Federerade identiteter, single sign-on och molntjänster!

Verksamhetsstödjande molntjänster efterfrågas idag i allt större omfattning som alternativ till den traditionella licensmodellen där kunden köper en mjukvara som installeras i den lokala IT-miljön. Fördelarna är många t.ex. snabbt och enkelt att komma igång då tjänsterna är direkt åtkomliga över Internet, det går att skala upp eller ner kapaciteten om behoven ökar eller minskar, lägre kostnader då flera kunder delar på den underliggande infrastrukturen och det inte krävs någon administration av egen hårdvara och därmed ett minskat behov av egen specialistkompeten

Verksamhetsstödjande molntjänster efterfrågas idag i allt större omfattning som alternativ till den traditionella licensmodellen där kunden köper en mjukvara som installeras i den lokala IT-miljön. Fördelarna är många t.ex. snabbt och enkelt att komma igång då tjänsterna är direkt åtkomliga över Internet, det går att skala upp eller ner kapaciteten om behoven ökar eller minskar, lägre kostnader då flera kunder delar på den underliggande infrastrukturen och det inte krävs någon administration av egen hårdvara och därmed ett minskat behov av egen specialistkompetens inom IT.

Möjligheter och utmaningar

Med fördelarna med molntjänster följer också utmaningar som måste hanteras, både från ett säkerhetsperspektiv och ett användbarhetsperspektiv. Förutom säkerhetsaspekter kring hur data hanteras och garantier på tillgänglighet så behövs en identitets- och behörighetshantering som fungerar med den nya modellen och företagets säkerhetspolicy.

Vem har kontroll på att endast anställd personal har rätt att använda tjänsten? Vem säkerställer att personal som slutat tas bort? Hur hanteras behörigheter i tjänsten? Vem bestämmer säkerhetsnivån på tjänsten t.ex. vilken autentiseringsmetod ska krävas och policy för lösenordsbyten mm?

Utifrån användbarhetsperspektivet så medför flera molntjänstleverantörer också att användaren får flera inloggningar och lösenord att hålla reda på. Är det acceptabelt när antalet molntjänster som användaren behöver i sitt dagliga arbete ökar och därmed antalet inloggningar att hålla reda på?

En lösning

Många av de kunder som jag arbetar med i rollen som lösningsarkitekt väljer att lösa utmaningarna kring identitets- och behörighetshanteringen för molntjänster genom att använda teknik baserad på standarden SAML 2.0. Det är en global standard för att utbyta identitets- och behörighetsrelaterad information mellan system och som stöds alla ledande leverantörer av molntjänster t.ex. Microsoft, Google och SalesForce.

SAML 2.0 har funnits som standard sedan 2005 och kan idag anses som mogen. Tekniken bygger på stark kryptering, digitala signaturer och biljetter i form av XML-meddelanden (assertions/ claims) som utväxlas mellan identitetsutgivare, användaren och den tjänst användaren vill få åtkomst till. I och med att utväxlingen av biljetter sker automatiskt via webbläsaren så upplever användaren att den får single sign-on till tjänsten utan ytterligare inloggning. På så sätt löses både problemet med att hålla kontroll på vem som har åtkomst till tjänsten och problemet med att flera molntjänstleverantörer som var och en har sin inloggning.

Det krävs inte heller någon direkt koppling mellan identitetsutgivare och molntjänsten då all kommunikation går via användarens webbläsare vilket eliminerar kommunikationsproblem pga brandväggar mm. Genom att företaget kontrollerar inloggningen så ökar också möjligheten till spårbarhet via loggning.

För att allt ska fungera krävs det att kunden själv kan agera identitetsutgivare alternativt köper det som tjänst. Det finns flera bra produkter och lösningar på marknaden som kan användas för identitetshantering och federering. Det vanligaste sättet att lösa identitetsfederering hos företag som har en infrastruktur baserad på Microsoft och som saknar annan etablerad IAM-lösning är ADFS, Active Directory Federation Services. ADFS är ett tillägg till Active Directory som med en relativt liten insats kan installeras och aktiveras. En annan vanligt förekommande lösning på den svenska marknaden är PortWise Access Manager (från Technology Nexus). Oavsett produkt så är principen för uppsättningen och användningen densamma.

Scenario från verkligheten

Ett typiskt scenario då ADFS och SAML 2.0 används är att användaren kommer till kontoret och loggar in i företagsdomänen från sin PC. Då användaren vill nå ett verksamhetssystem som företaget köpt in som molntjänst så kommer molntjänsten att upptäcka att användaren saknar en giltig SAML-biljett och dirigerar därför användarens webbläsare till företagets ADFS server. ADFS servern kontrollerar att användaren är inloggad i domänen och har behörighet till molntjänsten innan en biljett ställs ut och användarens webbläsare dirigeras tillbaka till molntjänsten där nu biljetten kan valideras och användaren släpps in. Hela processen sker automatiskt och användaren upplever därför en direkt åtkomst till tjänsten utan ytterligare inloggning. All kommunikation skyddas med SSL som är standard för kryptering över webben. Beroende på företagets policy kan användaren även nå molntjänsten på samma sätt utanför kontoret, då via en ADFS Proxy. Här förekommer det att företaget kräver en förstärkt inloggning med t.ex. engångslösenord innan en biljett ställs ut till användaren.

Vill du veta mer?

Tycker du också att området kring federerade identiteter, single sign-on och molntjänster är intressant och vill ha någon att bolla erfarenheter med? Eller har du t o m ett konkret behov i din verksamhet som du vill diskutera och ha hjälp att lösa?

Slå mig gärna en signal eller maila!

Hälsningar,

Tomas

Tomas Ericsson, CISSP-ISSAP
Lösningsarkitekt, konsult och partner på Vemendo

070-530 45 32
tomas.ericsson@vemendo.se

Publicerat: 2017-10-13