icon

Hideez SAML-Identitätsanbieter für CyberArk PVWA

Online-Sicherheit 2021, Authentifizierungstipps

CyberArk ist ein börsennotiertes Unternehmen für Informationssicherheit, das Sicherheit für privilegierte Konten bietet. CyberArk bietet die branchenweit umfassendste Lösung zur Reduzierung der Risiken durch privilegierte Zugangsdaten und Geheimnisse. Das Unternehmen wird von führenden Organisationen weltweit vertraut, darunter mehr als 50 Prozent der Fortune 500, um sich gegen externe Angreifer und böswillige Insider zu schützen.

Übersicht über die Hideez-Authentifizierungslösung

Der Hideez SAML Identity Provider (Hideez IdP) implementiert das SAML 2.0 Web Browser SSO-Profil und bietet ein Single-Sign-On zwischen Anwendungen, die SAML unterstützen.

SAML (Security Assertion Markup Language) ist ein Standard zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Sicherheitsdomänen. SAML 2.0 ist ein auf XML basierendes Protokoll, das Sicherheitstoken mit Assertions verwendet, um Informationen über einen Principal (in der Regel einen Endbenutzer) zwischen einer SAML-Instanz namens Identity Provider (IdP) und einem SAML-Consumer namens Service Provider (SP) zu übermitteln.

Der Hideez IdP und der Hideez Enterprise Server ermöglichen gemeinsam die Hideez-Authentifizierungsmethode für den CyberArk Password Vault Web Access (PVWA), der zu den SAML 2.0-konformen SPs gehört.

Die Hideez-Authentifizierungsmethode ist eine elegante, leichte MFA-Lösung. Die Lösung basiert auf dem Hideez Key Wireless Authenticator – einem Flaggschiffprodukt von Hideez, das das System-on-a-Chip-Konzept umsetzt. Zu den Hauptfunktionen gehören Bluetooth 4.0 für drahtlosen Transport, eine hardwarebasierte Speicherung von Zugangsdaten, ein Passwortmanager mit dynamischer Ressourcenerkennung, Windows-PC-Sperren/Entsperren basierend auf Bluetooth-Nähe, zentrale drahtlose Remote-Lieferung von Zugangsdaten an eine Hideez Key-Instanz, 112-Bit-Sicherheit für Daten im Ruhezustand und in Bewegung. Außerdem bietet der Hideez Key RFID-Token als zusätzlichen Faktor zur Benutzeridentifizierung, der in einer Vielzahl von Anwendungsfällen von der Arbeitsplatzzugriff bis zur Teilnahme an Authentifizierungsalgorithmen verwendet werden kann.

Der Hideez IdP basiert auf Shibboleth IdP v.3, der unter der Apache 2.0 Open Source-Softwarelizenz verfügbar ist. Shibboleth gehört zu den weltweit am weitesten verbreiteten föderierten Identitätslösungen und verbindet Benutzer mit Anwendungen innerhalb und zwischen Organisationen. Der Hideez IdP ergänzt die Authentifizierungsleistung von Shibboleth um die eigene Authentifizierungsmethode.

Vorteile der Hideez-Authentifizierungslösung

● Hideez löst das Problem unbeaufsichtigter Computer und eliminiert die Möglichkeit von Datenlecks und Insider-Angriffen;
● Hideez bietet ein Mittel zur eindeutigen Benutzeridentifizierung und zur Multi-Faktor-Authentifizierung, das die Einhaltung unterschiedlicher Vorschriften ermöglicht;
● Hideez löst das Problem unbefugten Zugriffs und fügt eine zusätzliche Identifikationsebene in die Authentifizierungsprozesse des Benutzers ein;
● Hideez löst das Problem multipler Benutzerendpunkte, wenn sicherzustellen ist, dass der Benutzer, der einen Computer entsperrt hat, und der Benutzer, der die Transaktion unterzeichnet, dieselbe Person sind.
● Hideez ermöglicht eine berührungslose Authentifizierung und löst das Problem von Arbeitsbereichen mit spezifischen Klima- oder Infektionskontrollen;
● Hideez löst das Problem kurzer Timeout-Zeiten vor dem Sperren eines Computers;

● Hideez kombiniert Mittel für logischen und physischen Zugang in einem einzigen Gerät, was die Lösung durch Ausschluss von Duplikation bequemer macht;
● Der Hideez-Passwort-Manager liefert Zugangsdaten sowohl an lokale als auch an entfernte Ziele

Schlüsselvorteile der Integration (Hideez & CyberArk PVWA)

● Eine leichte, vollwertige MFA-Lösung für CyberArk PVWA;
● Eine zusätzliche Sicherheitsebene für privilegierte CyberArk-Benutzer aufgrund der System-on-Chip-Natur – alle Zugangsdaten immer beim Benutzer auf seinem Hideez Key in der Tasche;
● Grundlage zur Erweiterung von SSO- und Föderationskonzepten zwischen Komponenten des privilegierten Zugriffsverwaltungssystems

Hideez SAML IDP Diagramm und Beschreibung der Integration

Online-Sicherheit 2021, Authentifizierungstipps

Hideez und Integration mit CyberArk PVWA

Die Hideez-AuthN-Lösung konsolidiert verschiedene Authentifizierungsmethoden, Ansätze, Funktionen und macht sie mit dem Hideez Key verfügbar. Die Lösung umfasst Hideez Key-Instanzen, den lokalen Agenten Hideez Safe und den Hideez Enterprise Server.

Der Hideez Enterprise Server stellt einen Identitätsspeicher bereit und ist für das zentrale Verwaltungsmanagement von Zugangsdaten verantwortlich, einschließlich der drahtlosen Remote-Lieferung von Zugangsdaten an das Hideez Key-Gerät des Benutzers.

Der Hideez SAML IdP macht den Hideez Enterprise Server zu einer Authentifizierungs- und SSO-Authorität. Hideez bietet diese Funktion als bequemen Weg zur Aktivierung von MFA für CyberArk PVWA an. Die SAML-Integration zwischen CyberArk PVWA und Hideez IdP erfordert minimale Eingriffe in die CyberArk-Konfiguration.

Anwendungsfall

Ein Benutzer besitzt eine Hideez Key-Instanz. Er verwendet sie, um Zugangsdaten getrennt von jeder Betriebsumgebung zu speichern. Unter seinen täglichen Aktivitäten erfolgt die Authentifizierung bei verschiedenen Webdiensten und Anwendungen. Die neue Verordnung erfordert 2FA für den Zugang zu privilegierten Zugriffsverwaltungssystemen, einschließlich CyberArk PVWA. Die derzeitige Konfiguration erfüllt die neuen Anforderungen nicht.

Ein Administrator weiß, dass Hideez 2FA unterstützt. Er richtet eine Integration zwischen CyberArk PVWA und Hideez unter Verwendung der Hideez SAML IdP-Funktion und der SAML-Authentifizierungsoption ein, die von CyberArk PVWA unterstützt wird.
Die resultierende Konfiguration erfüllt die Anforderungen der Verordnung zur 2FA.

Voraussetzungen und Abhängigkeiten

1. Hideez SAML IdP und Hideez Enterprise Server müssen eingerichtet und verfügbar sein;
2. Hideez Key und die lokale Clientsoftware Hideez Safe müssen auf der Workstation eines Benutzers eingerichtet sein;
3. Die Integration zwischen CyberArk PVWA und Hideez IdP erfordert, dass beide über entsprechende Domänennamen über eine HTTPS-Verbindung für einen Benutzer-Webbrowser verfügbar sind. Dieses Dokument geht davon aus, dass PVWA unter https://pvwa.hicorps.com/PasswordVault/v10/ und Hideez IdP unter https://idp.hicorps.com/idp/ erreichbar ist;
4. Obwohl zur Einrichtung der Integration minimale Eingriffe in die CyberArk-Umgebung erforderlich sind, sind die entsprechenden administrativen Rechte zur Änderung der CyberArk PVWA-Konfiguration erforderlich;
5. Benutzer, die abgebildet werden sollen, müssen sowohl auf HES- als auch auf PVWA-Seiten existieren.

Hideez Enterprise Server & Hideez SAML IdP können auf Anfrage über die unten stehenden Kontakte bezogen werden. Sie können auch eine Demo zu unserer Hideez-Authentifizierungslösung, einschließlich IdP, anfordern.