NEVIS Security Suite

NEVIS Security Suite

Authentifizierung
Funktionsumfang
Architektur
Authentifizierung mit neuem Personalausweis

NEVIS Security Suite

Identitätsmanagement ist DIE Infrastrukturvoraussetzung für eine erfolgreiche Digitalisierungsstrategie. Die Identity-Produkte der Schweizer AdNovum schützen bereits Webanwendungen der meisten Schweizer Finanzinstitute. Die FSP ist der thematisch passende Integrations- und Produktpartner für den deutschen Markt.

Die Authentifizierungs- und Autorisierungsprodukte der FSP und AdNovum passen perfekt zusammen. Sichere Authentifizierung über verschiedenste Methoden (inkl. Neuer Personalausweis) und nachfolgende Autorisierung (rollenbasiert und feingranular, sprich regel- und richtlinienbasiert) sind essentiell.

Der Authentisierungsservice von NEVIS sorgt für eine starke und flexible Authentisierung von Benutzern. NEVIS unterstützt Multi-Step-Authentisierung mit dynamischer Anpassung der Authentisierungsstärke und diverse Authentisierungsmethoden. Die modulare Architektur ermöglicht eine rasche Integration neuer Authentisierungsverfahren und daher die rasche Umsetzung neuer Businessanforderungen an die Authentisierung.

Funktionen

Authentifizierung

  • Single- und Multi-Step-Authentisierung dank integrierter Authentication-Engine
  • Unterstützung von Self-Services (z.B. "Passwort vergessen"-Funktionalität)
  • Unterschiedliche Authentisierungsstärken, inklusive dynamischem Step-up und feingranularem Timeout-Handling pro Authentisierungsstärke
  • Unterstützung einer Vielzahl von Authentisierungsverfahren:
    Username/Passwort, inkl. Passwort-Wechsel mit allen gängigen LDAP-Verzeichnissen
    mTAN (Transaction-Code via SMS)
    eTAN (Transaction-Code via E-Mail)
    Swisscom Mobile ID
    X509. Client-Zertifikate / Smartcard-Login
    Kerberos (Windows-Login)
    Rasterkarten (im Zusammenspiel mit nevisIDM)
    Sicherheitsfragen (im Zusammenspiel mit nevisIDM)
    SAML 2.0
    WS-Federation
    OAuth/OpenID Connect
    Etc.
  • Ausgabe signierter Tokens zur Weiterpropagierung (End-To-End-Security)
  • Nachvollziehbarkeit dank umfassendem Audit-Log
  • Flexible Schnittstellen zur Anbindung von Umsystemen: 
    RADIUS
    WS-Trust
    REST

Reverse Proxy und WAF

  • Schutz vor Denial-of-Service-Attacken
  • SSL-Terminierung (Encryption und Acceleration)
  • Session- und Timeout-Handling (Single-Session)
  • SSO (Single-Sign-on)
  • Initialisierung der (ggf. Multi-Step-Authentisierung (mit nevisAuth)
  • Authentisierung im Zusammenspiel mit nevisAuth
  • Propagierung der Benutzeridentität, inkl. Zusatzinformationen (Rollen) in Secure-Token (SAML, JWT, Nevis SecToken, HTTP Header usw.)
  • Rollen-basierte Grob-Autorisierung
  • Cookie-Caching
  • Renegotiation der Client-Session-Association
  • Caching und Compression
  • Unterstützung von AJAX und WebSockets
  • Protocol-Validation
  • Content-Inspection und -Validation (HTML, XML, JSON etc.)
  • Input-Validation (Black- und Whitelisting mit Selflearning)
  • Virtual-Patching ermöglicht schnelle Reaktion bei akuten Sicherheitsbedrohungen
  • URL-Signierung und -Verschlüsselung

Architektur

Die Authentifizierungs- und Autorisierungsprodukte der FSP und AdNovum passen perfekt zusammen. Sichere Authentifizierung über verschiedenste Methoden (inkl. Neuer Personalausweis) und nachfolgende Autorisierung (rollenbasiert und feingranular, sprich regel- und richtlinienbasiert) sind essentiell.

ORG NEVIS Architektur

Authentifizierung mit neuem Personalausweis (nPA)

Zukunftsoffene Blackbox nPA / eID

Kundenloginvergabe und -zugang per nPA/eID zukunftsoffen für weitere Verfahren z.B. mTan, video-ident und biometrische Verfahren

Ausgangslage:

Zugangsdaten für das Kundenlogin werden häufig über einen PIN-Brief postalisch zugestellt. Dieses Identifizierungsverfahren kann z.B. um ein schnelleres, auf der eID-Funktion des neuen Personalausweises basierendes, Verfahren ergänzt werden. Dies eröffnet Kunden die Möglichkeit, innerhalb von Minuten sein Kundenlogin zu erlangen.


Der Kunde benötigt:

  • Neuen Personalausweis (nPA) mit freigeschalteter eID-Funktion
  • Die installierte Ausweis-App2
  • Lesegerät für nPA/eID bzw. NFC-taugliches Smartphone
  • Internetanbindung

Der Kunde kann nach einem Online-Vertragsabschluss über jedweden Kanal auf das minutenschnelle Verfahren hingewiesen werden. Ergänzend wird auf der Website des Unternehmens eine Informationsseite angeboten, auf der das Verfahren erläutert wird. Dort kann auch eine eventuell benötigte Einwilligung zur Datenspeicherung implementiert werden. Die Einwilligung ist Voraussetzung für die Fortführung des Identifizierungsprozesses. Auf der Informationsseite kann ein Button angeboten werden, mit dem der nPA-Identifizierungsdialog gestartet wird.

Der Kunde startet nach Aufforderung die Ausweis-App und legt den Ausweis in den Kartenleser. Nach Eingabe der nPA-PIN wird über die Ausweis-App der Transfer der fachlich relevanten Ausweis-Daten und der notwendigen technischen Daten durchgeführt:

  • Name, Vorname (aus nPA ausgelesen)
  • Adresse (aus nPA ausgelesen)
  • Geburtsdatum (aus nPA ausgelesen)
  • Pseudonym (aus nPA ausgelesen)
  • und zusätzlich optional
  • eMail-Adresse (vom Kunden im Dialog eingegeben)
  • Mobilfunk-Nr. (vom Kunden im Dialog eingegeben)

Anschließend müssen die Ausweis-Daten im Vertrags-Bestand gematched werden. Falls der Kunde gefunden wird, werden diese Daten dem Kunden angezeigt. Nach Bestätigung per Checkbox erhält der Kunde Zugang zum Kundenlogin inkl. digitaler Kundenakte (DKA). Kann der Kunde nicht im Bestand gefunden werden, ist ein Clearing über die Vertragsabteilung (KSC/KS) herzustellen (z.B. Rückruf beim Kunden).

Optional können die E-Mail-Adresse und Mobilfunknummer in den Clearing-Prozess per mTAN bzw. Double-Opt-in integriert werden.

Die vom Kunden erhobenen Daten, sowie die Metadaten (Datum, Uhrzeit, ID-Art) und weitere technisch notwendige Daten (Zertifikats-ID, Token, Credentials etc.) sind im entsprechenden Unternehmens-System abzuspeichern.

Für den nachfolgenden immer wieder kehrenden Zugang zum Kundenlogin per nPA (Authentifizierung) kann der nPA neben Benutzername/Passwort eine Option sein. Mit Klick auf ein nPA-Symbol kann ein Dialog eröffnet werden, der den Nutzer zum Starten der Ausweis-App und Einlegen des nPA in den Kartenleser auffordert. In der Folge gibt der Kunde im Dialog der Ausweis-App seine nPA-PIN ein und startet den Datenaustausch-Dialog zur Authentifizierung. Bei Übereinstimmung wird der Zugang zum Kundenlogin inkl. DKA freigemacht.

Sowohl die Identifizierung als auch die Authentifizierung durch den nPA sollten eine 24/7-Verfügbarkeit bieten.

FSP stellt mittels der im Folgenden beschriebenen Blackbox-Lösung  die nPA-Anbindung für die Kunden Website und den Zugang zum eID-Server des Bundes inkl. Zertifikatshosting sowie die notwendigen technisch-fachlichen Informationen zur Verfügung.

 
 

Lösungsskizze

Prämissen der Lösung:

  • Die angebotene Lösung realisiert eine optimale Kosten-Nutzen-Relation.
  • Die Einhaltung des zeitlichen Rahmens ist sichergestellt.
  • Die Lösung gewährleistet die notwendige Flexibilität für zukünftige Entwicklungen.

Diese Anforderungen werden durch die Verwendung von bereits verfügbaren Standardkomponenten in der Lösung erreicht.

Architekturüberblick:

Architektur
Architektur

Für die Realisierung der nPA-Integration in die Unternehmens-Web-Umgebung wird ein NEVIS-basierter SAML-IDP aufgebaut, welcher die Funktionalität für die nPA-Registrierung und die nPA-Authentisierung vollständig kapselt. NEVIS-seitig werden dabei auf einer NEVIS Software-Appliance (nevisAppliance) die beiden Komponenten nevisProxy und nevisAuth benötigt. Die nevisAppliance wird als bootbares Linux-Image geliefert und kann problemlos in virtualisierten Umgebungen (ESX oder Hyper-V) betrieben werden. Die nevisAppliance beinhaltet alle notwendigen NEVIS-Komponenten für die Realisierung der Lösung.

Das Herzstück der NEVIS Authentisierungslösung bildet der Authentisierungsservice nevisAuth. Dieser besteht im Kern aus einer konfigurierbaren „Authentication-Engine“, welche es ermöglicht, sog. Authentication-Plugins flexibel miteinander zu kombinieren. Diese Architektur ermöglicht die Unterstützung einer großen Anzahl von Authentisierungsmechanismen und stellt darüber hinaus sicher, dass die Lösung sehr einfach um kundenspezifische Plugins erweitert werden kann. Für die Authentisierung mittels nPA stellt der nevisAuth bereits „out-of-the-Box“ ein Standard-Plugin zur Verfügung.

Integration in das Unternehmens-Kundenportal

Die NEVIS-basierte nPA-Infrastruktur wird lose mittels SAML (Security Assertion Markup Languge) mit der bestehenden Unternehmens-Web-Infrastruktur gekoppelt. Bei SAML (http://saml.xml.org/wiki/saml-introduction) handelt es sich um ein standardisiertes Protokoll für die Föderierung von Identitäten über System- und Organisationsgrenzen hinweg.

Der Ablauf einer Registrierung mittels nPA sieht wie folgt aus:

  1. Der Benutzer wählt die Funktion „Registrieren mittels nPA“ auf der Unternehmens-Login-Seite und wird damit auf den NEVIS-basierten SAML IDP umgeleitet. (HTTP Redirect)

  2. Der Schritt 2 in der obenstehenden Grafik entspricht dem erwähnten HTTP Redirect.

  3. Das nPA-Plugin des nevisAuth stößt anschließend den nPA Authentisierungsvorgang an, der Benutzer wird in dessen Verlauf nach dem nPA-PIN gefragt. Nach erfolgter Authentisierung mittels nPA stehen die abgefragten User-Attribute wie z.B. Vorname, Familienname, Geburtsdatum, etc. zur Verfügung.

  4. Im nächsten Schritt überprüft ein nevisAuth REST-Plugin, ob der nPA Benutzer bereits Kunde ist. Dazu werden die identifizierenden Attribute (z.B. Vorname, Familienname, Geburtsdatum, Geburtsort) an das unternehmensspezifische REST-API des Partner-Directory weiter geleitet. Falls das API keinen eindeutigen Treffer liefert, so wird der Benutzer an eine Fehlerseite weiter geleitet. Die Fehlerseite beinhaltet die Telefon-Nummer des Helpdesks sowie die Aufforderung, sich dort zu melden.

  5. Falls der Benutzer im unternehmensspezifischen Partner-Directory gefunden wird, so wird mittels API-Call auf das unternehmensspezifische User-Directory sichergestellt, dass dort ebenfalls eine Identität angelegt ist und der Benutzer bei Folge-Identifizierungen mittels nPA wieder sauber gefunden werden kann. Dazu kann beispielsweise die eindeutige Pseudonym-Kennung in das User-Directory abgelegt werden. Falls bereits ein Account besteht, so wird die Pseudonym-Kennung als zusätzliches Benutzer-Attribut gespeichert. Der Benutzer hat nun die Möglichkeit, sich alternativ zum bisherigen Username / Passwort mittels nPA anzumelden. Falls noch keine Identität vorhanden ist, so wird eine neue erstellt. Als Basis-Informationen stehen die nPA-Attribute sowie sämtliche Attribute aus dem Partner-Directory zur Verfügung. Eine mittels nPA-Registrierung angelegte Identität verfügt über kein Passwort und kann sich daher auch zukünftig nur mittels nPA anmelden.

  6. Im letzten Schritt erstellt der nevisAuth eine SAML-Assertion und leitet den Benutzer zurück an die Applikation. Die SAML-Assertion wird von der Applikation konsumiert und verifiziert, der Benutzer ist damit direkt in der Applikation angemeldet. Das Mapping des Benutzers innerhalb des User-Directory erfolgt anhand der zuvor hinterlegten Pseudonym-Kennung.

Der Ablauf einer Folge-Identifizierung mittels nPA ist prinzipiell gleich mit der Ausnahme, dass der Schritt 4 (Mapping im Partner-Directory) übersprungen wird. Der Anmeldevorgang ist nur erfolgreich, wenn der nevisAuth über die REST-Schnittstelle des User-Directorys das hinterlegte nPA Pseudonym findet. Sollte dies nicht der Fall sein, so wird dem Benutzer eine Fehlerseite dargestellt mit dem Hinweis, dass er sich zuerst für die Authentisierung mittels nPA registrieren muss. Um den Registrationsprozess starten zu können, enthält die Fehlerseite direkt einen Link auf den Registrationsprozess.

Das nachfolgende Sequenz-Diagramm zeigt den kompletten Ablauf der Registrierung mittels nPA nochmals im Detail:

Sequenzdiagramm
Sequenzdiagramm
 
 

Umsetzung

Kickoff-Workshop
In einem gemeinsamen Workshop erfolgt die abschließende Abstimmung der Funktionalitäten der nPA Authentisierungslösung und die Definition der Schnittstellen.

Notwendige Consulting Leistungen
Zu den notwendigen Consulting Leistungen gehören die Durchführung des Kickoff-Workshops, die Installation und Einrichtung der Authentisierungslösung sowie die Implementierung von Authentication-Plugins zur Anbindung der unternehmensspezifischen REST-APIs.

Optionale Consulting Leistungen
Werden in Abhängigkeit vom Unterstützungsbedarf des Auftraggebers bei der Installation der Authentisierungslösung angeboten.

Notwendige Beistellleistungen seitens des Kunden
Zweckgebundene Standard-REST-Schnittstelle per JSON/XML zur Anbindung des Partner-Directory und des User-Directory, inkl. Dokumentation.

Unterstützung bei Installation und Einrichtung der Authentisierungslösung.


Softwarekunden der FSP

abraxas-logo
dak-logo
 
 
 
deutsche börse logo
ergo direkt logo
 
 
 
fiducia logo
finanzinformatik logo
 
 
 
generali informatik services logo
gothaer logo
 
 
 
hanse merkur logo
inter versicherungsgruppe logo
 
 
 
ivv logo
medicproof logo
 
 
 
signal iduna logo
talanx logo
 
 
 
zurich logo