Single Sign-on leicht gemacht

Der Markt für Enterprise Single Sign-on (E-SSO) ist einer der Boom-Märkte in der IT. Eines der interessantesten Produkte in diesem Segment ist Imprivata Onesign, das als Hardware-Appliance konzipiert ist.

Wie wichtig Enterprise Single Sign-on inzwischen für die Unternehmen ist, zeigen unter anderem
die Zahlen in der Identity-Management-Marktstudie 2006/2007 von Kuppinger Cole und Partner, die
E-SSO als eines der drei stärksten Wachstumssegmente im Bereich Identity-Management identifizieren.
Das Unternehmen Imprivata hat hier ein Produkt auf den Markt gebracht, das sich als Appliance von
den Lösungen der Mitbewerber wie Activ Identity, CA, Evidian oder Passlogix sowie von den Produkten
der zugehörigen OEM-Nehmer wie IBM, Novell oder Oracle, die alle mit reinen Softwarelösungen
arbeiten, deutlich unterscheidet.

Imprivata liefert standardmäßig zwei Appliances für die Rack-Montage, die auf einer speziell
geschützten Version von Suse Linux basieren. Alle Ports – bis auf die für die Administration und
das Zusammenspiel zwischen Client und Server erforderlichen – sind, wie im Test auch eine Kontrolle
mit einem Port-Scanner zeigte, geschlossen. Dies minimiert die Anzahl der Angriffspunkte, was
Vorteile im Bezug auf die Sicherheit bringt. Bei reinen Softwarelösungen wird man den verwendeten
Server nie so gut abschotten können, wie es bei der Lösung von Imprivata der Fall ist. Die
Lieferung als Paar von zwei Geräten hat ebenfalls Sinn. Die Systeme werden gewöhnlich als
Failover-Cluster konfiguriert, sodass die eine der Appliances jeweils die Kontrolle übernimmt,
falls das andere System einmal ausfallen sollte.

Enterprise Single Sign-On

Vom Appliance-Ansatz abgesehen verfolgt Imprivata allerdings einen Ansatz, wie er auch bei den
anderen Single-Sign-on-Lösungen am Markt üblich ist: Es gibt eine Client-Komponente, die auf den
angeschlossenen Systemen installiert werden muss. Unterstützt werden nur Windows-Clients, wobei
dies in den meisten Fällen auch ausreichend ist. Für die Client-Komponente werden zentral
Anwendungsprofile bereitgestellt, die beschreiben, wie die Authentifizierung bei einer Applikation
abläuft. Die Profile informieren aber auch darüber, in welcher Form eine Anwendung beispielsweise
eine Kennwortänderung anfordern kann.

Wenn nun eine Authentifizierung an einer durch ein solches Profil unterstützten Anwendung
erfolgt, muss der Benutzer beim ersten Mal noch seinen Benutzernamen und sein Kennwort eingeben.
Diese Informationen werden auf dem Server, also der Imprivata Onesign-Appliance, gespeichert. Bei
allen weiteren Zugriffen werden die Daten vom Server gelesen und transparent im Hintergrund an die
Anwendung übergeben, sodass der Benutzer sie nicht mehr eingeben muss.

Damit er auf diese Informationen zugreifen muss, muss er sich zunächst an der Appliance
authentifizieren. Dafür wird eine integrierte Windows-Authentifizierung mit einer entsprechend
erweiterten GINA (grafische Anmeldeschnittstelle) ebenso unterstützt wie eine ganze Reihe anderer
Authentifizierungsmechanismen. Das Spektrum reicht von RSA-Securid-Token und Vasco-Tokens bis hin
zu so genannten Proximity-Cards, die authentifizieren, wenn sich ein Benutzer in der Nähe des
Geräts befindet.

Schnittstellen für die Administration

Die Administration selbst erfolgt – nach einer minimalen Basiskonfiguration beispielsweise der
IP-Adresse direkt an der Appliance – über Webschnittstellen. Der Appliance Administrator wird für
die Konfiguration der Appliance selbst, der Onesign-Administrator für die Verwaltung des Single
Sign-ons verwendet. Beide Schnittstellen sind einfach gestaltet und weitgehend intuitiv nutzbar.
Der Einarbeitungsaufwand ist relativ gering.

Da sich die Benutzer an der Onesign-Appliance (indirekt) authentifizieren müssen, und da die
dort gespeicherten Credentials für die Anwendungen den Benutzern korrekt zuzuordnen sind, müssen
auch die Benutzer auf der Appliance verwaltet werden. Dazu gibt es Import- und
Synchronisationsschnittstellen zu gängigen Verzeichnisdiensten. Der dadurch entstehende, etwas
erhöhte Administrationsaufwand ist allerdings durchaus überschaubar. Falls es Benutzer mit
unterschiedlichen Benutzernamen in verschiedenen Verzeichnissen gibt, kann auch ein Mapping
durchgeführt werden. Hier ist das Produkt erfreulich flexibel.

Die Erstellung der Anwendungsprofile erfordert dagegen zusätzlich die Client-Komponente, da das
Verhalten der Anwendung analysiert werden muss. Mithilfe eines Assistenten ist die Definition von
Anwendungsprofilen auch recht einfach. Schade ist allerdings, dass Imprivata keine Bibliothek mit
vordefinierten Anwendungsprofilen für gängige Anwendungen bereitstellt. Der Hersteller argumentiert
damit, dass die Neuerstellung in Projekten einfacher wäre als die Anpassung solcher vordefinierter
Profile.

Konvergenz

Eine interessante Funktionalität, die sich bei anderen Single-Sign-on-Lösungen in dieser Form
nicht findet, ist die Konvergenz zwischen physikalischen Zugangskontrollen und dem Single Sign-on.
Als physikalische Zugangskontrollen werden insbesondere diejenigen beim Zutritt zu Gebäuden
bezeichnet. Derzeit werden Lösungen einiger weniger Hersteller unterstützt. Wenn solch eine Quelle
ein Ereignis meldet, also beispielsweise jemand ein Gebäude betritt oder verlässt, kann dieses an
Imprivata Onesign weitergeleitet werden. Dort lassen sich Regeln erstellen, die beispielsweise
festlegen, dass jemand sich in einem bestimmten Gebäude aufhalten muss, um sich auch am System
authentifizieren zu dürfen. Bedauerlicherweise kann man diese Regeln nur für Benutzer und Systeme,
aber nicht für einzelne Anwendungen einschränken.

Fazit

Diese fehlenden Anwendungsrichtlinien und die schon genannte fehlende Bibliothek mit
Anwendungsprofilen sind die beiden größten Schwächen des Produkts. Allerdings sind beide nicht
gravierend.

Dafür gibt es viele Stärken des Produkts. Dazu gehören beispielsweise auch die Unterstützung von
mobilen Benutzern über konfigurierbare Caching-Mechanismen, die Unterstützung von Kiosk- und
Mehrbenutzerumgebungen mit ihren speziellen Authentifizierungsanforderungen oder die vielen
vordefinierten Reports und die Flexibilität bei der Anpassung und Erstellung von zusätzlichen
Reports. Und die Kernfunktionalität des Single Sign-ons ist ohnehin bei dem Produkt sehr gut
gelöst.

Auch die weiteren Konzepte für die Konfiguration von Regeln sind sehr durchdacht und einfach
anzupassen. Auch sehr differenzierte, leistungsfähige Konzepte für das Single Sign-on lassen sich
damit einfach durchsetzen. Einer der wichtigsten Aspekte ist allerdings die integrierte
Unterstützung für starke Authentifizierungsmechanismen. Da Single-Sign-on-Lösungen auch eine starke
Authentifizierung erfordern, lassen sich solche Konzepte auf Basis von Imprivata Onesign besonders
effizient umsetzen.

Alles in allem ist die Imprivata Onesign-Appliance eine sehr gut gelungene Lösung für das Single
Sign-on, die sich mit wenig Aufwand einführen lässt. Es gibt zwar einzelne Schwächen, die aber
einem Einsatz nicht entgegenstehen, sondern deren Behebung eher als "nice to have" zu bezeichnen
sind. Wer eine schnelle, einfache Single- Sign-on-Lösung mit umfassender Integration mit starken
Authentifizierungsmechanismen sucht, sollte sich diese Lösung auf jeden Fall näher ansehen.

Info: Imprivata Web: www.imprivata.com

Wick Hill Tel.: 040/2373010 www.wickhill.de

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice