Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost
www.belsoft.ch Russenweg 26
CH-8008 Zürich
T +41 44 388 13 3...
©2014BelsoftAG|www.belsoft.ch
Abstract
 Das Konzept hinter Lösungen
- SSO, PW Synch, SPNEGO, SAML
 Übersicht der
- Anfor...
©2014BelsoftAG|www.belsoft.ch
Single Sign-On
Single Password
Passwort nur einmal eingeben
Hohe Sicherheit
Hoher Aufwand
Gl...
©2014BelsoftAG|www.belsoft.ch
Zentrales Directory
Netzwerk
Webmail
Sametime
Connections
LDAP
Directory
Single Password
©2014BelsoftAG|www.belsoft.ch
Passwort Synchronisation
Netzwerk
Webmail
Sametime
Connections
Passwort
Sync-Tool
Single Pas...
©2014BelsoftAG|www.belsoft.ch
Netzwerk
Webmail
HR
CRM
ACMENETMME
Marlies.Buergi@acme.ch
S002173
Marlies Bürgi-Meier
Versch...
©2014BelsoftAG|www.belsoft.ch
 Alle Applikationen sollten das gleiche LDAP Verzeichnis verwenden
• Domino:
Einbinden eine...
©2014BelsoftAG|www.belsoft.ch
Applikation
Benutzer
Identity
Provider
Ticket
Single Sign-On
©2014BelsoftAG|www.belsoft.ch
SPNEGO
Simple
Protected
GSSAPI
Negotiation
Mechanism
Kerberos
NTLM
©2014BelsoftAG|www.belsoft.ch
SPNEGO – Beispiel für Domino
Login auf der
Windows
Workstation
Active
Directory
erstellt
SPN...
©2014BelsoftAG|www.belsoft.ch
SSO Windows Domino
Active Directory Domino Domain
SPNEGO
Token
LTPA
Token
©2014BelsoftAG|www.belsoft.ch
SPNEGO konfigurieren
• Multi-Server Single Sign-On auf dem Domino Server
• Domino Web SSO Do...
©2014BelsoftAG|www.belsoft.ch
Gründe gegen SPNEGO
Funktioniert nicht ohne Active Directory
Benutzer müssen sich im Active ...
©2014BelsoftAG|www.belsoft.ch
Language
Security
Assertion
Markup
XML Protokoll und Prozess zum Austausch von
Authentifizie...
©2014BelsoftAG|www.belsoft.ch
SAML - Vorteile
Keine Passwörter!
Passwörter können nicht mehr…
kompromittiert werden
ablauf...
©2014BelsoftAG|www.belsoft.ch
SP
Service
Provider
Principal
IdP
Identity
Provider
Identity Assertion
SAML - Begriffe
©2014BelsoftAG|www.belsoft.ch
SAML – Schritt für Schritt
User greift auf
Webservice
zu und will
einloggen
User wird an
den...
©2014BelsoftAG|www.belsoft.ch
SAML - Definitionen
IdP – Identity Provider
 ADFS – Active Directory Federation Services (W...
©2014BelsoftAG|www.belsoft.ch
SAML - Definitionen
SP – Service Provider
 IBM Domino – Web federated login
 IBM WebSphere...
©2014BelsoftAG|www.belsoft.ch
HTTP / SOAP
HTTP / SOAP
IdP SP
SAML Assertions können Aussagen machen über:
 Authentifizier...
©2014BelsoftAG|www.belsoft.ch
IdP
SP
IdP
SP
SP
SP
SP
SP
SPSP
SP
SAML - Definitionen
Funktionsweise
©2014BelsoftAG|www.belsoft.ch
Gründe gegen SAML
Nicht alle Applikationen unterstützen SAML
Traveler
Notes Browser Plug-in
...
©2014BelsoftAG|www.belsoft.ch
Zusammenfassung: Eine Frage – mehrere Antworten
©2014BelsoftAG|www.belsoft.ch
Zusammenfassung
 Überlegen Sie, was wirklich das Problem oder die Anforderung ist. Es gibt ...
©2014BelsoftAG|www.belsoft.ch
Zusammenfassung
 Wir können Sie mit unserem Sachverstand unterstützen mit:
- Beratung (Arch...
©2014BelsoftAG|www.belsoft.ch
Fragen?
Herzlichen Dank für Ihre Aufmerksamkeit
Toni Feric (toni.feric@belsoft.ch), @ToniFer...
©2014BelsoftAG|www.belsoft.ch
Quellen & Referenzen
 Präsentation an der Connect 2014, “BP104 - Simplifying The S's- Singl...
Nächste SlideShare
Wird geladen in …5
×

Single Sign-On Technologieüberblick

2.020 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.020
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
200
Aktionen
Geteilt
0
Downloads
29
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Single Sign-On Technologieüberblick

  1. 1. Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost www.belsoft.ch Russenweg 26 CH-8008 Zürich T +41 44 388 13 31 Eichenstrasse 2 CH-8808 Pfäffikon (SZ) T +41 55 410 55 50 Espenstrasse 139 CH-9443 Widnau (SG) T +41 71 727 75 75 Single Sign-On Technologieüberblick Toni Feric Andreas Ponte
  2. 2. ©2014BelsoftAG|www.belsoft.ch Abstract  Das Konzept hinter Lösungen - SSO, PW Synch, SPNEGO, SAML  Übersicht der - Anforderungen - Beschränkungen - Vorteile  Überblick über eine Reihe von verwirrenden Abkürzungen  Grundlage dieser Präsentation: “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” by Gab Davis & Chris Miller
  3. 3. ©2014BelsoftAG|www.belsoft.ch Single Sign-On Single Password Passwort nur einmal eingeben Hohe Sicherheit Hoher Aufwand Gleiches Passwort für alle Applikationen Viel Komfort, wenig Aufwand Niedrigere Sicherheit
  4. 4. ©2014BelsoftAG|www.belsoft.ch Zentrales Directory Netzwerk Webmail Sametime Connections LDAP Directory Single Password
  5. 5. ©2014BelsoftAG|www.belsoft.ch Passwort Synchronisation Netzwerk Webmail Sametime Connections Passwort Sync-Tool Single Password
  6. 6. ©2014BelsoftAG|www.belsoft.ch Netzwerk Webmail HR CRM ACMENETMME Marlies.Buergi@acme.ch S002173 Marlies Bürgi-Meier Verschiedene ID’s – Gleicher Benutzer
  7. 7. ©2014BelsoftAG|www.belsoft.ch  Alle Applikationen sollten das gleiche LDAP Verzeichnis verwenden • Domino: Einbinden eines LDAP Verzeichnisses (Windows AD?) via Directory Assistance • LDAP Attribut «Distinguished Name» wird benötigt • HTTP Passwörter aus allen Personendokumenten entfernen • Funktioniert für Domino Webzugriff (Applikationen, Webmail, Traveler, Sametime, etc.) • Funktioniert auch wenn ein User extern arbeitet (ohne direkten LDAP Zugriff) Single Password Zentrales Directory
  8. 8. ©2014BelsoftAG|www.belsoft.ch Applikation Benutzer Identity Provider Ticket Single Sign-On
  9. 9. ©2014BelsoftAG|www.belsoft.ch SPNEGO Simple Protected GSSAPI Negotiation Mechanism Kerberos NTLM
  10. 10. ©2014BelsoftAG|www.belsoft.ch SPNEGO – Beispiel für Domino Login auf der Windows Workstation Active Directory erstellt SPNEGO Token Benutzer versucht auf eine Domino Webseite zuzugreifen Browser schickt im Request den Usernamen und das SPNEGO Token an Domino Domino validiert das SPNEGO Token via Active Directory Server
  11. 11. ©2014BelsoftAG|www.belsoft.ch SSO Windows Domino Active Directory Domino Domain SPNEGO Token LTPA Token
  12. 12. ©2014BelsoftAG|www.belsoft.ch SPNEGO konfigurieren • Multi-Server Single Sign-On auf dem Domino Server • Domino Web SSO Dokument erstellen • Im AD einen SPN (Service Principal Name) für den Domino Server erstellen. • Domino muss unter diesem SPN AD Account laufen. • «domspnego» ausführen. • Die Ausgabe des Befehls an den AD Administrator schicken für die Ausführung des «setspn» Befehls. • «setspn –a http://<dominohostname> <WindowsID_Domino>» ausführen. • Personendokumente (FullName) mit dem AD Namen ergänzen (und optional dem krbPrincipalName und LTPA User Namen) • Verzeichnisse synchronisieren (AD, Domino, etc.).
  13. 13. ©2014BelsoftAG|www.belsoft.ch Gründe gegen SPNEGO Funktioniert nicht ohne Active Directory Benutzer müssen sich im Active Directory anmelden Funktioniert nur mit Browsern, die von Microsoft unterstützt werden Benutzer müssen mit einem Windows Client arbeiten Domino muss unter einer Windows Platform laufen (zumindest der erste Webserver, welcher das Multi-Server SSO Token erstellt) Funktioniert nicht, wenn ein Benutzer von Remote arbeitet und sich nicht im Active Directory anmelden kann Deckt nur ein spezifisches Szenario ab
  14. 14. ©2014BelsoftAG|www.belsoft.ch Language Security Assertion Markup XML Protokoll und Prozess zum Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen Benutzern, Webservices und Servern SAML
  15. 15. ©2014BelsoftAG|www.belsoft.ch SAML - Vorteile Keine Passwörter! Passwörter können nicht mehr… kompromittiert werden ablaufen abgefangen werden Ist der Benutzer einmal beim Identity Provider authentifiziert, wird nicht mehr nach dem Passwort gefragt
  16. 16. ©2014BelsoftAG|www.belsoft.ch SP Service Provider Principal IdP Identity Provider Identity Assertion SAML - Begriffe
  17. 17. ©2014BelsoftAG|www.belsoft.ch SAML – Schritt für Schritt User greift auf Webservice zu und will einloggen User wird an den Identity Provider geleitet Identity Provider stellt Authentifizierung sicher und erteilt die Identity Assertion User wird zum Webservice geleitet und greift mit der SAML Assertion zu Webservice erkennt SAML Assertion und gewährt Zugriff
  18. 18. ©2014BelsoftAG|www.belsoft.ch SAML - Definitionen IdP – Identity Provider  ADFS – Active Directory Federation Services (Windows 2008/2012) • Ab SAML 2.0 (SAML 1.x nicht unterstützt) • Kann kombiniert werden mit SPNEGO • Verbessert IWA (Integrated Windows Authentication)  TFIM – Tivoli Federated Identity Manager • SAML 1.1 und 2.0
  19. 19. ©2014BelsoftAG|www.belsoft.ch SAML - Definitionen SP – Service Provider  IBM Domino – Web federated login  IBM WebSphere  IBM Notes – Notes federated login (Voraussetzung ID Vault)
  20. 20. ©2014BelsoftAG|www.belsoft.ch HTTP / SOAP HTTP / SOAP IdP SP SAML Assertions können Aussagen machen über:  Authentifizierung  Autorisierung  Attribute von Subjekten SAML Assertion SAML Assertion SAML - Definitionen Funktionsweise
  21. 21. ©2014BelsoftAG|www.belsoft.ch IdP SP IdP SP SP SP SP SP SPSP SP SAML - Definitionen Funktionsweise
  22. 22. ©2014BelsoftAG|www.belsoft.ch Gründe gegen SAML Nicht alle Applikationen unterstützen SAML Traveler Notes Browser Plug-in Sametime ID Vault ist Voraussetzung für Notes Client SAML SSO Notes ID’s die nicht «gevaulted» werden können, funktionieren nicht mit SAML Notes ID’s mit mehreren Passwörtern, Smartcards, etc
  23. 23. ©2014BelsoftAG|www.belsoft.ch Zusammenfassung: Eine Frage – mehrere Antworten
  24. 24. ©2014BelsoftAG|www.belsoft.ch Zusammenfassung  Überlegen Sie, was wirklich das Problem oder die Anforderung ist. Es gibt viele Technologien die helfen können, aber deren Aufbau und Pflege wird immer komplexer. - Was sind die Prioritäten? Ein einzelnes Passwort? Kein Passwort? Keine Authentifizierung mit einem bestimmten Dienst?  Viele Lösungen benötigen ein spezifisches OS, Software oder Client Versionen - Stellen Sie sicher, dass alle Voraussetzungen erfüllt werden, bevor Sie mit dem Aufbau beginnen.  Es gibt einfachere Lösungen (Single Passwort, SPNEGO), es gibt schwierigere Lösungen (SAML)  Es gibt nicht DIE Lösung, Sie müssen die Kombination wählen, welche Ihren Ansprüchen/Anforderungen entspricht
  25. 25. ©2014BelsoftAG|www.belsoft.ch Zusammenfassung  Wir können Sie mit unserem Sachverstand unterstützen mit: - Beratung (Architektur, Best Practice, Reviews) - Upgrades - Schulungen - POCs - Implementationen - Support
  26. 26. ©2014BelsoftAG|www.belsoft.ch Fragen? Herzlichen Dank für Ihre Aufmerksamkeit Toni Feric (toni.feric@belsoft.ch), @ToniFeric Andreas Ponte (andreas.ponte@belsoft.ch), @aponte
  27. 27. ©2014BelsoftAG|www.belsoft.ch Quellen & Referenzen  Präsentation an der Connect 2014, “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” Gab Davis & Chris Miller - http://turtleblog.info/2014/02/04/bp104-simplifying-the-ss-single-sign-on-spnego-and-saml/  OpenMic: Intro to Notes Federated Login (SAML) - http://www-01.ibm.com/support/docview.wss?uid=swg27041524  Definitionen SAML Standard: - https://www.oasis-open.org/standards#samlv2.0  Wikipedia: - http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language - http://en.wikipedia.org/wiki/SPNEGO

×