Enterprise SSO Manager (E-SSOM) Security Model

Vergelijkbare documenten
Single sign on kan dé oplossing zijn

Ontsluiten iprova via Internet Voorbeeld methoden

Desktop Single Sign-On Enterprise Single Sign-On

Welkom bij IT-Workz. Etten-Leur, 16 november Altijd en overal werken en leren. Applicatie en Desktop Delivery met Quest vworkspace

owncloud centraliseren, synchroniseren & delen van bestanden

e-token Authenticatie

Creëer de ideale werkplek voor iedere klant

Handleiding Inloggen met SSL VPN

Creëer de ideale werkplek voor iedere klant

CROSS SELL PROGRAMMA

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT

SYSTEEMEISEN SCENARIO ADVIES

CREËER UW EIGEN ONLINE WERKPLEK MET WORKSPACE 365

Peelland ICT Online Back-up

ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster WebAccess en ManualMaster WebEdit)

Tritel - Productbeschrijving I-AM

Technische data. Versie dec

Enabling Enterprise Mobility. Chantal Smelik

Complete browser-based werkplek

Getting Started. AOX-319 PBX Versie 2.0

Demonstreer hoe je het werk van de medewerkers bij jouw klant kunt vereenvoudigen. 4. Controle en beveiliging. 2. Vereenvoudig DMS & mail

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

HAN4.x technisch document

Handleiding Thuiswerken / CSG-Site / VPN-Access

Beveiligen van PDF documenten (deel 3)

Werkplek anno De werkplek; maak jij de juiste keuze?

Technische implementatie De infrastructuur rondom Transit kent de volgende rollen:

Thuiswerkplek; Antwoorden op veelgestelde vragen.

SuperOffice Systeemvereisten

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

Handleiding toegang op afstand van de gemeente Sittard-Geleen. De 1 e keer gebruik maken van de toegang op afstand :

Handleiding Inloggen met SSL VPN

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

SPACE ProAccess 2.0. Voor nadere toelichting kan contact opgenomen worden met SALTO.

VPN Remote Dial In User. DrayTek Smart VPN Client

Authentication is the key

Scenario Advies SYSTEEMEISEN. November Versie 5.0

Handleiding Telewerken Zorggroep Noorderbreedte

Apparaten en Azure AD: wie, wat en waar? Sander Berkouwer SCCT

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

SSRPM Self Service Reset Password Management

Beschrijving Remote Access functionaliteit RWS DELTAMODEL

ONE Identity Veilig en eenvoudig toegang tot al uw applicaties Eén keer inloggen Hoge beschikbaarheid en eenvoudig beheer MFA voor extra zekerheid

Online Backup. Informatiebrochure. Met uw keuze voor Webwedo kunt u zeker zijn van een goed betrouwbaar product.

HANDLEIDING REMOTE LEEUWNET

Opleverdocument Meesterproef 2: Workflowbeheer

Single sign on voor Peridos vanuit Vrumun

Werkplek Online Iedereen de zekerheid van een flexibele, veilige en toekomstvaste werkplek

Single Sign-On in ZIVVER met Microsoft Azure AD

Virtual Desktop Infrastructure Een alternatief SBC concept? Jacco Bezemer

Documentnaam: Technisch Ontwerp Datum: Samenstelling: Bas, Chris & Teun Team Bas / Teun / Chris Versie: 1.4. Overzicht Tekening...

Installatie Remote Backup

Handleiding inloggen in I-Muis via Citrix Receiver.

Dit is een greep uit mijn stageverslag. 4. Citrix migratie

HANDLEIDING WERKEN OP AFSTAND

Virtueel of Fysiek. Uitdagingen bij migratie naar Windows 7

HANDLEIDING WINDOWS INTUNE

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen

Zorgproces optimaal ondersteunen. Bob Fenneman, hoofd beheer en ontwikkeling ICT

Handleiding Externe Werkplek Atlant. Colofon

End to End Virtualisation

Meer mogelijkheden voor mobiele medewerkers met secure app delivery

INSTALLATIE EXCHANGE CONNECTOR

Forecast XL Technology

Automatische online en lokale backup en recovery van bedrijfsdata

Beveiligingsbeleid. Online platform Perflectie

Encryptie deel III; Windows 2000 EFS

VMware View 4.5 een overview. Eline Klooster Technical Trainer

Leza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen.

Proof of Concept SIEM

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

KeyLink B.V. KeyLink CTI Client Installation Manual - Dutch

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK #PQRITG18 #PQRITG18

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

RoBeheer 1.5. Dé specialist in ruimtelijke informatievoorziening. Crotec bv Parallelweg AL s-hertogenbosch

Handleiding Externe Werkplek Atlant

Remcoh Mobile Device beheer. Remcoh legt uit

Dienstbeschrijving MSSL Licenties

MKG Whitepapers augustus 2015

Installatiehandleiding. Facto minifmis

Toegang Educatieve ICT Systemen

FACTSHEET Unit4 SmartSpace 365

Cloud werkplek anno Cloud werkplek anno 2014

MSSL Dienstbeschrijving

Handleiding Installeren Thuiswerkportaal

Installatie Handleiding voor: TiC Narrow Casting Certified. System Integrators

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Machinebeheer op afstand. Efficiënt. Wereldwijd. Intuïtief

Installatiehandleiding SCENARIO ADVIES. Oktober Versie 1.3

Handleiding server-installatie

Gebruikershandleiding wachtwoord instellen en account ontgrendelen

Personalia. Woonplaats: Katwijk aan Zee Geboortejaar: 1989 Nationaliteit: Nederlandse Rijbewijs: B. Eigenschappen

Transcriptie:

Enterprise SSO Manager (E-SSOM) Security Model

INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4

OVER TOOLS4EVER Tools4ever biedt sinds 2004 een breed scala van enterprise security gerelateerde oplossingen met een specialisatie op het gebied van Identity Management. Binnen het portfolio van Identity Management biedt Tools4ever naast user provisioning (UMRA) een breed scala van wachtwoord beheer producten aan. Enterprise Single Sign On Manager (E-SSOM) is van deze productlijn het meest prominente product. Andere producten in deze lijn zijn: - Password Synchronization Manager (PSM): wachtwoord synchronisatie tussen Active Directory, Mainframe, AS/400, Unix, Lotus Notes, SAP, etc.; - Password Complexity Manager (PCM): Wachtwoord complexity binnen Active Directory, en - Self Service wachtwoord reset (SSRPM): eindgebruikers kunnen zelfstandig hun wachtwoord resetten. Duizenden klanten wereldwijd vertrouwen dagelijks op de software van Tools4ever. Tools4ever hecht veel waarde aan betrouwbaarheid en certificatie van haar software. Tools4ever heeft partnerships met partijen waarmee de software samenwerkt, zoals Microsoft, SAP, Citrix, IBM, Novell, IGEL, etc. Ook is de software en E-SSOM in het bijzonder gecertificeerd door Microsoft en Citrix. ENTERPRISE SINGLE SIGN ON MANAGER (E-SSOM) E-SSOM is de Enterprise SSO oplossing van Tools4ever. De primaire functie van de oplossing is het leveren, op een zo n eenvoudig mogelijke manier, van een laagdrempelige toegang tot bedrijfsinformatie naar de eindgebruikers. Deze functie valt onder te verdelen in het 1) reduceren van het aantal wachtwoorden naar 1 enkel wachtwoord voor de eindgebruiker onafhankelijk van de soort/type applicatie en locatie van de eindgebruiker, 2) het kunnen inloggen met een pasje (2-factor) en 3) het kunnen meenemen van sessies tussen verschillende werkstations (Citrix Sessie roaming). Om deze functionaliteit te kunnen bieden heeft E-SSOM toegang nodig tot gebruikersnamen en wachtwoorden van de eindgebruikers binnen de organisatie. Deze zogenoemde credentials worden opgeslagen door E-SSOM voor toekomstig gebruik en worden uitgewisseld tussen verschillende onderdelen van E-SSOM. Omdat het hier gaat om kritische bedrijfsgegevens is het van cruciaal belang dat deze gegevens met de grootste zorg worden beheerd binnen E-SSOM. Dit document beschrijft hoe deze beveiliging uitgevoerd is binnen E-SSOM. Let op: er is een bepaald niveau van detaillering gekozen waarbij Tools4ever geen 100% inzicht verschaft om hiermee te voorkomen dat kwaadwillende exact begrijpen hoe het security model van E-SSOM functioneert en ongewenst toegang verkrijgen tot de credentials.

SECURITY ARCHITECTUUR E-SSOM De E-SSOM oplossing bestaat uit verschillende software componenten. Het onderstaande diagram toont een overzicht van de belangrijkste componenten en de samenhang ertussen. Het architectuur model van E-SSOM is het traditionele drie-lagen model: 1) client laag, 2) server/applicatie-laag en 3) database-laag. Zodra informatie wordt uitgewisseld tussen een laag of (tijdelijk) wordt opgeslagen dan wordt de informatie geëncrypt. In het diagram is aangegeven welke security mechanismes worden toegepast per onderdeel. De mate van security is niet per onderdeel hetzelfde en is afhankelijk van het niveau van de impact, het risico en de technische toepasbaarheid. End point: Windows PC E-SSOM Client Service Internet Cached credetials 256-bit AES Asym encrypt E-SSOM Anywhere RPC/HTTPS/SSL F LAN E-SSOM Client Service LAN communication RPC/LPC 128-bit RC4 Sym encrypt D C E RPC/ HTTPS RPC HTTPS A Central E-SSOM Service Cached credetials 256-bit AES Asym encrypt Central Stored credentials 1024-bits RSA Asym encrypt + padding F B E-SSOM WebSSO JSON/HTTPS End point: Any browser Any device Any location E-SSOM WebSSO Browser Plugin Internet

In het diagram zijn de volgende onderdelen van belang: A Dit is de centrale service van E-SSOM. Dit onderdeel draait op een Windows member server in de LAN-omgeving van de organisatie. De E-SSOM service heeft direct toegang tot de Active Directory en draait in de security context van Windows Active Directory. E-SSOM stelt specifieke eisen aan de permissies van het AD service account waardoor de E-SSOM service de benodigde taken kan uitvoeren. Deze eisen zijn: AD Serviceaccount met admin rechten op SSO Servers en MSSQL omgeving en het beschikbaar hebben van poort 36785. De acties die de centrale E-SSOM service uitvoert zijn: beheer configuratie gegevens applicaties (niet beveiligingsgevoelig), beheer van credentials gegevens van alle medewerkers en alle applicaties (extreem beveiligingsgevoelig), connectie E-SSOM clients (beveiligingsgevoelig), connectie E-SSOM console (redelijk beveiligingsgevoelig). In het diagram is per communicatietype aangegeven wat de encryptiemethode is. B C D De centrale database met alle credentials is beveiligd met een sterk encryptie algoritme. Hiervoor wordt het asymmetrische RSA 1 encryptie algoritme gebruikt. De DPAPI implementatie van RSA maakt gebruik van padding 2 om de bekende problemen met de deterministische 3 aard van RSA te voorkomen. Bij de standaard inrichting van E-SSOM is de scope van de implementatie LAN gebaseerd en vindt er geen uitwisseling van informatie buiten het LAN domein van de organisatie plaats. De E-SSOM clients bevinden zich op Windows gebaseerde clients (al dan niet Citrix gebaseerd). De communicatie tussen de clients en de centrale service i s gebaseerd op encrypted RPC/LPC waarbij gebruik wordt gemaakt van 128bit RC4. Sommige organisaties bieden medewerkers thuis een beheerde Windows werkplek aan. Deze werkplek is geen onderdeel van het domein maar kan via een specifieke setup van de TMG firewall verbonden worden aan het LAN domein van de organisatie. Het communicatie protocol tussen de thuiswerkplek en het LAN is RPC over HTTPS. De beveiligde RPC verbinding wordt in dit geval via een HTTPS tunnel tot stand gebracht. Deze tunnel is zelf met SSL beveiligd. De precieze SSL beveiliging is afhankelijk van de IIS instellingen. 1 Voor meer informatie over deze algoritme zie http://en.wikipedia.org/wiki/rsa_(cryptosystem) 2 Voor meer informatie over deze padding zie http://en.wikipedia.org/wiki/padding_(cryptography) 3 Deterministisch: Altijd dezelfde output bij dezelfde input.

E F Omdat E-SSOM Anywhere specifieke setup vereist van de externe werkplek en de firewall is deze niet geschikt om breed beschikbaar te maken aan alle medewerkers. Ook beperkt deze setup om SSO aan te bieden alle type devices (tablets, smartphones, laptops, etc.). Om deze reden is native HTTPS communicatie toegevoegd waarbij het niet nodig is om RPC over HTPP toe te passen. De communicatie laag is uitgevoerd op basis van JSON/HTTPS (SSL). Optioneel is het mogelijk om credentials lokaal op te slaan bij de client service. Het lokaal opslaan van de credentials levert de volgende extra functionaliteit: 1) hoge beschikbaarheid van SSO: de eindgebruiker kan doorwerken ook als er geen verbinding is met de centrale service; 2) offline support: indien de eindgebruiker met een laptop werkt is het mogelijk om ook lokaal SSO te gebruiken. Deze lokale gegevens bevatten enkel en alleen de credentials van lokaal ingelogde gebruikers en deze worden opgeslagen bij de roaming profile gegevens van de gebruiker. De security context van de opgeslagen gegevens is het lokale E-SSOM service account. De gegevens in de lokale database zijn beveiligd door middel van AES 256 encryptie 4. 4 Voor meer informatie over deze algoritme zie http://en.wikipedia.org/wiki/advanced_encryption_standard

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback