Login mit Smartcard
Wie bereits im vorherigen Artikel zum Login per NFC-Chip beschrieben hat sowohl der Login mit Username/Passwort als auch der Login mit NFC-Chips Nachteile:
Entweder müssen die Logindaten gemerkt und eingetippt werden, was dazu führen kann, dass diese vergessen oder falsch eingetippt werden können. Alternativ sind die Logindaten unverschlüsselt auf einem NFC-Chip gespeichert. In einigen Anwendungsszenarien ist dies kein Problem, beispielsweise wenn die NFC-Chips fest an den Routenzügen oder Staplern angebracht werden, jedoch stellt insebsondere das zeitaufwendige Eintippen der Logindaten oftmals ein Problem dar.
Jedoch gibt es ein standardisiertes, sicheres Verfahren mit dem die oben genannten Nachteile gelöst werden: Die Smartcard. Eine Smartcard kann man sich als verschlüsselten NFC-Chip vorstellen, auf dem ein Zertifikat anstatt Username und Passwort gespeichert ist.
Ein Vorteil von Smartcards ist, dass diese zertifikatsbasierte Anmeldung in vielen Systemen eingestellt werden kann, dazu zählen unter anderem SAP oder Microsofts Azure AD.
Für das Beschreiben einer Smartcard stellen wir ein Tool zur Verfügung, wodurch Sie lediglich diese Anmeldung per Zertifikat aktivieren und die userspezifischen Zertifikate mit diesem Tool auf die Smartcards schreiben müssen.
Ein weiterer Vorteil ist, dass diese Zertifikate verschlüsselt gespeichert werden, was eine zusätzliche Sicherheit beim Verlust einer Smartcard bietet. Weiterhin ändern sich die Zertifikate beim jährlichen Passwortwechsel nicht. Somit müssen die Smartcards nur einmal pro Mitarbeiter beschrieben werden.
Prozess für Anwender
Sobald Sie Ihren Login-Prozess von Username und Passwort hin zu Smartcards umgeändert haben, sieht der Anmeldeprozess für Anwender sehr einfach aus:
- Beim Öffnen der App oder Webseite wird der Anwender wie gehabt auf eine Loginseite weitergeleitet
- Hier kann als zusätzliche Option oder als vorbelegter Standard zertifikatsbasierte Anmeldung angeklickt werden
- Es erscheint ein Dialog, welcher den Anwender auffordert die Smartcard an das Gerät zu halten
- Der Anwender ist eingeloggt und wird auf die App oder Webseite weitergeleitet
Selbstverständlich ist es bei den meisten Identity Providern möglich einzustellen, dass als zweite Option zum Anmelden weiterhin Username und Passwort eingetragen werden kann. Dies ist hilfreich, falls Anwender ihre Smartcard verloren oder vergessen haben.
Prozess für IT-Administratoren
Mir Smartcards vereinfacht sich der Prozess für die Anwender deutlich, jedoch kommen für IT-Administratoren zusätzliche Verantwortlichkeiten und Aufwände hinzu. Die folgenden Punkte beschreiben den Prozess um Smartcards für den Loginprozess verwenden zu können:
1. Stammzertifikat erstellen
Für die zertifikatsbasierte Anmeldung ist ein Stammzertifikat notwendig. Hier muss entweder ein neues Zertifikat erstellt oder ein existierendes wiederverwendet werden. Mit diesem Stammzertifikat können persönliche Anmeldezertifikate erstellt werden. Dies muss einmalig durchgeführt werden.
Details im Artikel Zertifikate im Abschnitt Wie kann ich ein neues Stammzertifikat erstellen?.
2. Stammzertifikat importieren
Das Stammzertifikat muss im Identity Provider importiert werden. Dies ermöglicht dem Identity Provider mit Hilfe des Stammzertifikats alle persönlichen Anmeldezertifikate zu validieren. Dies muss einmalig durchgeführt werden.
Details in den folgenden Artikeln:
- Wie kann ich ein Stammzertifikat in SAP importieren?
- Wie kann ich ein Stammzertifikat in Microsoft Azure importieren?
3. Zertifikatsbasierte Anmeldung aktivieren
Die zertifikatsbasierte Anmeldung muss im Identitiy Provider wie SAP oder Microsoft Azure AD aktiviert werden. Nachdem dies aktiviert wurde können User sich nicht nur mit Username und Passwort sondern auch mit persönlichen Zertifikaten anmelden. Dies muss einmalig durchgeführt werden.
Details in den folgenden Artikeln:
- Wie kann ich die zertifikatsbasierte Anmeldung in SAP aktivieren?
- Wie kann ich die zertifikatsbasierte Authentifizierung für Microsoft Azure AD aktivieren?
4. Persönliche Anmeldezertifikate erstellen
Für jeden Anwender muss ein persönliches Anmeldezertifikat erstellt werden. Diese Datei wird in Zukunft anstatt der Kombination aus Username und Passwort zum Login verwendet werden. Dies muss für jeden Anwender einmal oder nach Ablauf des Zertifikats durchgeführt werden.
Details im Artikel Zertifikate im Abschnitt Wie kann ich persönliche Zertifikate zum Einloggen erstellen?.
5. Persönliche Zertifikate importieren
Die persönlichen Zertifikate müssen im Identity Provider importiert und Usern zugewiesen werden. Hierdurch wird zugeordnet welcher User wich mit welchem Zertifikat einloggen darf.
Details im Artikel Zertifikate im Abschnitt Wie kann ich ein persönliche Zertifikate in SAP importieren?.
6. Persönliche Zertifikate auf Smartcard schreiben
Die persönlichen Zertifikate müssen auf die Smartcards geschrieben werden, damit Anwender beim Login nicht die Datei hochladen müssen, sondern nur ihre Smartcard an ihr Smartphone oder Tablet halten müssen. Dies ist der Vorteil von TheFlex, da dieser das Auslesen, Entschlüssen und Hochladen des Zertifikates von einer Smartcard übernimmt.
Details im Artikel Smartcards im Abschnitt Wie kann ich meine Smartcards beschreiben?.
7. Konfiguration der SmartCard im TheFlex Browser importieren
Die Konfiguration inklusive Passwort muss nun in den Einstellungen des TheFlex Browsers importiert werden. Dies ist notwendig, damit das verschlüsselte Zertifikat vonder SmartCard gelesen, entschlüsselt und an den Identity Provider übermittelt werden kann.
Um diesen Prozess zu vereinfach kann in den Einstellungen über flexkey Konfigurationen / Import der QR-Code aus dem Java.Programm gescannt werden, mit welchem die Zertifikate auf die SmartCard geschrieben wurden.
Vorteile der Smartcards
- Sehr leicht für Anwender zu benutzen
- Sehr schnelle Logins für Anwender
- Kein Vergessen von Passwörtern mehr möglich
Nachteile der Smartcards
- Initialer Aufwand notwendig, welcher oftmals auch von der IT-Abteilung gesondert freigegeben werden muss
- Neue Anwender müssen mit persönlichen Zertifikaten und physischen Smartcards ausgestattet werden