SlideShare ist ein Scribd-Unternehmen logo
1 von 20
SAML: Single-Sign-On in der UMC und weiteren
Apps
Einführung in die Security Assertion Markup Language (SAML) und dessen
technische Integration in den Univention Corporate Server (UCS) und die
Univention Management Console (UMC)
Michel Smidt
Univention GmbH
smidt@univention.de
Einführung in SAML
Förderierter Identitäts Standard
Komponenten
Principal (User)
Identity Provider (IdP)
Service Provider (SP)
Attribute basierte Autorisierung
(Web) Single-Sign-On
Mehrwert
Nutzer
Einmaliges Einloggen an verschiedenen Services
IT-Abteilung
Einsparung in der Passwortverwaltung
Zugangsmanagement (Authorisierung) in der UMC
Sicherheitsgewinn
Sichere Anbindung interner und externer Services (SaaS, PaaS)
Identity service (IdP) nur im internen Netz zugänglich
Hochverfügbarkeit (UCS only)
Authentifizierung mit SAML
univent.internSP
univent.saasserv.ice
SP
wiki.univent.intern
IdP
1.
2.
3.
4.
Authentifizierung mit SAML
univent.internSP
univent.saasserv.ice
SP
wiki.univent.intern
IdP
4.
1.
2.
3.
Artefakte in SAML
univent.intern
SP
univent.saasserv.ice
SP
wiki.univent.intern
IdP
AssertionConsumerService Link SingleLogoutService Link
SingleSignOnService Link
SingleLogoutService Link
Authentifizierung mit SAML
3. GET an IdP mit
samlp:AuthnRequest
univent.intern
SP
univent.saasserv.ice
SP
wiki.univent.intern
1./8. wiki.univent.intern/login
2. Redirect to IdP mit
samlp:AuthnRequest
IdP
4. Authentifizierung
5. XHTML Form samlp:response
6. POST an SP
7. Redirect
wiki.univent.intern/login
Benutzerverwaltung
Benutzer: Anlegen, Editieren, Löschen
Just-in-Time Provisioning for SAML
UCS Account Management
SAML Services ...
Migrationsszenarien
Migrationsszenario 1 – Anbindung eines neuen Service
Ausgangspunkt:
Service kann Just-in-Time Provisioning
Migrationsschritte
Konfiguration Univention Management Console
Konfiguration Service
Migrationsszenario 2 – Anbindung eines bestehen
Service
Ausgangspunkt:
Teilweise bestehen Benutzer bereits
Es gibt keine Benutzersynchronisation
Migrationsschritte
Konfiguration Univention Management Console
Weiteres LDAP-Attribute als NameID
Konfiguration Service
Welche Fragen sind zu klären bei einer SAML-
Einführung
Kann der anzubindende Service SAML 2.0?
Wie sieht die Benutzersynchronisation aus?
Kann der anzubindende Service Just-in-Time Provisioning?
Wie werden Benutzer gelöscht?
Wie kann eine anderweitige Provisionierung durchgeführt werden?
Welche Rollen soll es im anzubindenden Service geben?
Gibt es viele verschiedene Rollen von Benutzern?
Gibt es eine Standardrolle für Benutzer?
Zusammenfassung
SAML …
… ist hervorragend für hybride IT-Landschaften geeignet.
… erfordert weiterhin eine Benutzerverwaltung.
… erhöht die Sicherheit.
… funktioniert Out-of-the-Box in UCS 4.1.
Vielen Dank für Ihre Aufmerksamkeit!
Kontakt
Michel Smidt
Univention GmbH
smidt@univention.de
www.univention.de
SAML in UCS 4.1
SaaS wird in 77% aller Unternehmen verwendet ([1] S.12)
Top Hemmnise vor Cloud: Sicherheit, Datenschutz, Kompetenz ([1]
S.35)
UCS 4.1 wird Hybrid
Hybrides Identity Management Out-of-the-Box
Hybrides Services Management Out-of-the-Box
[1] 5th annual North Bridge Future of Cloud Computing Survey
SAML vs. OpenID vs. OAuth

Weitere ähnliche Inhalte

Andere mochten auch

Single Sign-On Technologieüberblick
Single Sign-On TechnologieüberblickSingle Sign-On Technologieüberblick
Single Sign-On Technologieüberblick
Belsoft
 

Andere mochten auch (6)

5 Minuten über Zarafa - Von Kopano, DeskApps und anderen Innovationen
5 Minuten über Zarafa - Von Kopano, DeskApps und anderen Innovationen5 Minuten über Zarafa - Von Kopano, DeskApps und anderen Innovationen
5 Minuten über Zarafa - Von Kopano, DeskApps und anderen Innovationen
 
Univention Corporate Server Roadmap 2016
Univention Corporate Server Roadmap 2016Univention Corporate Server Roadmap 2016
Univention Corporate Server Roadmap 2016
 
UCS 4.0 + Roadmap
UCS 4.0 + RoadmapUCS 4.0 + Roadmap
UCS 4.0 + Roadmap
 
Single Sign-On Technologieüberblick
Single Sign-On TechnologieüberblickSingle Sign-On Technologieüberblick
Single Sign-On Technologieüberblick
 
Waffle at NYCJavaSig
Waffle at NYCJavaSigWaffle at NYCJavaSig
Waffle at NYCJavaSig
 
Single Sign-On durch LDAP Anbindung an den Basler Schulen – Anforderung, Umfa...
Single Sign-On durch LDAP Anbindung an den Basler Schulen – Anforderung, Umfa...Single Sign-On durch LDAP Anbindung an den Basler Schulen – Anforderung, Umfa...
Single Sign-On durch LDAP Anbindung an den Basler Schulen – Anforderung, Umfa...
 

Ähnlich wie SAML: Single Sign-On in Univention Management Console und Univention Apps

GROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-PlattformGROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-Plattform
apachelance
 
Industrial Security Entmystifiziert
Industrial Security EntmystifiziertIndustrial Security Entmystifiziert
Industrial Security Entmystifiziert
team-WIBU
 
Schutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-GeräteSchutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-Geräte
team-WIBU
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 

Ähnlich wie SAML: Single Sign-On in Univention Management Console und Univention Apps (20)

GROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-PlattformGROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-Plattform
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Industrial Security Entmystifiziert
Industrial Security EntmystifiziertIndustrial Security Entmystifiziert
Industrial Security Entmystifiziert
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active DirectoryEin Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
 
Modulare Enterprise Systeme - Eine Einführung
Modulare Enterprise Systeme - Eine EinführungModulare Enterprise Systeme - Eine Einführung
Modulare Enterprise Systeme - Eine Einführung
 
Migration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud PlattformMigration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud Plattform
 
Ivory Soa Suite
Ivory Soa SuiteIvory Soa Suite
Ivory Soa Suite
 
Testautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für FortgeschrittendeTestautomatisierung mit CodedUI für Fortgeschrittende
Testautomatisierung mit CodedUI für Fortgeschrittende
 
MAXXYS Firmenpräsentation
MAXXYS FirmenpräsentationMAXXYS Firmenpräsentation
MAXXYS Firmenpräsentation
 
Faktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas GabrielFaktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
Faktoren für die erfolgreiche CRM-Einführung - Thomas Gabriel
 
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand  Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
Webinar: Effiziente Digitalisierungsstrategien für den Mittelstand
 
Pragmatic SOA - Beschränken auf das Wesentliche
Pragmatic SOA - Beschränken auf das WesentlichePragmatic SOA - Beschränken auf das Wesentliche
Pragmatic SOA - Beschränken auf das Wesentliche
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
NICE Recording Solutions
NICE Recording SolutionsNICE Recording Solutions
NICE Recording Solutions
 
Schutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-GeräteSchutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-Geräte
 
Windows 10 Enterprise
Windows 10 EnterpriseWindows 10 Enterprise
Windows 10 Enterprise
 
CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 

Mehr von Univention GmbH

Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Univention GmbH
 

Mehr von Univention GmbH (20)

Status des Rollen- und Rechtemodells in UCS und UCS@school - Daniel Tröder - ...
Status des Rollen- und Rechtemodells in UCS und UCS@school - Daniel Tröder - ...Status des Rollen- und Rechtemodells in UCS und UCS@school - Daniel Tröder - ...
Status des Rollen- und Rechtemodells in UCS und UCS@school - Daniel Tröder - ...
 
Technical Deep Dive - OpenID-Connect and OAuth 2.0 in UCS IAM - Florian Best ...
Technical Deep Dive - OpenID-Connect and OAuth 2.0 in UCS IAM - Florian Best ...Technical Deep Dive - OpenID-Connect and OAuth 2.0 in UCS IAM - Florian Best ...
Technical Deep Dive - OpenID-Connect and OAuth 2.0 in UCS IAM - Florian Best ...
 
Univention IAM and Portal for Kubernetes - Ingo Steuwer - Univention Summit 2024
Univention IAM and Portal for Kubernetes - Ingo Steuwer - Univention Summit 2024Univention IAM and Portal for Kubernetes - Ingo Steuwer - Univention Summit 2024
Univention IAM and Portal for Kubernetes - Ingo Steuwer - Univention Summit 2024
 
Keycloak as the New Identity Provider for UCS - Felix Botner & Erik Damrose -...
Keycloak as the New Identity Provider for UCS - Felix Botner & Erik Damrose -...Keycloak as the New Identity Provider for UCS - Felix Botner & Erik Damrose -...
Keycloak as the New Identity Provider for UCS - Felix Botner & Erik Damrose -...
 
Outlook on UCS 5.2 - Ingo Steuwer - Univention Summit 2024
Outlook on UCS 5.2 - Ingo Steuwer - Univention Summit 2024Outlook on UCS 5.2 - Ingo Steuwer - Univention Summit 2024
Outlook on UCS 5.2 - Ingo Steuwer - Univention Summit 2024
 
Wohin entwickelt sich UCS? Ingo Steuwer - Univention Summit 2022
Wohin entwickelt sich UCS? Ingo Steuwer - Univention Summit 2022Wohin entwickelt sich UCS? Ingo Steuwer - Univention Summit 2022
Wohin entwickelt sich UCS? Ingo Steuwer - Univention Summit 2022
 
Modularisierung und Containerisierung von UCS
Modularisierung und Containerisierung von UCSModularisierung und Containerisierung von UCS
Modularisierung und Containerisierung von UCS
 
Barrierefreiheit in UCS - Univention GmbH - Univention Summit 2022
Barrierefreiheit in UCS - Univention GmbH - Univention Summit 2022Barrierefreiheit in UCS - Univention GmbH - Univention Summit 2022
Barrierefreiheit in UCS - Univention GmbH - Univention Summit 2022
 
Digitale Souveränität für die zivile Seenotrettung von Sea-Watch - Sea-Watch ...
Digitale Souveränität für die zivile Seenotrettung von Sea-Watch - Sea-Watch ...Digitale Souveränität für die zivile Seenotrettung von Sea-Watch - Sea-Watch ...
Digitale Souveränität für die zivile Seenotrettung von Sea-Watch - Sea-Watch ...
 
Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
 
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
 
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
 
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
 
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
 
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
 
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
 
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
 
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
 
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
 
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
 

SAML: Single Sign-On in Univention Management Console und Univention Apps

Hinweis der Redaktion

  1. 14:02 – 2 min Heißt, das ein Zugriff auf mehrere autonome Dienste angeboten wird ohne das Zugangsdaten untereinander kopiert werden. XML-Syntax Ticket Session Cookie
  2. 14:03 – 3 min Verwaltung von Anmeldedaten ausschließlich auf dem UCS SaaS wird in 77% aller Unternehmen verwendet ([1] S.12) Top Hemmnise vor Cloud: Sicherheit, Datenschutz, Kompetenz ([1] S.35) Hochverfügbarkeit mit verschlüsseltem memcache wenn ein IdP wegbricht
  3. 14:04 – 4 min
  4. 14:05 – 5 min
  5. 14:06 – 6 min Metadatendatei des IdP erwähnen Für die Konfiguration ist ein sauberes DNS nötig. URLs müssen vom Benutzer aufzulösen sein.
  6. 14:08 – 8 min 1 Useranfrage an Service (Login) service.univention.intranet/login 2. Redirect to SSO Service Endpunkt des UCS IdP https://ucs-sso.univention.intranet/…/SSOService.php/Redirect?SAMLRequest=<samlp:AuthnRequest> 3. GET Request an IdP Bearbeitung der AuthnRequest – User Authentifikation 4. Respond als XHTML Form mit <samlp:Response> 5. POST Request an SP 6. Der SP erstellt einen security context und redirect zu service.univention.intranet/login 7. GET an service.univention.intranet/login 8. SP gibt security context an user
  7. 14:09 – 9 min SAML ist nicht für die Benutzerverwaltung designed. Anmeldungen sind steuerbar.
  8. 14:10 – 10 min Dies ist eine Auswahl an Services wo SAML geht. Die meisten haben wir schon selbst angebunden.
  9. 14:11 – 11 min
  10. 14:12 – 12 min Betrifft vorallem SaaS Kann aber auch intern sein
  11. 14:13 – 13 min
  12. 14:19 – 19 min Links kommen jeweils aus der Dokumentation Für Pause in UCR. Hier könnte man auch definieren, dass der Standardlogin SAML sein soll. Für die Konfiguration aber ein sauberes DNS nötig.
  13. 14:20 – 20 min
  14. 14:24 – 24 min Links kommen jeweils aus der Dokumentation
  15. 14:25 – 25 min Betrifft vorallem SaaS Kann aber auch intern sein
  16. 14:27 – 27 min Stichwort Authorisierung
  17. 14:28 – 28 min
  18. Ich wollte noch etwas zum Integrationsaufwand sagen. - UCS super - SaaS Services auch sehr gut (Google, Office, Slack, Salesforce) - Interne Tools wie MediaWiki, DokuWiki eher anstrengend - Noch keine Apps möglich (owncloud ist noch am weitesten, OX schwierig)
  19. 14:04 – 4 min SaaS (+78%) & PaaS (+58%) wachsen stark <3M ([1] S.37 & S.38) Erwartungshaltung von Univention Produkt Cloudfähig machen SSO für Univention Wir sehen ein anwachsen von SaaS Services bei unseren Kunden
  20. Hauptunterschied ist die Vertrauensstellung Als SAML SP „vertraust“ du dem IdP. Bei OpenID „vertraust“ du jeder Identität. Wenn jemand mit einem unbekannten SAML Token kommt weist du diesen einfach zurück. SAML ist mehr für das Enterprise Umfeld gedacht. Hier steht die Förderation auf Service Ebene im Vordergrund. Das muss aber auch vorweg konfiguriert werden. Das OpenID Konzept ist sehr viel offener angelegt. Hier besteht praktisch kein Konfigurationsaufwand vorweg. OpenID ist Authentifizierung OAuth ist Authorisierung zwischen zwei Diensten ohne Credential Verteilung. 1. SAML2 supports single sign-out - but OpenID does not 2. SAML2 service providers are coupled with the SAML2 Identity Providers, but OpenID relying parties are not coupled with OpenID Providers. OpenID has a discovery protocol which dynamically discovers the corresponding OpenID Provider, once an OpenID is given. SAML has a discovery protocol based on Identity Provider Discovery Service Protocol. 3. With SAML2, the user is coupled to the SAML2 IdP - your SAML2 identifier is only valid for the SAML2 IdP who issued it. But with OpenID, you own your identifier and you can map it to any OpenID Provider you wish. 4. SAML2 has different bindings while the only binding OpenID has is HTTP 5. SAML2 can be either Service Provider (SP) initiated or Identity Provider (IdP) initiated. But OpenID always SP initiated. 6. SAML 2 is based on XML while OpenID is not.