Single Sign-On durch LDAP Anbindung an den Basler Schulen

Eine Portallösung mit Zugriff auf UCS-LDAP

Markus Bäumler, Hanspeter RutschmannErziehungsdepartement Basel-Stadtmarkus.baeumler@edubs.ch

Agenda

• PZ.BS ICT Medien – über uns

• Anforderungen Single Sign-On

• Projektplanung, Ausschreibung

• eduBS Infrastruktur und UCS-Architektur

• f5 BIG-IP: Integration

• Zweifaktor-Authentisierung

• SAML

• Stand der Arbeiten

• Live Demo

Erziehungsdepartement Basel-Stadt

• Fortbildung ICT

• Pädagogisches Konzept / Support

• Hardware / Software

• Technischer Support

• Netzwerk

• Zentrale Services

ICT Medien - Über uns

ICT Medien – über uns

ca. 60 Standorteca. 27‘000 Userca. 3’000 Clients

UCS LDAP – Identity Management

Windows AD-Connector (VDI)

Owncloud, Fileserver

eduBS-Mail mit Adressbüchern

Lernplattform (Ilias)

Schulwebsites mit Intranet (Plone)

UCS@school, OTRS, Nagios

WLAN

UCS-LDAP:

User Rechner

Netze

Anforderungen Portallösung

Jetzt Portal

login

login

login

login

Webmail

ILIAS

eduBS-Dektop

eduBS-Intern

login

Webmail

ILIAS

eduBS-Dektop

eduBS-Intern

SoLe

UMC

SMS

Projektplanung, Ausschreibung

• Einladungsverfahren auf Grund des geschätzten Volumens

(inkl. Support für 4 Jahre, 1000 concurrent user)

• Redundanz

• Das Portal nutzt das bestehende Benutzerverzeichnis (OpenLDAP

Univention Corporate Server) für die Authentifizierung und für die

Zuordnung der Benutzerprofile.

• Zweifaktor-Authentisierung pro Applikation

• Anonymisierung der Userdaten bei Weitergabe möglich

• PoC als Voraussetzung für definitiven Zuschlag

• Zuschlag: NTT Com Security mit Produkt f5 Big-IP

Unser Umfeld: eduBS Infrastruktur und UCS-Architektur

• ca. 50 virtuelle –ix Server (Produktion und Testumgebung)

auf 8 XENServer

• ca. 30 virtuelle Windows-Server und 600 VDI VMs

auf 15 Windows Server

• ca. 120TB Storage (NFS, CIFS und iSCSI)

• ca. 27’000 Benutzerkonten

• ca. 9,3 Mio. Mails/Jahr

SchulverwaltungESCADA2 UCS Master

UCS Backup 1

UCS Slave 1Samba Homes

UCS Backup 2

Import aus Schulverwaltung

UCS Slave 2UCS@School

UCS Slave 3Datensicherung

UCS Slave 4Remote LDAP-Redundanz

PloneWeb

IliasLernpattform

Owncloud

Beziehen Echtzeit-Daten aus LDAPHaben eine

LDAP-Kopie

PortalMail

eduBS Infrastruktur und UCS-Architektur

Unser Umfeld: eduBS Infrastruktur und UCS-Architektur

Neue Komponente: portal.edubs.ch

• Zugriff auf alle Services von einem zentralen Punkt aus

• Single Sign-on

• Wo nötig: Zweifaktoren-Authentisierung

• Sitzt «neben der Firewall» zwischen DMZ und Server-Netz

Single Sign-on:Motivation und Ausprägungen

Problemstellung:

Viele Dienste, die zwar alle mit denselben Zugangsdaten (aus UCS-LDAP)

authentisieren sind, aber die Credentials müssen überall neu eingegeben werden.

Lösung:

„Portal“, das nach einmaliger Anmeldung die Zugangsdaten weitergibt. Übermittlung

kann auf mehrere Arten erfolgen:

• IP-basierend: Wer übers Portal kommt, darf rein. Keine persönliche Anmeldung

erforderlich. Beispiel: Internet-Bibliotheken, für die Campuslizenzen existieren.

• „Web-Formular“-basierend: Login- und Passwortfelder werden automatisch

ausgefüllt. Persönliche Anmeldung. Beispiel: Webmail, Owncloud

• SAML-basierend: Interessant, weil offener Standard.

Wird bei uns Schlüsseltechnologie und Standard

2-Faktoren Authentisierung (2FA)

Definition:• Zweifaktor-Authentisierung wird definiert durch die Verwendung von zwei,

voneinander unabhängigen, Kenntnissen oder Besitztümern.

• Vorteilhafterweise ist eines davon mit einer kurzen Lebensdauer (im einstelligen

Minutenbereich) behaftet und/oder nicht mehrfach verwendbar. OTP (One-Time-

Password)

• Üblicherweise ist die Username / Passwort – Kombination die Grundlage und wird

mit einem zweiten Faktor ergänzt.

• Caveat: „Orthogonalität“ beachten: Per eMail zugestelltes OTP, das mit

Username/Pw abgefragt werden kann, ist kein valabler zweiter Faktor!

2-Faktoren Authentisierung (2FA)

Anforderungen:

Sorgfältige Abwägung des Schutzgrades. (Wo setze ich 2FA ein, wo nicht?)

Bei eduBS:

• Für Erfassung von Noten und Absenzen (Lehrpersonen)

• Zum Zurücksetzen von Passwörtern ganzer Klassen (Schul-Admins)

• Für diverse Admin-Konsolen unseres Teams

„Sicherheit und Bequemlichkeit sind nicht deckungsgleiche Ziele!“

2-Faktoren Authentisierung (2FA) – Methoden:

SMS

Am einfachsten zu implementierende Lösung.

• Bedingt aber lückenlose Erfassung der Mobile# an vertrauenswürdiger Stelle

• Wird bei uns Standard sein

• OTP wird generiert und über truesenses.com versandt

• Für „Handy-Resistente“ werden wir eine Alternative anbieten müssen

Streichliste• Offensichtliche Lösung, Anwendung durch eBanking bekannt

• Bei uns wegen wiederkehrendem Aufwand für Distribution nicht leistbar

2-Faktoren Authentisierung (2FA) – Methoden:

Yubikey• Wollen wir genauer untersuchen, sieht interessant aus

• Preislich ab ca 30.- €; wesentlich günstiger als andere

Dongles (mit mehr Funktionalitäten/Features).

• Fungiert als USB-Tastatur, die auf Knopfdruck ein OTP verschickt

• „Gegenstück“/Kontrollinstanz ist ein Server, der entweder im lokalen RZ oder als

Cloud-Service implementiert wird.

• Einmaliger Aufwand: Zuordnen, ausliefern, vergessen

• NB: Yubikey ist auch über PrivacyIDEA direkt mit UCS kombinierbar

• Standardisiertes Verfahren, publiziert durch OASIS.

OASIS is the Organization for the Advancement of Structured Information Standards, a not-

for-profit, international consortium that drives the development, convergence and adoption of

open standards for the global information society.

Mitglieder sind u.a. IBM, Microsoft, Citrix, Netapp, CA, PaloAlto, Checkpoint, Huawei, SAP

• (nicht nur) für SSO

• Aktuell V2.0

Security Assertion Markup LanguageSAML

Security Assertion Markup LanguageAblauf eines Verbindungsaufbaus

Quelle: Wikipedia, Scavo

mutual trust!

Profile

Bindings

Protocols

Assertions

Security Assertion Markup LanguageElemente

Assertions: Aussagen über Benutzer• Authentication Statements:

Aussagen über Art und Zeit der Identifikation• Attribute Statements:

Zusatzinformationen• Authorization Decision Statements:

Aussagen über Berechtigungen zu ResourcenProtocols: Verfahren• Authentication Request• Single Logout• Assertion Query/Request• Artifact Resolution• Name Identifier Management• Name Identifier MappingBindings: Übergeordnetes Transportmittel(üblicherweise HTTP oder SOAP)Profile: Bündelung obiger ElementezB für SSO Profile

Quelle: jaxenter.deKrafzig / Yunus

Standardisierte Verfahren

Für SSO keine per-Applikation-

Analyse erforderlich

Sichere und anonyme Einbindung von

extern gehosteter Lernsoftware

möglich

o Single-Sign-Off muss sorgfältig

designed werden

o Funktioniert nicht, wenn das Passwort

weitergereicht werden muss

SAMLVor- und Nachteile

Work in progress!

• Abgeschlossen:- Anbindung von ca 8 Applikationen mit forms oder IP-based SSO- Anbindung von 2 Applikationen per SAML in finaler Planungsphase- StepUp-Authentication mit SMS- Separates Portal mit Yubikey erfolgreich getestet

• Kurz vor «closed beta» mit 5-15 Lehrpersonen

• ToDo:- Überprüfung der Architektur mit UCS 4.1 im Sommer 17: Anbindung als IdP sinnvoll? Vor-/Nachteile?- Implementation SAML SPs- Weitere Applikationen einbinden- Einfachen Zugriff auf Laufwerke ermöglichen (Drive Mapping)- SSO aus dem VDI-Desktop

Stand der Arbeit

Live Demo

Vielen Dank für Ihre Aufmerksamkeit!

Kontakt Markus Bäumler & Hanspeter RutschmannErziehungsdepartement Basel-StadtPZ.BS ICT Medienmarkus.baeumler@edubs.chhanspeter.rutschmann@edubs.chwww.edubs.ch/ict