DEFREN

Login und Suche



CH Open Sponsoren

Nexpert AG -/ch/open-Sponsor

privacyIDEA 2.19 mit besserer U2F Unterstützung und User-Cache

06.06.2017 | von Cornelius Kölbel

Die neue Version von privacyIDEA ermöglicht Unternehmen eine restriktive Nutzung von U2F-Geräten und bietet neue Funktionalitäten in der Authentifizierungs- und der Enrollment-API.

U2F-Geräte im Unternehmensumfeld

Bereits seit geraumer Zeit können Benutzer und Administratoren U2F-Geräte bei privacyIDEA registieren. privacyIDEA verwaltet die U2F-Geräte an zentraler Stelle und erlaubt es den Benutzern, diese Geräte zur einfachen Zwei-Faktor-Authentifizierung an den angeschlossenen Applikationen zu nutzen.
Um zu verhindern, dass Benutzer beliebige oder nicht-vertrauenswürdige U2F-Geräte registrieren, kann der Administrator in der Version 2.19 nun per Richtlinie definieren, welche Arten von U2F-Geräten verwendet werden dürfen. Hierzu können reguläre Ausdrücke auf das Attestation-Zertifikat angewendet werden. So kann ein Unternehmen bspw. regeln, dass nur Yubikeys registriert werden können.
Weiterhin können solche Richtlinien auch für die Anmeldung selber definiert werden. [3]

 

Authentifizierungs- und Enrollment-API

privacyIDEA kann nun mehreren Challenge-Response-Tokens eines Benutzers mit gleichen Token-PINs verwalten. Somit kann ein Benutzer gleichzeitig mehrere Email-Token oder SMS-Token haben. Bei Bedarf kann die Applikation entscheiden, welche Challenges sie dem Benutzer anzeigt, d.h. ob sich der Benutzer per Email oder SMS authentisieren soll.
Die Authentifizierungs-API hat außerdem einen weiteren Endpoint erhalten, über den das REST-Modul von FreeRADIUS 3 die Authentifzierung gegen privacyIDEA durchführen kann. In manchen Setups kann es sinnvoll sein, das schlankere REST-Modul statt des bereits lange verfügbaren Perl-Moduls zu verwenden.

Die Enrollment-API wurde um eine generische Funktionalität der beidseitigen Schlüsselerzeugung erweitert. Sowohl der Client als auch der Server erzeugen Teile des Schlüssels, aus denen der eigentliche Schlüssel erzeugt wird.
Ein vertrauenswürdiger Schlüssel (OTP-Seed) ist für eine zuverlässige Zwei-Faktor-Authentifizierung unbedingt notwendig. Die beidseitige Schlüsselerzeugung ermöglicht es u.a. Smartphone-Apps zu erstellen, die einen sichereren Rollout-Prozess abbilden können. vgl. [2]

 

Geschwindigkeitsoptimierungen

Die Anbindung an LDAP/AD-Verzeichnisse wurde optimiert. So wurde die Anzahl der notwendigen LDAP-Requests erheblich gesenkt.
Für sehr langsame LDAP-Anbundungen, wie sie bisweilen bei verteilten Standorten vorkommen, wurde ein allgemeiner User-Cache eingeführt. Der User-Cache ist als langlebiger, persistenter Cache implementiert. Die Benutzerdaten werden in der lokalen SQL-Datenbank abgelegt und im Falle von redundanten privacyIDEA-Setups auch zwischen den Knoten repliziert. Hierdurch lassen sich weitere Geschwindigkeitsverbesserungen erzielen.

privacyIDEA kann über den Python Package Index auf beliebigen Distributionen oder über ein Launchpad Repository auf Ubuntu 14.04 oder 16.04 installiert werden.

 



Weiterführende Informationen aus dem OSS Directory


NetKnights GmbH

netknights.it | 3 Mitarbeitende | 0 Referenz | 3 Produkte


Die NetKnights GmbH ist ein unabhängiges IT-Security-Unternehmen und Anbieter von Dienstleistungen und Produkten aus den Bereichen starke Authentisierung, Identitätsmanagement und Verschlüs...

» Mehr
Letzte Aktualisierung: 26.09.2017  -  Anzahl Ansichten seit dem 01. April 2013: 141
Erstellt: 02.05.2016

PrivacyIDEA

Infrastruktur / Identity & Access Management
2 Firmen, 0 Referenzen


PrivacyIDEA ist eine System mit dem Authentisierungsgeräte zur Zweifaktor-Authentisierung verwaltet werden können. Dies können Smartphones mit Apps wie Google-Authenticator, SMS oder auch b...

» Mehr
Letzte Aktualisierung: 07.12.2016  -  Anzahl Ansichten seit dem 01. April 2013: 165
Erstellt: 19.06.2014

Twitter Feed







Links

Über unsNewsletterKontaktNutzungsbedingungenCH Open Initiativen