Fachartikel

Sichere Anmeldung in Verbindung mit Single-Sign-On

|IT-Security

Die Lösung: Evidian

Die zunehmende Vernetzung des Alltages sowohl im privaten als auch im geschäftlichen Umfeld stellt viele Nutzer, aber auch Administratoren vor ein großes Problem: Wie kann ein Benutzer eindeutig und sicher identifiziert werden?

Der Zugriff auf Dienste und Daten, die Steuerung von Berechtigungen, Aktivitätsnachweise, Zugriffsprotokolle  –  alles erfolgt auf Basis der Identität des Benutzers und am häufigsten kommt zur Identitätsprüfung die Kombination aus Benutzername und Passwort zum Einsatz. Leider ist diese Kombination nicht die sicherste Methode zur Authentifizierung. Das Passwort kann unbemerkt „entwendet“ werden oder vermeintlich „sichere“ Passwörter sind so komplex, dass man sie nicht mehr als Geheimnis verwahren kann, sondern auf irgendeine Weise notieren muss. Die Vielzahl von Identitäten die Benutzer alltäglich verwenden, macht es fast unmöglich, sich Passwörter nur im Gedächtnis merken zu können.

Aus diesem Grund hat sich der Begriff der „Sicheren Anmeldung“ (engl. strong authentication) fest in die Sicherheitsbetrachtung von IT-Landschaften etabliert. Darunter versteht man die Zuhilfenahme weiterer Authentifikatoren, welche die Nutzer entweder physisch oder biometrisch besitzen (bspw. Chipkarten oder Fingerabdruck).

Produkte von Evidian


Eines der Unternehmen, die sich auf diesen Bereich konzentrieren, ist Evidian. Neben Softwarelösungen aus dem Identity- und Accessmanagement liegt der Fokus im Wesentlichen auf zwei Produkten: einerseits der „Authentication Manager“ und andererseits das „Enterprise Single-Sign-On“. Neben den Standard-Authentifikatoren erweitert Evidian dieses Portfolio unter Verwendung eigener Credential Provider. So lassen sich beispielsweise Benutzeranmeldungen mit RFID-Chip, QR-Code oder weiteren biometrischen Merkmalen durchführen.

Die „Enterprise Single-Sign-On“-Lösung (ESSO) dient dazu, die Authentifizierung an (fast) beliebigen Applikationen zu steuern. Im einfachsten Falle wird nach dem Start einer entsprechenden Anwendung der Nutzer zur einmaligen Eingabe seiner Logindaten gefragt. Anschließend ist das ESSO in der Lage, dieses Programm automatisch mit den entsprechenden Credentials zu befüllen. Dieses Szenario lässt sich dahingehend erweitern, dass Evidian nach Erkennung des Programmstarts seinen eigenen Anmeldedialog dem Nutzer präsentiert und so mit den o.g. Token-Varianten eine 2-Faktor-Authentifizerung für beliebige Anwendungen realisieren kann. Auch das Durchsetzen von globalen Passwortrichtlinien ist auf diese Weise möglich.

Zu Beginn wird die SSO-Engine angelernt, sodass diese anhand der Prozess- und Fenstereigenschaften die zu bedienende Applikation korrekt erkennen kann. Sobald ein gewünschtes Fenster korrekt identifiziert wurde, kann man auf dessen Elemente zugreifen und Aktionen binden. Dadurch lässt sich definieren, an welches Feld Nutzername und Passwort gesendet werden sollen. Nach der Erstellung dieser „technischen Definition“ kann man sie über das zentrale Management entsprechenden Gruppen des User Directory zuweisen und die gewünschte Authentifizierungsmethode festlegen. Nach einer initialen Phase, bei welcher der Nutzer seine unterschiedlichen Anmeldedaten der SSO-Engine bekannt gegeben hat, kann auf diese Weise ein zentrales und einheitliches Anmeldeverfahren implementiert werden. Durch die Unterstützung der gängigen ThinClients wird diese Lösung häufig auch in Terminalserver-Umgebungen integriert.

In Verbindung mit dem zuvor erwähnten Authentication Manager werden die Authentifizierungsmöglichkeiten auch dem eigentlichen Windows-Login-Prozess zur Verfügung gestellt. Nach einer erfolgreichen Windowsanmeldung können dadurch nun auch alle AD-integrierten Applikationen direkt mit den Domain Credentials bedient werden, ohne, dass eine vorangegangene Interaktion des Nutzers notwendig wäre. Ebenso kann bei der Verwendung von RFID oder SmartCard eine automatische Abmeldung oder die Sperrung des Bildschirms eingeleitet werden sobald der Token vom Lesegerät entfernt wird.

Fazit


Evidian schafft die seltene Kombination aus der Erhöhung des Nutzerkomforts und der gleichzeitigen Steigerung des Sicherheitsniveaus. Durch die Möglichkeit einer einheitlichen und dennoch sicheren Anmeldung gehört das Jonglieren mit den unterschiedlichsten Nutzer-Passwort-Kombinationen der Vergangenheit an. So wird das tägliche Arbeiten der Anwender vereinfacht und somit die Produktivität verbessert. Andererseits lassen sich Anwendungen auf diese Weise um eine Multi-Faktor-Authentifizierung und um allgemeingültige Passwortrichtlinien erweitern. Letztendlich lässt sich Evidian durch umfangreiche Konfigurationsmöglichkeiten universell einsetzen und an die individuellen Anforderungen eines Jeden anpassen.

 

Weiterführende Informationen:

IT-Security Lösungen von SHD Zugangsmanagement