Dukungan token WebAuthn, pencatatan berbasis peristiwa, dan banyak lagi

privacyIDEA 3.3 telah dirilis. Versi baru ini memperkenalkan Modul Penanganan Peristiwa baru untuk mengaktifkan pencatatan berbasis peristiwa khusus. Yang juga baru di 3.3 adalah dukungan token WebAuthn yang hadir di privacyIDEA awalnya sebagai faktor kedua untuk login WebUI.

Bahasa Inggris

Semua orang berbicara tentang WebAuthn yang menjadi standar global untuk autentikasi berbasis web untuk mengatasi skenario serangan phishing dan man-in-the-middle. Memang, WebAuthn, sebagaimana ditetapkan oleh W3C , adalah API berbasis JavaScript yang sangat fleksibel untuk autentikasi pengguna. WebAuthn adalah penerus standar U2F dari aliansi FIDO dan, seperti pendahulunya, tahan terhadap phishing dengan menggunakan enkripsi kunci publik-pribadi dalam komunikasi respons-tantangan yang diamankan TLS. Namun, WebAuthn memiliki cakupan yang jauh lebih umum, karena dirancang untuk bekerja tidak hanya dengan token U2F tetapi juga dengan perangkat keras lain yang mendukung antarmuka API. WebAuthn akan memperluas rangkaian perangkat token yang dapat digunakan, misalnya ke perangkat keras kripto-chip yang dapat dibuka kuncinya oleh pemindai sidik jari. Bagi pengguna akhir, contoh kasus ini akan menghasilkan pengalaman autentikasi yang unik dengan sidik jari sebagai perangkat kunci yang tampak. Selama proses autentikasi, browser bertindak sebagai relai antara perangkat keamanan WebAuthn ( autentikator) dan layanan ( pihak yang mengandalkan) .

WebAuthn hadir di privacyIDEA

privacyIDEA awalnya mengimplementasikan WebAuthn untuk mendukung WebAuthn/FIDO2 Hardware Token sebagai faktor kedua. Anda dapat mengonfigurasi privacyIDEA sebagai pihak yang mengandalkan, mendaftarkan WebAuthn Token dengan privacyIDEA dan menggunakannya sebagai faktor kedua untuk masuk ke WebUI. Galeri berikut menunjukkan proses pendaftaran.

Namun, ini cukup untuk saat ini karena WebAuthn memerlukan layanan dan klien untuk mendukungnya dengan baik. Karena server privacyIDEA terintegrasi dengan layanan lain seperti simpleSAMLphp, Keycloak, Owncloud, dan lainnya melalui plugin, layanan tersebut mewakili sisi klien. Oleh karena itu, langkah-langkah berikut adalah memperbarui plugin sebagaimana mestinya. Dengan API WebAuthn yang terdokumentasi dengan baik yang disertai contoh kode, ini adalah tugas yang cukup mudah (masih memerlukan waktu). Semua orang diundang untuk mempercepat proses dengan berkontribusi di Github. NetKnights, perusahaan yang mendorong pengembangan privacyIDEA di Github, berencana mengembangkan SDK untuk membantu pengembang plugin mengintegrasikan privacyIDEA dengan aplikasi favorit mereka.

Masuk Bebas

Sejak privacyIDEA versi 2.12, event handler mendukung notifikasi pengguna yang dikirim melalui email atau SMS, yang dipicu oleh event khusus. privacyIDEA 3.2 memperkenalkan modul ContainerAudit untuk mendukung beberapa target pencatatan yang memungkinkan SQLAudit default dan modul pencatatan lainnya untuk menerima pesan yang dicatat. Ini dapat digunakan untuk mengintegrasikan pencatatan privacyIDEA dengan sistem pencatatan terpusat seperti Logstash dan Splunk .

Versi baru 3.3 dibangun atas dasar ini dan mendorong maju menuju pencatatan yang sepenuhnya dapat disesuaikan. Modul pengendali peristiwa baru Logging pada dasarnya mengimplementasikan UserNotification yang tidak dikirim melalui layanan eksternal tetapi ke fasilitas pencatatan Python sebagai gantinya. Seperti semua Pengendali Peristiwa di privacyIDEA, ia dapat diikat ke peristiwa apa pun dengan semua kemungkinan yang biasa untuk mengonfigurasi batasan lebih lanjut. Pesan log khusus mendukung variabel yang diketahui dari pengendali UserNotification untuk memberikan administrator fleksibilitas maksimum. Pencatatan tingkat lanjut privacyIDEA dikonfigurasi melalui file konfigurasi . Dimulai dengan versi 3.3, privacyIDEA mendukung format YAML dan INI untuk file konfigurasi pencatatan. Pengendali peristiwa baru ini menawarkan fleksibilitas yang hebat karena tidak hanya apa yang dicatat dapat dikonfigurasi sesuai kebutuhan Anda tetapi juga di mana. Nama pencatatan dapat disesuaikan, yang memungkinkan pemisahan berbagai jenis informasi dengan mudah.

Beritahu saya indeks Anda: Token Rahasia yang Diindeks

privacyIDEA hadir dengan jenis token baru, yang disebut Rahasia Terindeks . Token respons tantangan ini diminta untuk mewujudkan faktor kedua menggunakan rahasia bersama yang sudah diketahui antara organisasi dan karyawannya. Rahasia tersebut disimpan dalam privacyIDEA untuk setiap pengguna dan selama login tantangan disajikan, menanyakan kepada pengguna misalnya karakter ke-1 dan ke-4 dalam rahasianya. Untuk rahasia "Rahasia", pengguna harus menjawab dengan mengetik "Sr".

Rahasianya juga dapat ditetapkan sebelumnya dengan atribut pengguna dari userstore. Namun, perlu diingat bahwa penggunaan nomor telepon karyawan Anda merupakan atribut faktor kedua yang lemah. Potensi token ini adalah untuk mendukung skenario peluncuran yang kompleks guna menyediakan setiap pengguna dengan faktor kedua yang unik, sejak awal.

Mengelola secara transparan

Sebelumnya, pengguna admin yang harus memiliki kebijakan admin dapat ditentukan dalam privacyIDEA. Misalnya, kebijakan ini dapat berupa kebijakan untuk mengizinkan pengaktifan dan penonaktifan token, tetapi tidak untuk penghapusan. Versi baru ini menambahkan kemungkinan untuk menambahkan pengguna tertentu yang akan dikelola oleh kebijakan ini. Hal ini sangat membantu dalam pendelegasian manajemen pengguna dan segmentasi tugas administratif Anda.

Sekarang ada kolom terpisah untuk pengguna admin dan pengguna itu sendiri dalam dialog pembuatan kebijakan admin.

Catatan perubahan lengkap dapat ditemukan di Github.

Mulailah kemandirian Anda sekarang

privacyIDEA adalah solusi autentikasi multifaktor sumber terbuka yang fleksibel yang berjalan di tempat. Solusi ini dihosting di Github dan dapat dijalankan dan diperluas oleh siapa saja tanpa biaya. Namun, solusi ini juga tidak disertai garansi apa pun. NetKnights menyediakan dukungan profesional untuk pelanggan perusahaan dalam tiga tingkatan yang berbeda . Sumber terbuka berarti bagi privacyIDEA, Anda akan selalu dapat menjalankannya, tanpa takut akan skenario akhir masa pakainya. Anda juga dapat berpartisipasi dalam pengembangan, melaporkan bug, menyarankan fitur, atau membuat permintaan tarik agar kode Anda sendiri disertakan di Github. Anda dapat berdiskusi tentang privacyIDEA dan berbagi kasus penggunaan Anda di komunitas privacyIDEA .

privacyIDEA 3.3 dapat diinstal dari sumber Github , dari indeks Paket Python di pypi.org atau dengan paket komunitas untuk Ubuntu 16.04 LTS dan 18.04 LTS. NetKnights juga akan menawarkan paket untuk CentOS/RHEL dalam privacyIDEA Enterprise Edition .