Identity
Identity
Die Vereinheitlichung der Zugriffskontrolle in heterogenen IT-Landschaften mit verschiedensten teils selbst entwickelten, teils zugekauften Anwendungen und Diensten ist eine Herausforderung für deren Betreiber.
Zur Beherrschung dieser Komplexität und nahtlosen Integration der Services sind Lösungen wie Single Sign-On (SSO) und Identity and Access Management (IAM) Systeme erforderlich. Technologien und Standards wie OAuth2.0 und OpenID Connect bilden hierfür die skalierbare und flexible Basis, Produkte wie Keycloak, PingIdentity oder ForgeRock setzen diese erfolgreich um.
NOVOSEC bietet Unterstützung bei der Konzeption der zu Ihren Anforderungen passenden Infrastruktur sowie bei der Auswahl der am besten geeigneten Lösung an.
Darüber hinaus unterstützen wir gerne bei der Integration der ausgewählten Lösung, führen bei Bedarf Customization durch und entwickeln zusätzliche Komponenten.
Single-Sign-On
Erfolgreiche Einführung von KeyCloak zur einheitlichen Bereitstellung von Nutzerzugängen für mehrere Kundenanwendungen
Unser Kunde, eine in ihrem Segment führende Bank, verfügte über eine existierende Fachanwendung für externe Nutzer, für die bereits seit einigen Jahren Nutzerkonten innerhalb der Anwendung angelegt wurden. Diese Nutzerdatenbank sollte als zentrale Datenquelle dienen, um die Nutzerzugänge auch für andere interne und externe Anwendungen bereitstellen zu können. Ziel war die Schaffung einer Single-Sign-On-Lösung (SSO) zur Verbesserung der Benutzererfahrung und Sicherheit der daran angeschlossenen Systeme innerhalb des Webauftritts des Unternehmens.
Auswahl eines geeigneten OIDC fähigen Identity Providers
Die Hauptaufgabe bestand darin, eine geeignete Identitäts- und Zugriffsverwaltungslösung zu implementieren, die es ermöglicht, Nutzerzugänge aus der bestehenden Anwendung für andere Anwendungen verfügbar zu machen. Die Zugangsverwaltung sollte weiterhin über die etablierten Portale erfolgen.
Zusätzlich mussten vorhandene und neue Authentifizierungsmethoden integriert und ein reibungsloses Single Sign-On Erlebnis geschaffen werden.
Skalierbares offenes Authentifizierungssystem
Die Implementierung von KeyCloak ermöglichte eine erfolgreiche Bereitstellung von Nutzerzugängen für verschiedene Anwendungen und die Realisierung eines Single Sign-On Systems.
Durch die Integration eines kundenspezifischen User Federation Providers konnten die bestehenden Nutzerkonten aus der existierenden Anwendung nahtlos in Keycloak bereitgestellt werden.
Die Entwicklung benutzerdefinierter Authentication Provider ermöglichte es, vorhandene Authentifizierungsmethoden zu unterstützen und ein einheitliches Authentifizierungserlebnis über alle Anwendungen hinweg zu bieten.
Die Bereitstellung von OpenID connect und SAML ermöglicht eine effiziente standardisierte Anbindung existierender und zukünftiger Systeme.
Die von NOVOSEC geschaffene Single-Sign-On Lösung auf Basis von KeyCloak verbessert die Sicherheit und Benutzerfreundlichkeit bei den Anmeldevorgängen.
Die sehr gute Skalierbarkeit ermöglicht dem Kunden kurzfristig weitere Systeme anzuschließen und seiner etablierten Nutzerbasis zur Verfügung stellen.
Weitere Benefits:
- Single Logout – meldet sich ein Nutzer ab, wird er automatisch in allen an der SSO-Sitzung beteiligten Anwendungen abgemeldet
- Zügige Integration weiterer Webanwendungen und Apps (Time to market)
- Integration kundenspezifischer KeyCloak Erweiterungen
- Entwicklung zusätzlicher Komponenten zur Unterstützung verschiedener Authentifizierungsmethoden (MFA, kundenspezifische Verfahren, etc.)
„Ich brauche keine Maske, um mit Ihnen zu sprechen. Anders als mein Bruder. erschaffe ich meine eigene Persönlichkeit. Die Persönlichkeit ist mein Medium.”
Neuromancer, William Gibson
Aktivierung von Sicherheitsverfahren mit Elektronischem Personalausweis
Die missbräuchliche Aktivierung von 2FA/SCA Sicherheitsverfahren findet vermehrt über remote Angriffe statt, die häufig mittels Social Engineering eingeleitet werden.
Zur Vermeidung dieser remote Angriffe wurde die Nutzung der e-ID (Personalausweis) zur Aktivierung direkt in die Banking-/Freigabe-App der Bank integriert.
Ein Kunde der Bank muss zur Aktivierung seines neuen 2FA/SCA Verfahrens nur seinen Personalausweis an das mobile Endgerät halten.
Die Daten des Personalausweises werden auf Seiten der Bank mit den Kundendaten des Zugangs abgeglichen.
NOVOSEC hat zur Nutzung des Personalausweises die Infrastruktur über staatlich zertifizierte Servicepartner und Trustcenter aufgebaut und die Nutzung des Personalausweises unter Verwendung des Ausweis-App SDK in die Bankprozesse integriert.
Ergebnis ist das sichere digitale Onboarding/Aktivierung des Sicherheitsverfahrens. Darüber hinaus kann die e-ID Funktion auf Seiten der Bank auch für andere Use-Cases wie z.B. KYC oder Abgleich der aktuellen Kundendaten etc. genutzt werden.
Einsatzgebiete: Banken, ZAD, KID und überall, wo eine juristisch belastbare Identifikation erforderlich ist.
Fraud Management - Strong Customer Authentication (SCA)
Ein präventives Anti-Fraud-System kann mittels SCA Betrugsmöglichkeiten reduzieren.
SCA bestätigt dabei die Identität des Kunden über zwei oder mehr Faktoren vor einer Transaktion.
In Zusammenarbeit mit dem Global Transaction Banking einer Großbank wurden Geschäfts- und regulatorische Anforderungen (insbesondere PSD2) analysiert.
Workshops mit verschiedenen Herstellern führten zur Entwicklung neuer Architekturlösungen, die in die bestehende Infrastruktur integriert werden konnten.
Die passende Herstellerlösung wurde ausgewählt, integriert und bietet unter anderem:
- Reduzierung von Betrug
Mehrfache Identitätsbestätigung erschwert Betrügern den Zugriff auf Kundenkonten und -daten.
- Erhöhung der Sicherheit
Die Verwendung von Strong Customer Authentication erhöht die Sicherheit von Finanztransaktionen und schützt Kunden vor Identitätsdiebstahl.
- Erfüllung gesetzlicher Anforderungen
SCA erfüllt gesetzliche Vorschriften, wie die EU-Richtlinie PSD2.
- Schutz vor Chargebacks
SCA verringert das Risiko von Chargebacks durch verringerte Chancen betrügerischer Zahlungen.
- Förderung von Innovation
SCA fördert die Entwicklung fortschrittlicher Authentifizierungstechnologien, trotz zusätzlicher Schritte für den Kunden.