Testimonial
User Management Resource Administrator is an extremely powerful tool that has for me, proved itself capable of performing any task connected with the creation and management of users in windows networks, whether or not you are using Active Directory - the significance of this, is that the tasks can be applied to many users at one go. The tool is saving me enormous amounts of time and I would recom...
Charlie Markwick
Read more...
|
E-SSO Features
Block Building Konzept
Architektur
Anpassungsfähigkeit
Hohe Verfügbarkeit
Sicherheit
DPAPI Sicherheit
Integration mit anderen Lösungen
Mehrere Benutzerkonten pro Mitarbeiter
Delegation einer Anwendung
Offline-Modus
E-SSO-M Block Building Konzept
Enterprise SSO Manager ist eine revolutionäre Single-Sign-On-Lösung, die sich auf ein Building Block Konzept gründet, das kein anderes vergleichbares Produkt hat. Dieses Konzept erlaubt 100% garantierten Support der Anwendungslandschaft und einfache Manipulation sowohl der Benutzer als auch deren Anwendungen. Das Hinzufügen von Building Blocks zu einer Schablone wird mit einer benutzerfreundlichen GUI-Drag-und-Drop-Schnittstelle ausgeführt. Nachdem ein Building Block zu einer Schablone hinzugefügt wurde, können mehrere Parameter dieses Building Blocks neu definiert werden. Zukünftige Optionen von E-SSO-M werden neue Aktionen beinhalten, die Schablonen intelligenter machen. Scripts für verschiedene Funktionstypen ermöglichen: Sichern von Informationen in einer Datenbank, Anwenden von Extra-Zugangssicherheit (SmartCard), Verschicken von Email, usw. Weil Building Blocks eine modulare Struktur haben, kann Tools4ever auf einfache Weise Extra-Funktionalität zu E-SSO-M hinzufügen. Auf Anfrage können Building Blocks entwickelt werden. Falls Sie Interesse haben, nehmen Sie bitte Kontakt zum nächsten Tools4ever-Büro auf.
|
 |
E-SSO-M Architektur
E-SSO-M ist als eine High-Level-Unternehmenslösung zur Unterstützung sehr großer Netzwerke geplant, die eine zuverlässige SSO-Lösung erfordern. Das Diagramm unten zeigt eine Übersicht der Beziehungen zwischen den verschiedenen E-SSO-M-Modulen. Die SSO-Architektur unterstützt einen Dienst, der als zentraler Informationspunkt für alle lokalen SSO-Dienste an jeder Workstation verfügbar ist. Auf dem E-SSO-M-Level kann der Systemadministrator zentrale Anpassungen über die E-SSO-M-Admin-Konsole vornehmen. Diese Konsole definiert Anwendungsschablonen für Mitarbeiter oder eine Gruppe von Mitarbeitern und ordnet diese zu. Eigene Einstellungen, wie Leistungsausgleich, hohe Verfügbarkeit, Übertragen der Kontrolle, etc. können definiert werden.
SSO-Benutzerclient-Software ist für jede Workstation verfügbar und erlaubt dem Endbenutzer, die E-SSO-M-Einstellungen an seine oder ihre persönlichen Anforderungen anzupassen. Zum Beispiel kann E-SSO-M zeitweise ausgeschaltet werden. Benutzer-Anmeldeinformationen können für bestimmte Anwendungen gelöscht werden, für eine vordefinierte Zeitspanne an einen anderen Benutzer übertragen werden, etc.
Eine Verbindung zu Windows und Browser-Anwendungen wird über einen Windows-Hook und ein Browser-Helper-Objekt hergestellt. Dieser Mechanismus erlaubt es dem SSO-Benutzerclient-Dienst, exakt zu bestimmen, welche Dialoge welchem Endbenutzer gezeigt werden. Dieser Verbindungstyp gründet sich auf den veröffentlichten Microsoft Standard, der korrektes Funktionieren auf jeder Plattform und in jeder Situation garantiert. Daher besteht ein Netzwerk aus einer hybriden Umgebung mit einem Terminal Server, Citrix, XP, Vista, IE6 oder Firefox, etc. Alle Plattformen werden von E-SSO-M unterstützt.
|
E-SSO-M Anpassungsfähigkeit
Die Spitzenbelastung einer SSO-Anwendung zeigt sich morgens, wenn die meisten Mitarbeiter mit ihrer Arbeit beginnen und sich im Netzwerk anmelden. So hat eine Untersuchung ergeben, dass 96,5 % der Verwendung einer E-SSO-M-Anwendung während der ersten 30 Minuten eines Arbeitstages stattfindet. Während dieser Zeit muss die zentrale E-SSO-M-Engine Daten für alle Endbenutzer und deren Anwendungen bereitstellen. Um diesen Anforderungen gerecht zu werden, hat E-SSO-M ein Feature, womit Anmeldeanfragen auf mehrere Microsoft-Windows-Dienste verteilt werden können. Das Lizenzmodell erlaubt eine unbegrenzte Anzahl von E-SSO-M-Diensten im Netzwerk. Netzwerke bis zu 250 000 Workstations können mit Hilfe dieses Service-Modells verwaltet werden.
E-SSOM-M Hohe Verfügbarkeit
Benutzer werden immer öfter auf die SSO-Lösung vertrauen. Daher ist die Verfügbarkeit von E-SSO-M entscheidend. E-SSO-M garantiert mit Hilfe verschiedener Mechanismen, daß Endbenutzer immer im Stande sind, diese Software zu verwenden. Ein hohes Maß an Verfügbarkeit ist ebenfalls entscheidend. Der folgende Mechanismus illustriert, inwieweit dies möglich ist:
|
|
Replikation:
|
|
|
Anmeldeinformationen von Benutzerkonten werden in einer relationellen Datenbank gespeichert. Um das sichere Speichern dieser Daten zu gewährleisten, stehen Standardmittel zur Verfügung. Platzieren der Datenbank auf einem Cluster-Server und/oder Datenbank-Kopie sind stark gestützte Features von E-SSO-M.
|
|
|
Mehrere Dienste:
|
|
|
Die zentrale Engine von E-SSO-M ist der Microsoft-Windows-Dienst. E-SSO-M enthält ein Feature, mit dem es möglich ist, mehrere Dienste laufen zu lassen. Informationen mit Bezug auf Anmeldeinformationen von Endbenutzern und Konfigurationsdaten (Einstellungen in E-SSO-M) werden über eine kopierte Datenbank ausgetauscht. E-SSO-M auf der Workstation eines Endbenutzers wählt automatisch den am besten verfügbaren Dienst aus. Das Lizenzmodell erlaubt eine unbegrenzte Anzahl von E-SSO-M-Diensten.
|
|
|
Lokales Caching:
|
|
|
Lokales Caching hilft, falls eine Workstation sich nicht mit dem zentralen E-SSO-M-Dienst verbinden kann. E-SSO-M hat ein Feature, das lokales Workstation-Caching nutzt, den sogenannten Offline-Modus. Dieses Feature unterstützt insbesondere Laptop-Benutzer in vollem Umfang, die sich nicht immer mit dem Unternehmensnetzwerk verbinden wollen, aber dennoch E-SSO-M benötigen. Der Offline-Modus ist auch für den unwahrscheinlichen Fall verfügbar, dass die zentralen E-SSO-M-Dienste nicht verfügbar sind.
|
E-SSO-M Sicherheit
In einer SSO-Anwendung müssen Benutzernamen und Passworte aller Mitarbeiter gespeichert werden. Es ist entscheidend, dass diese Daten gut gesichert sind. E-SSO-M wurde insbesondere entwickelt, um die Integrität von Benutzerkontendaten zu gewährleisten.
|
|
Kommunikation:
|
|
|
Alle Informationen, die zwischen den E-SSO-M Komponenten ausgetauscht werden, sind verschlüsselt. Kein lesbarer Text wird zwischen Workstation und zentralem Dienst übertragen.
|
|
|
Caching:
|
|
|
Wenn ein Laptop verwendet wird, werden Benutzername und Passwort lokal auf der Festplatte gespeichert. Diese Daten sind verschlüsselt.
|
|
|
Datenbank:
|
|
|
Die zentrale Datenbank speichert eine Kopie von jedem Benutzernamen und Passwort. Auch diese Daten sind verschlüsselt.
|
|
|
Protokollieren:
|
|
|
Alle Aktivitäten der Endbenutzer werden in der zentralen E-SSO-M-Datenbank gespeichert, außer Benutzername und Passwort der gefragten Anwendung. E-SSO-M wurde von den Sicherheitsexperten von Tools4ever so entwickelt, dass sensible Informationen nur dann ausgetauscht und gespeichert werden, wenn dies erforderlich ist.
|
Der verschlüsselte Algorithmus in E-SSO-M gründet sich auf DPAPI Sicherheit. Andere verschlüsselte Algorithmen können angewendet werden, wenn der Sicherheitsstandard eines Unternehmens dies erfordert.
DPAPI Sicherheit
DPAPI bietet einen essentiellen Datenschutz, der die Vertraulichkeit von Informationen sicherstellt, und gleichzeitig die Wiederherstellung der zugrundeliegenden Daten im Falle von verlorenen oder geänderten Passworten erlaubt. Der auf einem Passwort basierende Schutz, den DPAPI zur Verfügung stellt, ist aus mehreren Gründen hervorragend:
|
|
Er verwendet erprobte kryptographische Verfahren, wie starke Triple-DES-Algorithmen im CBC-Modus, robuste SHA-1-Algorithmen und auf PBKDF2-Passwort basierende Key-Derivation-Verfahren.
|
|
|
Er verwendet erprobte kryptographische Konstrukte für den Datenschutz. Alle kritischen Daten sind kryptographisch vollständig geschützt, und geheime Daten werden mit Hilfe von Standardmethoden verwahrt.
|
|
|
Er verwendet umfangreiche geheimgehaltene Größen, um die Möglichkeit eines brutalen Angriffs auf geheime Daten weitestgehend zu reduzieren.
|
|
|
Er verwendet PBKDF2 mit 4000 Iterationen, um den Arbeitsaufwand eines Gegners zu erhöhen, der versucht, das Passwort herauszufinden.
|
|
|
Er überprüft die Ablaufdaten des Master-Keys.
|
|
|
Er schützt die benötigte Netzwerkkommunikation mit den Domänen-Controllern durch Verwendung wechselseitig authentifizierter und privacy-geschützter RPC-Kanäle.
|
|
|
Er verkleinert das Risiko auf Aufdeckung aller geheimen Daten, da diese niemals auf Festplatte geschrieben werden und ihre Aufdeckung im Swap-Speicher verkleinert wird.
|
|
|
Administrator-Rechte sind erforderlich, um Änderungen an den DPAPI-Parametern im Register vorzunehmen.
|
|
|
Er verwendet Windows-Dateienschutz, um alle kritischen DLL's vor Online-Änderungen zu schützen, auch wenn Prozesse Administrator-Rechte haben.
|
E-SSO-M Integration mit anderen Lösungen
Die zentrale E-SSO-M-Engine unterstützt Integration mit externen Systemen und Anwendungen. E-SSO-M bietet ein COM-Objekt als Schnittstelle, hat aber auch eine Open-Standard-SPML (Service Provisioning Markup Language). SPML gründet sich auf SOAP/XML-Meldungen, und E-SSO-M unterstützt Webdienste. E-SSO-M erlaubt Integration mit:
|
|
Anwendungen, die Passworte zurücksetzen, wie z.B. Passwort-Synchronisation oder Helpdesk-Anwendungen. Falls ein Passwort für einen bestimmten Benutzer in einer bestimmten Anwendung zurückgesetzt wird, erlaubt Integration die Durchführung dieses Zurücksetzens durch E-SSO-M. Als Ergebnis sind Passwort-Änderungen transparent für den Endbenutzer.
|
|
|
Bereitstellung von Benutzerkonten. Wenn ein neuer Mitarbeiter in ein Unternehmen eintritt, müssen Benutzerkonten und Passworte in verschiedenen Systemen und Anwendungen bereit gestellt werden. E-SSO-M hat die Fähigkeit, sich mit vielen bekannten automatisierten Anwendungen für die Bereitstellung von Benutzerkonten zu verbinden, wie z.B. UMRA, IDM3, ILM, Sun Identity Manager, etc. Diese Integration erlaubt es den Endbenutzern, sofort in E-SSO-M erkannt zu werden, was mehrere Vorteile hat:
|
|
|
|
1. |
der Endbenutzer muss nicht verschiedene Passworte wählen und sich merken. |
|
2. |
der Endbenutzer muss sich nicht innerhalb E-SSO-M bekannt machen. |
|
3. |
der Endbenutzer hat direkten Zugang zu der Anwendungslandschaft eines Unternehmens. |
|
|
|
Reporting. Alle Daten, die sich auf den Zugang zu Anwendungen durch die Endbenutzer beziehen, werden in einer SQL-Datenbank gespeichert. Das Datenmodell von E-SSO-M ist öffentlich und kann von Reporting-Tools verwendet werden.
|
E-SSO-M Mehrere Benutzerkonten pro Mitarbeiter
Ein Mitarbeiter benötigt manchmal Zugang zu einer Anwendung über mehr als einen Benutzernamen. Zum Beispiel haben System-Administratoren ein “normales“ und ein Administrator-Benutzerkonto. Vielleicht benötigt dieser Systemadministrator Zugang zu Anwendungen in verschiedenen Umgebungen, die für Entwicklung, Testen oder Produktion angelegt wurden. In diesen Fällen zeigt E-SSO-M einen extra Dialog, der es dem Administrator erlaubt, einen bestimmten Benutzernamen und/oder eine bestimmte Umgebung auszuwählen, wenn eine Anwendung startet. Nach dieser Erstauswahl stellt E-SSO-M sicher, dass die Anwendung in der richtigen Umgebung mit dem korrekten Benutzernamen/Passwort gestartet wird.
|
E-SSO-M Übertragen einer Anwendung
Während eines Urlaubs oder bei Krankheit kann es notwendig sein, einem anderen Benutzer den zeitweisen Zugang zu verschiedenen Anwendungen zu erteilen, so dass kritische Business-Prozesse weiterlaufen können. Dies erfordert Änderungen an den Netzwerk-Sicherheitseinstellungen, damit der zeitweise Benutzer die korrekten Zugangsrechte erhält. Alternativ kann die Kombination Benutzername/Passwort ausgetauscht werden. Beides hat einen negativen Einfluss auf die Sicherheit: Zugangsrechte werden oft nicht auf ihre ursprünglichen Einstellungen zurückgesetzt, oder Passworte werden am Ende eines Zeitraums nicht geändert.
E-SSO-M hat ein einzigartiges Feature, das es erlaubt, Benutzer-Anmeldeinformationen eines abwesenden Mitarbeiters auf einen anderen Mitarbeiter (dem “Delegierten“) für eine bestimmte Anwendung und für einen vorher festgelegten Zeitraum zu übertragen. Wenn der “Delegierte“ diese Anwendung startet, erhält er oder sie ein Popup-Fenster, in dem die erforderlichen Anmeldeinformationen ausgewählt werden können.
Der abwesende Mitarbeiter kann bestimmen, wem und für welchen Zeitraum die Benutzer-Anmeldeinformationen übertragen werden. Wenn dieser Zeitraum abgelaufen ist, werden die Rechte des '“Delegierten“, die Benutzer-Anmeldeinformationen zu verwenden, automatisch beendet.
|
E-SSO-M Offline-Modus
E-SSO-M enthält ein Feature, das lokales Workstation-Caching erlaubt, den sogenannten Offline-Modus, für den Fall, dass eine Workstation keine Verbindung mit dem zentralen E-SSO-M-Dienst erhält. Dieses Feature ist hauptsächlich für Laptop-Benutzer gedacht, die sich nicht immer mit dem Unternehmensnetzwerk verbinden, aber dennoch Gebrauch von E-SSO-M machen wollen.
|
|
