Mission Control Identity Server

            Der Identity Server beantwortet Benutzer- und Client-Authentifizierungsanfragen. Er realisiert zudem umfassende Merkmale zur Benutzeradministration und zum Debuggen. Designierte Administratoren können im Mission Control Portal die Benutzeranmeldedaten bearbeiten, Gruppengenehmigungen definieren und Benutzernamen und Passwörter einrichten. Ausserdem wird der Identity Server in die Active-Directory-Umgebung integriert, indem die Benutzer synchron bleiben. Immer wenn ein Benutzer sein Passwort ändert, setzt das Mission Control Portal starke Passwortrichtlinien durch.

            Für bestehende Active-Directory-Umgebungen werden Benutzerfelder, wie Name, Telefonnummer, E-Mail-Adresse, Alias, Client-VPN-Gruppenmitgliedschaft, Authentifizierungsgruppenmitgliedschaften, Berufsbezeichnung und Kostenstelle, zur Identity Server-Datenbank synchronisiert. Das Passwort eines Benutzers wird nicht aus dem Active Directory exportiert und daher in Echtzeit mit dem Verzeichnis verglichen und bestätigt. Dies gewährleistet eine zentralisierte Passwortspeicherung und den Datenschutz. Die synchronisierten Daten sind mit Methoden der Zwei-Faktor-Authentifizierung im Identity Server kombinierbar.

            Federated Identity Management

            Heutzutage müssen die Benutzer zunehmend auf externe Systeme ausserhalb ihres Kontrollbereiches zugreifen. Zusätzlich benötigen Partner und externe Benutzer Zugang auf interne Systeme. Der Federated Identity Management Service meistert die Herausforderungen im Zusammenhang mit einem solchen Zugang über Organisationen und Bereiche hinweg und verwaltet mit einem gemeinsamen Satz aus Richtlinien, Praktiken und Protokollen die Identität der Benutzer. Die Informationen zur Identität sind über mehrere autonome Sicherheitsbereiche portabel. Die Benutzer eines Bereiches können darum die Daten oder Systeme eines anderen sicher verwenden - ganz ohne den Aufwand einer Benutzerverwaltung für jede einzelne Domäne.

            Strong Authentication

            Strong Authentication verringert die mit einer üblichen Authentifizierung per Passwort verbundenen Risiken und bietet eine sicherere Methode, sich im Netzwerk anzumelden. Hierzu wird ein zweiter Authentifizierungsfaktor verwendet, wie Einmalpasswörter oder SMS-Authentifizierung.


            Each login attempt by every user is logged and available in the real-time log viewer. It explicitly shows accepted and rejected authentication attempts per user, so administrators can quickly determine the exact cause of every failed authentication. If too many failed authentication events occur, the users are locked automatically.
            Jeder Anmeldungsversuch durch jeden Benutzer wird protokolliert und ist in Echtzeit im Log-Viewer verfügbar. Explizit angezeigt werden akzeptierte und zurückgewiesene Authentifizierungsversuche pro Benutzer. Folglich können die Administratoren schnell den genauen Grund einer jeden fehlgeschlagenen Authentifizierung bestimmen. Schlagen zu viele Authentifizierungen fehl, wird der Benutzer automatisch gesperrt.

            User and group management in the Mission Control Portal.
            Benutzer- und Gruppenmanagement im Mission Control Portal.

            The Mission Control Portal offers a detailed audit trail.
            Das Mission Control Portal bietet einen ausführlichen Audit-Trail.

            OTP Token Authentication

            Token erzeugen als zusätzlichen Authentifizierungsfaktor eine ständig wechselnde sechsstellige Zahl. Sie bilden ein Einmalpasswort und verhindern somit verschiedene Angriffe auf die Anmeldeinformationen des Benutzers, zum Beispiel durch Tastatur-Logger in Internetcafés, gezieltes Abhören und gestohlene Passwörter. Die Benutzer müssen dazu nicht mehr umständlich mit Passwörtern hantieren. Die Richtlinien zur regelmässigen Erneuerung des Passworts lassen sich mit einem erhöhten Schutz vereinfachen.

             

            Hardware token in the form of a keyring that shows an alternating 6-digit number at the push of a button.
            Hardware-Token in Form eines Schlüsselanhängers, der eine wechselnde sechsstellige Zahl auf Knopfdruck zeigt.


            Software tokens are stored on a mobile device, such as a smartphone.
            Software Tokens werden auf einem Mobilgerät, wie zum Beispiel auf einem Smartphone, gespeichert.

            Certificate Authentication

            Client-Zertifikate lassen sich für Geräte- oder Benutzerauthentifizierung einsetzen. Für Letztere wird während der Anmeldung ein Benutzerkennzeichen aus dem Benutzerzertifikat extrahiert. Dies ist bequem für die Benutzer und schafft automatisch eine starke Verbindung zwischen Benutzerzertifikat und -anmeldung. Die Geräteauthentifizierung kann für den Remote-Zugriff die Nutzung firmengesteuerter Computer erzwingen.


            SMS Authentication

            Für Benutzer mit Mobiltelefonen ist diese starke Authentifizierungsmethode eine Alternative zu den Hardware-Token: Nach Eingabe des korrekten Passworts wird eine SMS mit einem Einmalpasswort an die Mobiltelefonnummer des Benutzers gesendet (Letztere wurde vorher im Mission Control Portal registriert). Der Benutzer authentifiziert sich, indem er in das neu erscheinende Feld auf der Anmeldeseite das Einmalpasswort eingibt. Dieser Prozess bestätigt, dass der Benutzer ein Mobilgerät mit einer SIM-Karte besitzt, die der registrierten Mobiltelefonnummer entspricht. Es handelt sich somit um eine Zwei-Faktor-Authentifizierung; der Benutzer kennt ein Passwort und besitzt darüber hinaus ein eindeutiges Gerät.