Post on 12-Oct-2020
adaptives Single Sign-Onin Zeiten von Cloud, BYOD, BYOId and B2C
MEET SWISS INFOSEC! 23.06.2016
Tom Hofmann
System Engineer IAS
Micro Focus
tom.hofmann@microfocus.com
Andreas Fuhrmann
Geschäftsleitung
SKyPRO AG
andreas.fuhrmann@skypro.ch
Fakten
• SKyPRO– Gründung April 1987
– CHF 350‘000 AK
– 40 Mitarbeiter
– Hauptsitz in Cham
– Entwicklungsbüro in der Ukraine
– Vertriebsbüro in den USA
– > CHF 7 Mio. Umsatz
• Fakten– Realisierung ganzheitlicher Identity & Access Governance Lösungen
– Beratung, Konzeption, Implementation und Betrieb
– Banken: Swisscard, LLB, Bank Sarasin, Bank CIC
– Versicherungen: Helsana, Helvetia
– Pharma & Industrie: Actelion, Omya, KKG
– Öffentliche Verwaltungen: Kanton Zug, GIBB
– Dienstleister: Swisscom, Centris
– über 29 Jahre Erfahrung
– Zu meiner Person: Verkauf, Beratung, Konzeption und Implementation IAG
Micro Focus
$1.4bn
80+Offices Worldwide
20,000+Customers
Annual Revenue
4,500+Employees
5,000+Partners
Fakten
Cloud Single Sign-OnHerausforderungen, Technologien, Funktionen
4
Tom Hofmann
System Engineer IAS
Micro Focus
tom.hofmann@microfocus.com
• Wo stehen wir heute mit SSO?
–Meist nur innerhalb der Active Directory Domäne gelöst
–”Windows Boardmittel” (integrierter KDC)
–Single Sign On via Kerberos
–User nutzen den Password Store ihres Browsers (ist
praktischer für den Zugriff via Firefox zuhause)
–Shadow IT, gänzlich an Passwortrichtlinien vorbei
–Meist nur 1 Faktor
–Ablösung traditioneller HW Tokens, unflexibel, teuer,
aufwendig!
Authentifizierung und Single Sign On heute
• Cloud (*aaS) –Authentifizierung über
traditionelle Grenzen hinaus
• Mobile – BYOD, Kunden,
Partner
• Consumerization – jeder
Service, jederzeit auf jedem
Gerät, BYOID
• Non-domain joined clients –Android, iOS, etc.
Die Herausforderungen
• Multi-Protokoll-Unterstützung -SAML 1.1/2.0, WS-*, OAuth, OpenID
Connect, Kerberos, etc.
• Zentrales und skalierbares
Authentifizierungsmanagement
• Legacy WebApps, mobile Apps,
Web Apps, Social IDs
• Alte Probleme 2.0 MaxTokenSize ist noch nicht das
schlimmste...
• Pass-the-hash / Golden
Ticket
• Mimikatz
• Payload < 400kb
• Ich muss das Passwort gar nicht
kennen
• Ticktes for free
• RUAG
Ein Beispiel
Nicht nur technische Fragen beantworten, sondern auch komplexe
Businessanforderungen:
• Ist mein Kantinenplan so wichtig wie, börsenrelevante, Merger & Acquisition
Informationen? Nichts gegen die Wichtigkeit des Mittagsmenüs, aber…
• Können bisherige Passwortrichtlinien die komplexen Anforderungen abdecken? Bereits erlebt: 14 Zeichen, 5 Sonderzeichen, alle 30 Tage Wechsel, Historie der letzten 15
Passwörter. Resultat: Post Its
• Wie kann ich den Kontext eines Logins berücksichtigen?Ein Login des ServiceDesk zu Bürozeiten aus dem internen IP Bereich und mit gültigem Kerberos
Ticket ist wahrscheinlicher als ein Login via Android aus China Sonntags um 2 Uhr morgens
• Ist einmal authentifzieren wirklich ausreichend?Es muss nicht jeder Login via SmartCard und OTP abgesichert sein, aber was wenn doch?
• Ist derjenige mit dem “Session Token” auch noch immer der richtige?
Stichwort: Device Fingerprinting
Anforderungen an die Architektur
HR ERP WEB File&PrintMailDatabase RDP
Host Unix Microsoft
External
Internal
SuccessFactors CRM WEBFile&PrintMail Database
SAP MicrosoftSalesforce Google Amazon
Service XMicro Focus
Access Management
• Eine zentrale Stelle für:
• Single Sign On
• Geräte unabhängig
• Service unabhängig
• Protokoll unabhängig
• Dynamisch und adaptiv
-----------------------------------
• NetIQ Access Manager
• Proxy Gateway
• Identity Provider
• Admin Console
• NetIQ CloudAccess
• Appliance
• Provisiong
• Identity Provider
• Reporting
Mitarbeiter
Kunden, Partner,
Externals, etc.
Zentrales Access Management & Identity Federation
Micro Focus Access Manager
Access Gateway• Secure Reverse Proxy
Identity Provider• Identity Federation
Administration Console• Zentrale Weboberfläche zur Administration
Identity Provider
• Multi Protokol
Unterstützung– SAML 1.1 / 2.0
– Shibboleth via SAML
– WS-Federation
– WS-Trust
– OAuth
– OpenID Connect
• OATH TOTP und
SMS out of the
box
• Risiko basierte
Authentifizierung
• BYOID / Social
Logins
• Basic SSO
• Portal (RBAC)
• Mobile Integration
• External attribute
stores (LDAP,
SQL)
• Code Migration
• SDKs for mobile
• Open APIs
12
Risiko basierte Authentifizierung
• Ermitteln des Risikos anhand eigener Regelwerke
(Source IP, Geo Location, Device, User Profile, Zeit,
Device ID, etc.)
• Festsetzen des Risikos pro Ziel (was ist
akzeptabel)
• Authentifizierung anhand des
Risikos (Multi Faktor AuthN?)
• Integration externer Quellen zur
Risikoermittlung (z.B. Cisco ISE
oder API)
• Vermeidung zweier Logins aus
unterschiedlichen Lokationen
• IP Blacklisting
Risk Analytics
• Was passiert, wie riskant ist es,
wann passiert es
• Riskio nicht nur vor der
Authentifizierung, auch danach
Risk Analytics
Demo
• Wenn der Desktop wegfällt... Portal to the
rescue!
• Web Single Sign On via SAML 2.0
• Step Up Authentication innerhalb einer
bestehenden Session
• Multi Factor Authentication via smartphone
basierend auf OATH TOTP (kostenlos bei
Micro Focus)
Live Demo
15
Cloud ProvisioningHerausforderungen, Technologien, Funktionen
16
Andreas Fuhrmann
Geschäftsleitung
SKyPRO AG
andreas.fuhrmann@skypro.ch
Cloud Provisioning
• Schnittstellen, API, Technologien
– WS-Federation, SAML, SCIM
• Single Sign-On
– Passwort Sync., Kerberos, OAuth
• Richtlinien
– Wer darf was, wann und wo
• Nachvollziehbarkeit
– Wer hat(te) warum welche Rechte
– Rezertifizierung
Die Herausforderungen
17
Micro Focus Cloud Access
Identity Provider• Zentrales WebSSO
Gateway
Provisioning• Z.B. Rollenbasiertes
Provisioningfür Office365
Administration Console• Zentrale Weboberfläche
zur Administration
Katalog• Vorgefertigte Konnektoren
zum Download
Mobile App• Einfache Lösung für
Mobilgeräte
Easy deployment• Schnelles Deployment
dank Appliance
Der einfache Weg in die Cloud als Appliance
18
Micro Focus Cloud Access
Wie funktioniert’s?
19
SSO
Provisioning & SSO
Me
ine
Org
an
iza
tio
n
Firmenanwendungen
Mitarbeiter,Vertragspartner
PartnerKunden
User startet Apps
mit einem Touch
Benutzer geniessen
einen sofortigen SSO
Zugriff
Sie können CloudAcces auch externen
Usern verfügbar machen für den Zugriff
auf benötigte Dienste
CloudAccess
CloudAccess
provisioniert Benutzer
Accounts, falls die
Cloudanwendung dies
verlangt
Demo
• Automatische Provisionierung– Erstellung Office365 Account mit korrektem Plan anhand
einer AD Gruppenmitgliedschaft
– Automatische Synchronistation
• Genehmigung– Genehmigung eines kritischen Office365 Plan
• Sicherheit– Anmeldung nur über das Firmen-Anmeldeportal
– Automatische Deaktivierung
• Nachvollziehbarkeit– Wer hat welchen Office365 Plan
Office365
20
Live Demo
21
Q&A
22
Tom Hofmann
System Engineer IAS
Micro Focus
tom.hofmann@microfocus.com
Andreas Fuhrmann
Geschäftsleitung
SKyPRO AG
andreas.fuhrmann@skypro.ch
Unpublished Work of SKyPRO, All Rights Reserved.
This work is an unpublished work and contains confidential, proprietary, and trade secret information of SKyPRO. Access to this work is restricted to SKyPRO employees who have a need to know to perform tasks within the scope of their assignments. No part of this
work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or
adapted without the prior written consent of SKyPRO. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.
General Disclaimer
This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. SKyPRO
makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or
functionality described for SKyPRO products remains at the sole discretion of SKyPRO. Further, SKyPRO reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such
revisions or changes. All SKyPRO marks referenced in this presentation are trademarks or registered trademarks of SKyPRO in
Switzerland and other countries. All third-party trademarks are the property of their respective owners.