Authenticator

Innerhalb des didmos Frameworks ist der Authenticator die zentrale Authentifizierungskomponente. Er kann aber auch unabhängig von didmos verschiedensten Anwendungen vorangestellt werden.

Grundlage des Authenticators ist die Open-Source-Software Satosa, die für die Entwcikling von didmos entsprechend angepasst wurde. Aufgrund des modularen Aufbaus von Satosa können Attribute aus verschiedenen Quellen verwendet werden. Dies ermöglicht sowohl die Verwendung von lokalen Accounts als auch die Verwendung von gängigen Identity Providern (IdP) wie etwa die sozialen Netzwerke Facebook und Twitter, beliebige IdPs einer SAML-basierten Föderation oder sonstige Standard-konforme IdPs. Die Anbindung solcher IdPs ist durch Konfiguration sehr einfach möglich. Besonders im föderierten Identity und Access Management (IAM) ist diese Funktionsweise von Vorteil. Es sind einerseits weniger Accounts zu verwalten und andererseits müssen sich Benutzer*innen nur noch ein Passwort merken. So können Helpdeskanfragen reduziert und langfristig Kosten aufgrund des geringeren Administrationsaufwands reduziert werden.

 

Neben der Authentifizierung durch verschiedene IdPs bietet der Authenticator auch die Option auf Multi-Faktor-Authentifizierung (MFA). Dazu wird einfach die Open-Source-Lösung PrivacyIDEA angebunden, welche die Verwendung verschiedener MFA-Tokens ermöglicht. Darüber hinaus können weitere kundenspezifische Faktoren implementiert werden.

Melden sich Benutzer*innen mit Zugangsdaten eines externen IdP an, so kann der Authenticator durch sogenannte Shadow-Accounts Benutzer*innen in das Identity Management aufnehmen. Die Berechtigungen der Benutzer*innen werden durch die Aufnahme in Gruppen oder mit Hilfe von Rollen verwaltet, auch ohne die Verwendung eines lokalen Logins.

Durch die Unterstützung der beiden einschlägigen SSO-Protokolle SAML und OIDC, ermöglicht der Authenticator protokollübergreifendes Single-Sign-On: Benutzer*innen, die sich über OIDC authentifiziert haben, können auf SAML-Anwendungen zugreifen und umgekehrt, ohne erneute Authentifizierung.

Aufbau und Funktionen

Satosa, und damit auch der didmos Authenticator, besteht aus verschieden Komponenten, die nacheinander ausgeführt und individuell zusammengestellt werden können.

  • Backend-Module: Die Backend Module bilden die Schnittstelle zu den verschiedenen Authentifizierungsmethoden (externe IdPs, lokale Login via LDAP, etc.). Auch eigene lokale IdPs können hier angebunden werden, sofern sie SAML bzw. OpenID Connect kompatibel sind. Es gibt bisher folgende Moduleexterner SAML-IdPs
    • externer OIDC OP
    • AD/LDAP-basierte Authentifizierung
    • etc.
  • Micro-Services (MS): Mittels Micro-Services können unterschiedlichste Funktionen umgesetzt werden. Es gibt z.B. MS für:
    • didmos-LDAP zur Integration mit didmos: Abfrage von Attributen aus dem Metadirectory, z.B. Gruppen und Rollen-Information für Shadow-Accounts
    • Attribute-Mapping: Verschiedene IdPs benennen oft die relevanten Attribute (z.B. Name, Email-Adresse, etc.) unterschiedlich, die MS übersetzen und vereinheitlichen diese.
    • Shadow-Accounts: Dienen der Eintragung von Benutzer*innen, die sich durch externe IdPs authentifiziert haben.
    • Speichern: Auswahl des Backends an dem sich Benutzer*innen authentifizieren möchten, wird über einen MS gespeichert.
    • Außerdem können beliebige weitere MS integriert werden.
  • Frontend Module: Die Frontends werden benutzt, um Anwendungen und Dienste an das SSO-System anzubinden. Persistente Informationen der Frontends werden in einer MongoDB- Datenbank gespeichert. Augenblicklich können Anwendungen mit folgenden Protokollen angebunden werden:
    • SAML
    • OIDC
    • weitere Protokolle sind denkbar
Menü