Was bedeutet Claim-basierte Authentifizierung? - Security Center 5.9

Security Center – Administratorhandbuch 5.9

series
Security Center 5.9
revised_modified
2020-05-19
category_custom
Handbücher
Handbücher > Administrator-Handbücher
prodname_custom
Security Center unified platform > Security Center
vrm_version
5.9

Anspruchsbasierte Authentifizierung ist der Prozess der Authentifizierung eines Benutzers anhand eines Bestandes von Ansprüchen bezüglich seiner Identität, die in einem vertrauenswürdigen Token enthalten sind. Ein solches Token wird häufig von einer juristischen Person oder Organisation herausgegeben, die zur Authentifizierung des Benutzers mit anderen Mitteln in der Lage ist und die das Vertrauen der juristischen Person oder Organisation genießt, die eine anspruchsbasierte Authentifizierung vornimmt.

Was ist ein Claim?

Ein Anspruch ist eine Aussage, die ein Subjekt über sich selbst oder ein anderes Subjekt macht. Die Aussage kann zum Beispiel den Namen, Identität, Schlüssel, Gruppe, Berechtigung oder Fähigkeit betreffen. Ansprüche werden von einem Provider ausgegeben, erhalten einen oder mehrere Werte und werden dann in Sicherheitstoken gepackt, die von einem Herausgeber, meistens bekannt als Security Token Service (STS), ausgegeben werden.

Welche Vorteile bieten Claims?

Claims entkoppeln den Prozess der Authentifizierung (Überprüfung, ob eine Einheit das ist, was sie vorgibt zu sein) vom Prozess der Authentifizierung (Festlegung der Rechte, die eine Einheit bezüglich der Funktionen und Ressourcen eines Systems hat). Der Vorteil einer solchen Entkopplung besteht darin, dass sie ein Single Sign-On (Verwendung einer einzigen Benutzerauthentifizierung für mehrere IT-Systeme oder sogar Organisationen) erlaubt. Claims fügen der Identität des Benutzers auch Kontext hinzu, sodass Sie flexiblere Zugriffsrichtlinien konfigurieren können.

Im Kontext von Security Center erfolgt die Authentifizierung durch ein spezielles STS oder einen Active Directory Federation Services (ADFS) Server, und die Autorisierung durch Security Center selbst durch Partitionen und Berechtigungen.

Welche Methoden der Benutzer-Authentifizierung unterstützt Security Center?

Security Center unterstützt die folgenden Benutzer-Authentifizierungsmethoden:
Native Security Center Authentifizierung
Der Benutzer stellt der Client-Anwendung einen Benutzernamen und ein Passwort zur Verfügung, um sich bei Security Center anzumelden.
Active Directory-Authentifizierung
Der Benutzer klickt auf Windows Zugangsdaten verwenden und meldet sich mit seinem Windows Benutzerkonto an (hierfür muss Active Directory-Integration eingerichtet werden).
ADFS aktive Authentifizierung
(WS-Trust-Protokoll) Die Client-Anwendung sendet den Benutzernamen und das Passwort zur Authentifizierung an einen vertrauenswürdigen Identitätsprovider (ADFS-Server).
ADFS passive Authentifizierung (oder webbasierte Authentifizierung)
(WS-Federation-Protokoll) Die Client-Anwendung leitet den Benutzer auf ein Webformular um, das von einem vertrauenswürdigen Identitätsprovider (ADFS-Server) verwaltet wird. Der Identitätsprovider kann eine beliebige Anzahl von Anmeldedaten anfordern, um den Benutzer zu authentifizieren, ohne dabei die Client-Anwendung zu durchlaufen. Mehrstufige Authentifizierung (MFA) kann mithilfe dieser Methode implementiert werden.
BEMERKUNG: Benutzer im ADFS-Verbund, werden nur in Security Center bei der ersten Anmeldung erstellt. Im Unterschied zum Active Directory haben Sie nicht die Möglichkeit, alle importierten Benutzer in einem Security Center zu erstellen, wenn sich die ADFS-Rolle mit dem ADFS-Server verbindet.

Voraussetzungen

Zur Verwendung von ADFS für die Authentifizierung müssen folgende Bedingungen erfüllt sein:
  • Die Client-Workstation muss in der Lage sein, den ADFS-Server zu erreichen.
  • Das HTTPS-Verschlüsselungszertifikat des ADFS-Service muss auf der Client-Workstation als vertrauenswürdig eingestuft sein.

Auswirkung auf die Leistung

  • Die Skalierbarkeit des Directory wird von dieser Funktion nicht beeinträchtigt.
  • Anmeldungen mit ADFS-Berechtigungen dauern erfahrungsgemäß geringfügig länger als reguläre Anmeldungen, weil die Client-Workstations erst die Verbindung zu einem oder mehreren entfernten ADFS-Servern herstellen müssen, ehe sie sich mit dem Directory verlinken können.

Abwärtskompatibilität

Aktive ADFS-Authentifizierung wird für Client-Workstations unterstützt, auf denen eine ältere Version von Security Desk oder SDK läuft, jedoch nur, wenn der Benutzer das Passwort eingibt.