2011-11-07 Finns SSO på riktigt? Niklas Fröling Security expert Niklas Dahl Specialist sälj
er två Den fria tanken skapar affärsnytta. Ingenting är omöjligt! k Föragspresentation, maj 2010 Cygate AB.
er två OPTIMERAT SÄKERT NÄTVERK LÖNSAMT EFFEKTIVT TILLFÖRLITLIGT k Föragspresentation, maj 2010 Cygate AB.
Nordens ledande systemintegratör. Grundat 1978. 16 kontor i Sverige och 6 i Finland. Huvudkontor i Stockholm. Cirka 510 anställda. Omsättning 1 516 MSEK (2009). EBITA: 100 MSEK (2009). Ägare: TeliaSonera. Föragspresentation, maj 2010 Cygate AB.
En liten rundtur - NEJ
Irritation
Ångest
Men tillbaka till de stora förväntningarna och hur vi kommer igång med dta?
Tja, som med alla infrastrukturfrågor; D är bara att kavla upp ärmarna!
SSO är den varma känsla som kan infinna sig hos en användare som på t enkelt sätt når den information som behövs för arbs utförande
Klientsidan Serversidan Intern Information Server Special- Apache IBM HTTP snickeri Server iplan utan tydliga Webbservrar skikt IBM WebSphere.N HTTP Listener FORMS Listener Oracle WebLogic Server JBoss Tomcat Jty Applikationsservrar Databas, tex. MS SQL Databas, tex. MySQL Databas, tex. Oracle Databaser Windows Server 2003 Windows Server 2008 Linux Unix Opertivsystem
Åt vilk håll vill vi styra vår infrastruktur på lite sikt? Hur pigga är våra befintliga/blivande applikationsleverantörer på att - BIF-ifiera - SAML-integrera - Kerberos-anpassa eller - Certifikats-enabla sina applikationer? Hur många dispenser från SSO-känslan "tål" användarna? Kan vi hitta referenser rörande lyckade SSO-projekt som vi kan ge oss värdefull input?
En prioritsordning som denna skulle kunna fungera: I första hand Den primära autentiseringen sker med kort/certifikat, då kan många applikationer dra nytta av denna primära inloggning (ofta mot AD) genom att applikationerna använder Kerberos. I andra hand I vissa fall sker ingen påloggning mot AD med kort och ingen Kerberosbiljt finns tillgänglig. Då kan en SAML-baserad lösning med en intern Identity Provider passa. I tredje hand Certifikats- enabla applikationen I fjärde hand Nyttja en SSO-programvara som hanterar automatisk ifyllnad av namn och lösenord I femte hand Ge applikationen dispens och förklara samtidigt varför just denna applikation visat sig "hopplös".
Nuvarande inloggningsmod Stöd finns direkt i produkten för dessa moder Noteringar Beslut Active Directory Namn och lösen 1. Namn och lösen 2. Smarta kort med certifikat Journalsystem 5.2 Namn och lösen 1. Namn och lösen 2. AD Kerberos aware 3. Direkt nyttjande av SITHS/HCC Utred och fatta beslut om vi ska använda HCC eller egenutfärdade certifikat mot AD I väntan på att alla får sina kerberosbiljter baserat på kortinloggning överväger vi att logga på med kort direkt. 1 Alla med egen dator ska logga på AD med smarta kort och certifikat 2 På delade datorer ska koncept för hot desktop och/eller terminalsessioner användas. Påbörja införande av tunna klienter i lämpliga delar av verksamhen 1 Ta reda på mer om hur leverantörens lösning för kortinloggning fungerar. Hur hanteras t.ex. SITHS-kort med multipla HCC? Personalhantering 3.0 Namn och lösen 1. Namn och lösen 2. AD Kerberos aware - 1 Nyttja kerberosfunktionaliten oavst om påloggning skt med namn/lösen eller kort Tidredovisning 3.0 Namn och lösen 1. Namn och lösen 2. SAML Schemaläggning 7.1 Namn och lösen 1. Namn och lösen 2. OTP-SMS Vi är inte redo för SAML då vi saknar lämplig federationsmotor Schemaläggning 7.1 skall fasas ut under 2011 till förmån för SchemeMaster 2.0 1 Utred vilken SSO produkt som kan passa 1 Kontrollera vilka inloggningsmoder SchemeMaster stödjer NPÖ Dubbelriktad SSL med SITHS/HCC 1. Dubbelriktad SSL med SITHS/HCC 2. BIF BIF i skrivande stund inte helt klart 1 Fortsätt med dubbelriktad SSL med SITHS/HCC Specialsystem X NTLM 1. NTLM - 1 Kontakta leverantören och sondera möjligherna till en modernisering i kommande releaser e-dos Namn och lösen 1. Dubbelriktad SSL med SITHS/HCC 2. Säkerhsdosa (OTP) 3. Dubbelriktad SSL med e- legitimation - 1 Övergång till dubbelriktad SSL med SITHS/HCC sker när SITHS-korten är utrullade till berörd personal och så snart Apotek infört påloggning med HCC iställ för dagens påloggning med e-legitimation.
ActivIdentity SecureLogin SSO Windows applikationer Webb applikationer Java applikationer Terminal emulator applikationer administratör ActivIdentity SecureLogin Single Sign-On wizard LDAP Dator med ActivIdentity SecureLogin Single Sign-On användare 17
Slut cirkeln med SSO och IDM Förags applikationer IDM System för lösenordsprovisionering Användare I katalogen Admin SSO Klient IDM Koppling Inloggningsdata förpopuleras för varje inloggning
Alltså SSO må uppnås med hjälp av en massa tekniska lösningar men låt oss inte glömma att för användarna är d: den varma känsla som infinner sig när man på t enkelt sätt når den information som behövs för arbs utförande SSO enligt Ernst Kirchsteiger: Smidigt, skönt, ordentligt