250 likes | 401 Views
Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de. Single Sign-On, Password Management, Biometrie. Single Sign-On: Anmeldung an mehreren Anwendungen mit einer Authentifizierung Teilweise unterschieden in:
E N D
Sichere AuthentifizierungSSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de
Single Sign-On, Password Management, Biometrie • Single Sign-On: • Anmeldung an mehreren Anwendungen mit einer Authentifizierung • Teilweise unterschieden in: • Single Sign-On: Eine Authentifizierung für alle Anwendungen • Reduced Sign-On: Umsetzung nur für einen Teil der Anwendungen • Password Management: • Management von Kennwörtern • Synchronisation, Reset, Self-Service • Biometrie: • Einsatz biometrischer Verfahren im Rahmen der Authentifizierung © Kuppinger Cole + Partner 2007
Identity Management-Markt:Boom-Thema Single Sign-On © Kuppinger Cole + Partner 2007
Identity Management Markt:Single Sign-On-Ansätze © Kuppinger Cole + Partner 2007
Die IT im Wandel:Business-Treiber für SSO • Prozesse flexibilisieren • Optimierte Öffnung zum Kunden • Interne Kontrollen optimieren • Revisionssicherheit optimieren • Abgrenzung („chinese walls“) Compliance Business Need SSO? SSO? IT-Strategie • Kosten senken durch Automatisierung • Kostenkontrolle durch Transparenz SSO! SSO! • Anwenderproduktivität erhöhen • Administrationsprozesse verbessern Cost Containment Operational Efficiency SSO? Security © Kuppinger Cole + Partner 2007
Von der IT zum Business:Werte schaffen Wert Business Need Cost Containment Operational Efficiency proaktiv Wettbewerbsvorteileerzielen Business-Support Reife verbessern Compliance Security SSO! Kosten Reaktiv, Strafen vermeiden Wert © Kuppinger Cole + Partner 2007
Identity Management-Markt:Die Treiber © Kuppinger Cole + Partner 2007
Single Sign-On:Die konkreten Treiber • Benutzer müssen sich zu viele Kombination von Benutzernamen und Kennwörter (Credentials) merken • Sicherheitsrisiken durch unsichere Aufbewahrung von Kennwörtern • Akzeptanzprobleme für neue Anwendungen („schon wieder eine neue Anmeldung“) • Helpdesk-Kosten • Einführung von starker Authentifizierung • Einheitliche, starke Mechanismen • Absicherung von sensitiven Anwendungen • Kosten der starken Authentifizierung © Kuppinger Cole + Partner 2007
Identity Management Markt:Starke Authentifizierung © Kuppinger Cole + Partner 2007
Nutzenfaktoren:SSO bringt Mehrwert Quantitativ 1 Administrative Kosten im Helpdesk 2 Integrationskosten von Anwendungen Qualitativ 1 Mehr Komfort für Anwender 2 Höhere Akzeptanz für neue (und alte) Anwendungen 3 Taktisch schnelle Lösung • SSO ist mehr als eine taktische Lösung! • Taktisch: Auch mittelfristig wird es keine einheitliche Authentifizierung geben • Strategisch: Trend zur Vereinheitlichung der Authentifizierung in Anwendungen © Kuppinger Cole + Partner 2007
Single Sign-On:Die Ansätze (I) Serverbasierend Clientbasierend Technisch ähnliche Ansatz, aber: dezentrale Speicherung, z.B. auf USB-Tokens, Smartcards, Festplatte Viele Ansätze Browser-integriert Add-On zu Smartcards Eigenständige Lösung Client-Lösung Problematisch, wenn ohne zentrale Steuerung • Auch: Enterprise Single Sign-On • Speicherung von Credentials in einem (mehr oder weniger) sicheren Speicher • Client-Komponente • Zentrale Steuerung • Hersteller z.B.: • ActivIdentity, CA, Evidian, Passlogix • OEMs: IBM, Novell, Oracle,… • Citrix • Imprivata © Kuppinger Cole + Partner 2007
Directory E-SSO:Wie funktioniert das? Speicherung von Credentials Benutzer mit E-SSO-Client Authentifizierung Anwendungen © Kuppinger Cole + Partner 2007
Single Sign-On:Die Ansätze (II) Kerberos X.509 Standardisierter Ansatz X.509v3-Zertifikate: Bestätigen die Identität Setzt Vertrauen zum Herausgeber voraus Außerhalb von Web-Anwendungen selten unterstützt Extern nutzbar Herausforderung PKI/Smartcard Infrastructure • Standardisierter Ansatz • Kerberos KDC: • Tickets für Authentifizierung und Zugriff auf Services • Unterstützung auf vielen Systemplattformen • Aber: Komplexe Interoperabilität • Aufwändige Integration in Anwendungen • Kaum über Unternehmensgrenzen hinweg nutzbar © Kuppinger Cole + Partner 2007
Single Sign-On:Die Ansätze (III) Web-SSO Federation Standardisierter Ansatz SAML, Liberty Alliance WS-Federation Austausch von Identitätsinformationen über Web Services Flexibel nutzbar Relativ einfach in Anwendungen integrierbar Schnelle Lösungen über Web-SSO-Endpunkte • Web Access Management, Extranet Access Management • Zentrale Authentifizierung für Web-Anwendungen • Autorisierung der Zugriffe • Weiterleitung mit speziellen Headern etc. • Primär für Web-Anwendungen, sonst kaum genutzt © Kuppinger Cole + Partner 2007
Identity Federation:Wie funktioniert das? • Federation basiert auf Vertrauen • Service Provider vertraut Identity Provider • Benutzer meldet sich einmal für mehrere Service Provider an • Flexibler Austausch von Informationen Service Provider User Session Trust Ressource login Identity Provider Verzeichnis © Kuppinger Cole + Partner 2007
Die Ansätze für Single Sign-On:E-SSO als reife Lösung Integrationstiefe in Anwendungen Lokales SSO Enterprise SSO niedrig Web- SSO Federation X.509 Kerberos hoch Reifegrad © Kuppinger Cole + Partner 2007
SSO:Einstiegsprojekt für IAM? Ja, weil… Nein, weil… …man für strategische Ansätze bereits eine integrierte, vertrauenswürdige Identität benötigt (und für taktische auch ein zentrales Verzeichnis haben sollte) …für viele Ansätze der Aufwand für die Anwendungsintegration hoch ist …teils eine komplexe Infrastruktur benötigt wird • …man beim Client beginnen und Informationen darüber sammeln kann, wer in welcher Identität welche Anwendungen nutzt • …man einen schnellen Mehrwert hat • …man (bei einzelnen Ansätzen) schnell starten kann © Kuppinger Cole + Partner 2007
SSO:Die Voraussetzungen • Zentrale, vertrauenswürdige Identität • Integration von verschiedenen führenden Systemen • Herausforderung Datenqualität muss gelöst werden • Starke Authentifizierung (?) • Muss gelöst werden • Häufig (aber nicht zwingend) als nachgelagertes Projekt © Kuppinger Cole + Partner 2007
SSO:Taktik versus Strategie SSO-Taktik SSO-Strategie Backend-SSO Anwendungen haben ein SSO Eine definierte Strategie Identity Federation Kerberos ist zu eingeschränkt X.509 ist eine ergänzende Basistechnologie, aber nicht die Lösung • Frontend-SSO • Benutzer haben ein SSO • Schnell implementierbare Lösungen • Interne Anwendungen: • E-SSO oder lokales SSO mit zentralem Management unter Verwendung von Smartcards • Externe Anwendungen, Web-Anwendungen: • Web-SSO © Kuppinger Cole + Partner 2007
SSO-Strategie:Die Komponenten Integrierte Identität: Meta Directories, Provisioning Starke Authentifizierung: Zwei-Faktor-Authentifizierung Anwendungssicherheits-infrastruktur: Zwingend Vorgaben für Entwicklung und Auswahl von Anwendungen Federation: Basis für Single Sign-On © Kuppinger Cole + Partner 2007
SSO als Risiko oder Chance?Identity Risk Management • Authentifizierung: • Wie vertrauenswürdig ist der Identity Provider? SSO = Trust! • Getrenntes Auditing von Authentifizierung und Autorisierung • Golden Password? • Autorisierung: • Bei den meisten Ansätzen weiterhin dezentral • Wichtigste Ausnahme: Web-SSO • Setzt ein definiertes Zusammenspiel zwischen Identity Providern und Services/Anwendungen voraus IT-Risiken verringern sich tendenziell durch SSO © Kuppinger Cole + Partner 2007
Die Rolle des Password Managements • Password Management: • Password Sync • Unidirektional: Erkennung von Änderungen des Windows-Kennworts – wird von den meisten Lösungen unterstützt • Bidirektional: Erkennung von Synchronisation und Änderungen in verschiedenen Systemen – wenige spezialisierte Anbieter • Password Reset • User Self Service: Benutzer können eigene Kennwörter zurücksetzen • Administrative Resets: Zurücksetzen durch Administratoren © Kuppinger Cole + Partner 2007
Einsatz von Password Management • Grundlegende Password Management-Funktionen werden heute typischerweise als Teil von Provisioning-Lösungen angeboten • Synchronisation stößt zwangsläufig durch unterschiedliche Kennwortregeln an Grenzen • Enterprise-/Lokales SSO kann das adressieren – mehrere Kennwörter für Systeme, eines für den Benutzer • Für die starke Authentifizierung sollten andere Mechanismen verwendet werden • 2-Faktor-Authentifizierung, z.B. mit Smartcard • Biometrische Verfahren © Kuppinger Cole + Partner 2007
Die Rolle der Biometrie • Mechanismus für die starke Authentifizierung • Mehr als 40% der Unternehmen rechnen nicht vor 2009 mit einem flächendeckenden Einsatz • 93,3% der Unternehmen sehen Fingerabdrücke als das geeignetste • Biometrie wird zunehmend interessanter für die starke Authentifizierung, ist aber nicht der einzige Ansatz • Wenn Biometrie, dann Fingerabdrücke • Wird zunehmend vom Benutzer akzeptiert • Relativ ausgereift, relativ günstig • Akzeptable Sicherheit © Kuppinger Cole + Partner 2007
Sichere Authentifizierung:SSO + starke Authentifizierung • SSO in Verbindung mit Ansätzen für die starke Authentifizierung (2-Faktor, Biometrie) ist der geeignete Weg für mehr Sicherheit • Taktisch durch Enterprise-SSO oder lokales SSO mit Smartcards • Strategisch durch Federation © Kuppinger Cole + Partner 2007