Lösen von Nachweisen mit SAML
Organisationen stellen verteilte Hybridarchitekturen bereit, die mehrere Sicherheitsdomänen umfassen können. Jederzeit könnte ein Benutzer auf das Datenzentrum des Unternehmens, die Cloud-Infrastruktur der Organisation oder sogar auf die #SaaS-Webanwendung eines Drittanbieters zugreifen. #SAML kann die Identifikationsdaten anbieten, die für die Implementierung einer unternehmensweiten Single-Sign-On-Lösung notwendig sind.
Das Überprüfen der Identität einer Person kann im echten Leben einfach durch das Vorzeigen eines Führerscheins oder eines Ausweises durchgeführt werden. Wenn das Foto mit dem Gesicht übereinstimmt, wird normalerweise nichts mehr für die Überprüfung der Identität benötigt. Diese Bestätigung der Identität ist eine physikalische Form von Authentifizierung, und je nach Situation ist die Person anschließend berechtigt, etwas zu empfangen oder zu tun, z. B. einen Barcode eingeben, einen Kauf durchführen usw.
In der digitalen Welt kann man dem Computermonitor nicht einfach einen Führerschein zur Identitätsüberprüfung zeigen. Um Zugriff zu erlangen, müssen Sie Informationen wie einen Namen, ein Passwort oder eine zufällig generierte Tokennummer (etwas, das Sie besitzen, wissen oder sind) angeben, um zu beweisen, dass Sie die richtige Person sind.
Zugriff auf Unternehmensgeräte zu erhalten, verläuft nicht anders. Viele Organisationen verwenden viele unterschiedliche Ressourcen-Portale, allerdings verlangt jedes davon einen digitalen Identitätsnachweis. Ihre Benutzer müssen möglicherweise auch auf Partnerportale, Cloud-basierte SAAS-Anwendungen (Software as a Service) oder verteilte Hybridinfrastrukturen zugreifen, die sich über mehrere Datenzentren erstrecken und jeweils einen einzigartigen Benutzernamen und ein einzigartiges Passwort benötigen. Darüber hinaus muss sich der durchschnittliche Angestellte ca. 15 verschiedene Passwörter für private und geschäftliche Identitäten merken, wobei viele dieser Passwörter auch für soziale Medien und andere riskante Dinge verwendet werden. Statistiken belegen, dass 35 bis 50 Prozent der Helpdesk-Anrufe mit Passwortproblemen zusammenhängen, wobei dem Unternehmen jeder Anruf zwischen 25 und 50 US-Dollar pro Anfrage kostet.
Security Assertion Markup Language (SAML) ist ein XML-basierter Standard, der sichere Web-Domains zum Austausch von Benutzerauthentifizierungen sowie Autorisierungsdaten ermöglicht. Er geht das Problem direkt an, wie man den Benutzern eines Internetbrowsers die Bequemlichkeit von Single-Sign-On (SSO) bieten kann. Mit SAML kann ein Online-Serviceanbieter einen separaten Anbieter für Onlineidentitäten kontaktieren, um Benutzer zu authentifizieren, die auf sichere Inhalte zugreifen möchten. Vielleicht möchte sich ein Benutzer z. B. bei Salesforce.com anmelden, aber Salesforce (der Serviceanbieter) besitzt keine Möglichkeit, um den Benutzer zu überprüfen. Salesforce würde dann eine Anfrage an den Identitätsanbieter senden, z. B. F5 BIG-IP® Access Policy Manager (APM), um die Identität des anfragenden Benutzers zu überprüfen. BIG-IP APM Version 11.3 unterstützt die SAML-Federation und dient entweder als Service- oder als Identitätsanbieter, verbessert die Online-Erfahrung des Kunden und reduziert unter Umständen Tickets mit Passwortproblemen beim Helpdesk.
BIG-IP APM Version 11.3 kann entweder als SAML-Serviceanbieter oder als SAML-Identitätsanbieter dienen und ermöglicht innerhalb eines Unternehmens Federation sowie SSO.
BIG-IP APM als Serviceanbieter
Wenn ein Benutzer eine Anfrage von einem SAML-IDP sendet und die Ressourcen, wie z. B. eine interne SharePoint-Site, von BIG-IP APM geschützt werden, nimmt BIG-IP APM diese SAML-Forderung auf und überprüft deren Vertrauenswürdigkeit. Dies ermöglicht dem Benutzer am Ende, auf die Ressource zuzugreifen. Wenn sich der Benutzer direkt an BIG-IP APM wendet (als Serviceanbieter), um auf eine Ressource (wie z. B. SharePoint) zuzugreifen, dann wird er zur Authentifizierung und für den Erhalt einer Forderung zum Identitätsanbieter weitergeleitet. Sobald ein Benutzer mit einem SAML-IDP authentifiziert ist und hinter BIG-IP APM auf eine Ressource zugreift, muss er sich nicht erneut authentifizieren.
BIG-IP APM als Identitätsanbieter
Vorausgesetzt, es gibt einen Dienstanbieter, der Forderungen akzeptiert, kann sich ein Benutzer mit BIG-IP APM authentifizieren, um eine Forderung zu erstellen. BIG-IP APM authentifiziert den Benutzer und zeigt die Ressourcen an. Wenn der Benutzer auf die Anwendung klickt, generiert BIG-IP APM eine Forderung. Diese Forderung kann an den Dienstanbieter weitergegeben werden, wodurch ohne weitere Authentifizierungen ein Zugriff auf die Ressource ermöglicht wird. Wenn der Benutzer zuerst den Dienstanbieter besucht, wird der Vorgang vom Dienstanbieter gestartet. Wenn sich der Benutzer für die Authentifizierung zunächst direkt an den Identitätsanbieter wendet (in diesem Fall BIG-IP APM), wird der Vorgang vom Identitätsanbieter gestartet.
BIG-IP APM in einer SAML-Federation
SAML kann verwendet werden, um eigenständige BIG-IP APM-Systeme zu verbinden. Dadurch kann ein Benutzer eine Verbindung mit einem BIG-IP-Gerät herstellen, sich authentifizieren und transparent auf andere teilnehmende BIG-IP-Geräte übergehen. Sitzungsreplikation ist kein Teil von SAML, allerdings können Administratoren Sitzungsinformationen auf teilnehmenden Systemen verbreiten. Dies bedeutet, dass die BIG-IP-Geräte-Federation nicht die Verwendung einer einzelnen Sitzung innerhalb der Federation ermöglicht. Es ist nur ein Informationsaustausch zwischen mehreren Mitgliedern der Federation möglich. Jedes teilnehmende BIG-IP-Gerät verfügt über seine eigene Sitzung mit dem Kunden, und jedes Gerät besitzt seine eigenen Zugriffsrichtlinien, die separat und unabhängig ausgeführt werden.
Teilnehmende Federation-Mitglieder können bei Bedarf Informationen mit anderen Federation-Mitgliedern außerhalb von Sitzungen austauschen. Eine übliche Konfiguration besteht darin, über ein dediziertes BIG-IP-Gerät als primäres Mitglied zu verfügen, bei dem Benutzer authentifiziert sind, und das Informationen für andere Mitglieder bietet. Dies ermöglicht einer Vielzahl von anderen BIG-IP-Geräten, mit diesem primären Mitglied zusammenzuarbeiten. Das primäre Mitglied dient als Identitätsanbieter, die anderen teilnehmenden Mitglieder als Dienstanbieter.
Vorteile
Zu den Vorteilen der Bereitstellung von BIG-IP APM als SAML-Lösung gehören sicherlich eine bessere Passwortverwaltung, weniger Helpdesk-Anrufe und ein verbessertes Benutzererlebnis, aber BIG-IP APM kann bei Anfragen auch einen zusätzlichen Zusammenhang hinzufügen. Es können beispielsweise Ergebnisse für Endpunktprüfungen als Attribute enthalten sein, um die Anwendung über den Sicherheitsstatus des Kunden zu informieren. Darüber hinaus müssen IT-Administratoren Anwendungen nicht umändern (z. B. benötigen.NET-Anwendungen kein Kerberos-Claims-Plug-In). Ein weiterer Vorteil ist die umfangreiche Unterstützung von Sitzungsvariablen, die es Organisationen ermöglicht, jede Benutzersitzung anzupassen. BIG-IP APM kann SAML zu Ressourcen und Anwendungen mit minimalen – oder gar keinen – Back-End-Änderungen bringen. All diese Vorteile ergänzen den Wert von BIG-IP APM für das gesamte Trafficmanagement der IT-Infrastruktur einer Organisation.
IT-Infrastrukturen haben sich in den letzten Jahren dramatisch verändert, und viele Anwendungen wurden zu Cloud-basierten Diensten übertragen. Angestellte bei Unternehmen haben sich auch zu einer mobilen Belegschaft gewandelt, die jederzeit von überall aus mit jedem Gerät sicheren Zugriff auf diese Infrastruktur benötigt. Das Überbrücken der Identitätskluft zwischen physikalisch und logisch getrennten Diensten ermöglicht es Organisationen, in dieser sich ständig wandelnden Umgebung flexibel zu bleiben, und verleiht Benutzern den sicheren Zugriff, den sie rund um die Uhr benötigen.
BIG-IP APM Version 11.3 bietet neben der Bereitstellung einer hohen Verfügbarkeit und dem Schutz wichtiger Geräte von Organisationen auch eine SAML 2.0-Lösung, die den notwendigen Identitätsübergang zur Verwaltung des Zugriffs in verschiedenen Systemen bereitstellt.