adaptives Single Sign-Onin Zeiten von Cloud, BYOD, BYOId and B2C

MEET SWISS INFOSEC! 23.06.2016

Tom Hofmann

System Engineer IAS

Micro Focus

tom.hofmann@microfocus.com

Andreas Fuhrmann

Geschäftsleitung

SKyPRO AG

andreas.fuhrmann@skypro.ch

Fakten

• SKyPRO– Gründung April 1987

– CHF 350‘000 AK

– 40 Mitarbeiter

– Hauptsitz in Cham

– Entwicklungsbüro in der Ukraine

– Vertriebsbüro in den USA

– > CHF 7 Mio. Umsatz

• Fakten– Realisierung ganzheitlicher Identity & Access Governance Lösungen

– Beratung, Konzeption, Implementation und Betrieb

– Banken: Swisscard, LLB, Bank Sarasin, Bank CIC

– Versicherungen: Helsana, Helvetia

– Pharma & Industrie: Actelion, Omya, KKG

– Öffentliche Verwaltungen: Kanton Zug, GIBB

– Dienstleister: Swisscom, Centris

– über 29 Jahre Erfahrung

– Zu meiner Person: Verkauf, Beratung, Konzeption und Implementation IAG

Micro Focus

$1.4bn

80+Offices Worldwide

20,000+Customers

Annual Revenue

4,500+Employees

5,000+Partners

Fakten

Cloud Single Sign-OnHerausforderungen, Technologien, Funktionen

4

Tom Hofmann

System Engineer IAS

Micro Focus

tom.hofmann@microfocus.com

• Wo stehen wir heute mit SSO?

–Meist nur innerhalb der Active Directory Domäne gelöst

–”Windows Boardmittel” (integrierter KDC)

–Single Sign On via Kerberos

–User nutzen den Password Store ihres Browsers (ist

praktischer für den Zugriff via Firefox zuhause)

–Shadow IT, gänzlich an Passwortrichtlinien vorbei

–Meist nur 1 Faktor

–Ablösung traditioneller HW Tokens, unflexibel, teuer,

aufwendig!

Authentifizierung und Single Sign On heute

• Cloud (*aaS) –Authentifizierung über

traditionelle Grenzen hinaus

• Mobile – BYOD, Kunden,

Partner

• Consumerization – jeder

Service, jederzeit auf jedem

Gerät, BYOID

• Non-domain joined clients –Android, iOS, etc.

Die Herausforderungen

• Multi-Protokoll-Unterstützung -SAML 1.1/2.0, WS-*, OAuth, OpenID

Connect, Kerberos, etc.

• Zentrales und skalierbares

Authentifizierungsmanagement

• Legacy WebApps, mobile Apps,

Web Apps, Social IDs

• Alte Probleme 2.0 MaxTokenSize ist noch nicht das

schlimmste...

• Pass-the-hash / Golden

Ticket

• Mimikatz

• Payload < 400kb

• Ich muss das Passwort gar nicht

kennen

• Ticktes for free

• RUAG

Ein Beispiel

Nicht nur technische Fragen beantworten, sondern auch komplexe

Businessanforderungen:

• Ist mein Kantinenplan so wichtig wie, börsenrelevante, Merger & Acquisition

Informationen? Nichts gegen die Wichtigkeit des Mittagsmenüs, aber…

• Können bisherige Passwortrichtlinien die komplexen Anforderungen abdecken? Bereits erlebt: 14 Zeichen, 5 Sonderzeichen, alle 30 Tage Wechsel, Historie der letzten 15

Passwörter. Resultat: Post Its

• Wie kann ich den Kontext eines Logins berücksichtigen?Ein Login des ServiceDesk zu Bürozeiten aus dem internen IP Bereich und mit gültigem Kerberos

Ticket ist wahrscheinlicher als ein Login via Android aus China Sonntags um 2 Uhr morgens

• Ist einmal authentifzieren wirklich ausreichend?Es muss nicht jeder Login via SmartCard und OTP abgesichert sein, aber was wenn doch?

• Ist derjenige mit dem “Session Token” auch noch immer der richtige?

Stichwort: Device Fingerprinting

Anforderungen an die Architektur

HR ERP WEB File&PrintMailDatabase RDP

Host Unix Microsoft

External

Internal

SuccessFactors CRM WEBFile&PrintMail Database

SAP MicrosoftSalesforce Google Amazon

Service XMicro Focus

Access Management

• Eine zentrale Stelle für:

• Single Sign On

• Geräte unabhängig

• Service unabhängig

• Protokoll unabhängig

• Dynamisch und adaptiv

-----------------------------------

• NetIQ Access Manager

• Proxy Gateway

• Identity Provider

• Admin Console

• NetIQ CloudAccess

• Appliance

• Provisiong

• Identity Provider

• Reporting

Mitarbeiter

Kunden, Partner,

Externals, etc.

Zentrales Access Management & Identity Federation

Micro Focus Access Manager

Access Gateway• Secure Reverse Proxy

Identity Provider• Identity Federation

Administration Console• Zentrale Weboberfläche zur Administration

Identity Provider

• Multi Protokol

Unterstützung– SAML 1.1 / 2.0

– Shibboleth via SAML

– WS-Federation

– WS-Trust

– OAuth

– OpenID Connect

• OATH TOTP und

SMS out of the

box

• Risiko basierte

Authentifizierung

• BYOID / Social

Logins

• Basic SSO

• Portal (RBAC)

• Mobile Integration

• External attribute

stores (LDAP,

SQL)

• Code Migration

• SDKs for mobile

• Open APIs

12

Risiko basierte Authentifizierung

• Ermitteln des Risikos anhand eigener Regelwerke

(Source IP, Geo Location, Device, User Profile, Zeit,

Device ID, etc.)

• Festsetzen des Risikos pro Ziel (was ist

akzeptabel)

• Authentifizierung anhand des

Risikos (Multi Faktor AuthN?)

• Integration externer Quellen zur

Risikoermittlung (z.B. Cisco ISE

oder API)

• Vermeidung zweier Logins aus

unterschiedlichen Lokationen

• IP Blacklisting

Risk Analytics

• Was passiert, wie riskant ist es,

wann passiert es

• Riskio nicht nur vor der

Authentifizierung, auch danach

Risk Analytics

Demo

• Wenn der Desktop wegfällt... Portal to the

rescue!

• Web Single Sign On via SAML 2.0

• Step Up Authentication innerhalb einer

bestehenden Session

• Multi Factor Authentication via smartphone

basierend auf OATH TOTP (kostenlos bei

Micro Focus)

Live Demo

15

Cloud ProvisioningHerausforderungen, Technologien, Funktionen

16

Andreas Fuhrmann

Geschäftsleitung

SKyPRO AG

andreas.fuhrmann@skypro.ch

Cloud Provisioning

• Schnittstellen, API, Technologien

– WS-Federation, SAML, SCIM

• Single Sign-On

– Passwort Sync., Kerberos, OAuth

• Richtlinien

– Wer darf was, wann und wo

• Nachvollziehbarkeit

– Wer hat(te) warum welche Rechte

– Rezertifizierung

Die Herausforderungen

17

Micro Focus Cloud Access

Identity Provider• Zentrales WebSSO

Gateway

Provisioning• Z.B. Rollenbasiertes

Provisioningfür Office365

Administration Console• Zentrale Weboberfläche

zur Administration

Katalog• Vorgefertigte Konnektoren

zum Download

Mobile App• Einfache Lösung für

Mobilgeräte

Easy deployment• Schnelles Deployment

dank Appliance

Der einfache Weg in die Cloud als Appliance

18

Micro Focus Cloud Access

Wie funktioniert’s?

19

SSO

Provisioning & SSO

Me

ine

Org

an

iza

tio

n

Firmenanwendungen

Mitarbeiter,Vertragspartner

PartnerKunden

User startet Apps

mit einem Touch

Benutzer geniessen

einen sofortigen SSO

Zugriff

Sie können CloudAcces auch externen

Usern verfügbar machen für den Zugriff

auf benötigte Dienste

CloudAccess

CloudAccess

provisioniert Benutzer

Accounts, falls die

Cloudanwendung dies

verlangt

Demo

• Automatische Provisionierung– Erstellung Office365 Account mit korrektem Plan anhand

einer AD Gruppenmitgliedschaft

– Automatische Synchronistation

• Genehmigung– Genehmigung eines kritischen Office365 Plan

• Sicherheit– Anmeldung nur über das Firmen-Anmeldeportal

– Automatische Deaktivierung

• Nachvollziehbarkeit– Wer hat welchen Office365 Plan

Office365

20

Live Demo

21

Q&A

22

Tom Hofmann

System Engineer IAS

Micro Focus

tom.hofmann@microfocus.com

Andreas Fuhrmann

Geschäftsleitung

SKyPRO AG

andreas.fuhrmann@skypro.ch

Unpublished Work of SKyPRO, All Rights Reserved.

This work is an unpublished work and contains confidential, proprietary, and trade secret information of SKyPRO. Access to this work is restricted to SKyPRO employees who have a need to know to perform tasks within the scope of their assignments. No part of this

work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or

adapted without the prior written consent of SKyPRO. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.

General Disclaimer

This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. SKyPRO

makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or

functionality described for SKyPRO products remains at the sole discretion of SKyPRO. Further, SKyPRO reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such

revisions or changes. All SKyPRO marks referenced in this presentation are trademarks or registered trademarks of SKyPRO in

Switzerland and other countries. All third-party trademarks are the property of their respective owners.