Web Single Sign-On in Cloud- und mobilen Umgebungen - agility made possible
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Web Single Sign-On in Cloud-
und mobilen Umgebungen
agility
made possible™
Das Online-Geschäft
entwickelt sich in
einem rasanten
Tempo …
In den vergangenen Jahren näherten sich die Kunden nur vorsichtig dem
Online Banking und anderen Internet-basierten Geschäften an. Heute
dagegen führen Millionen Anwender ihre Transaktionen online durch und
dabei verlassen sie sich darauf, dass die damit beauftragten Unternehmen
ihnen eine sichere Umgebung bereitstellen.
Das hat dazu geführt, dass Unternehmen die Bereitstellung von Online-
Services für Kunden, Mitarbeiter und Partner immer weiter ausgebaut haben,
um ihnen den Zugriff unabhängig von Zeit, Standort oder Gerät als neuen
Standard anzubieten. Und mit welchem Ziel? Um Effizienz und
Reaktionsfähigkeit zu steigern und die User Experience zu verbessern.
Dazu gehört auch die Bereitstellung sicherer Services
durch:
• Browser-basierte Anwendungen
• Mobile Anwendungen
• Offene Schnittstellen für Web-Services
Aber ganz gleich, auf welche Weise und wie viele Benutzer auf Online-Services
zugreifen, eine fundamentale Anforderung wird immer wichtiger: Den Schutz
der stetig wachsenden Anzahl sensibler Daten zu gewährleisten, ohne dabei
die Geschäfte von Benutzern zu erschweren.
02
... und ebenso schnell entwickelt sich das Single
Sign-On (SSO)
Kunde Online Banking-Website Eigenständiges Finanzinstitut
1 3
2
4
Beim Einsatz des herkömmlichen Web Single Sign-On (SSO) im
Webzugriffsmanagement (WAM) ist die Kontrolle über den Zugriff auf
Ressourcen genauso wichtig wie die nahtlose und sichere User Experience
für die Benutzer. Benutzer können dabei einfach von einer webgestützten
Finanzplanungs-Website
Transaktion zur anderen wechseln und gleichzeitig reibungslos mit anderen
Selbst eine einfache Transaktion Anwendungen oder externen Sites interagieren.
erfordert umfassenden Schutz.
Die oben dargestellte einfache Transaktion erfordert beispielsweise
mehrere Sicherheitsschritte, um die Identität des Benutzers festzustellen,
bis die gewünschten Aktionen beim Online Banking durchgeführt
werden können. Der Kunde braucht sich nur einmal mit seinen
Anmeldeinformationen anzumelden, um auf seine persönlichen Account-
Daten auf einer externen Finanzplanungs-Website zugreifen zu können.
03
... und ebenso schnell entwickelt sich das Single
Sign-On (SSO) Fortsetzung
Kunde Online Banking-Website Eigenständiges Finanzinstitut
1 3
2
4
Die Schritte in einem typischen Online Banking-Szenario:
1. Zuerst muss die Identität eines Benutzers bestätigt 4. Und schließlich muss die Verbindung zum
werden. Bei den heutigen Methoden wird der Kunde dabei Finanzplanungspartner einer Bank, auch über SSO,
aufgefordert, eine Grafik mit einem Account zu verknüpfen abgesichert werden. Wird ein Bankkunde gezwungen,
oder Fragen zu beantworten, die in den Einstellungen des sich bei der Verbindung zur Website des Finanzplaners
Accounts zuvor festgelegt wurden. erneut anzumelden, könnte er oder sie dies lästig finden
Finanzplanungs-Website
2. Ist die Identität eines Benutzers bestätigt, kann ihm und zu einer anderen Bank wechseln.
die Durchführung einer Transaktion gestattet werden. Aber wenn Ihr Unternehmen diese frühen webgestützten
Selbst eine einfache Transaktion Dazu müssen Sicherheitsfunktionen in die Website Operationen hinter sich lassen will und zu mobilen und
erfordert umfassenden Schutz. integriert sein, die die Einhaltung damit verbundener Cloud-basierten Initiativen wechseln möchte, muss das SSO
Sicherheitsrichtlinien gewährleisten und die die Aktionen erweitert werden, um die Sicherheit dieser neuen Services
des Benutzers nach der Anmeldung überprüfen. und damit verbundenen Zugriffsverfahren sicherzustellen.
3. Auch die Sicherheit von Back End-Transaktionen Dabei müssen Sie auch gleichzeitig die einzigartigen
muss gewährleistet werden. Die Verbindung zu den Anforderungen eines sich stetig wandelnden Portfolios von
Anwendungen einer Bank, unter Umständen sogar zu Anwendungen erfüllen, wie z. B. Microsoft® SharePoint® Server
einem eigenständigen Finanzinstitut, muss abgesichert und SAP®, und sich den verschiedenen damit interagierenden
sein. Benutzertypen anpassen. Als Teil eines fortlaufenden
Prozesses erfordern Veränderungen dieser Art eine flexible
Lösung, die Ihnen eine schnelle Reaktionsfähigkeit bietet, um
neue Anforderungen zügig erfüllen zu können.
04
Aufbau auf den
Grundlagen
Obgleich Sie zunehmend komplexere
Zugriffsanforderungen erfüllen müssen, bleiben
Ihre grundlegenden Sicherheitsanforderungen,
und damit auch SSO, dieselben. Sie müssen
wissen, wer Ihre Benutzer sind und ihre Aktionen
entsprechend ihrer individuellen Berechtigungen
überwachen und überprüfen können.
Das Verständnis dieser Grundlagen hilft Ihnen
dabei, ein solides Sicherheitsfundament zu
errichten. Aber die neuen technologischen
Anforderungen verändern die SSO-Landschaft.
Insbesondere gibt es drei wichtige Bereiche,
die einen großen Einfluss darauf haben:
• Erweiterte Services
Die Zugriffsanforderungen wachsen und verändern sich stetig und proaktive
• Cloud-Einführung Unternehmen implementieren zusätzliche Sicherheitsfunktionen, aber sie
behalten dabei die grundlegenden Sicherheitsaspekte im Blick. Dadurch schützen
• Mobile Technologien und die Kundenorientierung sie sich vor bösartigen Angriffen und Bedrohungen durch interne Benutzer,
der IT die sich nicht an Sicherheitsrichtlinien und -prozeduren halten.
05
Erweiterte Services für die erweiterte Authentifizierung
Zur Sicherstellung ihrer Wettbewerbsfähigkeit ergänzen immer mehr Was können Sie also tun, um all diese Risiken bei der Vergabe von

Unternehmen ihre bestehenden Geschäftsmodelle mit Online
Services, um die Vorteile der neuesten Technologien für sich zu
Zugriffsrechten zu minimieren, während Sie gleichzeitig Ihre Daten
schützen und Online-Aktivitäten attraktiv gestalten möchten?
nutzen. Dabei müssen sie den Einsatz unterschiedlicher Gerätetypen, Das herkömmliche Web SSO verlässt sich auf eine risikogerechte
wie Laptops, Tablets und Smartphones sowie auch neuer mobiler Authentifizierung, um Transaktionen, die auf vordefinierten Regeln
Infrastrukturen und Cloud-basierter Infrastrukturen unterstützen. und Modellen basieren, zu schützen. Aber die Komplexität von
Es entsteht eine Vielzahl von Herausforderungen an die Benutzertransaktionen in heutigen IT-Umgebungen macht es
Authentifizierung: erforderlich, erweiterte Formen der Authentifizierung einzusetzen.
• Erfüllung spezieller Anforderungen auf Nutzungs- und Zugriffsebene Die Lösungen für erweiterte Services bieten durch die risikobasierte
für alle End User Bewertung einen effektiven Ansatz dazu. Durch die Verwendung
• Unterstützung einer situations- oder risikobasierten einer risikobasierten Bewertung können anpassungsfähige
Authentifizierung Authentifizierungsverfahren eingesetzt werden, um Benutzer zu
• Bereitstellung eines bequemen Online-Zugriffs mit umfassendem bewerten und für sie einen angemessenen „Risikowert“ auf Basis
Schutz für Benutzeridentität und sensible Anwendungsdaten verschiedener Zugriffsfaktoren zu ermitteln.
• Schutz von On-Premise- und Cloud-basierten Anwendungen
• Schutz kritischer Transaktionen vor Online-Betrug
Die gleichen Funktionen, die die
Benutzerfreundlichkeit fördern –
Unterstützung für verschiedene Geräte- und
Benutzertypen sowie mehrere Zugriffspunkte
für Anwendungen – erhöhen auch
potenzielle Sicherheitsrisiken, wenn keine
angemessenen Authentifizierungs- und
Autorisierungsmechanismen eingesetzt werden.
06
Erweiterte Services für die erweiterte Authentifizierung
Fortsetzung
Durch die noch stärker erweiterte Authentifizierung mit einer risikobasierten Bewertung können Sie umfassend ermitteln,
welches Risiko von einzelnen Benutzern ausgeht. Wenn Sie das typische Verhalten bei Zugriff und Nutzung von
Anwendungen durchgängig überwachen, sind Sie in der Lage, auffällige Verhaltensweisen, z. B. das Anmelden von einem
Café und nicht von Zuhause aus, schnell zu erkennen. Sie können dann zusätzliche Anmeldeinformationen verlangen, bevor
Sie Benutzern Zugriffsrechte gewähren oder beliebige andere erforderliche Schritte einleiten, um eine nicht autorisierte
Nutzung zu verhindern. Dies ist besonders wichtig, wenn Benutzer versuchen, risikoreiche Aktionen durchzuführen.
Eine der wichtigsten Funktionen der erweiterten Authentifizierung ist die Fähigkeit, Benutzerprofile auf Basis vergangener
Verhaltensweisen zu erstellen, um so Auffälligkeiten zu erkennen, die ernsthafte Sicherheitsrisiken darstellen können.
07
Best Practices in erweiterten Service-
umgebungen: Federated SSO und mehr
Federated SSO ermöglicht es, dass
Benutzeranmeldeinformationen auf mehreren
IT-Systemen oder Anwendungen als
vertrauenswürdig eingestuft werden können
und unterstützt damit Branchenstandards, wie
z. B. die Security Assertion Markup Language
(SAML) und ihren „Identity Cookie Approach“,
um eingehende Daten zu authentifizieren.
In erweiterten Serviceumgebungen könnten
Benutzer aber auch über verschiedene
Authentifizierungsmethoden auf Systeme
zugreifen, einschließlich Smartcards,
biometrischen Geräten und der Zwei-Faktor-
Authentifizierung. Daher ist es sinnvoll, eine
Authentifizierungslösung einzusetzen, die über
eine Session Management-Funktion verfügt,
weil diese sowohl Hardware- als auch
Software-basierte Token übersetzen kann.
08
Best Practices in erweiterten Service-
umgebungen: Federated SSO und mehr Fortsetzung
Das Session Management bietet andere,
ausgeklügelte Funktionen, um die
Sicherheit bei Identitätszugriffen und
Verwaltungsprozessen zu verbessern.
Je nach den Anforderungen Ihrer
erweiterten Serviceumgebung, könnten
folgende Implementierungen für Sie
sinnvoll sein:
• SSO-Zonen zur teilweisen oder
vollständigen Isolierung und Sperrung
von Hochsicherheitsanwendungen
• Wahlmöglichkeit der Authentifizierung,
damit Benutzer zwischen
unterschiedlichen Anmeldeverfahren
wählen können
• Verzeichnisverkettung zur
Verknüpfung mehrerer
Benutzerverzeichnisse, um die
Zugriffsrechteverwaltung zu
vereinfachen und zu vermeiden, dass
Benutzer ihre Anmeldeinformationen
während einer Sitzung erneut
eingeben müssen
• Vertrauensstufen für die Step-up-
Authentifizierung auf Basis einer zuvor
etablierten Einstufung
• Zentralisierte Prüfung alle
Benutzeranmeldungen und darauf
folgenden Aktivitäten, um eine
bessere Überwachung und Einhaltung Unternehmen, die ein Session Management zur erweiterten Authentifizierung und verbesserten SSO-Federation nutzen,
von Vorschriften zu erreichen sind besser auf den Umgang mit erweiterten Serviceanforderungen vorbereitet.
09
Neue Sicherheitsaspekte auf dem
Weg in die Cloud
Private Clouds, öffentliche Clouds und Angebote von Software-as-a-Service (SaaS).
Ohne die Notwendigkeit, eine physische Infrastruktur verwalten zu müssen, können
diese und andere Variationen der Cloud Unternehmen einen günstigen, flexiblen Weg
zur Bereitstellung von Services bieten. Aus diesem Grund, und weil die Zahl auf Online-
Anwendungen zugreifender interner und externer Benutzer ständig anwächst, ist der
Gang in die Cloud so beliebt.
Obgleich dies eine zusätzliche Vergabeebene von Zugriffsrechten erfordert, müssen
Cloud-basierte Services weiterhin bequem und sicher bereitgestellt werden. Bei ihrer
Implementierung müssen die bestehenden SSO-Mechanismen zum Schutz Ihrer Daten
mit strengeren Authentifizierungsverfahren ausgestattet werden, ohne dass diese die
User Experience beeinträchtigen.
10Integration mobiler Benutzer
Durch die Nachfrage von Mitarbeitern und Kunden sind mobile Technologien immer
populärer geworden. Das Ergebnis? Forrester Research gibt dazu an: „Die Ausgaben für
mobile Technologien werden bis 2016 auf 1,3 Bio. USD ansteigen und der Markt für
mobile Apps wird einen Umsatz von 55 Mrd. USD erreichen.“ Und weiter heißt es:
„Bis dahin werden 350 Mio. Mitarbeiter Smartphones verwenden, von denen 200 Mio.
eigene Geräte mitbringen werden.“*
Geht man von diesen Annahmen aus, ist es kaum verwunderlich, dass sich mobile
Technologien wie ein Lauffeuer verbreiten. Unternehmen wie Ihres sehen darin
einen höchst effizienten Weg, ihren Kundenstamm zu binden und erstklassige
Umsatzergebnisse zu erzielen. Beim Aufbau mobiler Anwendungen wird der Zugriff auf
Produkte und Services für mobile Vertriebsteams vereinfacht, damit sowohl Kunden
als auch Mitarbeiter Transaktionen schneller und einfacher ausführen können. Aber für
eine dauerhafte Kundenbindung muss eine konsistente und sichere User Experience
sichergestellt werden.
Große Browser, kleine Browser und mobile Anwendungen
PC/Laptop Browser auf Unkonventionelle Native Apps
Browser Telefonen/ Web Services Geräte auf Telefonen/
Tablets Tablets
Welche mobilen Anwendungen und Browsertypen Unternehmen auch unterstützen, sie müssen
sowohl die Benutzerfreundlichkeit als auch die Zugriffssicherheit immer im Blick behalten.
* „Mobile is the New Face of Engagement“, Forrester Research Inc., 13. Februar 2012.
11Mobile Anforderungen und
Schutz mobiler Daten
Um Benutzern den gewünschten mobilen Zugriff zu gewähren und dabei gleichzeitig sensible Daten zu
schützen, müssen Sie angemessene geräte- und anwendungsspezifische Sicherheitsstufen einrichten.
Dabei gilt es, für Kunden unnötige oder unbequeme Schritte oder Verzögerungen bei Transaktionen zu
vermeiden. So eine Lösung sollte folgende Anforderungen erfüllen:
3 Standortbezogene Anforderungen: Der Zugriff über VPNs (Virtual Private Networks) kann
im Gegensatz zu den durch Betreiber zugewiesenen IP-Adressen zu Problemen bei der
Standortbestimmung führen. Dadurch wird es unmöglich, den Standort eines Benutzers
festzustellen und es erfordert die Überprüfung mehrerer Faktoren, um die Identität eines
Benutzers, der Zugriff verlangt, zu ermitteln.
3 Mehrere Formfaktoren für die Anmeldeinformationen: Da mobile Geräte leicht verlegt
oder gestohlen werden können, müssen Sie zusätzliche Sicherheitsmaßnahmen anbieten,
um das Risiko bei Transaktionen zu verringern. So kann beispielsweise ein Einmal-Passwort
zur Verifizierung gültiger Anmeldeinformationen bei Online-Einkäufen verwendet werden.
In anderen Situationen kann auch eine zusätzliche biometrische Stimmerkennung
sinnvoll sein.
3 Integration der Authentifizierung: Bei der Entwicklung mobiler Anwendungen
müssen Integrationspunkte für Authentifizierungsverfahren eingebettet werden, damit
Sicherheitsanforderungen für die Vergabe von Zugriffsrechten erfüllt werden können.
Alternativ dazu können Sie auch, sofern es ein mobiles Gerät erlaubt, Cookies verwenden,
um Anmeldeinformationen von einem zugelassenen Gerät zu einer angeforderten
Anwendung zu übertragen. Und wenn mobile Benutzer mit einer externen Anwendung
interagieren, möchten Sie ihnen auch gestatten, ihre Sessions nahtlos und sicher auf andere
Anwendungen zu erweitern.
12Bewerten Sie Ihre eigenen Fähigkeiten
Bei einer umfassenden Evaluierung Ihrer derzeitigen Bereitstellung verhindert fragmentierte Sicherheitspraktiken und erhöht die
von Benutzerzugriffen werden Sie deutlich erkennen, an welchen Kontrolle über das Zugriffsmanagement. Gleichzeitig bietet dies eine
Stellen moderne Authentifizierungs- und Autorisierungsmethoden kostengünstigere Implementierung einer Sicherheitslösung, um den
eingesetzt werden sollten, um die Sicherheit von mobilen unternehmensweiten Schutz sensibler Daten und Anwendungen
Transaktionen oder Web- oder Cloud-basierten Transaktionen zu sicherzustellen.
verbessern.
Und schließlich können Sie dadurch auch die Benutzerfreundlichkeit
Dabei sollten Sie beachten, dass sich eine einzelne, solide verbessern, während Sie vor allen Bedrohungssituationen bei der
Sicherheitslösung zur Erfüllung aller Anforderungen bei der Vergabe Vergabe von Zugriffsrechten zusätzlichen Schutz erhalten.
von Zugriffsrechten an Benutzer am besten eignet. Dieser Ansatz
Mit der richtigen Lösung können Sie unterschiedliche IT-Anforderungen erfüllen, während Sie gleichzeitig Ihre Onlinepräsenz zu
Ihrem geschäftsstrategischen Vorteil sicher ausbauen.
13CA-Sicherheitslösungen
Wir bei CA Technologies haben verstanden, wie wichtig es ist, ein ausgewogenes Verhältnis zwischen
der Sicherheit von Unternehmensdaten und dem bequemen Benutzerzugriff zu finden. Und wir haben
Lösungen entwickelt, die die hohen Sicherheitsanforderungen bei der Zugriffsvergabe im Netz sowie in
mobilen Umgebungen und Cloud-Umgebungen erfüllen.
CA SiteMinder® CA RiskMinder™
CA SiteMinder stellt Ihnen eine wichtige CA RiskMinder bietet mittels einer CA AuthMinder und CA RiskMinder
Grundlage sowohl für Benutzerauthentifizie- risikobasierten, anpassungsfähigen
rungen, SSO und Browser-Autorisierungen Authentifizierung Echtzeitschutz vor werden als Authentifizierungs-
sowie mobile Autorisierungen als auch Identitätsdiebstahl und Onlinebetrug. services in der CA SiteMinder-
Funktionen zur Berichterstellung bereit. Die Lösung bewertet das Betrugspotenzial Oberfläche dargestellt.
Diese Lösung ermöglicht Ihnen die Erstellung versuchter Onlinezugriffe (von Web Services
differenzierter Richtlinien, mit denen Sie des Unternehmens bis hin zu E-Commerce- Zur Authentifizierung
den Zugriff auf wichtige Anwendungen Transaktionen von Verbrauchern) und • Initiale und Step-up-Benutzerauthentifizierung
anhand eines flexiblen Satzes statischer oder berechnet anhand zahlreicher Variablen die • Einsatz in speziellen SSO-Zonen
dynamischer Kriterien – wie Benutzerattribute, Risikobewertung. All dies erfolgt transparent, • Einsatz in Verbindung mit den
Rollen, Zeit, Standort oder Vertraulichkeit von ohne legitime Benutzer, die kein wesentliches Authentifizierungsstufen von CA SiteMinder
Daten – steuern können. Risiko darstellen, zu beeinträchtigen.
… und zur Autorisierung
Eine Lösung für die standardbasierte Identity CA AuthMinder™ • Der Risikowert wird an CA SiteMinder übergeben
Federation ist CA SiteMinder® Federation, CA AuthMinder umfasst zahlreiche und während der gesamten Benutzer-
mit der die Benutzer in einem Unternehmen unterschiedliche Methoden für die Session gespeichert, damit er bei weiteren
auf einfache und sichere Weise auf Daten Betrugserkennung und die mehrstufige Zugriffsanforderungen oder Transaktionen
und Anwendungen von Partnerunternehmen Authentifizierung, um das Risiko von geprüft werden kann.
zugreifen können Diese Lösung kann integriert Onlinebetrug für E-Commerce, Webportale • Mit CA AuthMinder kann eine richtlinien-
gestützte Step-up-Authentifizierung unter
in CA SiteMinder oder als eigenständige Lösung und den Fernzugriff zu reduzieren.
Berücksichtigung des Risikowertes umgesetzt
bereitgestellt werden.
werden.
Weitere Informationen über Sicherheitslösungen von
CA Technologies finden Sie unter www.ca.com.
14CA Technologies (NASDAQ: CA) ist ein Unternehmen für IT-Management-Software und
-Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten
Systemen bis hin zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet
und schützt IT-Umgebungen und ermöglicht Kunden die Bereitstellung flexiblerer IT-
Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick
und die Kontrolle, die IT-Organisationen zur Unterstützung geschäftlicher Flexibilität
benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Lösungen von
CA Technologies für ihre wachsenden IT-Ökosysteme. Weitere Informationen finden Sie
auf der Website von CA Technologies unter ca.com.
Copyright © 2012 CA. Alle Rechte vorbehalten. Microsoft und SharePoint sind eingetragene Markenzeichen von Microsoft Corporation
in den USA und/oder anderen Ländern. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier
verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken.
CA Technologies übernimmt keine Gewähr für die Richtigkeit oder Vollständigkeit der Informationen. In dem durch das
anwendbare Recht gestatteten Umfang stellt CA dieses Dokument wie besehen zur Verfügung, ohne Garantien jedweder Art.
Dies umfasst ohne Einschränkungen jedwede konkludenten Garantien der Handelsüblichkeit, Eignung für einen bestimmten Zweck
oder Nichtverletzung von Rechten. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der
Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von
Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde.Sie können auch lesen
