Passlogix ist einer der führenden Anbieter von Enterprise-Single-Sign-on-Lösungen (E-SSO), also Produkten, mit denen Benutzer nach einmaliger Anmeldung auf verschiedene Anwendungen zugreifen können. In der Version 7.0 gibt es nicht nur wesentliche Verbesserungen bei der Bedienerfreundlichkeit, sondern auch eine integrierte Unterstützung für unterschiedliche Verfahren zur starken Authentifizierung.
Single Sign-on ist eines der wichtigsten Themenfelder beim Identity und Access Management, weil es für den Endanwender den grössten sichtbaren Nutzen bringt. Statt sich Benutzernamen und Kennwörter für viele verschiedene Anwendungen merken zu müssen, übernimmt die Single-Sign-on-Anwendung die Authentifizierung im Hintergrund und transparent für den Anwender. Er meldet sich einmal am System und, je nach SSO-Produkt, vielleicht noch bei der SSO-Anwendung an. Diese nimmt dann die Kennwörter aus einem Speicher und übergibt sie an die Anwendungen.
Das Grundprinzip kennt jeder Anwender, wenn er Kennwörter bei seinem Browser speichert. Im Gegensatz zu solchen einfachen, lokalen SSO-Ansätzen arbeiten Produkte für das Enterprise-SSO mit zentralen Speichern für die Kennwörter, unterstützen unterschiedlichste Anwendungen vom Mainframe bis zum Web, lassen sich zentral verwalten und bieten in der Regel auch ein wesentlich höheres Sicherheitsniveau, gerade beim Umgang mit den Kennwörtern.
Neben dem höheren Komfort für den Benutzer liegt ein Vorteil aber auch in den reduzierten Aufwänden vor allem beim Service Desk. Die Unterstützung von Benutzern, die ihre Credentials (Anmeldeinformationen wie Benutzernamen und Kennwörter) vergessen haben, macht einen beachtlichen Teil der Arbeit von Service Desks aus. Single Sign-on vermeidet das,
Darüber hinaus bringt SSO aber auch Vorteile für die Sicherheit, insbesondere in Kombination mit starker Authentifizierung beispielsweise über Smartcards oder andere Tokens. Zudem können Kennwörter für Anwendungen automatisch im Hintergrund geändert werden, so dass auch hier Risiken reduziert werden.
Gerade die Unterstützung für die starke Authentifizierung ist dabei eine Herausforderung für SSO-Produkte. Sowohl die Einführung als auch das laufende Management von Ansätzen für die starke Authentifizierung sind mit erheblichen Kosten verbunden. Gerade die Logis-tik für die Verteilung von Tokens an die Benutzer und den Umgang mit Sondersituationen wie vergessenen Tokens ist dabei relativ teuer.
Um diese Kosten im Griff zu behalten, gilt es einerseits eine möglichst grosse Flexibilität bei den eingesetzten Authentifizierungsverfahren zu bieten, um jeweils das angemessene Verfahren einsetzen zu können. Andererseits muss man starke Authentifizierungsmechanismen auch wiederverwenden, insbesondere für die primäre Authentifizierung beim Client, also der lokalen Anmeldung am Betriebssystem.
Ein weiterer wichtiger Aspekt ist, dass man auch eine Reihe von speziellen Nutzungssituationen unterstützen muss. Dazu zählen Kiosk-Systeme, die von unterschiedlichen Anwendern genutzt werden. Ein typischer Fall sind Computer in Krankenhäusern, bei denen sich immer wieder unterschiedliche Ärzte und Krankenschwestern anmelden müssen. Das erfordert die Fähigkeit zum schnellen Wechsel zwischen verschiedenen Benutzern und die Unterstützung spezieller «Proximity Cards», die auf RFID-Basis einen Benutzer (beziehungsweise dessen Karte) erkennen und damit die Authentifizierung vereinfachen.
Auch die mobilen Benutzer müssen unterstützt werden. Da Credentials bei E-SSO in zentralen Speichern gehalten werden, müssen diese in sicherer Weise in den Cache von mobilen Systemen übernommen werden können, um eine Authentifizierung zumindest an ausgewählten Systemen auch dann zu ermöglichen, wenn keine Verbindung zu dem zentralen Server besteht.
Mit seinem Kernprodukt v-GO SSO 7.0 ist Passlogix bereits seit etlichen Jahren im E-SSO-Markt tätig und zählt hier zu den etabliertesten Anbietern. Entsprechend breit ist auch der Funktionsumfang des Produkts. Aus Kundensicht ist in der Version 7.0 zunächst begrüssenswert, dass der Standardumfang des Produkts wesentlich erweitert wurde. Viele Funktionen, die bisher eigenständige Produkte waren, sind nun integriert.
Die Unterstützung von Kiosk-Systemen mit schneller An- und Abmeldung und dem sogenannten «Fast User Switching», bei dem sehr schnell zwischen Sitzungen unterschiedlicher Anwender gewechselt werden kann, die im Hintergrund offengehalten werden, ist eine solche Funktion.
Eine Standardfunktion ist nun aber auch die Möglichkeit, einen schlanken Client von Remote-Systemen sozusagen «on demand» herunterzuladen, um jederzeit von jedem System die E-SSO-Funktionalität nutzen zu können. Damit kann man schnell solche Systeme einbinden, wobei die Credentials weiterhin zentral verwaltet werden. Diese Funktionalität stellt eine wichtige Ergänzung zur standardmässigen Unterstützung von Notebooks mit einem Caching der Credentials dar.
In der neuen Version gibt es aber auch viele funktionale Verbesserungen. Die Benutzerschnittstellen wurden grundlegend überarbeitet und sind nun deutlich einfacher nutzbar als bisher. Dazu zählt auch, dass sich Anwendungen für das SSO nun sowohl flexibel über Assistenten als auch über Skripts konfigurieren lassen. Die Funktionen beim Client werden dabei über zentrale Richtlinien gesteuert. Solche Richtlinien regeln nicht nur, was ein Benutzer machen darf, sondern beispielsweise auch die automatische Änderung von Kennwörtern in Anwendungen und die zu verwendenden Kennwortrichtlinien.
Bei den Kernfunktionen des E-SSO, also insbesondere der Fähigkeit, die Credentials unterschiedlicher Anwendungen zu verwalten, ist v-GO SSO ohnehin sehr leistungsfähig. Es werden unterschiedlichste Anwendungen unterstützt, von Windows- über Java- bis hin zu Web-Anwendungen ebenso wie Host-Systeme, SAP-Anwendungen oder Terminal Server-Umgebungen. In diesem Bereich lässt das Produkt keine Wünsche offen.
Auch die Installation ist einfach. Da v-GO SSO 7.0 eine Client-Anwendung ist, muss zunächst ein administrativer Client eingerichtet werden, um das Repository zu verwalten. Anschliessend lassen sich die Client-Komponenten über unterschiedliche Verfahren verteilen, wobei insbesondere auch die bereits erwähnte «On-Demand»-Funktionalität wichtig ist.
Wichtig sind auch die erweiterten Auditing-Funktionen, mit denen sich die Nutzung des Werkzeugs besser überwachen lässt. Insbesondere die Korrelation von Benutzern mit den verwendeten Logins zu Anwendungen ist wichtig, weil sich so ermitteln lässt, welche Anwendungen überhaupt von wem genutzt werden. Diese Informationen sind für die Konfiguration von Identity Provisioning-Lösungen ebenso wichtig wie für die Optimierung von Lizenzkosten – wenn Anwendungen von manchen berechtigten und lizenzierten Benutzern gar nicht verwendet werden, bedeutet das ein erhebliches Einsparpotenzial.
Eine interessante Ergänzung zu v-GO SSO 7.0 ist die UAM-Funktionalität. UAM steht für Universal Authentication Manager und unterstützt eine effizientere Nutzung der starken Authentifizierung. Derzeit werden Windows-XP-Systeme unterstützt. Die Versionen für Windows Vista und Windows 7 sind noch in Vorbereitung.
Die Grundidee ist, dass man Funktionen für die starke Authentifizierung einmalig verwaltet und sowohl für die primäre Authentifizierung beim Betriebssystem als auch in Verbindung mit dem Enterprise-SSO nutzen kann. Der UAM unterstützt daher das Management solcher Mechanismen, wobei unter anderen Smartcards und Proximity Cards verwendet werden können. Diese lassen sich bei der primären Windows-Authentifizierung nutzen; dabei kann sogar der Rollout bei der ersten Anmeldung durchgeführt werden. Die Karten lassen sich aber genauso bei v-GO SSO verwenden.
Das Tool ist damit eine interessante Ergänzung, wenn starke Authentifizierungsmechanismen im Zusammenspiel mit dem E-SSO verwendet werden sollen. Während die Administration bereits voll in die zentrale Schnittstelle von v-GO integriert ist, muss die Einrichtung separat erfolgen. Das ist aber im Betrieb kein Problem. Die grösste Einschränkung liegt derzeit sicher in der Beschränkung auf Windows XP.
Sowohl für v-GO SSO 7.0 als auch für v-GO UAM 7.0 gilt allerdings, dass sich die Tools schnell installieren und in Betrieb nehmen lassen. Der konzeptionelle Aufwand ist vergleichsweise gering. E-SSO, auch mit einer engeren Integration von starker Authentifizierung, lässt sich so schnell umsetzen.
Passlogix ist einer der führenden Anbieter von Enterprise-Single-Sign-on-Lösungen (E-SSO), also Produkten, mit denen Benutzer nach einmaliger Anmeldung auf verschiedene Anwendungen zugreifen können. In der Version 7.0 gibt es nicht nur wesentliche Verbesserungen bei der Bedienerfreundlichkeit, sondern auch eine integrierte Unterstützung für unterschiedliche Verfahren zur starken Authentifizierung.
Single Sign-on ist eines der wichtigsten Themenfelder beim Identity und Access Management, weil es für den Endanwender den grössten sichtbaren Nutzen bringt. Statt sich Benutzernamen und Kennwörter für viele verschiedene Anwendungen merken zu müssen, übernimmt die Single-Sign-on-Anwendung die Authentifizierung im Hintergrund und transparent für den Anwender. Er meldet sich einmal am System und, je nach SSO-Produkt, vielleicht noch bei der SSO-Anwendung an. Diese nimmt dann die Kennwörter aus einem Speicher und übergibt sie an die Anwendungen.
Das Grundprinzip kennt jeder Anwender, wenn er Kennwörter bei seinem Browser speichert. Im Gegensatz zu solchen einfachen, lokalen SSO-Ansätzen arbeiten Produkte für das Enterprise-SSO mit zentralen Speichern für die Kennwörter, unterstützen unterschiedlichste Anwendungen vom Mainframe bis zum Web, lassen sich zentral verwalten und bieten in der Regel auch ein wesentlich höheres Sicherheitsniveau, gerade beim Umgang mit den Kennwörtern.
Neben dem höheren Komfort für den Benutzer liegt ein Vorteil aber auch in den reduzierten Aufwänden vor allem beim Service Desk. Die Unterstützung von Benutzern, die ihre Credentials (Anmeldeinformationen wie Benutzernamen und Kennwörter) vergessen haben, macht einen beachtlichen Teil der Arbeit von Service Desks aus. Single Sign-on vermeidet das,
Darüber hinaus bringt SSO aber auch Vorteile für die Sicherheit, insbesondere in Kombination mit starker Authentifizierung beispielsweise über Smartcards oder andere Tokens. Zudem können Kennwörter für Anwendungen automatisch im Hintergrund geändert werden, so dass auch hier Risiken reduziert werden.
Starke Authentifizierung als Herausforderung
Gerade die Unterstützung für die starke Authentifizierung ist dabei eine Herausforderung für SSO-Produkte. Sowohl die Einführung als auch das laufende Management von Ansätzen für die starke Authentifizierung sind mit erheblichen Kosten verbunden. Gerade die Logis-tik für die Verteilung von Tokens an die Benutzer und den Umgang mit Sondersituationen wie vergessenen Tokens ist dabei relativ teuer.
Um diese Kosten im Griff zu behalten, gilt es einerseits eine möglichst grosse Flexibilität bei den eingesetzten Authentifizierungsverfahren zu bieten, um jeweils das angemessene Verfahren einsetzen zu können. Andererseits muss man starke Authentifizierungsmechanismen auch wiederverwenden, insbesondere für die primäre Authentifizierung beim Client, also der lokalen Anmeldung am Betriebssystem.
Mehr als nur Desktop-SSO
Ein weiterer wichtiger Aspekt ist, dass man auch eine Reihe von speziellen Nutzungssituationen unterstützen muss. Dazu zählen Kiosk-Systeme, die von unterschiedlichen Anwendern genutzt werden. Ein typischer Fall sind Computer in Krankenhäusern, bei denen sich immer wieder unterschiedliche Ärzte und Krankenschwestern anmelden müssen. Das erfordert die Fähigkeit zum schnellen Wechsel zwischen verschiedenen Benutzern und die Unterstützung spezieller «Proximity Cards», die auf RFID-Basis einen Benutzer (beziehungsweise dessen Karte) erkennen und damit die Authentifizierung vereinfachen.
Auch die mobilen Benutzer müssen unterstützt werden. Da Credentials bei E-SSO in zentralen Speichern gehalten werden, müssen diese in sicherer Weise in den Cache von mobilen Systemen übernommen werden können, um eine Authentifizierung zumindest an ausgewählten Systemen auch dann zu ermöglichen, wenn keine Verbindung zu dem zentralen Server besteht.
Passlogix v-GO SSO 7.0
Mit seinem Kernprodukt v-GO SSO 7.0 ist Passlogix bereits seit etlichen Jahren im E-SSO-Markt tätig und zählt hier zu den etabliertesten Anbietern. Entsprechend breit ist auch der Funktionsumfang des Produkts. Aus Kundensicht ist in der Version 7.0 zunächst begrüssenswert, dass der Standardumfang des Produkts wesentlich erweitert wurde. Viele Funktionen, die bisher eigenständige Produkte waren, sind nun integriert.
Die Unterstützung von Kiosk-Systemen mit schneller An- und Abmeldung und dem sogenannten «Fast User Switching», bei dem sehr schnell zwischen Sitzungen unterschiedlicher Anwender gewechselt werden kann, die im Hintergrund offengehalten werden, ist eine solche Funktion.
Eine Standardfunktion ist nun aber auch die Möglichkeit, einen schlanken Client von Remote-Systemen sozusagen «on demand» herunterzuladen, um jederzeit von jedem System die E-SSO-Funktionalität nutzen zu können. Damit kann man schnell solche Systeme einbinden, wobei die Credentials weiterhin zentral verwaltet werden. Diese Funktionalität stellt eine wichtige Ergänzung zur standardmässigen Unterstützung von Notebooks mit einem Caching der Credentials dar.
In der neuen Version gibt es aber auch viele funktionale Verbesserungen. Die Benutzerschnittstellen wurden grundlegend überarbeitet und sind nun deutlich einfacher nutzbar als bisher. Dazu zählt auch, dass sich Anwendungen für das SSO nun sowohl flexibel über Assistenten als auch über Skripts konfigurieren lassen. Die Funktionen beim Client werden dabei über zentrale Richtlinien gesteuert. Solche Richtlinien regeln nicht nur, was ein Benutzer machen darf, sondern beispielsweise auch die automatische Änderung von Kennwörtern in Anwendungen und die zu verwendenden Kennwortrichtlinien.
Bei den Kernfunktionen des E-SSO, also insbesondere der Fähigkeit, die Credentials unterschiedlicher Anwendungen zu verwalten, ist v-GO SSO ohnehin sehr leistungsfähig. Es werden unterschiedlichste Anwendungen unterstützt, von Windows- über Java- bis hin zu Web-Anwendungen ebenso wie Host-Systeme, SAP-Anwendungen oder Terminal Server-Umgebungen. In diesem Bereich lässt das Produkt keine Wünsche offen.
Auch die Installation ist einfach. Da v-GO SSO 7.0 eine Client-Anwendung ist, muss zunächst ein administrativer Client eingerichtet werden, um das Repository zu verwalten. Anschliessend lassen sich die Client-Komponenten über unterschiedliche Verfahren verteilen, wobei insbesondere auch die bereits erwähnte «On-Demand»-Funktionalität wichtig ist.
Wichtig sind auch die erweiterten Auditing-Funktionen, mit denen sich die Nutzung des Werkzeugs besser überwachen lässt. Insbesondere die Korrelation von Benutzern mit den verwendeten Logins zu Anwendungen ist wichtig, weil sich so ermitteln lässt, welche Anwendungen überhaupt von wem genutzt werden. Diese Informationen sind für die Konfiguration von Identity Provisioning-Lösungen ebenso wichtig wie für die Optimierung von Lizenzkosten – wenn Anwendungen von manchen berechtigten und lizenzierten Benutzern gar nicht verwendet werden, bedeutet das ein erhebliches Einsparpotenzial.
Passlogix v-GO UAM 7.0
Eine interessante Ergänzung zu v-GO SSO 7.0 ist die UAM-Funktionalität. UAM steht für Universal Authentication Manager und unterstützt eine effizientere Nutzung der starken Authentifizierung. Derzeit werden Windows-XP-Systeme unterstützt. Die Versionen für Windows Vista und Windows 7 sind noch in Vorbereitung.
Die Grundidee ist, dass man Funktionen für die starke Authentifizierung einmalig verwaltet und sowohl für die primäre Authentifizierung beim Betriebssystem als auch in Verbindung mit dem Enterprise-SSO nutzen kann. Der UAM unterstützt daher das Management solcher Mechanismen, wobei unter anderen Smartcards und Proximity Cards verwendet werden können. Diese lassen sich bei der primären Windows-Authentifizierung nutzen; dabei kann sogar der Rollout bei der ersten Anmeldung durchgeführt werden. Die Karten lassen sich aber genauso bei v-GO SSO verwenden.
Das Tool ist damit eine interessante Ergänzung, wenn starke Authentifizierungsmechanismen im Zusammenspiel mit dem E-SSO verwendet werden sollen. Während die Administration bereits voll in die zentrale Schnittstelle von v-GO integriert ist, muss die Einrichtung separat erfolgen. Das ist aber im Betrieb kein Problem. Die grösste Einschränkung liegt derzeit sicher in der Beschränkung auf Windows XP.
Sowohl für v-GO SSO 7.0 als auch für v-GO UAM 7.0 gilt allerdings, dass sich die Tools schnell installieren und in Betrieb nehmen lassen. Der konzeptionelle Aufwand ist vergleichsweise gering. E-SSO, auch mit einer engeren Integration von starker Authentifizierung, lässt sich so schnell umsetzen.
Umfassende Lösung
mit weiteren Add-ons
Die beiden getesteten Produkte sind nicht die einzigen Lösungen von Passlogix. Es gibt noch weitere Produkte, beispielsweise für den Reset von Kennwörtern, die Integration mit Identity-Provisioning-Lösungen und das Management von Kennwörtern von gemeinsam genutzten Benutzerkonten, wie sie insbesondere bei administrativen Konten vorkommen.
Passlogix hat diese Funktionen in den aktuellen Versionen deutlich enger integriert – die separat erhältliche v-GO Access Accelerator Suite beinhaltet alle diese Produkte als eine integrierte Lösung, mit der rund um das Single Sign-on ergänzende Funktionen in integrierter Form angeboten werden.
Das Kernstück für die unternehmensweite Benutzeranmeldung bleibt aber v-GO SSO 7.0 als eine ausgereifte, leistungsfähige Suite für das Single Sign-on von Benutzern. Dieses Produkt ist sowohl vom Funktionsumfang als auch von Installation und Nutzbarkeit eines der marktführenden Produkte und zeigt sich im aktuellen Release als sehr reife Lösung.
