Der WEGA-Auth-Service übernimmt zwei Aufgaben: Authentifizierung und Autorisierung von Benutzern. Weil dieser Service wichtige Verbesserungen in puncto IT-Sicherheit sowie Benutzerfreundlichkeit mit sich bringt und die Gesamtkomplexität Ihrer IT-Architektur drastisch reduziert, wird er ab den Herbstreleases 2022 verpflichtend.
Alles, was Sie über diese Umstellung und die Vorteile von WEGA-Auth wissen müssen, erfahren Sie in diesem Beitrag.
Authentifizierung
Authentifizierung bedeutet: Ich weise mich gegenüber einem System aus. Typischerweise mit der Kombination Benutzername und Passwort. Diese Informationen gleicht das System bei der Anmeldung im Hintergrund mit dem Identitätsspeicher ab.
Der Identitätsspeicher kann beim WEGA-Auth-Service eine lokale Datei, wie zum Beispiel die shiro.ini sein, in der im Klartext die Identitäten verwaltet werden. Es lässt sich aber auch eine Verbindung zu einem bereits existierenden Identitätsspeicher, etwa das Active Directory (AD), herstellen, sodass die Windows-Anmeldedaten genutzt werden können.
Autorisierung
Sind die eingegebenen Anmeldeinformationen im Identitätsspeicher vorhanden, übernimmt WEGA-Auth im nächsten Schritt die Autorisierung des Benutzers. Also: Was darf der Benutzer in diesem System? Welche Menüfunktionen sind sichtbar oder welche Datenzugriffe sind erlaubt. Diese Berechtigungen sind in den Rollen festgelegt, die Sie mit WEGA-RBA verwalten können.
Bei lokalen Identitätsspeichern werden die Rollen in der entsprechenden Datei den Benutzern zugeordnet. Ist ein organisationsweiter Identitätsspeicher wie das Active Directory die Grundlage für die Anmeldung, steuern die Gruppen im Active Directory die Rollenverteilung bei einer Anmeldung.
Somit benötigen Identitätsspeicher wie das Active Directory keinerlei spezielle Anpassungen. Die Verwendung von Benutzern und Gruppen ist hier ausreichend.
Authentifizierung und Autorisierung mittels Tokens
Darüber hinaus bietet WEGA-Auth eine Anmeldemethode mittels „JSON Web Token“ (JWT). Nach einer einmaligen Anmeldung mit Benutzername und Passwort beispielsweise in WEGA wird ein Token erstellt, der nun einen passwortlosen, aber trotzdem geschützten Zugriff auf zum Beispiel novaFACTORY erlaubt. Die Anmeldung in novaFACTORY erfolgt dabei über den Token im Hintergrund.
Außerdem gibt es noch einen großen administrativen Vorteil bei der Nutzung von Tokens: Sind beispielsweise vier Instanzen von novaFACTORY und ein WEGA in einer Organisation im Einsatz, bei denen die Authentifizierung über Tomcat läuft, müssten bei Änderungen am Identitätsspeicher fünfmal der jeweilige Tomcat-Server angepasst werden. Die Umstellung auf den WEGA-Auth vereinfacht die Architektur drastisch, da nur der WEGA-Auth-Service mit dem Identitätsspeicher kommunizieren muss oder ihn selbst in einer lokalen Datei vorhält. Das bedeutet, dass Konfigurationen jetzt nur noch an einer zentralen Stelle, vorgenommen werden müssen.
Zudem gibt es mit WEGA-Auth nur noch einen Server, mit dem das Active Directory kommunizieren muss, was beispielsweise für AD-Administratoren die Konfiguration von Firewalls erleichtert.
Warum Token sicher sind
Die im Token enthaltenen Informationen, nämlich
- der Besitzer des Tokens (Benutzername),
- die Rollen des Benutzers und
- das Ablaufdatum des Tokens
werden kryptographisch mit einer starken Verschlüsselungsmethode gesichert. Ein erstellter Token kann daher nicht verändert werden. Es kann sich also z.B. niemand selbst Rollen vergeben, die der Benutzer eigentlich nicht hat oder sich mit einem manipulierten Token als Administrator ausgeben.
Außerdem kann durch das Ablaufdatum der Token in sogenannten Replay-Attacken, bei der ein Token von einem Angreifer abgegriffen wird, nach einer bestimmten Zeit nicht mehr verwendet werden.
Zudem erhält jeder ausgestellte Token einen zufällig generierten Schlüssel. Dieser Schlüssel stellt sicher, dass ein Token nicht für die Authentifizierung an fremden Systemen missbraucht werden kann. Stellt eine Applikation fest, dass ein Token einen unpassenden Schlüssel aufweist, wird die Anmeldung abgelehnt.
So wird gesichert, dass gefälschte Token nicht für eine Anmeldung verwendet werden können.
Schnittstellen-Zugriff
Der WEGA-Auth-Service basiert auf Dienste-Schnittstellen. In diesem Fall eine klassische REST-Schnittstelle. Das bedeutet, dass auch ein programmtechnischer Zugriff auf Anwendungen, die mit WEGA-Auth arbeiten, über Tokens möglich ist. Auch unsere Python-Schnittstellen EMSPY und NFPY beinhalten die Möglichkeit, Tokens vom WEGA-Auth zu erhalten. Damit ist es zum Beispiel möglich, in Workflows auf Daten in WEGA-Variant zuzugreifen und mit diesen Analysen durchzuführen.
Was bedeutet die Umstellung für Sie als Kunde?
Als Bestandteil des Standard-WEGA-Setups ist WEGA-Auth in der Basis-Lizenz von WEGA enthalten.
Somit ist der erste Schritt, den WEGA-Auth-Service in Betrieb zu nehmen. Dazu muss entscheiden werden, welcher Identitätsspeicher (z.B. lokal, AD oder ArcGIS Portal) verwendet werden soll. Dazu bieten wir gerne Beratung an. Implementierungen anderer bereits vorhandener Identitätsspeicher können Sie bei uns anfragen.
Im nächsten Schritt muss WEGA-Auth für den entsprechenden Identitätsspeicher konfiguriert werden. Hier muss eventuell mit den zuständigen Administratoren zusammengearbeitet werden, um beispielsweise notwendige Zugänge einzurichten.
Daraufhin erfolgt ein Test des WEGA-Auth. Der Service hat eine eigene Website, bei der man sich testweise anmelden kann. Dabei wird angezeigt, welche Rollen ein Benutzer hat und überprüft somit, ob auch der Autorisierungsteil funktioniert.
Schließlich ist bei WEGA und novaFACTORY die Anmeldung auf WEGA-Auth umzustellen.
Für die Anbindung von Identitätsspeicher liefern wir Ihnen Beispielkonfigurationen mit. Diese können Sie für Ihre Bedürfnisse anpassen.
Alle diese Schritte können Sie als Kunde selbst übernehmen. Die notwendigen Informationen finden Sie in den Releasenotes zum Herbstrelease sowie in der Dokumentation von WEGA und novaFACTORY.
Wir empfehlen Ihnen allerdings, im Vorfeld der Umstellung auf uns zuzukommen, um für Sie den maximalen Nutzen aus der Umstellung herauszuholen. Melden Sie sich dazu bitte bei Ihrem jeweiligen Ansprechpartner.
