Kerberos als Unternehmsweites Single Sign On

Copyright (C) 2007 Mike Wiesner Dieses Werk kann durch jedermann gemäß den Bestimmungen der Lizenz für die freie Nutzung unveränderter Inhalte genutzt werden. Die Lizenzbedingungen können unter http:// www.uvm.nrw.de/opencontent abgerufen oder bei der Geschäftsstelle des Kompetenznetzwerkes Universitätsverbund MultiMedia NRW, Universitätsstraße 11, D-58097 Hagen, schriftlich angefordert werden. Eine Nutzung außerhalb dieser Lizenz bedarf der schriftlichen Genehmigung des Rechteinhabers. Dieser Hinweis darf nicht entfernt werden! Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Über mich • Senior Consultant bei Interface21 Germany – Hersteller des Java OSS-Frameworks Spring • IT-Security Consulting • Acegi-/Spring-Consulting • Trainings • mwiesner@interface21.com Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Systemlandschaft heute... Java, C++ X X Java, C++, .NET HTTP RMI .NET, C IMAP IIOP C, PHP, J2EE Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Das Ergebnis: Anmeldung Mike Benutzername: **** Kennwort: OK Abbrechen LDAP-Anmeldung User1 Benutzername **** Kennwort Abbrechen OK Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösungen • Andere Authentiﬁzierungen: – Smart Cards – Finger Scans – Passwort Manager Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösungen • Andere Authentiﬁzierungen: – Smart Cards – Finger Scans – Passwort Manager • Nachteile: – Unterstützung durch Anwendung nötig – Hardwarekosten – Wechsel nicht ohne weiteres möglich – Wie kommt der Benutzername zum Server? Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Client-/Server-Authentifizierung Benutzer=mike Client LDAP-Anmeldung User1 Benutzername **** Kennwort Server Abbrechen OK LDAP Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösung Client-/Server- Authentifizierung • Server authentiﬁziert ebenfalls – Kennwort geht immer über das Netzwerk – Probleme bei Hardware-Authentifzierung Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösung Client-/Server- Authentifizierung • Server authentiﬁziert ebenfalls – Kennwort geht immer über das Netzwerk – Probleme bei Hardware-Authentifzierung • Verschlüsselung des Benutzernamens – Client muss den Schlüssel kennen – Manipulation möglich Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösung Single-Sign-On • Abstraktion zum Authentiﬁzierungsverfahren – Nur das SSO-System authentiﬁziert Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösung Single-Sign-On • Abstraktion zum Authentiﬁzierungsverfahren – Nur das SSO-System authentiﬁziert • Sicheres übertragen des Benutzernamens – Kein übertragen des Kennworts nötig – SSO-Server verschlüsselt Benutzername Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösung Single-Sign-On • Abstraktion zum Authentiﬁzierungsverfahren – Nur das SSO-System authentiﬁziert • Sicheres übertragen des Benutzernamens – Kein übertragen des Kennworts nötig – SSO-Server verschlüsselt Benutzername • Fertige Bibliotheken/APIs Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Lösung Single-Sign-On • Abstraktion zum Authentifizierungsverfahren – Nur das SSO-System authentifiziert • Sicheres übertragen des Benutzernamens – Kein übertragen des Kennworts nötig – SSO-Server verschlüsselt Benutzername • Fertige Bibliotheken/APIs • Häufigstes Verfahren: Tickets Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Ticket mit SSO Benutzername Client LDAP-Anmeldung User1 Benutzername Ticket mit Benutzername **** Kennwort Server Abbrechen OK Ticket Validierung (= Benutzername) Authentiﬁzierung SSO-Server LDAP Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

SSO Ablauf • Authentiﬁzierung Client gegenüber SSO-Server • Rückgabe Ticket mit verschlüsseltem Benutzername Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

SSO Ablauf • Authentiﬁzierung Client gegenüber SSO-Server • Rückgabe Ticket mit verschlüsseltem Benutzername • Übermittlung des Tickets zum Anwendungsserver Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

SSO Ablauf • Authentiﬁzierung Client gegenüber SSO-Server • Rückgabe Ticket mit verschlüsseltem Benutzername • Übermittlung des Tickets zum Anwendungsserver • Validierung des Tickets auf dem Anwendungsserver Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

SSO Ablauf • Authentiﬁzierung Client gegenüber SSO-Server • Rückgabe Ticket mit verschlüsseltem Benutzername • Übermittlung des Tickets zum Anwendungsserver • Validierung des Tickets auf dem Anwendungsserver • Bestätigter Benutzername auf dem Server vorhanden Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Ist das sicher? Ziel: • Sicherheit soll nicht schlechter sein als ohne SSO Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Ist das sicher? Ziel: • Sicherheit soll nicht schlechter sein als ohne SSO • Evtl. sogar besser? Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Klassisch Java, C++ X X Java, C++, .NET LDAP HTTP DB RMI .NET, C IMAP DB IIOP DB DB C, PHP, J2EE Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Klassisch Java, C++ X X Java, C++, .NET LDAP HTTP DB RMI .NET, C IMAP DB IIOP DB DB C, PHP, J2EE Viele Datenspeicher Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Klassisch Java, C++ X X Java, C++, .NET LDAP HTTP DB RMI .NET, C IMAP DB IIOP Viele DB Kennwortübertagungen DB C, PHP, J2EE Viele Datenspeicher Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Ticket mit SSO Benutzername Client LDAP-Anmeldung User1 Benutzername Ticket mit Benutzername **** Kennwort Server Abbrechen OK Ticket Validierung (= Benutzername) Authentiﬁzierung SSO-Server LDAP Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Ticket mit SSO Benutzername Client LDAP-Anmeldung User1 Benutzername Ticket mit Benutzername **** Kennwort Server Abbrechen OK Ticket Validierung (= Benutzername) Authentiﬁzierung Ein Datenspeicher SSO-Server LDAP Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Ticket mit SSO Benutzername Client LDAP-Anmeldung User1 Benutzername Ticket mit Benutzername **** Kennwort Server Abbrechen OK Ticket Validierung (= Benutzername) Authentiﬁzierung Ein Datenspeicher SSO-Server Kennwort einmal LDAP Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Höhere Sicherheit mit SSO! • Angrisﬂäche wird kleiner – Nur ein Datenspeicher und Authentiﬁzierungs-System Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Höhere Sicherheit mit SSO! • Angrisﬂäche wird kleiner – Nur ein Datenspeicher und Authentiﬁzierungs-System • Kennwortübertragung verringert – Nur einmal nötig Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Höhere Sicherheit mit SSO! • Angrisﬂäche wird kleiner – Nur ein Datenspeicher und Authentiﬁzierungs-System • Kennwortübertragung verringert – Nur einmal nötig • I.d.R. bessere Kennwörter – Eingabe nur einmal nötig Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Höhere Sicherheit mit SSO! • Angrisﬂäche wird kleiner – Nur ein Datenspeicher und Authentiﬁzierungs-System • Kennwortübertragung verringert – Nur einmal nötig • I.d.R. bessere Kennwörter – Eingabe nur einmal nötig • Vorraussetzung: – Das SSO-System ist sicher! Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kerberos Steckbrief • 1983: Projekt Athena beim MIT • 1993: Aktuelle Version 5 Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kerberos Steckbrief • 1983: Projekt Athena beim MIT • 1993: Aktuelle Version 5 • Beschreibung: RFC 1510 Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kerberos Steckbrief • 1983: Projekt Athena beim MIT • 1993: Aktuelle Version 5 • Beschreibung: RFC 1510 • Ticket basiertes System in vertrauten Netzwerken Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kerberos Steckbrief • 1983: Projekt Athena beim MIT • 1993: Aktuelle Version 5 • Beschreibung: RFC 1510 • Ticket basiertes System in vertrauten Netzwerken • Netzwerk selbst muss nicht „sicher“ sein Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kerberos Steckbrief • 1983: Projekt Athena beim MIT • 1993: Aktuelle Version 5 • Beschreibung: RFC 1510 • Ticket basiertes System in vertrauten Netzwerken • Netzwerk selbst muss nicht „sicher“ sein • Server müssen sich bei Kerberos registrieren – Gegenseitige Authentiﬁzierung möglich Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kerberos Steckbrief • 1983: Projekt Athena beim MIT • 1993: Aktuelle Version 5 • Beschreibung: RFC 1510 • Ticket basiertes System in vertrauten Netzwerken • Netzwerk selbst muss nicht „sicher“ sein • Server müssen sich bei Kerberos registrieren – Gegenseitige Authentiﬁzierung möglich • SSO bereits von Anfang an eingebaut Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kerberos Steckbrief • 1983: Projekt Athena beim MIT • 1993: Aktuelle Version 5 • Beschreibung: RFC 1510 • Ticket basiertes System in vertrauten Netzwerken • Netzwerk selbst muss nicht „sicher“ sein • Server müssen sich bei Kerberos registrieren – Gegenseitige Authentiﬁzierung möglich • SSO bereits von Anfang an eingebaut • basiert auf symmetrische Verschlüsselung Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

SSO mit Kerberos Ticket mit Benutzername Client Kerberos-Anmeldung Ticket Validierung (= Benutzername) User1 Benutzername Ticket mit Benutzername **** Kennwort Server Abbrechen OK zuvor ausgetauscht Authentiﬁzierung SSO-Server LDAP Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Kennungen • Service-Principal: – Dienstkennung/Servername@REALM – z.B.: HTTP/server.secpod.de@SECPOD.DE • Benutzername: – Benutzername@REALM – z.B.: mike@SECPOD.DE • Realm immer groß schreiben! Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Verbreitung Betriebssysteme • Standard Authentiﬁzierung seit Windows 2000 – Eigene (Standardkonforme) Implementierung durch Microsoft • Implementierungen für Linux/Unix: – MIT – Heimdal • Sun Solaris • Mac OS X • Eigenes Dateisystem: AFS Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Verbreitung Anwendungen • Apache Webserver (mod_auth_kerb) • Microsoft IIS • OpenSSH • PAM • Samba • OpenLDAP • Dovecot (imap + pop) • Apple Mail.app • ... Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

API • Kerberos API nicht direkt empfohlen • Abstraktion: GSS-API – Generic Security Services API – bei Windows SSPI • Bindings für z.B. Java und C • Kerberos via HTTP: SPNEGO – Simple and Protected GSSAPI Negotiaton Mechanism – Firefox, Safari, Internet Explorer, Apache Webserver, Microsoft IIS, ... Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Unternehmesweites SSO? • Häuﬁg ist es bereits der Fall: – Bei Windows ist es Standard – Bei Solaris wird es empfohlen – Bei Linux, FreeBSD und Mac OS X gibt es bewährte Unterstützung Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Unternehmesweites SSO? • Häuﬁg ist es bereits der Fall: – Bei Windows ist es Standard – Bei Solaris wird es empfohlen – Bei Linux, FreeBSD und Mac OS X gibt es bewährte Unterstützung • Wieso nutzt es dann nicht schon jeder? – Mangelende Fachliteratur (nur 1 Buch) – Keine Unterstützung bei Java (bis Version 1.4) – Wenig How-To Anleitungen im Internet Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Unternehmesweites SSO? • Also: – Keine technische Hürden – Keine Unternehmerischen Hürden – „Nur“ fehlendes Know-How Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Unternehmesweites SSO? • Also: – Keine technische Hürden – Keine Unternehmerischen Hürden – „Nur“ fehlendes Know-How • Aber es wird besser: – Spring Security unterstützt demnächst Java GSS-API – Anleitungen werden immer mehr – Professioneller Support ist vorhanden Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 1 • Windows XP/2000 Clients – Internet Explorer, Firefox • Windows 2003 Server mit Active Directory • Debian GNU/Linux Server – Apache Webserver – PHP Webanwendung • Ziel: – Transparentes SSO bei der Webanwendung durch den Browser Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 1 Windos XP Clients Ticket mit Benutzername Benutzername als Apache Webserver + mod_auth_kerb Umgebungsvariable PHP- Webanwendung zuvor ausgetauscht Authentifzierung Debian GNU/Linux Windows 2003 Server Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 1 • Client – Keine Installation notwendig • Debian GNU/Linux Server – mod_auth_kerb beim Apache installieren • Windows 2003 Server – Keytab für Apache Webserver erzeugen (ktpass) • PHP-Anwendung – Auslesen der Variable REMOTE_USER – geht auch mit Perl, Tomcat, etc. • Alternative Anmeldung über BASIC möglich Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 2 • Windows XP und Linux Clients – PuTTy, OpenSSH • Windows 2003 Server • Linux und Solaris Server – OpenSSH • Ziel: – Anmeldung an allen Server mit der „Windows-Kennung“ – Idealerweise mit transparentem SSO Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 2 (ohne SSO) Windos XP / Linux Clients Benutzername + Kennwort PAM-Modul Ticket mit Authentifzierung Benutzername X zuvor ausgetauscht Linux / Solaris Server PAM-Modul zuvor ausgetauscht X Linux / Solaris Server Windows 2003 Server Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 2 (mit SOO) Windos XP / Linux Clients Ticket mit Benutzername PAM-Modul Ticket mit Benutzername X zuvor ausgetauscht Authentifzierung Linux / Solaris Server PAM-Modul zuvor ausgetauscht X Linux / Solaris Server Windows 2003 Server Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 2 • Client – Bei SSO + Windows: Spezieller Putty notwendig – Ansonsten: OpenSSH • Server – Bei SSO: Kerberos OpenSSH Feature – Ohne SSO: Kerberos PAM Modul • Windows 2003 Server – Keytab für Server erzeugen (ktpass) Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 3 • Windows XP und Linux Clients – Eigener Java Client • Windows 2003 Server • Beliebig – Eigener Java Server • Ziel: – Übernahme der Betriebssystemanmeldung vom Client – Sichere Übermittlung des Benutzernamens zum Server Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 3 Windos XP / Linux Clients Ticket mit Benutzername Java Client Java Server zuvor ausgetauscht Authentifzierung Beliebiger Server Windows 2003 Server Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Beispiel 3 • Client – Java Anwendung • Server – Java Anwendung • Windows 2003 Server – Keytab für Anwendung erzeugen (ktpass) • Ticket kann beliebig übermittelt werden – RMI, HTTP, ... • Keine Kerberos-Lib auf Server notwendig • Demnächst Unterstützung durch Spring Security Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fazit • Infrastruktur häuﬁg schon vorhanden • Unterstützung bei Standard-Produkten vorhanden Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fazit • Infrastruktur häuﬁg schon vorhanden • Unterstützung bei Standard-Produkten vorhanden • Einfache Verwendung im Web durch Apache und Microsoft IIS Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fazit • Infrastruktur häuﬁg schon vorhanden • Unterstützung bei Standard-Produkten vorhanden • Einfache Verwendung im Web durch Apache und Microsoft IIS • Verwendung bei Client-/Server-Anwendungen durch GSS-API – Unterstützung durch Security Frameworks (JAAS, Spring Security) Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Alles kein Problem? • KDC ist Single Point of Failure – Alle Anwendungen sind Abhängig davon Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Alles kein Problem? • KDC ist Single Point of Failure – Alle Anwendungen sind Abhängig davon • Auf jeden Fall redundant auslegen – Unterstützung durch Implementierungen Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Alles kein Problem? • KDC ist Single Point of Failure – Alle Anwendungen sind Abhängig davon • Auf jeden Fall redundant auslegen – Unterstützung durch Implementierungen • KDC muss besonders geschützt werden – Kompromittierung erlaubt Zugri auf alle Systeme Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Alles kein Problem? • KDC ist Single Point of Failure – Alle Anwendungen sind Abhängig davon • Auf jeden Fall redundant auslegen – Unterstützung durch Implementierungen • KDC muss besonders geschützt werden – Kompromittierung erlaubt Zugri auf alle Systeme • Einführung nicht auf Basis von Try/Error möglich – Unerkannte Sicherheitslücken Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fazit • Vorteile überwiegen die Nachteile • Know-How lässt sich aufbauen oder einkaufen Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fazit • Vorteile überwiegen die Nachteile • Know-How lässt sich aufbauen oder einkaufen • Abschließende Security Audits sind möglich Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fazit • Vorteile überwiegen die Nachteile • Know-How lässt sich aufbauen oder einkaufen • Abschließende Security Audits sind möglich • Produktivitätssteigerung auf jeden Fall gegeben Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fazit • Vorteile überwiegen die Nachteile • Know-How lässt sich aufbauen oder einkaufen • Abschließende Security Audits sind möglich • Produktivitätssteigerung auf jeden Fall gegeben • Systemverwaltung wird einfacher Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

Fragen? Mike Wiesner - Interface21 Germany ? mwiesner@interface21.com Skype: mikewiesner http://www.interface21.de http://www.mwiesner.com Copyright 2004-2006, Interface21 GmbH. Copying, publishing, or distributing without expressed written permission is prohibited.

http://www.mwiesner.com	421
http://mwiesner.com	69
http://www.slideshare.net	35
http://www.spring-security.de	4
http://static.slideshare.net	3
http://euve9828.vserver.de	3
http://www.ebusiness-akademie.de	3
http://webcache.googleusercontent.com	2
http://www.dvd-photo.slideshow.com	1
http://www.irene-mike.de	1
http://www.slideshow.com	1
http://www.team-wiesner.de	1
http://72.14.235.104	1

Kerberos als Unternehmsweites Single Sign On

by Mike Wiesner on Jun 04, 2007

Accessibility

Categories

Upload Details

Usage Rights

13 Embeds 545

Statistics

Kerberos als Unternehmsweites Single Sign On Presentation Transcript