single sign-on technologieüberblick
TRANSCRIPT
Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost
www.belsoft.ch Russenweg 26
CH-8008 Zürich
T +41 44 388 13 31
Eichenstrasse 2
CH-8808 Pfäffikon (SZ)
T +41 55 410 55 50
Espenstrasse 139
CH-9443 Widnau (SG)
T +41 71 727 75 75
Single Sign-On
Technologieüberblick
Toni Feric
Andreas Ponte
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Abstract
Das Konzept hinter Lösungen
- SSO, PW Synch, SPNEGO, SAML
Übersicht der
- Anforderungen
- Beschränkungen
- Vorteile
Überblick über eine Reihevon verwirrenden Abkürzungen
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Single Sign-On
Single Password
Passwort nur einmal eingeben
Hohe Sicherheit
Hoher Aufwand
Gleiches Passwort für alle Applikationen
Viel Komfort, wenig Aufwand
Niedrigere Sicherheit
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Zentrales Directory
Netzwerk
Webmail
Sametime
Connections
LDAP
Directory
Single Password
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Passwort Synchronisation
Netzwerk
Webmail
Sametime
Connections
Passwort
Sync-Tool
Single Password
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Netzwerk
Webmail
HR
CRM
ACMENET\MME
S002173
Marlies Bürgi-Meier
Verschiedene ID’s – Gleicher Benutzer
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Alle Applikationen sollten das gleiche LDAP Verzeichnis verwenden
• Domino: Einbinden eines LDAP Verzeichnisses (Windows AD?) via Directory Assistance
• LDAP Attribut «Distinguished Name» wird benötigt
• HTTP Passwörter aus allen Personendokumenten entfernen
• Funktioniert für Domino Webzugriff (Applikationen, Webmail, Traveler, Sametime, etc.)
• Funktioniert auch wenn ein User extern arbeitet (ohne direkten LDAP Zugriff)
Single Password
Zentrales Directory
Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost
www.belsoft.ch Russenweg 26
CH-8008 Zürich
T +41 44 388 13 31
Eichenstrasse 2
CH-8808 Pfäffikon (SZ)
T +41 55 410 55 50
Espenstrasse 139
CH-9443 Widnau (SG)
T +41 71 727 75 75
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SPNEGO
Simple
Protected
GSSAPI
Negotiation
Mechanism
Kerberos
NTLM
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SPNEGO – Beispiel für Domino
Login auf der
Windows
Workstation
Active
Directory
erstellt
SPNEGO
Token
Benutzer
versucht auf
eine Domino
Webseite
zuzugreifen
Browser schickt
im Request den
Usernamen und
das SPNEGO
Token an
Domino
Domino validiert
das SPNEGO
Token via Active
Directory Server
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SSO Windows Domino
Active Directory Domino Domain
SPNEGO
Token
LTPA
Token
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SPNEGO konfigurieren
• Multi-Server Single Sign-On auf dem Domino Server
• Domino Web SSO Dokument erstellen
• Im AD einen SPN (Service Principal Name) für den Domino Server erstellen.
• Domino muss unter diesem SPN AD Account laufen.
• «domspnego» ausführen.
• Die Ausgabe des Befehls an den AD Administrator schicken für die Ausführung des«setspn» Befehls.
• «setspn –a http://<dominohostname> <WindowsID_Domino>» ausführen.
• Personendokumente (FullName) mit dem AD Namen ergänzen (und optional dem krbPrincipalName und LTPA User Namen)
• Verzeichnisse synchronisieren (AD, Domino, etc.).
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Gründe gegen SPNEGO
Funktioniert nicht ohne Active Directory
Benutzer müssen sich im Active Directory anmelden
Funktioniert nur mit Browsern, die von Microsoft unterstützt werden
Benutzer müssen mit einem Windows Client arbeiten
Domino muss unter einer Windows Platform laufen
(zumindest der erste Webserver, welcher das Multi-Server SSO Token erstellt)
Funktioniert nicht, wenn ein Benutzer von Remote arbeitet und sich nicht im Active Directory anmelden kann
Deckt nur ein spezifisches Szenario ab
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Language
Security
Assertion
Markup
XML Protokoll und Prozess zum Austausch von
Authentifizierungs- und Autorisierungsinformationen
zwischen Benutzern, Webservices und Servern
SAML
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SAML - Vorteile
Keine Passwörter!
Passwörter können nicht mehr…
kompromittiert werden
ablaufen
abgefangen werden
Ist der Benutzer einmal beim Identity Provider authentifiziert, wird nicht mehr nach dem Passwort gefragt
Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost
www.belsoft.ch Russenweg 26
CH-8008 Zürich
T +41 44 388 13 31
Eichenstrasse 2
CH-8808 Pfäffikon (SZ)
T +41 55 410 55 50
Espenstrasse 139
CH-9443 Widnau (SG)
T +41 71 727 75 75
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SAML – Schritt für Schritt
User greift auf
Webservice
zu und will
einloggen
User wird an
den Identity
Provider
geleitet
Identity Provider
stellt
Authentifizierung
sicher und erteilt
die Identity
Assertion
User wird zum
Webservice
geleitet und
greift mit der
SAML Assertion
zu
Webservice
erkennt SAML
Assertion und
gewährt Zugriff
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SAML - Definitionen
IdP – Identity Provider
ADFS – Active Directory Federation Services (Windows 2008/2012)
• Ab SAML 2.0 (SAML 1.x nicht unterstützt)
• Kann kombiniert werden mit SPNEGO
• Verbessert IWA (Integrated Windows Authentication)
TFIM – Tivoli Federated Identity Manager
• SAML 1.1 und 2.0
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
SAML - Definitionen
SP – Service Provider
IBM Domino – Web federated login
IBM WebSphere
IBM Notes – Notes federated login (Voraussetzung ID Vault)
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
HTTP / SOAPHTTP / SOAP
IdP SP
SAML Assertions können Aussagen machen über:
Authentifizierung
Autorisierung
Attribute von Subjekten
SAML Assertion
SAML Assertion
SAML - Definitionen
Funktionsweise
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
IdP
SP
IdPSP
SP
SP
SP
SP
SPSP
SP
SAML - Definitionen
Funktionsweise
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Gründe gegen SAML
Nicht alle Applikationen unterstützen SAML
Traveler
Notes Browser Plug-in
Sametime
ID Vault ist Voraussetzung für Notes Client SAML SSO
Notes ID’s die nicht «gevaulted» werden können, funktionieren nicht mit SAML
Notes ID’s mit mehreren Passwörtern, Smartcards, etc
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Zusammenfassung
Überlegen Sie, was wirklich das Problem oder die Anforderung ist. Es gibt vieleTechnologien die helfen können, aber deren Aufbau und Pflege wird immerkomplexer.
- Was sind die Prioritäten? Ein einzelnes Passwort? Kein Passwort? KeineAuthentifizierung mit einem bestimmten Dienst?
Viele Lösungen benötigen ein spezifisches OS, Software oder Client Versionen
- Stellen Sie sicher, dass alle Voraussetzungen erfüllt werden, bevor Sie mit demAufbau beginnen.
Es gibt einfachere Lösungen (Single Passwort, SPNEGO), es gibt schwierigereLösungen (SAML)
Es gibt nicht DIE Lösung, Sie müssen die Kombination wählen, welche IhrenAnsprüchen/Anforderungen entspricht
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Zusammenfassung
Wir können Sie mit unserem Sachverstand unterstützen mit:
- Beratung (Architektur, Best Practice, Reviews)
- Upgrades
- Schulungen
- POCs
- Implementationen
- Support
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Fragen?
Herzlichen Dank für Ihre Aufmerksamkeit
Toni Feric ([email protected]) @ToniFeric
Andreas Ponte ([email protected]) @aponte
© 2
014
Bel
soft
AG
|
ww
w.b
elso
ft.ch
Quellen & Referenzen
Präsentation an der Connect 2014, “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML / Gab Davis & Chris Miller”
- http://turtleblog.info/2014/02/04/bp104-simplifying-the-ss-single-sign-on-spnego-and-saml/
OpenMic: Intro to Notes Federated Login (SAML)
- http://www-01.ibm.com/support/docview.wss?uid=swg27041524
Definitionen SAML Standard:
- https://www.oasis-open.org/standards#samlv2.0
Wikipedia:
- http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
- http://en.wikipedia.org/wiki/SPNEGO