In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Titel Subject - Swiss Infosec

Werbung 
adaptives Single Sign-On
in Zeiten von Cloud, BYOD, BYOId and B2C
MEET SWISS INFOSEC! 23.06.2016
Andreas Fuhrmann
Geschäftsleitung
SKyPRO AG
[email protected]
Tom Hofmann
System Engineer IAS
Micro Focus
[email protected]
Fakten
• SKyPRO
–
–
–
–
–
–
–
Gründung April 1987
CHF 350‘000 AK
40 Mitarbeiter
Hauptsitz in Cham
Entwicklungsbüro in der Ukraine
Vertriebsbüro in den USA
> CHF 7 Mio. Umsatz
• Fakten
–
–
–
–
–
–
–
–
–
Realisierung ganzheitlicher Identity & Access Governance Lösungen
Beratung, Konzeption, Implementation und Betrieb
Banken: Swisscard, LLB, Bank Sarasin, Bank CIC
Versicherungen: Helsana, Helvetia
Pharma & Industrie: Actelion, Omya, KKG
Öffentliche Verwaltungen: Kanton Zug, GIBB
Dienstleister: Swisscom, Centris
über 29 Jahre Erfahrung
Zu meiner Person: Verkauf, Beratung, Konzeption und Implementation IAG
Fakten
Micro Focus
$1.4bn
Annual Revenue
80+
20,000+
4,500+
5,000+
Offices Worldwide
Employees
Customers
Partners
Cloud Single Sign-On
Herausforderungen, Technologien, Funktionen
Tom Hofmann
System Engineer IAS
Micro Focus
[email protected]
4
Authentifizierung und Single Sign On heute
• Wo stehen wir heute mit SSO?
– Meist nur innerhalb der Active Directory Domäne gelöst
– ”Windows Boardmittel” (integrierter KDC)
– Single Sign On via Kerberos
– User nutzen den Password Store ihres Browsers (ist
praktischer für den Zugriff via Firefox zuhause)
– Shadow IT, gänzlich an Passwortrichtlinien vorbei
– Meist nur 1 Faktor
– Ablösung traditioneller HW Tokens, unflexibel, teuer,
aufwendig!
Die Herausforderungen
• Cloud (*aaS) –
Authentifizierung über
traditionelle Grenzen hinaus
• Mobile – BYOD, Kunden,
Partner
• Consumerization – jeder
Service, jederzeit auf jedem
Gerät, BYOID
• Non-domain joined clients –
Android, iOS, etc.
• Multi-Protokoll-Unterstützung SAML 1.1/2.0, WS-*, OAuth, OpenID
Connect, Kerberos, etc.
• Zentrales und skalierbares
Authentifizierungsmanagement
• Legacy WebApps, mobile Apps,
Web Apps, Social IDs
• Alte Probleme 2.0
MaxTokenSize ist noch nicht das
schlimmste...
Ein Beispiel
• Pass-the-hash / Golden
Ticket
• Mimikatz
• Payload < 400kb
• Ich muss das Passwort gar nicht
kennen
• Ticktes for free
• RUAG
Anforderungen an die Architektur
Nicht nur technische Fragen beantworten, sondern auch komplexe
Businessanforderungen:
• Ist mein Kantinenplan so wichtig wie, börsenrelevante, Merger & Acquisition
Informationen?
Nichts gegen die Wichtigkeit des Mittagsmenüs, aber…
• Können bisherige Passwortrichtlinien die komplexen Anforderungen abdecken?
Bereits erlebt: 14 Zeichen, 5 Sonderzeichen, alle 30 Tage Wechsel, Historie der letzten 15
Passwörter. Resultat: Post Its
• Wie kann ich den Kontext eines Logins berücksichtigen?
Ein Login des ServiceDesk zu Bürozeiten aus dem internen IP Bereich und mit gültigem Kerberos
Ticket ist wahrscheinlicher als ein Login via Android aus China Sonntags um 2 Uhr morgens
• Ist einmal authentifzieren wirklich ausreichend?
Es muss nicht jeder Login via SmartCard und OTP abgesichert sein, aber was wenn doch?
• Ist derjenige mit dem “Session Token” auch noch immer der richtige?
Stichwort: Device Fingerprinting
Micro Focus
Access Management
•
•
•
•
•
•
Eine zentrale Stelle für:
Single Sign On
Geräte unabhängig
Service unabhängig
Protokoll unabhängig
Dynamisch und adaptiv
----------------------------------• NetIQ Access Manager
• Proxy Gateway
• Identity Provider
• Admin Console
• NetIQ CloudAccess
• Appliance
• Provisiong
• Identity Provider
• Reporting
SAP
Salesforce
Google
SuccessFactors
CRM
Mail
Microsoft
Database
File&Print
Amazon
WEB
Service X
External
Kunden, Partner,
Externals, etc.
Mitarbeiter
Internal
Database
Host
HR
ERP
Unix
WEB
Mail
File&Print
Microsoft
RDP
Micro Focus Access Manager
Zentrales Access Management & Identity Federation
Access Gateway
• Secure Reverse Proxy
Identity Provider
• Identity Federation
Administration Console
• Zentrale Weboberfläche zur Administration
Identity Provider
• Multi Protokol
Unterstützung
• Risiko basierte
• Code Migration
Authentifizierung • SDKs for mobile
– SAML 1.1 / 2.0
• BYOID / Social
• Open APIs
– Shibboleth via SAML
Logins
– WS-Federation
– WS-Trust
• Basic SSO
– OAuth
• Portal (RBAC)
– OpenID Connect
• Mobile Integration
• OATH TOTP und • External attribute
SMS out of the
stores (LDAP,
box
SQL)
Risiko basierte Authentifizierung
• Ermitteln des Risikos anhand eigener Regelwerke
(Source IP, Geo Location, Device, User Profile, Zeit,
Device ID, etc.)
• Festsetzen des Risikos pro Ziel (was ist
akzeptabel)
• Authentifizierung anhand des
Risikos (Multi Faktor AuthN?)
• Integration externer Quellen zur
Risikoermittlung (z.B. Cisco ISE
oder API)
• Vermeidung zweier Logins aus
unterschiedlichen Lokationen
• IP Blacklisting
12
Risk Analytics
•
Was passiert, wie riskant ist es,
wann passiert es
•
Riskio nicht nur vor der
Authentifizierung, auch danach
Risk Analytics
Demo
• Wenn der Desktop wegfällt... Portal to the
rescue!
• Web Single Sign On via SAML 2.0
• Step Up Authentication innerhalb einer
bestehenden Session
• Multi Factor Authentication via smartphone
basierend auf OATH TOTP (kostenlos bei
Micro Focus)
Live Demo
15
Cloud Provisioning
Herausforderungen, Technologien, Funktionen
Andreas Fuhrmann
Geschäftsleitung
SKyPRO AG
[email protected]
16
Cloud Provisioning
Die Herausforderungen
• Schnittstellen, API, Technologien
– WS-Federation, SAML, SCIM
• Single Sign-On
– Passwort Sync., Kerberos, OAuth
• Richtlinien
– Wer darf was, wann und wo
• Nachvollziehbarkeit
– Wer hat(te) warum welche Rechte
– Rezertifizierung
17
Micro Focus Cloud Access
Der einfache Weg in die Cloud als Appliance
Identity Provider
•
Zentrales WebSSO
Gateway
Provisioning
•
Z.B. Rollenbasiertes
Provisioning
für Office365
Katalog
•
Vorgefertigte Konnektoren
zum Download
Mobile App
• Einfache Lösung für
Mobilgeräte
Easy deployment
Administration Console
•
Zentrale Weboberfläche
zur Administration
• Schnelles Deployment
dank Appliance
Micro Focus Cloud Access
Wie funktioniert’s?
Sie können CloudAcces auch externen
Usern verfügbar machen für den Zugriff
auf benötigte Dienste
User startet Apps
mit einem Touch
Meine Organization
Kunden
CloudAccess
Mitarbeiter,
Vertragspartner
Firmenanwendungen
SSO
Partner
Provisioning & SSO
CloudAccess
provisioniert Benutzer
Accounts, falls die
Cloudanwendung dies
verlangt
Benutzer geniessen
einen sofortigen SSO
Zugriff
19
Demo
Office365
• Automatische Provisionierung
– Erstellung Office365 Account mit korrektem Plan anhand
einer AD Gruppenmitgliedschaft
– Automatische Synchronistation
• Genehmigung
– Genehmigung eines kritischen Office365 Plan
• Sicherheit
– Anmeldung nur über das Firmen-Anmeldeportal
– Automatische Deaktivierung
• Nachvollziehbarkeit
– Wer hat welchen Office365 Plan
20
Live Demo
21
Q&A
Tom Hofmann
System Engineer IAS
Micro Focus
[email protected]
Andreas Fuhrmann
Geschäftsleitung
SKyPRO AG
[email protected]
22
Unpublished Work of SKyPRO, All Rights Reserved.
This work is an unpublished work and contains confidential, proprietary, and trade secret information of SKyPRO. Access to this work
is restricted to SKyPRO employees who have a need to know to perform tasks within the scope of their assignments. No part of this
work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or
adapted without the prior written consent of SKyPRO. Any use or exploitation of this work without authorization could subject the
perpetrator to criminal and civil liability.
General Disclaimer
This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. SKyPRO
makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or
implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or
functionality described for SKyPRO products remains at the sole discretion of SKyPRO. Further, SKyPRO reserves the right to
revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such
revisions or changes. All SKyPRO marks referenced in this presentation are trademarks or registered trademarks of SKyPRO in
Switzerland and other countries. All third-party trademarks are the property of their respective owners.
Zugehörige Unterlagen
"Micro Force" Akku-Rasierer Art.-Nr.: 17053
"Micro Force" Akku-Rasierer Art.-Nr.: 17053
ABS musste sich auf einem großen Massenmarkt von
ABS musste sich auf einem großen Massenmarkt von
success story
success story
Micro Oper München 25./26./27. April 2008 Uraufführung im
Micro Oper München 25./26./27. April 2008 Uraufführung im
Wir suchen talentierte Mitarbeiter und bieten eine spannende
Wir suchen talentierte Mitarbeiter und bieten eine spannende
Application Virtualization
Application Virtualization
Cloud Computing - Der juristische Rahmen
Cloud Computing - Der juristische Rahmen
Security Engineering Group Department of Computer Science
Security Engineering Group Department of Computer Science
SW_Entwicklung_Cloud_Matthes - sebis
SW_Entwicklung_Cloud_Matthes - sebis
Use Case als PDF herunterladen
Use Case als PDF herunterladen
„Ich sehe großes Potenzial“
„Ich sehe großes Potenzial“
Systeme, Services & Produkte
Systeme, Services & Produkte
Herunterladen
Werbung