Anwendungen extern bereitstellen
Offroad
Der Aufbau einer zentralen Identitäts- und Zugriffsverwaltung - gerade über Unternehmensgrenzen hinweg - findet sich auf To-Do-Listen vieler mittlerer und großer Firmen. Die Ansätze dafür sind vielfältig, doch lassen sich nur wenige auf der Basis der meist schon im Unternehmen vorhandenen Standardtechniken implementieren. Auch Transparenz herzustellen ist oft problematisch.
Das immer häufigere Auslagern einzelner Geschäftsprozesse (Out-Tasking), die zunehmende
Vermaschung von Geschäftspartner und Zulieferern mit dem eigenen Unternehmen sowie die zunehmende
Internationalisierung stellen die IT-Bereiche vor neue Herausforderungen. Diese sind mit den
herkömmlichen Techniken und Verfahrensweisen häufig nur sehr schwer zu bewältigen.
In derlei Situationen haben die IT-Abteilungen bisher Vertrauensstellungen (Trusts) zwischen den
Active-Directory-Domänen oder -Forests der beiden Unternehmen erstellt oder interne Benutzerkonten
an Externe vergeben. In letzter Zeit betrachtet man solche Lösungsszenarien jedoch als unflexibel,
teils auch unsicher und nur in seltenen Fällen als transparent für die Endanwender, was wiederum
das Arbeitspensum auf beiden Seiten der Kette unnötig erhöht.
Ein neuartiger und vielversprechender Ansatz zur Lösung derartiger Problemstellungen resultiert
aus der Kombination zweier Techniken, die auf den ersten Blick nicht vereinbar scheinen, sich
jedoch mit einem kleinen Griff in die Trickkiste sehr gut ergänzen. Die Rede ist von Microsofts
Active Directory Federation Services (ADFS, im Deutschen "Active-Directory-Verbunddienste" genannt)
und dem Citrix Presentation Server (CPS). Das Bindeglied aus der erwähnten Trickkiste stellt das
Citrix Web Interface dar, das Citrix als kostenlose Dreingabe unter anderem mit dem CPS
ausliefert.
Mit dem Ende 2005 veröffentlichten Release Update R2 hat Microsoft die Betriebssystemplattform
Windows Server 2003 um einige Funktionen bereichert, vor allem in Bezug auf die Identitäts- und
Zugriffsverwaltung, das Management von Niederlassungsservern und die Speichereinrichtung und
-verwaltung. Mit von der Partie waren die Active Directory Federation Services.
ADFS bietet eine Single-Sign-on-Technik, um einen Benutzer in einer Sitzung für mehrere
Webanwendungen zu authentifizieren. Neben der vorhandenen Active-Directory-Infrastruktur bietet
ADFS Zugriff auf Ressourcen, die vertrauenswürdige Partner via Internet anbieten. Zu diesen
vertrauenswürdigen Partnern können auch externe Drittanbieter oder andere Abteilungen im
Unternehmen gehören. Wenn zwei Unternehmen eine ADFS-Vertrauensstellung etablieren wollen, muss
ADFS in beiden Unternehmen bereitgestellt werden. ADFS-Vertrauensstellungen sind explizit,
unidirektional und nicht transitiv.
In einer Vertrauensstellung heißt die Partei, die für das Hosting der Benutzerkonten
verantwortlich ist, "Kontopartner". Die Partei hingegen, die das Hosting der Anwendungen übernimmt,
auf die die Benutzer zugreifen, ist der "Ressourcenpartner". Für die Verwendung von ADFS benötigt
jeder Partner einen Verbundserver. Zur Erhöhung der Sicherheit können diese Verbundserver innerhalb
des vertrauenswürdigen Netzwerks (Intranets) jedes Unternehmens installiert und über einen
Verbundserver-Proxy in der DMZ bereitgestellt werden, was in den meisten Fällen unabdingbar sein
wird. Bild 1 stellt einen ADFS-Verbund schematisch dar. Im Detail funktioniert ADFS wie folgt (Bild
2):
1. Ein Benutzer ruft eine Webseite bei einem externen Geschäftspartner auf, die mithilfe eines
ADFS-Web-Agenten an den ADFS-Verbund angeschlossen ist.
2. Der Benutzer wird zum Ressourcenverbundserver weitergeleitet und aufgefordert, anhand einer
Auswahlliste sein Unternehmen (Home Realm) zu spezifizieren.
3. Er wird an den Kontoverbundserver seines Unternehmens weitergeleitet und hier basierend auf
seinen Windows-Anmeldeinformationen authentifiziert.
4. Ihm wird ein ADFS-Sicherheits-Token übermittelt, und er wird an den Ressourcenverbundserver
verwiesen.
5. Der Benutzer sendet sein ADFS-Sicherheits-Token an den Ressourcenverbundserver, der das Token
validiert, dem Benutzer ein Anmeldekonto des lokalen Active Directorys (Schattenkonto) zuweist und
den Benutzer mit dieser zusätzlichen Information an die Urspungswebseite zurückverweist.
6. Der ADFS-Web-Agent der Webseite empfängt die Informationen zum Schattenkonto und erzeugt auf
dieser Basis ein gültiges Kerberos-Token, das für weitere Authentifizierungen benutzbar ist.
Trotz dieser komplexen Abläufe bleibt eine ADFS-Authentifizierung für die Benutzer bis auf das
Auswählen des eigenen Unternehmens komplett transparent. Noch nicht einmal der Name des
Schattenkontos, geschweige denn dessen Passwort, muss oder sollte dem Endanwender bekannt sein. Zur
Wahrung der Vertraulichkeit der zwischen beiden Unternehmen ausgetauschten Informationen wird
jegliche Kommunikation SSL-verschlüsselt und ausschließlich über den TCP-Port 443 übertragen.
Die Integration des Citrix Web Interfaces in ein solches Konstrukt ist, wie sich der mit Citrix
vertraute Leser schon denken kann, sehr einfach, da es sich bei dieser Komponente um eine recht
einfache Webanwendung handelt, die sich an dieser Stelle einfach als Webseite betrachten lässt.
Allerdings ist das Einbinden des Citrix Web Interfaces nur die halbe Miete, wenn es um die
Erfüllung der zu Beginn angerissenen Aufgabenstellung geht. Hierfür sind zusätzlich der CPS und
einige wenige Konfigurationsänderungen der entsprechenden Active-Directory-Computerobjekte im Bezug
auf Kerberos-Funktionalität (Trust for Delegation) erforderlich. Die genauen Parameter sind
detailliert im Administratorenhandbuch für Citrix Web Interface (CTX113749) beschrieben.
Citrix Presentation Server
Nachdem alle Komponenten und Infrastruktursysteme wie der ADFS-Verbund, das Citrix Web Interface
und der CPS implementiert sind, ist die Lösung in ihrer Gesamtheit verwendbar. Der besprochene
Kommunikationsfluss würde sich wie folgt erweitern (Bild 3):
7. Die Webseite, hier das Web Interface, leitet in diesem Schritt das Kerberos-Token des
Schattenkontos an den CPS weiter.
8. Dieser stellt eine Liste verfügbarer Anwendungen zusammen, die dem Benutzer via Citrix Web
Interface angezeigt wird.
9. Der Benutzer startet eine der angebotenen Anwendungen, indem er auf eines der
Anwendungssymbole klickt. Eine ICA-Sitzung wird aufgebaut, und der Anwender kann die Applikation
benutzen. Eine Anmerkung: Die in Bild 3 aufgenommene zusätzliche Komponente Citrix Access Gateway
dient dem SSL-verschlüsselten Zugang zum CPS, ist jedoch optional.
Da Unternehmen zunehmend ganze Arbeitsplätze (Desktops mit Windows XP oder Vista) anstelle von
Anwendungen und Servern virtualisieren und in die Rechenzentren verlagern, soll auch ein solches
Szenario Erwähnung finden. Hier würde anstelle von oder zusätzlich zum CPS die Lösung Citrix Xen
Desktop zum Zuge kommen. Der ADFS-bezogene Kommunikationsfluss jedoch würde sich nicht ändern.
Einschränkungen
Der Volksmund sagt: "Wo Licht ist, ist auch Schatten." Und so hat auch dieses Konstrukt eine
kleine, in speziellen Konstellationen jedoch gewichtige Einschränkung: Beim Erzeugen des
Kerberos-Tokens (Schritt 6) kommt das Protocol-Transition-Verfahren zur Anwendung, da man sich von
der Webwelt in die Windows-Welt begibt. Ergebnis des Verfahrens ist ein eingeschränktes
Kerberos-Token ("Constrained Delegation"), dessen Gültigkeit auf eine Active-Directory-Domäne und
vordefinierte Netzwerkressourcen beschränkt ist. Um dennoch eine ADFS/Citrix-Infrastruktur effektiv
nutzen zu können, ist somit eine detaillierte Planung unabdingbar.
Lesen Sie mehr zum Thema
