Secure Access
Secure Access ( ESA ) Lösungsbeschreibung
Secure Access
Secure Access ( ESA ) Lösungsbeschreibung
Secure Access
Secure Access (früher bekannt als Efecte Secure Access ) ist eine Komponente der Matrix42 Core , Pro and IGA Cloud -Umgebung. Es wird während der Installation Cloud -Umgebung installiert und unterstützt verschiedene Authentifizierungsprotokolle. Es ermöglicht die Verwendung verschiedener IdPs (Identity Pro ) für verschiedene Endbenutzertypen. Mit Secure Access kann die erforderliche Authentifizierungsmethode je nach Benutzern oder nach der Anmeldung verfügbaren Diensten variieren.
Secure Access ist seit der Version 2021/3 standardmäßig Bestandteil von Cloud -Installationen.
Wofür wird es angewendet?
Secure Access wird zur Authentifizierung von Benutzern bei Matrix42 Core , Pro and IGA Lösungen und Self-Service verwendet.
Mit Secure Access können Sie verschiedene Benutzertypen beim Anmelden sicher authentifizieren:
- Matrix42 Core , Pro and IGA Self-Service
- Matrix42 Core , Pro and IGA Lösungen (wie IGA , ITSM usw.)
Sie können mehrere verschiedene Authentifizierungsmethoden gleichzeitig verwenden und Benutzer können basierend auf der ausgewählten Authentifizierung auf verschiedene Dienste oder Lösungen zugreifen.
Es wird auch zur Überwachung böswilliger Aktivitäten während der Authentifizierung verwendet und daher sind Schutzmaßnahmen gegen Brute-Force-Angriffe und Clickjacking standardmäßig aktiviert.
Aussehen und Haptik
Anmeldeseite
Alle Matrix42 Core , Pro and IGA Lösungen verwenden eine gemeinsame Anmeldeseite. Die Anmeldeseite dient zur Anmeldung bei den Self-Service- und Lösungen Matrix42 Core , Pro and IGA Lösungen.
Je nachdem, welche Authentifizierungsprotokolle verwendet werden (konfigurierbar), werden separate Registerkarten für die (Firmen-)Anmeldung und die restlichen Authentifizierungsmethoden angezeigt.
Das Hintergrundbild und das Logo in der Mitte des Anmeldebildschirms können nach Kundenwunsch angepasst werden. In den folgenden Screenshots werden das Matrix42 Logo und das Standardhintergrundbild verwendet. Diese können nur vom ESA Host aus geändert werden. Wenn Sie dort keinen Zugriff haben, müssen Sie Matrix42 bitten, diese Änderung gemäß dieser uid vorzunehmen: Themen für ESA konfigurieren
Sprachoptionen
Benutzer haben die Möglichkeit, die Standardsprache zu ändern, indem sie sie aus dem Dropdown-Menü in der oberen rechten Ecke auswählen.
Standardsprachen sind: Englisch, Finnisch, Schwedisch und Deutsch.
Verfügbare Sprachen sind: Englisch, Finnisch, Deutsch, Schwedisch, Polnisch, Kroatisch, Tschechisch, Dänisch, Niederländisch, Estnisch, Französisch, Italienisch, Lettisch, Litauisch, Norwegisch, Russisch, Spanisch und Türkisch.
Admin-Konsolen
Wenn Sie festlegen, welche Benutzer die Anmeldeseite aufrufen können, konfigurieren Sie die Bereitstellungsaufgabe für die Authentifizierung in der Service Management-Plattform.
Die Authentifizierungskonfiguration erfordert nur dann weitere Änderungen, wenn die Authentifizierungsprotokolle geändert oder neue in Betrieb genommen werden. 
Das Authentifizierungsprotokoll muss auch in der Secure Access Admin-Konsole konfiguriert werden, wo auch Zuordnungen für die Authentifizierung definiert werden. Siehe beispielsweise: https://<Ihre Instanz-URL>/auth/admin 
Technische Informationen
Architektur und Komponenten
Secure Access ( ESA ) ist eine Umbenennung von Keycloak ( keycloak ), einer Open-Source-Anwendung, die Authentifizierungsdienste bereitstellt.
Es wurde von Matrix42 wie folgt angepasst:
- Anmeldebildschirme werden ersetzt
- Benutzerdefinierte Authentifikatoren ermöglichen den Zugriff auf Matrix42 Core , Pro and IGA Lösungen.
Secure Access umfasst die folgenden Komponenten:
Apache
Ein Apache-HTTP-Server wird von Matrix42 Core , Pro and IGA als Proxy für alle Matrix42 Core , Pro and IGA Lösungen verwendet. Wenn ein Benutzer einen Browser öffnet und die URL einer von Matrix42 Core , Pro and IGA bereitgestellten Lösung eingibt, wird die Anfrage an den Apache-Server gesendet. Wenn die Anfrage autorisiert ist (der Benutzer hat seine Anmeldeinformationen korrekt eingegeben), wird sie an die Matrix42 Core , Pro and IGA Lösung weitergeleitet, auf die der Benutzer zugreifen möchte (z. B. ITSM, ESS, IGA ).
ESA
Secure Access bietet eine Admin-Konsole, mit der Sie spezifische Anforderungen für die Anmeldung von Benutzern bei Matrix42 Core , Pro and IGA -Lösungen konfigurieren können. In der Admin-Konsole können Sie konfigurieren, welche Informationen vom Pro (IdP) extrahiert und welche Informationen an Matrix42 Core , Pro and IGA Lösung gesendet werden (z. B. Self-Service, ITSM, IGA usw.).
ESA Datenbank
Secure Access verwendet eine Postgre SQL Datenbank, um kundenspezifische Konfigurationen und eine Zusammenfassung der Informationen der Benutzer zu speichern, die sich bei Matrix42 Core , Pro and IGA -Lösungen angemeldet haben.
Datenflüsse
Jeder Kunde in Matrix42 Cloud -Umgebung, egal ob es sich um eine dedizierte oder eine private Umgebung handelt, verfügt über einen eigenen Apache-HTTP-Server, der für die Verwendung von Shibboleth ( https://www.shibboleth.net ) als Dienstanbieter konfiguriert wurde. Keycloak fungiert als Proxy des tatsächlichen Identitätsanbieters, der Azure , AD , OpenLDAP oder eine ähnliche Lösung sein kann.
Wenn ein Benutzer die URL einer Matrix42 Core , Pro and IGA Anwendung eingibt, wird die Anfrage über einen DNS-Eintrag an den Apache-HTTP-Server des Kunden weitergeleitet. Dieses Verhalten ist unabhängig davon, ob die Umgebung dediziert oder privat ausgeführt wird. Die folgende Abbildung zeigt eine dedizierte Cloud-Umgebung, die einem bestimmten Kunden/Mandanten zugewiesen wurde:
Der Apache-HTTP-Server jedes Kunden ist so konfiguriert, dass nicht authentifizierte Anfragen an Keycloak ( ESA ) weitergeleitet werden, das die Authentifizierung übernimmt. Die Authentifizierung erfolgt entweder durch:
- Präsentieren eines eigenen Anmeldebildschirms
- Dies geschieht, wenn der Kunde AD /LDAP verwendet oder wenn die Anmeldeinformationen des Benutzers lokal im ESM gespeichert sind.
- Umleitung des Browsers des Benutzers zum von Azure bereitgestellten Anmeldebildschirm.
Wenn ein Kunde Azure oder AD FS verwendet, kann Keycloak ( ESA ) so konfiguriert werden, dass Single Sign-On (SSO) möglich ist. In diesem Fall muss ein Benutzer seine Anmeldedaten nicht erneut eingeben, wenn er dies bereits auf genehmigte Weise getan hat. Beispielsweise hat der Benutzer seinen Laptop eingeschaltet, der so konfiguriert wurde, dass er sich beim Start mit Azure / AD FS authentifiziert.
ESA kann mehrere verschiedene Bereiche mit eigenen Authentifizierungsmethoden enthalten. Beispielsweise können interne Benutzer eigene Authentifizierungsmethoden verwenden und externe Benutzer ihre eigenen.
Überwachung und Protokollierung
Überwachung
Secure Access wird im zentralen Überwachungssystem Matrix42 überwacht. Matrix42 verfügt über mehrere Sensoren pro Anwendung, um sicherzustellen, dass das Überwachungssystem bei Problemen mit einer der Anwendungen in Matrix42 Cloud einen Alarm auslöst und das Problem schnellstmöglich untersucht wird.
Matrix42 überträgt keine Kundendaten an Matrix42 Überwachungssystem.
| Sensor | Beschreibung | Aktion(en), wenn der Sensor ein Problem erkennt |
| ESA , ESA DB oder Apache | Alle Cloud-Komponenten werden überwacht, um sicherzustellen, dass sie alle ohne Nutzungsunterbrechungen laufen. | Es wird ein Überwachungsticket für Matrix42 Support erstellt. |
| ESA / Keycloak Funktionalität (server.log) | Die Überwachung erfolgt nach zwei Mustern: „verursacht durch“ und „nicht erfasster Serverfehler“. Wenn beide zutreffen, wird ein Alarm ausgelöst. |
Es wird ein Überwachungsticket für Matrix42 Support erstellt. |
Protokollierung
Secure Access generiert ein Systemprotokoll, in dem Administratoren und Benutzer detaillierte Protokolldateien zu Prüfzwecken und zur Fehlerbehebung finden können.
| Protokolldatei | Beschreibung | Location | Zugang |
| Container-Protokolle Mieter-ESA |
Das Protokoll enthält:
|
Gastgeber | Nur Administratoren können auf diese Protokolldatei zugreifen. Der Administrator muss Zugriff auf den Hostserver haben. |
| keycloak .log | Dieses Protokoll enthält Informationen zu fehlgeschlagenen Anmeldeversuchen, Authentifizierungsfehlern und auch erfolgreichen Aktionen von Benutzern. | Host- und ESM-Benutzeroberfläche |
Nur Administratoren können auf diese Protokolldatei zugreifen. Der Administrator benötigt Zugriff auf den ESA Container des Hostservers (unter /opt/ keycloak /logs/ keycloak .log) oder Zugriff auf EPE-Konnektoren, von denen ESA Protokolle von der ESM-Benutzeroberfläche heruntergeladen werden können.
|
| certificate-refresher.log | Dieses Protokoll enthält Informationen zum Zertifikatsstatus, zu Fehlern und Aktionen. | Host- und ESM-Benutzeroberfläche | Nur Administratoren können auf diese Protokolldatei zugreifen. Der Administrator benötigt Zugriff auf den ESA Container des Hostservers oder auf EPE-Konnektoren, von denen ESA Protokolle von der ESM-Benutzeroberfläche heruntergeladen werden können. |
Unterstützte Authentifizierungsmethoden
Mit Secure Access können Sie sich auf verschiedenen Wegen sicher bei Ihren Matrix42 Core , Pro and IGA Lösungen anmelden.
Wenn eine Organisation über mehrere unterschiedliche Pro (IdP) verfügt, können ihre Benutzer mit unterschiedlichen IdPs (z. B. AD und Entra ID ) authentifiziert werden.
Benutzerföderation
Die föderierte Benutzeridentität ermöglicht den Zugriff auf mehrere Domänen oder Anwendungen mit nur einem Satz Benutzeranmeldeinformationen. Bei der Benutzerföderation ist es üblich, dass die Identität des Benutzers über mehrere verschiedene Identitätsmanagementsysteme hinweg verknüpft wird.
Es kommt häufig vor, dass eine Organisation bereits einen Verzeichnisdienst verwendet, in dem Benutzer- und Anmeldeinformationen (Benutzername und Kennwort) gespeichert werden. Die Benutzerföderation ermöglicht den Zugriff auf externe Datenbanken und Verzeichnisse wie LDAP und Active Directory .
Secure Access kann Anmeldeinformationen aus einem Verzeichnis validieren und die Identitätsinformationen des Benutzers abrufen, um ihn bei Efecte-Lösungen zu authentifizieren. LDAP wird optional unterstützt.
Login-Video
Links zu Konfigurationsartikeln
Einmaliges Anmelden (SSO)
Single-Sign-On (SSO) ist eine häufig verwendete Authentifizierungsmethode. Dies bedeutet, dass der Benutzer bei der Authentifizierung keine Anmeldeinformationen (Benutzername und Kennwort) hinzufügen muss, sondern mit den Anmeldeinformationen authentifiziert wird, die er vom Pro (IdP) erhält, normalerweise einem Verzeichnis wie Entra ID (früher Azure AD ) .
SSO kann technisch mithilfe von SAML oder OpenID -Protokollen implementiert werden. Welches Protokoll verwendet wird, hängt immer vom IdP des Kunden ab.
Beispiele für Authentifizierungsprotokolle, die für SSO verwendet werden:
AD FS ( Microsoft Active Directory Federation Service) verwendet immer SAML Protokoll.
Entra ID SSO (Microsoft Azure Single-Sign-On) verwendet SAML oder OpenID -Protokoll.
Login-Video
Links zu Konfigurationsartikeln
Kundenanweisungen zur Entra ID Konfiguration SAML
Kundenanleitung zur Entra ID Konfiguration OpenID
Konfigurieren: ESA Entra ID SSO
Lokale Benutzeranmeldung
Secure Access unterstützt auch lokale ESM-Benutzer. Ein lokaler Benutzer ist jemand, dessen Anmeldeinformationen sich bei keinem der Pro befinden (z. B. AD , Azure AD , OpenLDAP usw.).
Informationen zu lokalen Benutzern müssen aus der vom Kunden verwendeten Efecte-Lösung abgerufen werden. Lokale Benutzer können manuell über die Efecte-Plattformkonfiguration oder mithilfe der Workflow-Engine erstellt werden.
Beachten Sie, dass dieselbe Logik für jede Lösung gilt, die auf der Efecte-Plattform basiert.
Login-Video
Links zu Konfigurationsartikeln
Zugang für Gäste
Secure Access unterstützt die Möglichkeit, Gastzugriff auf Efecte Self-Service zu gewähren.
Auf der Efecte-Anmeldeseite wählt der Benutzer die Gastzugriffsauthentifizierung aus, es werden temporäre Anmeldeinformationen für den Gastbenutzer generiert und er/sie wird zum Efecte Self-Service weitergeleitet.
Gastbenutzer haben nur eingeschränkte Sichtbarkeit der Dienste und Informationen im Efecte Self-Service und können nicht zu ihren Anfragen oder Berichten aus dem Efecte Self-Service zurückkehren. Aus Sicherheitsgründen wird dringend empfohlen, dass Benutzer die ReCaptcha-Aktion durchführen, d. h., dass sie bestätigen, dass sie kein Roboter sind.
Anmeldevideo – ReCaptcha-Aktion
Links zu Konfigurationsartikeln
Anonyme Anmeldung
Secure Access ermöglicht die anonyme Anmeldung. Dies bedeutet, dass vor der Anmeldung bei Efecte Self-Service Benutzername und Passwort zufällig generiert werden. Diese anonymen Benutzer können Anmeldeinformationen kopieren und diese beispielsweise zur Überprüfung des Berichtsstatus verwenden.
Secure Access oder andere Efecte-Lösungen speichern keine identifizierenden Informationen über den Benutzer oder die Benutzersitzung. Aus Sicherheitsgründen wird dringend empfohlen, dass der Benutzer die ReCaptcha-Aktion ausführt, d. h., dass der Benutzer bestätigt, dass er kein Roboter ist.
Beispiel: Die Efecte Whistleblower-Lösung verwendet eine anonyme Anmeldefunktion.
Login-Video - Efecte Whistleblower
Links zu Konfigurationsartikeln
Virtu-Authentifizierung
Secure Access unterstützt SAML Discovery Service, der für die Virtu-Authentifizierung verwendet wird.
Virtu ist die gemeinsame Single-Sign-On-Lösung der finnischen Regierung und liegt in der Verantwortung des staatlichen IKT-Zentrums Valtori. Das bedeutet, dass der Kunde Teil des Virtu-Vertrauensnetzwerks sein muss.
Auf der Efecte-Anmeldeseite wählt der Benutzer die gewünschte Authentifizierungsart oder Aktion aus. Falls eine Virtu-Authentifizierung erforderlich ist, wird er zur Virtu-Anmeldeseite weitergeleitet. Nach der Authentifizierung wird er zurück zum Secure Access geleitet und kann gemäß den festgelegten Zugriffsrechten auf die Efecte-Lösungen zugreifen.
Lesen Sie hier mehr über Virtu .
Links zu Konfigurationsartikeln
HAKA-Authentifizierung
Secure Access unterstützt SAML Discovery Service, der für die HAKA-Authentifizierung verwendet wird.
HAKA ist der Identitätsverbund der gemeinsamen Single-Sign-On-Lösung finnischer Universitäten, Fachhochschulen und Forschungseinrichtungen und liegt in der Verantwortung des CSC (IT Center for Science Ltd.), was bedeutet, dass der Kunde Teil des HAKA-Vertrauensnetzwerks sein muss.
Auf der Efecte-Anmeldeseite wählt der Benutzer die gewünschte Authentifizierungsart oder Aktion aus. Falls eine HAKA-Authentifizierung erforderlich ist, wird er zur HAKA-Anmeldeseite weitergeleitet. Nach der Authentifizierung wird er zurück zum Secure Access geleitet und kann gemäß den festgelegten Zugriffsrechten auf die Efecte-Lösungen zugreifen.
Lesen Sie hier mehr über HAKA .
Links zu Konfigurationsartikeln
Google Authentifizierung
Secure Access unterstützt Google Authentifizierung.
Auf der Efecte-Anmeldeseite wählt der Benutzer die gewünschte Authentifizierungsart oder Aktion aus. Falls Google Authentifizierung erforderlich ist, wird er zur Google -Anmeldeseite weitergeleitet. Nach der Authentifizierung wird er zurück zum Secure Access geleitet und kann gemäß den festgelegten Zugriffsrechten auf die Efecte-Lösungen zugreifen.
Login-Video
Links zu Konfigurationsartikeln
Okta-Authentifizierung
Secure Access unterstützt SAML -Protokoll, das für die Okta-Authentifizierung verwendet wird.
Okta ist eine sichere Identitäts-Cloud, die alle Ihre Apps, Anmeldungen und Geräte zu einer einheitlichen digitalen Struktur verbindet.
Auf der Efecte-Anmeldeseite wählt der Benutzer die gewünschte Authentifizierungsart oder Aktion aus. Falls eine Okta-Authentifizierung erforderlich ist, wird er zur Okta-Anmeldeseite weitergeleitet. Nach der Authentifizierung wird er zurück zum Secure Access geleitet und kann gemäß den festgelegten Zugriffsrechten auf die Efecte-Lösungen zugreifen.
Login-Video
Links zu Konfigurationsartikeln
Wie konfiguriere ich die Authentifizierung für Okta ( SAML )?
Keycloak Authentifizierung
Secure Access unterstützt OpenID -Protokoll, das für Keycloak Authentifizierung verwendet wird. Keycloak ist eine Open-Source-Softwarelösung, die Single-Sign-On-Zugriff auf Anwendungen und Dienste ermöglicht. Benutzer können sich einmal authentifizieren und auf mehrere Anwendungen zugreifen, ohne ihre Anmeldeinformationen erneut eingeben zu müssen.
Auf der Efecte-Anmeldeseite wählt der Benutzer die gewünschte Authentifizierungsart oder Aktion aus. Falls Keycloak Authentifizierung erforderlich ist, wird er zur Keycloak -Anmeldeseite weitergeleitet. Nach der Authentifizierung wird er zurück zum Secure Access geleitet und kann gemäß den festgelegten Zugriffsrechten auf die Efecte-Lösungen zugreifen.
Links zu Konfigurationsartikeln
Unterstützte starke Authentifizierungsmethoden
Starke Authentifizierung ist eine Kombination verschiedener Authentifizierungsmethoden und kann erreicht werden, wenn vordefinierte Prinzipien erfüllt werden (lesen Sie mehr unter „Was ist starke Authentifizierung?“). Secure Access unterstützt verschiedene starke Authentifizierungen und kann mit jeder anderen unterstützten Authentifizierungsmethode kombiniert werden.
Was ist starke Authentifizierung?
Starke Authentifizierung ist eine Definition, die erreicht wird, wenn zwei (2) der folgenden drei (3) Prinzipien während der Authentifizierung erfüllt sind,
- Etwas, das Sie besitzen (z. B. Mobiltelefon)
- Etwas, das Sie wissen (zum Beispiel Benutzername und Passwort)
- Etwas, das Sie sind (zum Beispiel Fingerabdruck)
Heutzutage umfasst die häufigste starke Authentifizierung Folgendes:
- Etwas, das Sie wissen (Benutzername und Passwort)
- Etwas, das Sie haben (Einmalkennwort für Mobilgerät)
Prinzipien sind der Unterschied zwischen starker Authentifizierung und Zwei-Faktor-Authentifizierung (2FA) sowie Multi-Faktor-Authentifizierung, die lediglich die Verwendung von mindestens zwei Authentifizierungsmethoden erfordern. Sie können jedoch auf demselben Prinzip beruhen, was bedeutet, dass 2FA oder MFA nicht unbedingt eine starke Authentifizierung darstellen.
Das folgende Beispiel kann als MFA oder 2FA bezeichnet werden, ist aber keine starke Authentifizierung.
- Etwas, das Sie wissen (Benutzername und Passwort)
- Etwas, das Sie wissen (Antworten auf Sicherheitsfragen)
Einmalpasswort (SMS / E-Mail)
Ein Einmalkennwort (OTP) kann Teil der Authentifizierung sein und bedeutet, dass dem Benutzer das Einmalkennwort per E-Mail oder SMS (an das Mobiltelefon des Benutzers gesendet) zugesandt wird.
In manchen Fällen reicht es aus, nur das Einmalkennwort einzugeben. Wenn der Kunde jedoch eine starke Authentifizierung anstrebt, empfiehlt es sich, den Benutzer zu bitten, beispielsweise auch Anmeldeinformationen (Benutzername und Kennwort) für die Authentifizierung anzugeben.
Die Einmalkennwortfunktion wird in allen Signicat -Diensten bereitgestellt. Dies bedeutet, dass Signicat der Partner von Efecte ist, dessen Technologie für die Authentifizierung verwendet wird.
Einmalkennwort (Authenticator-Anwendungen)
Secure Access unterstützt die Einmalcode-Authentifizierung. Dabei handelt es sich um temporäre Passwörter, die von Authentifizierungsanwendungen wie beispielsweise Google Authenticator oder FreeOTP generiert werden.
Wenn ein Einmalkennwort (mithilfe einer Authentifizierungsanwendung) konfiguriert ist und der Benutzer seine Anmeldeinformationen (Benutzername und Kennwort) angegeben hat, fordert Secure Access den Benutzer auf, das von Google Authenticator oder FreeOTP generierte Kennwort einzugeben. Beachten Sie, dass die Authentifizierungsanwendung auf dem Mobiltelefon des Benutzers installiert sein muss.
Links zu Konfigurationsartikeln
Bank-ID-Authentifizierung
Bei der Bank-ID-Authentifizierung handelt es sich immer um eine starke Authentifizierung. Das bedeutet, dass der Benutzer persönliche Bank-ID-Anmeldeinformationen (von der Bank oder der Regierung bereitgestellt) verwendet, um sich bei Self-Service- oder Efecte-Lösungen zu authentifizieren.
Dies ist eine gängige Authentifizierungsmethode, insbesondere in skandinavischen Ländern, wird aber auch in anderen europäischen Ländern immer häufiger. Falls Sie eine Bank-ID-Authentifizierung außerhalb Finnlands oder Schwedens benötigen, wenden Sie sich bitte für weitere Informationen an Efecte.
Die Bank-ID-Authentifizierung erfolgt mithilfe länderspezifischer Protokolle. Secure Access nutzt Signicat Dienste als Identitätsbroker zwischen Banken und Secure Access . Derzeit wird die Bank-ID-Authentifizierung in Finnland und Schweden unterstützt.
Finnland:
In Finnland wird die Bank-ID-Authentifizierung am häufigsten von Unternehmen des privaten Sektors verwendet und in Fällen, in denen Regierungsorganisationen aus irgendeinem Grund die suomi.fi-Authentifizierung nicht verwenden können.
Schweden:
In Schweden wird die Bank-ID-Authentifizierung häufig von staatlichen und privaten Organisationen verwendet.
Suomi.fi-Authentifizierung
Die Suomi.fi-Authentifizierung ähnelt der Bank-ID-Authentifizierung. Der einzige Unterschied besteht darin, dass suomi.fi nur von finnischen Regierungsorganisationen genutzt werden kann. Sie können sich bei Diensten mit finnischen Online-Banking-Codes, einer mobilen Zertifikatskarte oder einer Zertifikatskarte identifizieren.
Secure Access verwendet Signicat -Dienste als Identitätsbroker zwischen dem suomi.fi-Dienst und Secure Access .
Lesen Sie hier mehr über die Authentifizierung von suomi.fi .
Verwendete Authentifizierungsprotokolle
Ein Authentifizierungsprotokoll bezeichnet die technische Fähigkeit, die zur Durchführung der erforderlichen Authentifizierungsmethode verwendet wird. Einige Authentifizierungsmethoden erfordern kein Authentifizierungsprotokoll, sondern verwenden stattdessen HTTPS-Anfragen, Algorithmen usw. Diese werden in der Methodenbeschreibung separat beschrieben.
SAML 2.0
SAML ist ein Protokoll zum Austausch von Authentifizierungs- und Autorisierungsidentitäten zwischen Sicherheitsdomänen.
Secure Access unterstützt die Benutzerauthentifizierung durch einen Pro (IdP), beispielsweise Entra ID , mithilfe eines SAML 2.0-Konnektors/Adapters.
SAML sendet Ansprüche im XML- SAML -Format. Dieses Format wird am häufigsten verwendet, um Organisationen mit mehreren Anwendungen dabei zu unterstützen, ihren Endbenutzern eine einzige Anmeldung zu ermöglichen.
Wählen Sie nach Möglichkeit das OpenID -Protokoll
SAML ist als Protokoll älter, und viele andere Anwendungsanbieter stellen die Unterstützung für SAML ein und wechseln zum OpenID -Protokoll. Secure Access unterstützt beide Protokolle. Efecte empfiehlt, die Fähigkeiten dieser beiden Methoden zu validieren. Wenn keine der Funktionen für SAML spricht, empfehlen wir die Verwendung von OpenID .
Links zu Konfigurationsartikeln
Konfigurieren: ESA M SAML Authentifizierung
ESA - Kundenanweisungen zur Entra ID Konfiguration SAML
OpenID Connect und OAuth 2.0
OAuth 2.0 und OpenID Connect (eine Erweiterung des OAuth 2.0-Protokolls) ermöglichen es Organisationen, die Identität des Endbenutzers basierend auf der von einem Autorisierungsserver durchgeführten Authentifizierung zu überprüfen und grundlegende Profilinformationen über den Endbenutzer zu erhalten.
Secure Access unterstützt die Benutzerauthentifizierung durch einen Pro (IdP), beispielsweise Entra ID , mithilfe des OpenID Connect Konnektors/-Adapters.
OpenID Connect basiert auf dem OAuth-Protokoll und sendet Ansprüche im JSON Web Token (JWT)-Format. Es wird häufig beispielsweise bei Cloud-basierten Pro , Verbraucher-Websites und mobilen Apps verwendet.
Wählen Sie nach Möglichkeit das OpenID -Protokoll
SAML ist als Protokoll älter, und viele andere Anwendungsanbieter stellen die Unterstützung für SAML ein und wechseln zum OpenID -Protokoll. Secure Access unterstützt beide Protokolle. Efecte empfiehlt, die Fähigkeiten dieser beiden Methoden zu validieren. Wenn keine der Funktionen für SAML spricht, empfehlen wir die Verwendung von OpenID .
Lesen Sie hier mehr über die Unterschiede zwischen SAML und OpenID .
Links zu Konfigurationsartikeln
Konfigurieren: ESA Azure AD SSO
ESA - Kundenanleitung zur Entra ID Konfiguration OpenID
SAML Erkennungsdienst
SAML Discovery Service-Protokoll wird für die HAKA- und Virtu-Authentifizierung in Secure Access verwendet, wird aber auch allgemein verwendet, beispielsweise an Universitäten.
Links zu Konfigurationsartikeln
Konfigurieren: ESA HAKA-Authentifizierung
Konfigurieren: ESA Virtu-Authentifizierung
Finnisches Vertrauensnetzwerk (FTN)
Das Finnish Trust Network-Protokoll wird bei der Authentifizierung mit finnischen Bank-ID-Anmeldeinformationen sowie bei der Authentifizierung mit suomi.fi verwendet. Die Verwendung ist obligatorisch. Weitere Informationen finden Sie hier .
Schwedische Bank-ID
Bei der Authentifizierung mit einer schwedischen nationalen Identifikationsnummer (Personennummer) wird die schwedische BankID-Authentifizierung verwendet.
Weitere Funktionen
Es ist gut zu wissen, dass einige dieser Funktionen in allen Secure Access -Konfigurationen standardmäßig aktiviert sind und einige bei Bedarf aktiviert werden können.
Schutz vor Brute-Force-Angriffen
Bei einem Brute-Force-Angriff wird versucht, das Kennwort eines Benutzers durch mehrere Anmeldeversuche zu erraten. Secure Access verfügt über Funktionen zur Brute-Force-Erkennung und kann ein Benutzerkonto vorübergehend deaktivieren, wenn die Anzahl der Anmeldefehler einen bestimmten Schwellenwert überschreitet.
Durch die Aktivierung der Brute-Force-Erkennung (standardmäßig aktiviert) können wir Angreifer, die versuchen, in das System einzudringen, vorübergehend blockieren. Wenn ein Benutzer vorübergehend gesperrt ist und versucht, sich anzumelden, zeigt Secure Access die Standardfehlermeldung „Ungültiger Benutzername oder ungültiges Passwort“ an, um sicherzustellen, dass der Angreifer nichts von der Deaktivierung des Kontos weiß.
Links zu Konfigurationsartikeln
Clickjacking-Schutz
Der Clickjacking-Schutz verhindert, dass ein Angreifer eine Webseite in einen Iframe einbettet und den Benutzer dazu verleitet, auf versteckte oder getarnte Schaltflächen oder Links zu klicken.
Standardmäßig ist der Clickjacking-Schutz aktiviert.
Cookie-Richtlinie
Kunden können die Cookie-Richtlinie in ihrem Anmeldeprozess aktivieren. Dies bedeutet, dass Website-Besucher darüber informiert werden, welche Benutzerdaten Cookies erfassen, warum diese Informationen erfasst werden und wohin sie gesendet werden.
Links zu Konfigurationsartikeln
Einwilligung des Nutzers
Kunden können die Benutzereinwilligung in ihrem Anmeldevorgang aktivieren. Das bedeutet, dass Website-Benutzer die Erlaubnis erteilen, ihre Daten über Cookies abzurufen, zu verwenden und zu verarbeiten. Nach Eingabe der Anmeldedaten öffnet ESA einen Bildschirm, der den Client identifiziert, der eine Anmeldung anfordert, und die vom Benutzer angeforderten Identitätsinformationen enthält. Der Benutzer kann entscheiden, ob er der Anfrage stattgibt oder nicht.
Links zu Konfigurationsartikeln
Konfigurieren Sie ESA für die Verwendung der Benutzereinwilligung