Weitere ähnliche Inhalte
Ähnlich wie Single Sign-On Technologieüberblick (20)
Single Sign-On Technologieüberblick
- 1. Belsoft AG Hauptsitz Zweigstelle Pfäffikon SZ Zweigstelle Ost
www.belsoft.ch Russenweg 26
CH-8008 Zürich
T +41 44 388 13 31
Eichenstrasse 2
CH-8808 Pfäffikon (SZ)
T +41 55 410 55 50
Espenstrasse 139
CH-9443 Widnau (SG)
T +41 71 727 75 75
Single Sign-On
Technologieüberblick
Toni Feric
Andreas Ponte
- 2. ©2014BelsoftAG|www.belsoft.ch
Abstract
Das Konzept hinter Lösungen
- SSO, PW Synch, SPNEGO, SAML
Übersicht der
- Anforderungen
- Beschränkungen
- Vorteile
Überblick über eine Reihe
von verwirrenden Abkürzungen
Grundlage dieser Präsentation:
“BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML” by Gab Davis & Chris Miller
- 7. ©2014BelsoftAG|www.belsoft.ch
Alle Applikationen sollten das gleiche LDAP Verzeichnis verwenden
• Domino:
Einbinden eines LDAP Verzeichnisses (Windows AD?) via Directory Assistance
• LDAP Attribut «Distinguished Name» wird benötigt
• HTTP Passwörter aus allen Personendokumenten entfernen
• Funktioniert für Domino Webzugriff (Applikationen, Webmail, Traveler,
Sametime, etc.)
• Funktioniert auch wenn ein User extern arbeitet (ohne direkten LDAP Zugriff)
Single Password
Zentrales Directory
- 10. ©2014BelsoftAG|www.belsoft.ch
SPNEGO – Beispiel für Domino
Login auf der
Windows
Workstation
Active
Directory
erstellt
SPNEGO
Token
Benutzer
versucht auf
eine Domino
Webseite
zuzugreifen
Browser schickt
im Request den
Usernamen und
das SPNEGO
Token an
Domino
Domino validiert
das SPNEGO
Token via Active
Directory Server
- 12. ©2014BelsoftAG|www.belsoft.ch
SPNEGO konfigurieren
• Multi-Server Single Sign-On auf dem Domino Server
• Domino Web SSO Dokument erstellen
• Im AD einen SPN (Service Principal Name) für den Domino Server erstellen.
• Domino muss unter diesem SPN AD Account laufen.
• «domspnego» ausführen.
• Die Ausgabe des Befehls an den AD Administrator schicken für die Ausführung des
«setspn» Befehls.
• «setspn –a http://<dominohostname> <WindowsID_Domino>»
ausführen.
• Personendokumente (FullName) mit dem AD Namen ergänzen (und optional dem
krbPrincipalName und LTPA User Namen)
• Verzeichnisse synchronisieren (AD, Domino, etc.).
- 13. ©2014BelsoftAG|www.belsoft.ch
Gründe gegen SPNEGO
Funktioniert nicht ohne Active Directory
Benutzer müssen sich im Active Directory anmelden
Funktioniert nur mit Browsern, die von Microsoft unterstützt werden
Benutzer müssen mit einem Windows Client arbeiten
Domino muss unter einer Windows Platform laufen
(zumindest der erste Webserver, welcher das Multi-Server SSO Token erstellt)
Funktioniert nicht, wenn ein Benutzer von Remote arbeitet und sich nicht im
Active Directory anmelden kann
Deckt nur ein spezifisches Szenario ab
- 17. ©2014BelsoftAG|www.belsoft.ch
SAML – Schritt für Schritt
User greift auf
Webservice
zu und will
einloggen
User wird an
den Identity
Provider
geleitet
Identity Provider
stellt
Authentifizierung
sicher und erteilt
die Identity
Assertion
User wird zum
Webservice
geleitet und
greift mit der
SAML Assertion
zu
Webservice
erkennt SAML
Assertion und
gewährt Zugriff
- 18. ©2014BelsoftAG|www.belsoft.ch
SAML - Definitionen
IdP – Identity Provider
ADFS – Active Directory Federation Services (Windows 2008/2012)
• Ab SAML 2.0 (SAML 1.x nicht unterstützt)
• Kann kombiniert werden mit SPNEGO
• Verbessert IWA (Integrated Windows Authentication)
TFIM – Tivoli Federated Identity Manager
• SAML 1.1 und 2.0
- 20. ©2014BelsoftAG|www.belsoft.ch
HTTP / SOAP
HTTP / SOAP
IdP SP
SAML Assertions können Aussagen machen über:
Authentifizierung
Autorisierung
Attribute von Subjekten
SAML Assertion
SAML Assertion
SAML - Definitionen
Funktionsweise
- 22. ©2014BelsoftAG|www.belsoft.ch
Gründe gegen SAML
Nicht alle Applikationen unterstützen SAML
Traveler
Notes Browser Plug-in
Sametime
ID Vault ist Voraussetzung für Notes Client SAML SSO
Notes ID’s die nicht «gevaulted» werden können, funktionieren nicht mit
SAML
Notes ID’s mit mehreren Passwörtern, Smartcards, etc
- 24. ©2014BelsoftAG|www.belsoft.ch
Zusammenfassung
Überlegen Sie, was wirklich das Problem oder die Anforderung ist. Es gibt viele
Technologien die helfen können, aber deren Aufbau und Pflege wird immer
komplexer.
- Was sind die Prioritäten? Ein einzelnes Passwort? Kein Passwort? Keine
Authentifizierung mit einem bestimmten Dienst?
Viele Lösungen benötigen ein spezifisches OS, Software oder Client Versionen
- Stellen Sie sicher, dass alle Voraussetzungen erfüllt werden, bevor Sie mit dem
Aufbau beginnen.
Es gibt einfachere Lösungen (Single Passwort, SPNEGO), es gibt schwierigere
Lösungen (SAML)
Es gibt nicht DIE Lösung, Sie müssen die Kombination wählen, welche Ihren
Ansprüchen/Anforderungen entspricht
- 27. ©2014BelsoftAG|www.belsoft.ch
Quellen & Referenzen
Präsentation an der Connect 2014, “BP104 - Simplifying The S's- Single Sign-On, SPNEGO and SAML”
Gab Davis & Chris Miller
- http://turtleblog.info/2014/02/04/bp104-simplifying-the-ss-single-sign-on-spnego-and-saml/
OpenMic: Intro to Notes Federated Login (SAML)
- http://www-01.ibm.com/support/docview.wss?uid=swg27041524
Definitionen SAML Standard:
- https://www.oasis-open.org/standards#samlv2.0
Wikipedia:
- http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
- http://en.wikipedia.org/wiki/SPNEGO