Suche senden
Hochladen
Single Sign-On Technologieüberblick
•
1 gefällt mir
•
2,543 views
Belsoft
Folgen
Technologie
Melden
Teilen
Melden
Teilen
1 von 27
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Domino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
Belsoft
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Novakenstein
IBM Sametime 9.0.1 "basic" (aka. limited use)
IBM Sametime 9.0.1 "basic" (aka. limited use)
Novakenstein
WordPress-Webseiten umziehen / online stellen
WordPress-Webseiten umziehen / online stellen
Walter Ebert
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
SpeedPartner GmbH
Wer die (Client) Wahl hat, hat die Qual
Wer die (Client) Wahl hat, hat die Qual
Belsoft
IBM License Metric Tool 9.2.x (edcom 2017)
IBM License Metric Tool 9.2.x (edcom 2017)
Novakenstein
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2
fabianmoritz
Empfohlen
Domino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
Belsoft
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Novakenstein
IBM Sametime 9.0.1 "basic" (aka. limited use)
IBM Sametime 9.0.1 "basic" (aka. limited use)
Novakenstein
WordPress-Webseiten umziehen / online stellen
WordPress-Webseiten umziehen / online stellen
Walter Ebert
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
SpeedPartner GmbH
Wer die (Client) Wahl hat, hat die Qual
Wer die (Client) Wahl hat, hat die Qual
Belsoft
IBM License Metric Tool 9.2.x (edcom 2017)
IBM License Metric Tool 9.2.x (edcom 2017)
Novakenstein
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2
fabianmoritz
Cloud – Intune
Cloud – Intune
Digicomp Academy AG
DACHNUG50 EasyTeamsWork.pdf
DACHNUG50 EasyTeamsWork.pdf
DNUG e.V.
Ivory Soa Suite
Ivory Soa Suite
Predrag61
Ec2009 Templates
Ec2009 Templates
Ulrich Krause
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
guest608dc7
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Trivadis
Live-Demo: ionas-Server Home, ionas-Server Small Business
Live-Demo: ionas-Server Home, ionas-Server Small Business
Christoph Dyllick-Brenzinger
AndroMDA - Einführung in eine Open Source Model Driven Architecture Lösung
AndroMDA - Einführung in eine Open Source Model Driven Architecture Lösung
Eduard Hildebrandt
AdminCamp 2011 Performance
AdminCamp 2011 Performance
Ulrich Krause
Sharepointroadshow Office365 developer
Sharepointroadshow Office365 developer
atwork
ionas-Server Live-Demo vom 04.12.2015
ionas-Server Live-Demo vom 04.12.2015
Christoph Dyllick-Brenzinger
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1
Andreas Schulte
Windows 10 Enterprise
Windows 10 Enterprise
GWAVA
Lotus Foundations Branch Office
Lotus Foundations Branch Office
Andreas Schulte
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)
Novakenstein
ScriptRunner - Eine Einführung
ScriptRunner - Eine Einführung
Heiko Brenn
Webcast 12 09
Webcast 12 09
Andreas Schulte
Commercial OS Shops - Magento, OXID, xt:commerce. Evaluationskriterien für En...
Commercial OS Shops - Magento, OXID, xt:commerce. Evaluationskriterien für En...
Mayflower GmbH
Top 10 Internet Trends 2001
Top 10 Internet Trends 2001
Jürg Stuker
Remote Access auf Windows Server in einer neuen Dimension
Remote Access auf Windows Server in einer neuen Dimension
HOB
Engage: A Break Up Story
Engage: A Break Up Story
Belsoft
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft
Weitere ähnliche Inhalte
Ähnlich wie Single Sign-On Technologieüberblick
Cloud – Intune
Cloud – Intune
Digicomp Academy AG
DACHNUG50 EasyTeamsWork.pdf
DACHNUG50 EasyTeamsWork.pdf
DNUG e.V.
Ivory Soa Suite
Ivory Soa Suite
Predrag61
Ec2009 Templates
Ec2009 Templates
Ulrich Krause
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
guest608dc7
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Trivadis
Live-Demo: ionas-Server Home, ionas-Server Small Business
Live-Demo: ionas-Server Home, ionas-Server Small Business
Christoph Dyllick-Brenzinger
AndroMDA - Einführung in eine Open Source Model Driven Architecture Lösung
AndroMDA - Einführung in eine Open Source Model Driven Architecture Lösung
Eduard Hildebrandt
AdminCamp 2011 Performance
AdminCamp 2011 Performance
Ulrich Krause
Sharepointroadshow Office365 developer
Sharepointroadshow Office365 developer
atwork
ionas-Server Live-Demo vom 04.12.2015
ionas-Server Live-Demo vom 04.12.2015
Christoph Dyllick-Brenzinger
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1
Andreas Schulte
Windows 10 Enterprise
Windows 10 Enterprise
GWAVA
Lotus Foundations Branch Office
Lotus Foundations Branch Office
Andreas Schulte
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)
Novakenstein
ScriptRunner - Eine Einführung
ScriptRunner - Eine Einführung
Heiko Brenn
Webcast 12 09
Webcast 12 09
Andreas Schulte
Commercial OS Shops - Magento, OXID, xt:commerce. Evaluationskriterien für En...
Commercial OS Shops - Magento, OXID, xt:commerce. Evaluationskriterien für En...
Mayflower GmbH
Top 10 Internet Trends 2001
Top 10 Internet Trends 2001
Jürg Stuker
Remote Access auf Windows Server in einer neuen Dimension
Remote Access auf Windows Server in einer neuen Dimension
HOB
Ähnlich wie Single Sign-On Technologieüberblick
(20)
Cloud – Intune
Cloud – Intune
DACHNUG50 EasyTeamsWork.pdf
DACHNUG50 EasyTeamsWork.pdf
Ivory Soa Suite
Ivory Soa Suite
Ec2009 Templates
Ec2009 Templates
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Live-Demo: ionas-Server Home, ionas-Server Small Business
Live-Demo: ionas-Server Home, ionas-Server Small Business
AndroMDA - Einführung in eine Open Source Model Driven Architecture Lösung
AndroMDA - Einführung in eine Open Source Model Driven Architecture Lösung
AdminCamp 2011 Performance
AdminCamp 2011 Performance
Sharepointroadshow Office365 developer
Sharepointroadshow Office365 developer
ionas-Server Live-Demo vom 04.12.2015
ionas-Server Live-Demo vom 04.12.2015
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1
Windows 10 Enterprise
Windows 10 Enterprise
Lotus Foundations Branch Office
Lotus Foundations Branch Office
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)
ScriptRunner - Eine Einführung
ScriptRunner - Eine Einführung
Webcast 12 09
Webcast 12 09
Commercial OS Shops - Magento, OXID, xt:commerce. Evaluationskriterien für En...
Commercial OS Shops - Magento, OXID, xt:commerce. Evaluationskriterien für En...
Top 10 Internet Trends 2001
Top 10 Internet Trends 2001
Remote Access auf Windows Server in einer neuen Dimension
Remote Access auf Windows Server in einer neuen Dimension
Mehr von Belsoft
Engage: A Break Up Story
Engage: A Break Up Story
Belsoft
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft
Don’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking for
Belsoft
How to find and tag untagged content in Connections
How to find and tag untagged content in Connections
Belsoft
Simplifying Connections using the Customizer
Simplifying Connections using the Customizer
Belsoft
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Belsoft
Customers using IBM Connections
Customers using IBM Connections
Belsoft
IBM Connections - ein Update
IBM Connections - ein Update
Belsoft
How adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 Demo
Belsoft
ICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote Slides
Belsoft
How adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft
Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)
Belsoft
IBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of Zurich
Belsoft
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft
Mehr von Belsoft
(20)
Engage: A Break Up Story
Engage: A Break Up Story
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Don’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking for
How to find and tag untagged content in Connections
How to find and tag untagged content in Connections
Simplifying Connections using the Customizer
Simplifying Connections using the Customizer
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Customers using IBM Connections
Customers using IBM Connections
IBM Connections - ein Update
IBM Connections - ein Update
How adding a further tool can be a good thing
How adding a further tool can be a good thing
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote Slides
How adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..
Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)
IBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of Zurich
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Single Sign-On Technologieüberblick
1.
Belsoft AG Hauptsitz
Zweigstelle Pfäffikon SZ Zweigstelle Ost www.belsoft.ch Russenweg 26 CH-8008 Zürich T +41 44 388 13 31 Eichenstrasse 2 CH-8808 Pfäffikon (SZ) T +41 55 410 55 50 Espenstrasse 139 CH-9443 Widnau (SG) T +41 71 727 75 75 Single Sign-On Technologieüberblick Toni Feric Andreas Ponte
2.
©2014BelsoftAG|www.belsoft.ch Abstract Das Konzept
hinter Lösungen - SSO, PW Synch, SPNEGO, SAML Übersicht der - Anforderungen - Beschränkungen - Vorteile Überblick über eine Reihe von verwirrenden Abkürzungen Grundlage dieser Präsentation: “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” by Gab Davis & Chris Miller
3.
©2014BelsoftAG|www.belsoft.ch Single Sign-On Single Password Passwort
nur einmal eingeben Hohe Sicherheit Hoher Aufwand Gleiches Passwort für alle Applikationen Viel Komfort, wenig Aufwand Niedrigere Sicherheit
4.
©2014BelsoftAG|www.belsoft.ch Zentrales Directory Netzwerk Webmail Sametime Connections LDAP Directory Single Password
5.
©2014BelsoftAG|www.belsoft.ch Passwort Synchronisation Netzwerk Webmail Sametime Connections Passwort Sync-Tool Single Password
6.
©2014BelsoftAG|www.belsoft.ch Netzwerk Webmail HR CRM ACMENETMME Marlies.Buergi@acme.ch S002173 Marlies Bürgi-Meier Verschiedene ID’s
– Gleicher Benutzer
7.
©2014BelsoftAG|www.belsoft.ch Alle Applikationen
sollten das gleiche LDAP Verzeichnis verwenden • Domino: Einbinden eines LDAP Verzeichnisses (Windows AD?) via Directory Assistance • LDAP Attribut «Distinguished Name» wird benötigt • HTTP Passwörter aus allen Personendokumenten entfernen • Funktioniert für Domino Webzugriff (Applikationen, Webmail, Traveler, Sametime, etc.) • Funktioniert auch wenn ein User extern arbeitet (ohne direkten LDAP Zugriff) Single Password Zentrales Directory
8.
©2014BelsoftAG|www.belsoft.ch Applikation Benutzer Identity Provider Ticket Single Sign-On
9.
©2014BelsoftAG|www.belsoft.ch SPNEGO Simple Protected GSSAPI Negotiation Mechanism Kerberos NTLM
10.
©2014BelsoftAG|www.belsoft.ch SPNEGO – Beispiel
für Domino Login auf der Windows Workstation Active Directory erstellt SPNEGO Token Benutzer versucht auf eine Domino Webseite zuzugreifen Browser schickt im Request den Usernamen und das SPNEGO Token an Domino Domino validiert das SPNEGO Token via Active Directory Server
11.
©2014BelsoftAG|www.belsoft.ch SSO Windows Domino Active
Directory Domino Domain SPNEGO Token LTPA Token
12.
©2014BelsoftAG|www.belsoft.ch SPNEGO konfigurieren • Multi-Server
Single Sign-On auf dem Domino Server • Domino Web SSO Dokument erstellen • Im AD einen SPN (Service Principal Name) für den Domino Server erstellen. • Domino muss unter diesem SPN AD Account laufen. • «domspnego» ausführen. • Die Ausgabe des Befehls an den AD Administrator schicken für die Ausführung des «setspn» Befehls. • «setspn –a http://<dominohostname> <WindowsID_Domino>» ausführen. • Personendokumente (FullName) mit dem AD Namen ergänzen (und optional dem krbPrincipalName und LTPA User Namen) • Verzeichnisse synchronisieren (AD, Domino, etc.).
13.
©2014BelsoftAG|www.belsoft.ch Gründe gegen SPNEGO Funktioniert
nicht ohne Active Directory Benutzer müssen sich im Active Directory anmelden Funktioniert nur mit Browsern, die von Microsoft unterstützt werden Benutzer müssen mit einem Windows Client arbeiten Domino muss unter einer Windows Platform laufen (zumindest der erste Webserver, welcher das Multi-Server SSO Token erstellt) Funktioniert nicht, wenn ein Benutzer von Remote arbeitet und sich nicht im Active Directory anmelden kann Deckt nur ein spezifisches Szenario ab
14.
©2014BelsoftAG|www.belsoft.ch Language Security Assertion Markup XML Protokoll und
Prozess zum Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen Benutzern, Webservices und Servern SAML
15.
©2014BelsoftAG|www.belsoft.ch SAML - Vorteile Keine
Passwörter! Passwörter können nicht mehr… kompromittiert werden ablaufen abgefangen werden Ist der Benutzer einmal beim Identity Provider authentifiziert, wird nicht mehr nach dem Passwort gefragt
16.
©2014BelsoftAG|www.belsoft.ch SP Service Provider Principal IdP Identity Provider Identity Assertion SAML -
Begriffe
17.
©2014BelsoftAG|www.belsoft.ch SAML – Schritt
für Schritt User greift auf Webservice zu und will einloggen User wird an den Identity Provider geleitet Identity Provider stellt Authentifizierung sicher und erteilt die Identity Assertion User wird zum Webservice geleitet und greift mit der SAML Assertion zu Webservice erkennt SAML Assertion und gewährt Zugriff
18.
©2014BelsoftAG|www.belsoft.ch SAML - Definitionen IdP
– Identity Provider ADFS – Active Directory Federation Services (Windows 2008/2012) • Ab SAML 2.0 (SAML 1.x nicht unterstützt) • Kann kombiniert werden mit SPNEGO • Verbessert IWA (Integrated Windows Authentication) TFIM – Tivoli Federated Identity Manager • SAML 1.1 und 2.0
19.
©2014BelsoftAG|www.belsoft.ch SAML - Definitionen SP
– Service Provider IBM Domino – Web federated login IBM WebSphere IBM Notes – Notes federated login (Voraussetzung ID Vault)
20.
©2014BelsoftAG|www.belsoft.ch HTTP / SOAP HTTP
/ SOAP IdP SP SAML Assertions können Aussagen machen über: Authentifizierung Autorisierung Attribute von Subjekten SAML Assertion SAML Assertion SAML - Definitionen Funktionsweise
21.
©2014BelsoftAG|www.belsoft.ch IdP SP IdP SP SP SP SP SP SPSP SP SAML - Definitionen Funktionsweise
22.
©2014BelsoftAG|www.belsoft.ch Gründe gegen SAML Nicht
alle Applikationen unterstützen SAML Traveler Notes Browser Plug-in Sametime ID Vault ist Voraussetzung für Notes Client SAML SSO Notes ID’s die nicht «gevaulted» werden können, funktionieren nicht mit SAML Notes ID’s mit mehreren Passwörtern, Smartcards, etc
23.
©2014BelsoftAG|www.belsoft.ch Zusammenfassung: Eine Frage
– mehrere Antworten
24.
©2014BelsoftAG|www.belsoft.ch Zusammenfassung Überlegen Sie,
was wirklich das Problem oder die Anforderung ist. Es gibt viele Technologien die helfen können, aber deren Aufbau und Pflege wird immer komplexer. - Was sind die Prioritäten? Ein einzelnes Passwort? Kein Passwort? Keine Authentifizierung mit einem bestimmten Dienst? Viele Lösungen benötigen ein spezifisches OS, Software oder Client Versionen - Stellen Sie sicher, dass alle Voraussetzungen erfüllt werden, bevor Sie mit dem Aufbau beginnen. Es gibt einfachere Lösungen (Single Passwort, SPNEGO), es gibt schwierigere Lösungen (SAML) Es gibt nicht DIE Lösung, Sie müssen die Kombination wählen, welche Ihren Ansprüchen/Anforderungen entspricht
25.
©2014BelsoftAG|www.belsoft.ch Zusammenfassung Wir können
Sie mit unserem Sachverstand unterstützen mit: - Beratung (Architektur, Best Practice, Reviews) - Upgrades - Schulungen - POCs - Implementationen - Support
26.
©2014BelsoftAG|www.belsoft.ch Fragen? Herzlichen Dank für
Ihre Aufmerksamkeit Toni Feric (toni.feric@belsoft.ch), @ToniFeric Andreas Ponte (andreas.ponte@belsoft.ch), @aponte
27.
©2014BelsoftAG|www.belsoft.ch Quellen & Referenzen
Präsentation an der Connect 2014, “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” Gab Davis & Chris Miller - http://turtleblog.info/2014/02/04/bp104-simplifying-the-ss-single-sign-on-spnego-and-saml/ OpenMic: Intro to Notes Federated Login (SAML) - http://www-01.ibm.com/support/docview.wss?uid=swg27041524 Definitionen SAML Standard: - https://www.oasis-open.org/standards#samlv2.0 Wikipedia: - http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language - http://en.wikipedia.org/wiki/SPNEGO
Jetzt herunterladen