Rublon

Secure Remote Access

Zuletzt aktualisiert am 16. Juli 2024

MFA für SAML ist eine sichere Art der Authentifizierung, die eine Multi-Faktor-Authentifizierung für Ihre Benutzer in einer Single Sign-On (SSO) Infrastruktur ermöglicht. Es ist wichtig zu beachten, dass MFA für SAML SAML selbst nicht um MFA erweitert, da SAML kein Authentifizierungsprotokoll ist. Stattdessen fügt SAML MFA MFA für Active Directory-, LDAP- oder RADIUS-Benutzer hinzu und stärkt die SSO-Anmeldungen dieser Benutzer mit sekundärer Authentifizierung wie Mobile Push oder WebAuthn/U2F Security Keys.

Was ist SAML?

Security Assertion Markup Language (SAML) ist eine offene, standardisierte XML-basierte Auszeichnungssprache, die den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter (IdP) und einem Dienstanbieter (SP) ermöglicht. Der Identitätsanbieter ist eine SAML-Autorität, die die Authentifizierung durchführt und die Identität des Benutzers und die Autorisierungsstufe an den Dienstanbieter weitergibt. Der Dienstanbieter muss dem Identitätsanbieter vertrauen, wenn er den Benutzer zum Zugriff auf eine Ressource autorisiert.

MFA für SAML und Single Sign-On (SSO)

Sie können SAML verwenden, um Single Sign-On (SSO) für Cloud-Anwendungen zu ermöglichen. Kurz gesagt erfordert SSO, dass Sie Ihren Benutzernamen und Ihr Kennwort nur einmal eingeben und dann auf jede gewünschte Cloud-Anwendung zugreifen, ohne Ihre Anmeldedaten erneut einzugeben. Single Sign-On bietet eine optimierte Benutzererfahrung, da die Benutzer keine Zeit damit verschwenden, ihre Passwörter mehrmals am Tag einzugeben. Außerdem ermöglicht SSO ein zentralisiertes Identitätsmanagement (IAM) für Cloud-Anwendungen, da die Benutzer dieselben Anmeldedaten für alle Anwendungen verwenden können. Administratoren sparen Zeit, da sie die Sicherheitsrichtlinien nicht für jede Cloud-Anwendung einzeln konfigurieren müssen. Alles in allem macht Single Sign-On das Leben für alle einfacher.

Wie kann man Single Sign-On (SSO) sicherer machen?

Sie können Ihre Single Sign-On (SSO)-Anmeldungen durch eine Multi-Faktor-Authentifizierung (MFA) ergänzen, um die Sicherheit Ihrer Benutzeranmeldungen zu verbessern. Eine zusätzliche Schutzebene in Form einer mobilen Push-Benachrichtigung oder eines mobilen Passcodes, der auf dem TOTP-Algorithmus basiert, kann die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs drastisch verringern.

Bei standardmäßigem SSO geben die Benutzer ihr Passwort einmal ein und müssen es nie wieder eingeben, solange ihre SAML-Sitzung noch aktiv ist.

Bei aktivierter MFA gibt der Benutzer sein Passwort ein und akzeptiert die Mobile Push-Authentifizierungsanfrage, um Zugang zu erhalten. Dann muss er sein Passwort nicht mehr eingeben. Allerdings muss er jedes Mal, wenn er sich bei einer anderen Cloud-Anwendung anmeldet, die Mobile-Push-Anfrage erneut akzeptieren. Mobile Push ist eine komfortable und schnelle One-Tap-Authentifizierungsmethode. Ihre Benutzer werden den Unterschied kaum bemerken, aber sie werden viel sicherer sein.

Wie funktioniert SAML MFA mit SSO?

Um MFA für Ihre Cloud-Anwendungen zu aktivieren, müssen Sie das Rublon Access Gateway als IIS-Server einrichten. Benutzer melden sich beim Rublon SSO Portal an und wählen dann die Cloud-App aus der Galerie der verfügbaren Anwendungen aus. Das SSO-Portal ist ein Teil des Rublon Access Gateways und muss zusätzlich (wenn auch kurz und einfach) konfiguriert werden.

Wenn Rublon MFA aktiviert ist, verwendet das Rublon Access Gateway nur das SAML-Protokoll, um mit Service Providern (Cloud-Anwendungen) zu kommunizieren.

Rublon Access Gateway verwendet SAML nicht für die Kommunikation mit Identitätsanbietern (Benutzerdatenbanken). Um mit einem Identitätsanbieter zu kommunizieren, verwendet Rublon Access Gateway entweder das RADIUS-Protokoll (wenn Sie Ihre Benutzer in z. B. FreeRADIUS speichern) oder das LDAP-Protokoll (wenn Sie Ihre Benutzer in z. B. Active Directory speichern).

Diagramm für MFA + SSO + SAML

Diagram depicting how Rublon SSO works with cloud apps

1. Bob meldet sich beim Rublon SSO-Portal an, indem er sein Login und sein Passwort angibt (1)

2. Rublon Access Gateway prüft die Anmeldung und das Passwort mit dem Identity Provider (2)

3. Wenn das Passwort korrekt ist, kontaktiert Rublon Access Gateway die Rublon API (3) und bittet die Rublon API, eine Mobile Push-Authentifizierungsanfrage an Bobs Telefon zu senden (4)

4. Wenn Bob den Push annimmt, erhält er Zugang zum SSO-Portal

5. Bob kann sich nun bei jeder der Cloud-Anwendungen anmelden, ohne sein Passwort erneut eingeben zu müssen

6. Nehmen wir an, Bob möchte sich bei Cloud App 1 anmelden.

7. Rublon Access Gateway kontaktiert die Rublon API (3) und bittet die Rublon API, erneut eine Mobile Push-Benachrichtigung an Bobs Telefon zu senden (4)

8. Wenn Bob den Push annimmt, erhält er Zugang zu Cloud App 1 (5)

9. Wenn Bob nun auf Cloud App 2 oder Cloud App 3 zugreifen möchte, kann er dies tun, ohne sein Passwort erneut einzugeben. Allerdings muss er jedes Mal den Mobile Push akzeptieren (3), (4), (5)

Überlegungen zur Sicherheit und Benutzerfreundlichkeit

Rublon verlangt von Bob, dass er jedes Mal, wenn er die Cloud-App im SSO-Portal auswählt, die Mobile-Push-Anmeldeanfrage akzeptiert (oder sich einer anderen Authentifizierungsmethode unterzieht). Rublon fügt diese Sicherheitsmaßnahme zum SSO-Prozess hinzu, um die SAML-Sitzung Ihres Benutzers zu sichern.

Administratoren können in der Rublon Admin Console eine benutzerdefinierte Richtlinie erstellen, die es Nutzern erlaubt, die Multi-Faktor-Authentifizierung (MFA) auf dem aktuellen Gerät für eine gewisse Zeit zu umgehen. Nehmen wir an, der Administrator von Bobs Organisation erlaubt die Einstellung „Remembered Device“ für z.B. eine Stunde. In diesem Fall kann Bob das Kontrollkästchen Remember this device (An dieses Gerät erinnern) ankreuzen, während er sich beim Rublon SSO Portal anmeldet. Dann muss Bob eine Stunde lang die Mobile Push-Anfrage nicht akzeptieren, um auf die in Rublon integrierten Cloud-Anwendungen zuzugreifen. Auch wenn es für den Benutzer bequemer ist, sich das Gerät zu merken, ist es weniger sicher. Eine Stunde ist eine kurze Zeit, so dass der Kompromiss zwischen Sicherheit und Komfort akzeptabel ist. Natürlich können Sie die Zeit auf mehr als eine Stunde einstellen. Wir empfehlen jedoch nicht, dass Administratoren den Benutzern erlauben, sich ihre Geräte länger als zwei Wochen zu merken.

Wie kann ich MFA für meine Cloud-Anwendungen mit SAML aktivieren?

Hier finden Sie eine Schritt-für-Schritt-Anleitung, wie Sie Rublon MFA auf einer oder mehreren Ihrer Cloud-Anwendungen aktivieren können:

  1. Installieren und konfigurieren Sie das Rublon Access Gateway.
  2. Konfigurieren Sie das Rublon SSO-Portal.
  3. Finden Sie die Integrationsanweisungen für Ihre Cloud-Anwendung in unserer Dokumentation.
  4. Folgen Sie den Anweisungen und integrieren Sie die Cloud-Anwendung mit dem Rublon Access Gateway.
  5. Wiederholen Sie die Schritte 2 und 3 für eine beliebige Anzahl von Cloud-Anwendungen.
  6. Melden Sie sich im Rublon SSO Portal an und greifen Sie auf jede der integrierten Cloud-Anwendungen zu, ohne Ihr Passwort erneut eingeben zu müssen.

Sie können auch benutzerdefinierte Richtlinien in der Rublon Admin Console definieren und sie einer oder mehreren Cloud-Anwendungen zuweisen. Zugriffsrichtlinien ermöglichen es Ihnen, dass sich Benutzer an ihre Geräte erinnern, autorisierte Netzwerke hinzufügen, entscheiden, welche Authentifizierungsmethoden aktiviert werden sollen, und vieles mehr.

Weitere Artikel