Toegang tot informatie vereist steeds vaker een inlog met gebruikersnaam en wachtwoord. Inloggen in Windows, een mailaccount, banksoftware, web-applicaties en tientallen websites met gebruikersaccounts vereist een fikse administratie, zeker als die inloggegevens regelmatig veranderd moeten worden. Een ‘single sign-on’ verlost de gebruiker daarvan en geeft hem met één inlog toegang tot al die logins en accounts.
Vrijwel alle oplossingen voor sso (single sign-on) die we tot dusver onder ogen kregen bestaan uit software. Imprivata koos bij zijn OneSign-oplossing voor een combinatie van hardware en software: een ‘appliance’, OneSign Server en OneSign Agent. Een organisatie installeert OneSign Agent op de desktop-pc’s van de gebruikers en plugt de appliance met de OneSign Server erop in het netwerk. Het volledige inlogbeheer gebeurt dan via een webinterface naar die appliance. Er hoeft niets te worden gewijzigd in de rest van het netwerk.
Tientallen logins
De gemiddelde gebruiker moet tientallen inloggegevens onthouden: netwerk, desktop, mail, bedrijfssite, webwinkel enzovoort. Het is niet verstandig om voor al die accounts dezelfde login te gebruiken. Iemand die de inloggegevens in handen krijgt, kan dan probleemloos bij alle informatie. Beter is het om voor elke inlog een eigen gebruikersnaam en individueel wachtwoord te hebben. Hoe lossen veel gebruikers dat op? Ze schrijven alle inloggegevens op of tikken die in. Dat is niet veilig. Bovendien vereisen veel van die accountsystemen een periodieke verversing om alles zo veilig mogelijk te houden. Als pakweg zeven accountsystemen met verschillende vervaldagen periodieke verversingen eisen, vergt dat al een fikse administratie.
Sso lost dat probleem op een veilige manier op. Het idee erachter is dat de gebruiker maar één keer hoeft in te loggen en het systeem daarna automatisch alle andere inlogprocedures voor zijn rekening neemt. Het sso-systeem houdt alle individuele gebruikersnamen en wachtwoorden bij en vult de goede accountgegevens in tijdens de juiste inlogprocedure. Bovendien houdt het bij welke accountgegevens periodiek vervallen en kan het zorgen voor verversing. Dat kan handmatig of automatisch. In het laatste geval genereert het sso-systeem zelf een nieuw, sterk wachtwoord. Zo’n systeem moet dan wel zorgen voor een veiligere hoofdlogin. Bovendien moet het proberen te garanderen dat de ingelogde gebruiker de juiste is.
Niet bij nul
Het OneSign-systeem van Imprivata biedt een sso in de vorm van een paar rekgemonteerde servers (een primaire en een ‘failover’ appliance die met een geïsoleerde netwerkverbinding met elkaar verbonden zijn) die OneSign Server draaien. Het besturingssysteem is SuSE Linux. OneSign Server houdt alle gegevens bij van gebruikers en hun accounts, en beheert en benut de beveiligingsreglementen, applicatieprofielen en authenticiteitregels. Als database gebruikt het MySQL. Er zijn voorzieningen om de systeembeheerder automatisch te waarschuwen als bepaalde voorwaarden vervuld zijn. Ook kunnen rapporten worden gemaakt over de werking van OneSign Server.
De systeembeheerder hoeft overigens niet bij nul te beginnen met het aanmaken van gebruikers in OneSign Server. De server kan contact opnemen met een Active Directory, een Windows NT-domein, een NetWare NDS of eDirectory, een Sun One Directory of een Oracle Internet Directory en daaruit gebruikersgegevens overnemen. Daarbij is het mogelijk om met behulp van een filter te bepalen welke gebruikers worden overgenomen. Bovendien is het mogelijk nieuwe gebruikers alleen inactief (unenrolled) over te nemen. Dat laat toe om specifiek op te geven welke gebruikers sso-rechten krijgen. Alleen de gebruikers waaraan die rechten zijn toegekend tellen mee als ‘seat’ en dus als licentiekostenpost.
OneSign kan automatisch of handmatig synchroniseren met de gebruikte directorysystemen. Er is appliancebeheer (via een aparte webinterface) om back-ups te automatiseren of een gemaakte back-up terug te zetten, een appliance als primair of failover in te stellen, een vastgelopen appliance door een andere te vervangen en een appliance te stoppen of te her-starten.
Automatisch
Op de pc van elke gebruiker met sso-rechten moet een OneSign Agent geïnstalleerd worden. Die kan naar de gebruiker gemaild of gepusht worden, of van een server worden gedownload. Die Agent is er alleen voor Windows (ook al draait de server onder Linux). Er is wel een Agent specifiek voor Citrix of Microsoft Terminal Services applicatieservers.
De OneSign Agent herkent inlogprocedures automatisch zodra een applicatie die aan de gebruiker presenteert. Dan vult hij automatisch de inloggegevens in. De gebruiker kan werken zonder dat hij zelf zijn inlog hoeft in te voeren. De hoofdinlog of sso gebeurt bij het inloggen in Windows. Afhankelijk van de rechten kan je kiezen tussen een gebruikersnaam plus wachtwoord of een inlog via een biometrisch of validerend usb-toestel (vingerafdrukscanner, nabijheidsdetector of een id-token).
Nabijheidsdetector
De nabijheidsdetector werkt met een ‘clip-on badge’ met een klein, door een batterij gevoed zendertje. Als je die kaart bij je draagt en je komt in de buurt van een pc met een nabijheidsdetectiestick in zijn usb-poort, herkent het systeem je en logt het je automatisch in. Loop je weg van die pc, dan word je ook automatisch uitgelogd. De nabijheidsdetectiekaart heeft een drukknop om hem uit te schakelen als je niet ingelogd wenst te worden bij het naderen van een pc. Met een tweede knop kan je die functie ook weer inschakelen. In ziekenhuizen is deze inlogmethode populair omdat dokters en verplegend personeel gewoonlijk sowieso rondlopen met een identificatiekaart. Zonder zo’n nabijheidsdetector kan een gebruiker op F4 drukken als hij zijn pc verlaat, dan wordt hij eveneens uitgelogd. Je kunt een automatische uitlog ook laten uitvoeren bij het starten van de screensaver, maar dat is geen goede beveiliging.
Een gebruiker kan zelf geen applicaties toevoegen aan het sso-systeem. Dat moet de OneSign-beheerder voor hem doen. Als een applicatieprofiel eenmaal in het systeem is aangemaakt, hoeft de gebruiker alleen de eerste keer dat hij die applicatie daarna start de inlogprocedure doorlopen. Daarna verschijnt de mededeling dat OneSign de inlog opvangt en meldt het systeem of het inloggen gelukt of mislukt is. Na een goedmelding wordt elke volgende inlogvraag automatisch ingevuld.
Reglement
Naast het appliancebeheer is er een aparte webinterface voor het beheer van het eigenlijke sso-systeem: OneSign Administrator. Daarbij hoort ook het uitrollen van OneSign Agents naar de gebruikers-pc’s, en het configureren van gebruikers en domeinen, systeeminstellingen en serververbindingen, beveiligingsreglementen en applicatieprofielen.
Er is een standaardbeveiligingsreglement (default security policy), maar de systeembeheerder kan er zoveel bijmaken als hij wil. Een beveiligingsreglement bestaat uit regels voor authenticiteitcontrole een offline-modus, controlevragen aan gebruikers, parameters voor werkstationvergrendeling en opties voor het zelfbeheer van wachtwoorden door gebruikers. Een aangemaakt reglement doet pas iets als het gekoppeld is aan een of meerdere gebruikers. Voor elke gebruiker geldt minstens één reglement. Het standaardreglement kan je bijwerken, maar niet wissen.
De regels voor authenticiteitcontrole leggen vast welke inlogmethodes geaccepteerd worden, welke extra parameters daar eventueel voor gelden en wat de parameters zijn voor uitsluiting. De offline-modus is van toepassing als de OneSign Server niet beschikbaar is. Dan kan de Agent op de gebruikers-pc gebruikmaken van gecachete inloggegevens. De beheerder kan die optie uitschakelen. In dat geval werkt de gebruikers-pc of notebook normaal verder, maar zonder sso; de gebruiker moet weer voor elke applicatie inloggen.
Vergrendelen
Controlevragen dienen voor een gebruiker die zijn wachtwoord vergeten is en voor (regelmatige) controle van ingelogde gebruikers. Ze bestaan uit een serie vragen die controleren of de gebruiker is wie hij beweert te zijn. Die vragen kan de beheerder zelf opstellen. Als de gebruiker de vragen fout beantwoordt, moet hij verder werken zonder sso tot hij opnieuw op zijn systeem inlogt.
Als de gebruiker toegang heeft tot meerdere pc’s tegelijkertijd, kan de beheerder het aantal gelijktijdige gebruikerssessies beperken. Hij kan de ‘hot key’ F4, waarmee een gebruiker het werkstation meteen kan vergrendelen, vervangen door een andere.
Alles waarvoor na de hoofdinlog een inlogprocedure vereist is, heet bij OneSign een applicatie. Dat kan dus van alles zijn, bijvoorbeeld een Windows- of webapplicatie, of een inlog voor een site. Het principe bij OneSign is dat de beheerder, en niet de gebruiker, de applicatieprofielen beheert. Een gebruiker kan dus geen nieuwe applicatie of website in OneSign toevoegen, hij kan alleen reeds in het systeem verwerkte applicaties gebruiken voor zover hij daar de rechten toe heeft. De beheerder kan één subbeheerder aanmaken, van wie hij zelf de rechten kan bepalen. Onder het tabblad Applicaties kan de beheerder alle applicaties waarvoor een inlog vereist is beheren. Applicatieprofielen bestaan uit XML-bestanden. Ze zijn moeiteloos naar andere OneSign-appliances over te brengen. Voor het aanmaken van een nieuw applicatieprofiel is er een apg (applicatie profiel generator).
Eenkennig
Een applicatieprofiel bestaat uit alle parameters die nodig zijn om de inlogprocedure van een applicatie te herkennen en in te vullen. Het gaat om een omschrijving van wat er op het scherm te zien is, en welke elementen van belang zijn voor de herkenning van een inlogvraag en voor succes of mislukking nadat gebruikersnaam en wachtwoord ingevuld zijn. Per applicatie zijn meerdere schermen definieerbaar. Omdat de profielen als XML opgeslagen worden, kan je de XML-code desgewenst zelf bewerken of laten aanmaken door externe scripts of software.
De apg toont een soort wizard met een structuurdiagram van een applicatieprofiel met schermtypes. De beheerder moet werken vanaf een pc waarop de OneSign Agent geïnstalleerd is, zodat hij de applicatie waarvoor het profiel aangemaakt moet worden kan openen. Door het schermsymbool aan te klikken terwijl de juiste informatie op de gebruikersinterface van de applicatie te zien is, weet de apg hoe hij de inhoud van die interface moet analyseren en in bruikbare segmenten opdelen. De beheerder kan die segmenten ook zelf bijwerken als de apg zich vergist.
Het diagramsysteem vergt enige gewenning, waarna je er vlot mee kunt werken. De apg kan bijna alle bedieningsschermen herkennen, maar niet die van een webbrowser. Hij kent alleen IE en werkt met bho (browser helper objects) om die te besturen. Ondersteuning voor de steeds populairder wordende browser Firefox moet beslist toegevoegd worden.
Conclusie
Imprivata levert altijd een compleet ‘failsafe’ systeem met twee ‘appliances’. Het berekent een prijs per ‘seat’. Een ‘seat’ is gedefinieerd als een ‘echte’ sso-gebruiker, dus geen netwerkgebruiker die in feite een alias is voor een computer of software (bijvoorbeeld een service). Bedrijven betalen dus alleen voor echte gebruikers. Rekening houdend met de vlekkeloze implementatie van OneSign zonder dat daar programmeerwerk of scripting bij komt kijken, is de prijs interessant. We zijn positief over de werking van het geheel: die is gemakkelijk, transparant naar gebruikers toe, effectief en efficiënt.
We signaleren ook negatieve punten. De sso-inlogprocedure is erg op Windows gericht. Hoewel de OneSign Server onder Linux draait, is er voor de desktopclient geen ondersteuning voor Linux en zelfs geen mogelijkheid een andere webbrowser dan Internet Explorer te gebruiken, noch voor logins, noch voor het beheer van OneSign. Vooral het gebrek aan ondersteuning van Firefox als webbrowser is ons een doorn in het oog.
Productinfo
Product: OneSign secure single sign-on system v3.0
Producent: Imprivata International, VS; www.imprivata.com
Leverancier: Imprivata Benelux, Edegem (B); tel. +32 3 826 93 55; www.imprivata.be
Adviesprijs (excl. btw): 15.840 euro (tweehonderd seats) of 24.750 euro (vijfhonderd seats), waarbij één seat overeenkomt met één menselijke sso-gebruiker
Systeemvereisten: netwerk met centrale gebruikersidentificatie (zoals Active Directory) en client-pc met Windows 2000, XP of Vista (OneSign Agent neemt weinig geheugen in beslag)