sie müssen die Kombination wählen, welche Ihren Ansprüchen/Anforderungen entspricht
  • 25. ©2014BelsoftAG|www.belsoft.ch Zusammenfassung  Wir können Sie mit unserem Sachverstand unterstützen mit: - Beratung (Architektur, Best Practice, Reviews) - Upgrades - Schulungen - POCs - Implementationen - Support
  • 26. ©2014BelsoftAG|www.belsoft.ch Fragen? Herzlichen Dank für Ihre Aufmerksamkeit Toni Feric (toni.feric@belsoft.ch), @ToniFeric Andreas Ponte (andreas.ponte@belsoft.ch), @aponte
  • 27. ©2014BelsoftAG|www.belsoft.ch Quellen & Referenzen  Präsentation an der Connect 2014, “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” Gab Davis & Chris Miller - http://turtleblog.info/2014/02/04/bp104-simplifying-the-ss-single-sign-on-spnego-and-saml/  OpenMic: Intro to Notes Federated Login (SAML) - http://www-01.ibm.com/support/docview.wss?uid=swg27041524  Definitionen SAML Standard: - https://www.oasis-open.org/standards#samlv2.0  Wikipedia: - http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language - http://en.wikipedia.org/wiki/SPNEGO