Für das Ressort des Bundesministeriums für Gesundheit wurde im Rahmen eines Kooperationsprojekts eine Single-Sign-On-Lösung mit Ein- und Zwei-Faktor-Authentifizierung für diverse extern zugängliche Webanwendungen und Services mit unterschiedlich hohem Schutzbedarf gesucht. Nach einer Evaluierung verschiedener Open-Source-Produkte ging Anfang 2013 eine auf Apache Fediz 1.0 basierende Eigenimplementierung in Betrieb.
Wir berichten von Anforderungen, Entscheidungsfindung, Erweiterungen, Rückschlägen, Kompromissen und Erkenntnissen. Dabei liegt der Fokus auf der Architektur und auf technischen Aspekten. Wir sprechen aber auch darüber, wie diese durch organisatorische Belange beeinflusst werden.
Vorkenntnisse
Es sind keine besonderen technischen Vorkenntnisse erforderlich, aber ein Interesse für Fragen der Absicherung von Webanwendungen und Webservices und die in diesem Umfeld gängigen Technologien wäre hilfreich. Es werden technische Aspekte der Architektur auf einem relativ abstrakten Level besprochen (SAML 2.0, ws-security, Cookies, Tomcat-Cluster, X.509, ...), ohne auf Implementierungsdetails einzugehen.
Lernziele
* Tücken und Fallen beim Single-Sign-On
* Architektur der Implementierung
* Organisatorische Auswirkungen auf architektonische Fragen
* Zwei-Faktor-Authentifizierung.
// Tarek Ahmed
arbeitet seit 1999 als Softwareentwickler beim Deutschen Institut für medizinische Dokumentation und Information (DIMDI). Dort befasst er sich hauptsächlich mit der Softwareinfrastruktur für die Entwicklung und den Betrieb von Webanwendungen und Webservices, mit gelegentlichen Ausflügen in die Anwendungsentwicklung. Neuerdings beschäftigt er sich gern mit Fragen der IT-Sicherheit.