1. Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost
www.belsoft.ch Russenweg 26
CH-8008 Zürich
T +41 44 388 13 31
Eichenstrasse 2
CH-8808 Pfäffikon (SZ)
T +41 55 410 55 50
Espenstrasse 139
CH-9443 Widnau (SG)
T +41 71 727 75 75
Single Sign-On
Technologieüberblick
Toni Feric
Andreas Ponte

2. ©2014BelsoftAG|www.belsoft.ch
Abstract
 Das Konzept hinter Lösungen
- SSO, PW Synch, SPNEGO, SAML
 Übersicht der
- Anforderungen
- Beschränkungen
- Vorteile
 Überblick über eine Reihe
von verwirrenden Abkürzungen
 Grundlage dieser Präsentation:
“BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” by Gab Davis & Chris Miller

3. ©2014BelsoftAG|www.belsoft.ch
Single Sign-On
Single Password
Passwort nur einmal eingeben
Hohe Sicherheit
Hoher Aufwand
Gleiches Passwort für alle Applikationen
Viel Komfort, wenig Aufwand
Niedrigere Sicherheit

4. ©2014BelsoftAG|www.belsoft.ch
Zentrales Directory
Netzwerk
Webmail
Sametime
Connections
LDAP
Directory
Single Password

5. ©2014BelsoftAG|www.belsoft.ch
Passwort Synchronisation
Netzwerk
Webmail
Sametime
Connections
Passwort
Sync-Tool
Single Password

6. ©2014BelsoftAG|www.belsoft.ch
Netzwerk
Webmail
HR
CRM
ACMENETMME
Marlies.Buergi@acme.ch
S002173
Marlies Bürgi-Meier
Verschiedene ID’s – Gleicher Benutzer

7. ©2014BelsoftAG|www.belsoft.ch
 Alle Applikationen sollten das gleiche LDAP Verzeichnis verwenden
• Domino:
Einbinden eines LDAP Verzeichnisses (Windows AD?) via Directory Assistance
• LDAP Attribut «Distinguished Name» wird benötigt
• HTTP Passwörter aus allen Personendokumenten entfernen
• Funktioniert für Domino Webzugriff (Applikationen, Webmail, Traveler,
Sametime, etc.)
• Funktioniert auch wenn ein User extern arbeitet (ohne direkten LDAP Zugriff)
Single Password
Zentrales Directory

8. ©2014BelsoftAG|www.belsoft.ch
Applikation
Benutzer
Identity
Provider
Ticket
Single Sign-On

9. ©2014BelsoftAG|www.belsoft.ch
SPNEGO
Simple
Protected
GSSAPI
Negotiation
Mechanism
Kerberos
NTLM

10. ©2014BelsoftAG|www.belsoft.ch
SPNEGO – Beispiel für Domino
Login auf der
Windows
Workstation
Active
Directory
erstellt
SPNEGO
Token
Benutzer
versucht auf
eine Domino
Webseite
zuzugreifen
Browser schickt
im Request den
Usernamen und
das SPNEGO
Token an
Domino
Domino validiert
das SPNEGO
Token via Active
Directory Server

11. ©2014BelsoftAG|www.belsoft.ch
SSO Windows Domino
Active Directory Domino Domain
SPNEGO
Token
LTPA
Token

12. ©2014BelsoftAG|www.belsoft.ch
SPNEGO konfigurieren
• Multi-Server Single Sign-On auf dem Domino Server
• Domino Web SSO Dokument erstellen
• Im AD einen SPN (Service Principal Name) für den Domino Server erstellen.
• Domino muss unter diesem SPN AD Account laufen.
• «domspnego» ausführen.
• Die Ausgabe des Befehls an den AD Administrator schicken für die Ausführung des
«setspn» Befehls.
• «setspn –a http://<dominohostname> <WindowsID_Domino>»
ausführen.
• Personendokumente (FullName) mit dem AD Namen ergänzen (und optional dem
krbPrincipalName und LTPA User Namen)
• Verzeichnisse synchronisieren (AD, Domino, etc.).

13. ©2014BelsoftAG|www.belsoft.ch
Gründe gegen SPNEGO
Funktioniert nicht ohne Active Directory
Benutzer müssen sich im Active Directory anmelden
Funktioniert nur mit Browsern, die von Microsoft unterstützt werden
Benutzer müssen mit einem Windows Client arbeiten
Domino muss unter einer Windows Platform laufen
(zumindest der erste Webserver, welcher das Multi-Server SSO Token erstellt)
Funktioniert nicht, wenn ein Benutzer von Remote arbeitet und sich nicht im
Active Directory anmelden kann
Deckt nur ein spezifisches Szenario ab

14. ©2014BelsoftAG|www.belsoft.ch
Language
Security
Assertion
Markup
XML Protokoll und Prozess zum Austausch von
Authentifizierungs- und Autorisierungsinformationen
zwischen Benutzern, Webservices und Servern
SAML

15. ©2014BelsoftAG|www.belsoft.ch
SAML - Vorteile
Keine Passwörter!
Passwörter können nicht mehr…
kompromittiert werden
ablaufen
abgefangen werden
Ist der Benutzer einmal beim Identity Provider authentifiziert,
wird nicht mehr nach dem Passwort gefragt

16. ©2014BelsoftAG|www.belsoft.ch
SP
Service
Provider
Principal
IdP
Identity
Provider
Identity Assertion
SAML - Begriffe

17. ©2014BelsoftAG|www.belsoft.ch
SAML – Schritt für Schritt
User greift auf
Webservice
zu und will
einloggen
User wird an
den Identity
Provider
geleitet
Identity Provider
stellt
Authentifizierung
sicher und erteilt
die Identity
Assertion
User wird zum
Webservice
geleitet und
greift mit der
SAML Assertion
zu
Webservice
erkennt SAML
Assertion und
gewährt Zugriff

18. ©2014BelsoftAG|www.belsoft.ch
SAML - Definitionen
IdP – Identity Provider
 ADFS – Active Directory Federation Services (Windows 2008/2012)
• Ab SAML 2.0 (SAML 1.x nicht unterstützt)
• Kann kombiniert werden mit SPNEGO
• Verbessert IWA (Integrated Windows Authentication)
 TFIM – Tivoli Federated Identity Manager
• SAML 1.1 und 2.0

19. ©2014BelsoftAG|www.belsoft.ch
SAML - Definitionen
SP – Service Provider
 IBM Domino – Web federated login
 IBM WebSphere
 IBM Notes – Notes federated login (Voraussetzung ID Vault)

20. ©2014BelsoftAG|www.belsoft.ch
HTTP / SOAP
HTTP / SOAP
IdP SP
SAML Assertions können Aussagen machen über:
 Authentifizierung
 Autorisierung
 Attribute von Subjekten
SAML Assertion
SAML Assertion
SAML - Definitionen
Funktionsweise

21. ©2014BelsoftAG|www.belsoft.ch
IdP
SP
IdP
SP
SP
SP
SP
SP
SPSP
SP
SAML - Definitionen
Funktionsweise

22. ©2014BelsoftAG|www.belsoft.ch
Gründe gegen SAML
Nicht alle Applikationen unterstützen SAML
Traveler
Notes Browser Plug-in
Sametime
ID Vault ist Voraussetzung für Notes Client SAML SSO
Notes ID’s die nicht «gevaulted» werden können, funktionieren nicht mit
SAML
Notes ID’s mit mehreren Passwörtern, Smartcards, etc

23. ©2014BelsoftAG|www.belsoft.ch
Zusammenfassung: Eine Frage – mehrere Antworten

24. ©2014BelsoftAG|www.belsoft.ch
Zusammenfassung
 Überlegen Sie, was wirklich das Problem oder die Anforderung ist. Es gibt viele
Technologien die helfen können, aber deren Aufbau und Pflege wird immer
komplexer.
- Was sind die Prioritäten? Ein einzelnes Passwort? Kein Passwort? Keine
Authentifizierung mit einem bestimmten Dienst?
 Viele Lösungen benötigen ein spezifisches OS, Software oder Client Versionen
- Stellen Sie sicher, dass alle Voraussetzungen erfüllt werden, bevor Sie mit dem
Aufbau beginnen.
 Es gibt einfachere Lösungen (Single Passwort, SPNEGO), es gibt schwierigere
Lösungen (SAML)
 Es gibt nicht DIE Lösung, Sie müssen die Kombination wählen, welche Ihren
Ansprüchen/Anforderungen entspricht

25. ©2014BelsoftAG|www.belsoft.ch
Zusammenfassung
 Wir können Sie mit unserem Sachverstand unterstützen mit:
- Beratung (Architektur, Best Practice, Reviews)
- Upgrades
- Schulungen
- POCs
- Implementationen
- Support

26. ©2014BelsoftAG|www.belsoft.ch
Fragen?
Herzlichen Dank für Ihre Aufmerksamkeit
Toni Feric (toni.feric@belsoft.ch), @ToniFeric
Andreas Ponte (andreas.ponte@belsoft.ch), @aponte

27. ©2014BelsoftAG|www.belsoft.ch
Quellen & Referenzen
 Präsentation an der Connect 2014, “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML”
Gab Davis & Chris Miller
- http://turtleblog.info/2014/02/04/bp104-simplifying-the-ss-single-sign-on-spnego-and-saml/
 OpenMic: Intro to Notes Federated Login (SAML)
- http://www-01.ibm.com/support/docview.wss?uid=swg27041524
 Definitionen SAML Standard:
- https://www.oasis-open.org/standards#samlv2.0
 Wikipedia:
- http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
- http://en.wikipedia.org/wiki/SPNEGO