Archief - De topics van lang geleden

PKI en single sign-on, hoe aan te pakken?

12-11-2002, 11:05 door Mark de Rijk, 8 reacties
Geachte Dames en Heren,

Ik ben werkzaam bij een middelgrote onderneming in het midden van het land. Sinds een jaar ben ik na systeem/beheerder te zijn geweest nu officieel systeem/security beheerder.

Na het uitrollen en optimaliseren van verschillende firewalls en multilayered anti-virus protectie door de hele Europese groep heen waar we lid van zijn is het mijn inziens nu tijd om de volgende stap te zetten.

De volgende stap die ik graag zou willen zetten is het uitrollen van een PKI in combinatie met single sign-on.

Wat betreft het single sign-on deel is mijn keuze gevallen op de "e-token pro" in combinatie met etoken enterprise van e-alladin.

Nu is mijn vraag aan u allen, wat zijn uw ervaringen met PKI en single sign-on?
Reacties (8)
13-11-2002, 12:44 door Da-Bulls
gewoon een paar opmerkingen:

met betrekking tot PKI:
Heb je wel PKI nodig om een SSO te realiseren? Bedenk wel dat PKI wat ingewikkelder is dan bijvoorbeeld het uitrollen van SecureId tokens (je moet je organisatie inrichten, procedures en policies maken, ga je certificaten kopen of doe je het inhouse, etc). Ga je alle voordelen van een PKI gebruiken of blijft het bij strong authentication? Wat ik wil zeggen is dat een PKI niet altijd zaligmakend is. Een SSO oplossing kan ook best zonder PKI worden geimplementeerd.

met betrekking tot SSO:
SSO is leuk, iedereen wil dat wel voor zijn bedrijf maar in de praktijk blijkt het heel moeilijk te realiseren. Ja ok, puur HTML, XML en javabeans ok maar meestal zijn er ook legacy systemen die men ook wil ontsluiten. Denk aan bv oracle, AS400, CRM systemen, notes, etc. In de meeste gevallen kennen dit soort systemen helemaal geen certificaten, so far voor de SSO.

Mijn ervaring leert dat zeker SSO in combinatie met PKI kan werken maar in de meeste gevallen niet goed gaat werken.
13-11-2002, 18:02 door Mark de Rijk
Originally posted by Da-Bulls
gewoon een paar opmerkingen:

met betrekking tot PKI:
Heb je wel PKI nodig om een SSO te realiseren? Bedenk wel dat PKI wat ingewikkelder is dan bijvoorbeeld het uitrollen van SecureId tokens (je moet je organisatie inrichten, procedures en policies maken, ga je certificaten kopen of doe je het inhouse, etc). Ga je alle voordelen van een PKI gebruiken of blijft het bij strong authentication? Wat ik wil zeggen is dat een PKI niet altijd zaligmakend is. Een SSO oplossing kan ook best zonder PKI worden geimplementeerd.
[/QUOTE]
Wat ik wil gaan bereiken met PKI is het inrichten van een PKI waarbij elke gebruiker een etoken krijgt en elke server en applicatie een certificaat key krijgt toegewezen. Certificaten wil ik zelf gaan uitdelen, alleen als er sprake zou zijn van uitwisseling met een externe klant en/of leverancier ga ik natuurlijk gebruikmaken van een externe CA.

met betrekking tot SSO:
SSO is leuk, iedereen wil dat wel voor zijn bedrijf maar in de praktijk blijkt het heel moeilijk te realiseren. Ja ok, puur HTML, XML en javabeans ok maar meestal zijn er ook legacy systemen die men ook wil ontsluiten. Denk aan bv oracle, AS400, CRM systemen, notes, etc. In de meeste gevallen kennen dit soort systemen helemaal geen certificaten, so far voor de SSO.

Mijn ervaring leert dat zeker SSO in combinatie met PKI kan werken maar in de meeste gevallen niet goed gaat werken. [/B]

SSO lijkt me makkelijker af te vangen als ik een PKI neerzet lijkt me, ik kan dan toch met x509 certificaten gaan werken begrijp ik uit de lotus notes/domino documentatie, daarmee kan ik de sign-on toch afvangen?
Wat betreft de rest van de mogelijke systemen, ik weet ook wel dat bepaalde systemen (nog) niet af te vangen zijn maar waar ligt dat breekpunt voor een organisatie?

Wat voor kosten moeten we op rekenen bij 150 gebruikers hier lokaal en als we het europees invoeren met 1000 gebruikers?

Als laatste vraag even, welke boeken zijn een aanrader wat betreft PKI?
13-11-2002, 19:35 door Anoniem
Ik werk in een organisatie waar we sinds een jaar SSO gebruiken in een Windows 2000 omgeving. Werkt prima. We geven de certificaten via de Win 2000 CA uit en zetten deze op smartcard (beter beheerbaar een veiliger). Windows 2000 gebruikt dan Kerberos om SSO naar de verschillende servers te realiseren. Denk ook aan een backup procedure op het moment dat gebruiker hun smartcard thuis vergeten.

Het nadeel is dat de eindgebruikercertificaten na een jaar verlopen, dan moet je iedereen weer opnieuw een certificaat geven (erg lastig). Een ander nadeel is dat deze oplossing alleen werkt in een pure Win 2000 omgeving. Als je echt SSO naar meerdere applicaties wilt doen moet je een product kiezen echt native kerberos praat (niet het smaakje dat Windows geimplementeerd heeft. Daarnaast kun je ook denken aan iets als SAML (bijvoorbeeld Netgrity Siteminder of Baltimore Select Access), maar die producten zijn gemaakt voor een wat grotere omgeving als waar jij het over hebt.
14-11-2002, 14:53 door Da-Bulls
Wat ik wil gaan bereiken met PKI is het inrichten van een PKI waarbij elke gebruiker een etoken krijgt en elke server en applicatie een certificaat key krijgt toegewezen. Certificaten wil ik zelf gaan uitdelen, alleen als er sprake zou zijn van uitwisseling met een externe klant en/of leverancier ga ik natuurlijk gebruikmaken van een externe CA

en hoe ga je dan de trust tussen deze verschillende certificaten regelen. Dan mis je het hele principe van een PKI, het bouwen van een chain van vertrouwen.
Maar ga je de certificaten nu alleen gebruiken voor authenticatie? Of ga je ook voor de non-repudiation, integrity en confidentialiteit? Als je puur voor de authenticatie gaat dan kun je het ook oplossen zonder PKI.

Een goed boek over PKI is "Secure electronic commerce" van Ford en Baum (isbn 0-13-476342-4).

nogmaals een PKI lost niet al je problemen op, met alleen een PKI kom je er niet. In vele gevallen heb je applicaties als Siteminder, Select Access, AccessIT, Netilla, etc nodig om als spin in het web de SSO voor je te regelen.

Da-BULLS
14-11-2002, 20:47 door TheGuru
Hoi Mark,

De insteek die jij kiest lijkt mij die de juiste. Je kijkt vanuit de techniek en dan ziet PKI er geweldig uit. Echter, bij de invoering van PKI binnen een organisatie gaat slechts 10-20% van de inspanning naar het technisch realiseren van de PKI. De aanpassing van de organisatie is de overige 80-90%. Denk aan het inrichten van een RA, een CA (juist als je zelf certificaten uit gaat geven), het aanpassen van bestaande bedrijfsprocessen, de AO enzovoort.

Iets als PKI en ook SSO moet, zoals eigenlijk alle IT-investeringen, gedreven worden door de business. Als binnen je bedrijfsprocessen, vanwege betrouwbaarheidseisen, onomstotelijk moet vast staan wie welke transactie heeft gedaan, kan PKI een oplossing zijn. Maar kijk uit, want als je aan PKI begint, trek je meestal een enorme beerput open...

Succes!

TheGuru
15-11-2002, 20:40 door Anoniem
Beste Mark,

Ik heb het gevoel dat deze discussie wat prematuur is. Als je beschikt over een degelijk informatiebeveiligingsbeleid en plan kan ik me eerlijk gezegd nauwelijks voorstellen dat je nu toe bent aan SSO en PKI!?

[email]rob.greuter@nedsecure.nl[/email]
26-11-2002, 15:13 door benmets
Ik vertegenwoordig een duits/zwitserse oplossing in NL, die voor de UBS bank (grootste bank van CH) is ontwikkeld. De problematische aspecten van gebruik van PKI zijn daarbij als uitgangspunt genomen en juist daarvoor zijn oplossingen gecreeerd. Resultaat is dat zelfs een grote onderneming vooral kan profiteren van PKI technologie en SSO oplossingen.

Voor meer informatie, http://www.it-sec.com

m.vr.gr.
Ben Mets
+31 318 420 840
[email]mets@secude.nl[/email]
28-11-2002, 12:53 door bhold
SSO en PKI zijn systemen die pas relevant zijn nadat het gebruikersbeheer op orde is. Onze ervaring is dat certificaten anders niet goed de gebruikersmutaties volgen. Verder is één keer aanloggen alleen verantwoord als de autorisaties in de aangesloten systemen onder controle zijn. Finse Universiteiten hebben een artikel geschreven over hun ervaringen met PKI roll-out die dit onderstreept.

Wij zijn een Nederlandse software leverancier die PKI en SSO kan leveren. We doen dat altijd in combinatie met het opzetten van een goed Role based gebruikersbeheer over de belangrijkste IT-systemen heen, eventueel aangestuurd door een HRM systeem. Hiermee reduceer je 1. helpdesk kosten 2. PKI beheerkosten (waar ook in eerdere reacties aan gerefereerd wordt) en 3. verhoog je het beveiligingsniveau.

Ik heb met een collega een artikel over 'HRM based security management' geschreven, dat gaat in op een PKI uitrol voor middelgrote ondernemingen. Dit wil ik met plezier toesturen.

mijn email: [email]info@bholdcompany.com[/email]
onze website: http://www.bholdcompany.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.