Login

LinOTP MFA Integration in Windows Umgebungen

Bei immer größer werdenden Ansprüchen an die IT Sicherheit wird auch die Multi-Faktor-Authentisierung (MFA) wichtiger.

Um sich via MFA zu authentisieren, bietet LinOTP viele verschiedene Token Typen an. Es eignet sich als universelle Gegenstelle für MFA.

Praktisch in allen IT Umgebungen finden wir heute Desktop-Umgebungen von denen aus mit sensiblen Daten gearbeitet werden soll und das nicht nur im
Büro, sondern auch von unterwegs, oder von zu Hause aus (Bild 1).

Windows Login mit MFASensible Daten lassen sich durch Hinzufügen eines Credential Providers zum Windows Login deutlich besser schützen. Auf Windows Servern, Desktops oder auf Terminal Servern übernimmt das der KeyIdentity Authentication Provider (KAP). Entworfen um Authentisierungsanfragen gegen LinOTP zu richten, arbeitet er vor der eigentlichen Windows Anmeldung und prüft die Zugangsbedingungen des Users an Hand eines üblichen Tokens. Nur wenn der KAP sein OK gibt wird die eigentliche Windows Anmeldung durchgeführt. Für den User erscheint der Anmeldevorgang Transparent, vollzogen in “einem
Rutsch”.

Je nach Konfiguration des Login wird mit zwei oder drei Eingabefeldern
(vgl. Bild 2 und 3) für Usernamen, Password und OTP gearbeitet.  Positiv, der KAP kann mit dem QR Token der Keyidentity offline Authentisieren, also auch dann wenn keine Verbindung zum LinOTP besteht oder gar kein Netz verfügbar ist.

Zugriff auf Ressourcen mit MFA

 

 

 

Der KAP ist als Produkt zusätzlich zu LinOTP verfügbar
(mailto: sales[at]keyidentity.com) und kann als MSI oder Full Installer mit
entsprechenden Anleitungen bezogen werden.

Soll von Außen auf Ressourcen im geschützten Netz zugegriffen werden wird
dafür ein VPN Zugang genutzt.  Praktisch alle dieser VPN Gateway Lösungen verfügen über die Fähigkeit, für das Login einen zweiten Faktor zu aktivieren. Typischerweise erfolgt die notwendige Kommunikation über das RADIUS Protokoll. Die VPN senden die konfigurierten Ammeldeinformationen, minimal den Usernamen und das zu prüfenden OTP an LinOTP und erhalten von dort die entspechende Antwort, unabhängig vom verwendeten Token Typ, selbst Challenge Response Verfahren z.B. bei SMS oder Email Token sind möglich.

Wird in Windows Active Directory Umgebungen ein Federation Service (ADFS)
eingesetzt, ist auch hier die MFA konfigurierbar. Ergänzend zu dem bereits vorhandenem ADFS wird auf den Ferderation Servern ein Credential Provider (ähnlich wie bei KAP) hinzugefügt. Dieser steht dann zur Verfügung (Bild 4) und kann dann bei Bedarf für die Authentisierung der Sites individuell hinzugeschaltet werden.

Das funktioniert auch wenn die AD und/oder Federation in der Cloud liegen
(Office 365, Azure).  Der für das ADFS notwendige LinOTP Credential Provider ist auf Nachfrage, als ZIP File (Install Files und Anleitung) verfügbar und wird in der Powershell installiert.

Wie kann ich die ADFS MFA Funktionalitäten mit LinOTP Credential Provider testen: Als aktiver Anwender von LinOTP, habe ich es leicht,
mailto: support[at]keyidentity.com. Wir stellen die Software und
Installationsanleitungen bereit.

Im Rahmen eine Teststellung für LinOTP sind diese Tests ebenfalls möglich.
Einfach entsprechende Wünsche bei der Teststellungsanforderung hinzufügen.

Feel free to share the newsShare on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Published by

Manuela Kohlhas

Head of Marketing at KeyIdentity