2-Factor-Authentication für die Anmeldung am WEEASY Cloud Desktop

Owned by JEAF Development Team
Last updated: Jan 03, 2018
4 min read

Einleitung

WEEASY unterstütz die so genannte 2-Factor-Authentication. Dabei wird gegenüber der einfachen Verwendung von Username und Passwort ähnlich wie beim Online-Banking eine deutlich höhere Sicherheit dadurch gewährleistet, dass noch ein zusätzliches Sicherheitselement z.B. eine spezielle App oder ein Hardware-Dongle o.ä. benötigt wird. Zur Verwendung von 2-Factor-Authentication ist eine spezielle Identity Management Lösung notwendig. Diese werden von diversen Anbieter entweder als On-Premise Lösung (z.B. GemaltoDual Shield) als auch als Softare-as-a-Service (z.B. OneLogin) angeboten. In allen Fällen erfolgt die Integration über das standardisierte SAML Protokoll. Des weiteren ermöglichen nahezu alle Lösungen, dass ein Active Directory als Quelle für die Benutzerdaten verwendet werden kann.

 

Ablauf des Logins

  1. Benutzer gibt seinen Loginname auf dem Loginseite von WEEASY ein
  2. WEEASY erkennt, dass für diesen Benutzer 2-Factor-Authentication aktiv ist und führt einen Redirect auf die Login-Seite des konfigurierten Login-Providers durch
  3. Benutzer gibt auf der Loginseite neben Username und Passwort auch noch das festgelegte zusätzliche Sicherheitselement ein
  4. Ist der Login erfolgreich, führt der Login-Provider wieder einen Redirect zurück zu WEEASY durch. Dabei wird auch die so genannte SAML-Assertion mitgesendet. Diese enthält neben Security-Informationen auch weitere Attribute des Benutzers (Login-Name, Name, Vorname, E-Mail etc.)
  5. WEEASY prüft ob die gesendete SAML-Assertion gültig ist und führt den restlichen Teil des Login-Prozesses durch
  6. Benutzer ist angemeldet und kann WEEASY benutzen

 

Einrichten von 2-Factor-Authentication

Die Konfiguration besteht aus folgenden Schritten:

  • Konfiguration des externen Identity-Provider / Login-Providers
  • Konfiguration von WEEASY

 

Externen Identity Provider konfigurieren

Die konkrete Konfiguration des externen Identity-Providers hängt von der konkret verwendeten Lösung ab. Grundsätzlich sind jedoch bei allen Lösungen die selben Einstellungen vorzunehmen. Daher wird die Konfiguration im folgenden exemplarisch anhand der Software-as-a-Service Lösung OneLogin beschrieben.

 

  

SAML Connector konfigurieren

Ziel des Schrittes ist es dem Login Provider den WEEASY Server bekannt zu machen und die Callback URL nach erfolgreichem Login festzulegen

 

KonfigurationsparameterWert
Recipienthttps://{SERVER_URL}/weeasy/1.3/desktop/saml_login
ACS (Consumer) URL Validator^https:\/\/{SERVER_URL}\/weeasy\/1.3\/desktop\/saml_login\/$
ACS (Consumer) URL*https://{SERVER_URL}/weeasy/1.3/desktop/saml_login

{SERVER_URL} muss dabei durch die URL des eigenen Servers ersetzt werden

SAML Attribute festelegen

Der SAML Standard sieht vor, dass nach einem erfolgreichen Login auf dem Identity Provider ein Callback an die Applikation erfolgt. Dabei wird auch das so genannte SAML Token (SAML Assertion) übergeben. Das SAML Token dient als Beweis für den erfolgreichen Login eines Benutzers und wird durch den WEEASY Server überprüft. Mit dem Token besteht die Möglichkeit Attribute des Benutzers an die Applikation weiterzureichen.

Welche Attribute an WEEASY weitergeleitet werden, kann im Login-Provider konfiguriert werden. Typischer Weise stammen die Attribute z.B. aus dem an den Login Provider angebundenen Active Directory.

WEEASY unterstützt die folgenden Attribute. Dabei ist zu beachten, dass die Schreibweise case-sensitiv ist.

Attribut in WEEASYTypBeschreibung
loginNamePflichtattributWert des Attributs muss dem Login-Name entsprechen mit dem der Benutzer in WEEASY registriert wurde. Typsicher Weise entweder der Username im Active Directory oder die E-Mail Addresse. Der Benutzer muss bei der Anmeldung diesen Name angeben
firstNameOptionalDiese Attribute werden, sofern sie im SAML Token vorhanden sind, dazu verwendet um die Benutzerdaten innerhalb von WEEASY zu aktualisieren und sie so synchron zu denen im Active Directory zu halten.



name

Optional
emailOptional
dateOfBirthOptional

 

WEEASY konfigurieren

Nachdem der externe Login Provider eingerichtet wurde, ist nun noch die entsprechende Konfiguration in WEEASY vorzunehmen. WEEASY unterstützt die unterschiedliche Verwendung von Login Providern pro Team. Daher erfolgt die Konfiguration über die Team Manager App.

  

Neuen Identity Provider hinzufügen

  1. Wechseln in Tab Authentifizierung und dort Neuen Identity Provider erstellen auswählen
  2. Name für den neue Identity Provider festlegen und den Typ SAML-basiert auswählen
  3. URL des Identity Providers und Provider Zertifikat erfassen. Optional können zusätzlich noch Request-Parameter erfasst werden

Login Provider für Team festlegen

 

 

Login an WEEASY durchführen

  • User müssen bereits bei Login Provider bekannt sein z.B. weil dieser mit einem Active Directory verbunden ist
  • Loginverfahren für Team Admin bleibt unverändert. Dieser kann im Fall von Problemen mit dem Login-Provider sich ansonsten auch nicht mehr anmelden.
  • Login für alle Team Member erfolgt jedoch ab der Änderung über den neuen Login Provider

 

 

 

SAML Parameter loginName ist Pflichtfeld (case-sensitiv). die restlichen Parameter sind optional. Das Mapping vom IdP auf SAML Attribute ist abhängig von der verwendeten IdP Lösung und den daran angebundenen Verzeichnisdiensten.