Suchen

Tipps zum Umgang mit BYOD, Teil 2

Authentifizierung beim Remote-Zugriff per Smartphone

Seite: 4/5

Firma zum Thema

x509-Zertifikate

Die letzte Option, die der Autor hier behandeln möchte, sind x509-Zertifikate. Bei Zertifikatauthentifizierungen handelt es sich um einen gängigen (wenn auch oft missverstandenen) Standard, der von den meisten Smartphone-Webbrowsern und Webservern gut unterstützt wird.

Eine wichtige Einschränkung: Im Gegensatz zu VPNs und Remote-Terminal-Clients ist diese Technologie nicht transparent zur Anwendung. Sie muss vom Client oder dem Server unterstützt werden. Diese Einschränkung muss jedoch kein Ausschlusskriterium sein.

Zunächst einmal handelt es sich bei einigen mobilen Apps wirklich nur um Web-Apps, die auf den dem System zugrunde liegenden Browser vertrauen. Wenn dies der Fall ist, unterstützt die App vermutlich Client-Zertifikate, ohne dass der Anbieter der App hierüber Bescheid weiß. Wie bereits erwähnt, wird die Authentifizierung per x509-Client-Zertifikat oft missverstanden.

Zweitens muss man nicht alle Webserver direkt mit Client-Zertifikatsauthentifizierung konfigurieren. Es gibt einige sehr nützliche, unterstützende Technologien. Bei internen Systemen kann ein HTTP-Reverseproxy am Gateway zur Abwicklung konfiguriert werden. So lassen sich bestimmte Anwendungen extern verfügbar machen, ohne die interne Konfiguration zu ändern.

Der Schutz von extern gehosteten Systemen wird wahrscheinlich am besten mit einer Verbundauthentifizierung erreicht. Mit Technologien wie OAuth und SAML behalten Sie die zentrale Kontrolle über die Authentifizierung in einer verteilten Architektur.

Es lohnt, sich mit den Funktionsmechanismen der Verbundauthentifizierung auseinanderzusetzen, weil diese schnell zum Eckpfeiler der unternehmensseitigen Identitätsverwaltung werden. Ganz einfach formuliert erlaubt dieses Verfahren dem „ Identitätsanbieter“, einen signierten Token auszugeben, der beispielsweise sagt: „Ich, Sophos, versichere, dass es sich bei dieser Person um Ross handelt.“

Der Client überträgt diesen Token an den Serviceanbieter, d.h. die Webanwendung. Der Serviceanbieter prüft, ob der Token tatsächlich von Sophos ausgegeben wurde (über PKI), und erteilt Zugriff, wenn ross@sophos befugt ist, auf die Anwendung zuzugreifen.

(ID:42237442)