Airlock IAM 7.3
Airlock IAM 7.3 ist ein "Long Term Support" (LTS) Release und bringt viele neue Funktionen mit.
Der Fokus von IAM 7.3 liegt auf der Einführung von Airlock 2FA. Angeboten werden, neben der Zwei-Faktor-Authentifizierung, diverse Self-Services und auch Transaktionsbestätigungen - alles sowohl in den Loginapps als auch als REST Schnittstelle.
Für die Authentifizierung steht die Airlock 2FA App in App Store und Google Play zum Download bereit. Ein Hardware Token ist, falls benötigt, ebenfalls verfügbar.
Neben den Erweiterungen für Airlock 2FA wurde das Loginapp REST UI um weitere Funktionen ergänzt. Die mTAN-Funktionalität wurde erweitert, damit Benutzer mTAN-Tokens nicht nur zur Authentisierung nutzen, sondern auch selbst registrieren können. Darüber hinaus gibt es neue Self-Services, um Benutzerdaten vom eigenen Konto zu pflegen. Im Bereich Betrieb und Compliance wurde die Darstellung von Wartungsmeldungen und das Akzeptieren von AGB`s oder Service-Vereinbarungen umgesetzt.
Die Verwaltung von technischen Clients ist jetzt ebenfalls mit Airlock IAM möglich. Dabei können API Keys, Plans und Rate Limits verwaltet werden.
Airlock 2FA
Airlock 2FA ist die neue Authentifizierungslösung für Airlock IAM. Airlock 2FA ermöglicht starke Benutzer-Authentisierung basierend auf einer Smartphone-Applikation sowie Hardware Tokens und bietet vier unterschiedliche Authentisierungsfaktoren an. Die Benutzerfreundlichkeit steht dabei mit der Variante One Touch im Vordergrund. Auch passwortfreie Zugänge können so realisiert werden.
Airlock 2FA ist so konzipiert, dass sowohl die Verwendung durch den End-Benutzer wie auch die Integration und Konfiguration besonders einfach und kostengünstig ist.
Die Integration von Airlock 2FA mit Airlock IAM ist nahtlos, unabhängig davon, ob die klassische Loginapp, das neue Loginapp REST UI oder eine Eigenentwicklung auf Basis der Loginapp REST API zum Einsatz kommt.
Im Funktionsumfang von Airlock 2FA werden alle wichtigen Anwendungsfälle abgedeckt vom Onboarding eines Users mittels Selbst-Registrierung, über Authentisierung und Transaktionsbestätigung hin zu Self-Services für die Verwaltung der Airlock 2FA Apps.
Airlock 2FA ist auch für den Helpdesk durchgängig unterstützt, damit Helpdesk Mitarbeiter ihre Anrufer optimal unterstützen können beim Einsatz und bei der Verwaltung von Airlock 2FA.
Loginapp REST UI (SPA)
Das Loginapp REST UI sowie die Loginapp REST API werden kontinuierlich weiterentwickelt. Mit IAM 7.2 wurde mit den protected Self-Services eine neue Klasse von REST APIs für bereits authentisierte Benutzer eingeführt. Mit IAM 7.3 werden diese REST API nun auch im Loginapp REST UI unterstützt und Benutzer können in den Self-Services neu die Profildaten ihres Benutzerkontos sowie Airlock 2FA Apps verwalten.
Mit IAM 7.3 können Mobiltelefonnummern und E-Mail-Adressen in Abläufen nicht nur geändert, sondern auch validiert werden. Zudem kann man für Änderungen an Kontextdaten eine Bestätigung mittels zweitem Faktor konfigurieren.
Die Nutzung von mTAN als Authentisierungsmittel ist bereits seit Längerem unterstützt. Neu ist auch die Selbst-Registrierung für Benutzer verfügbar.
Wartungsmeldungen werden jetzt auch im Loginapp REST UI dargestellt und AGB`s können dem Benutzer zur Prüfung vorgelegt werden.
API Keys
Mit dem zunehmenden Einsatz von REST Schnittstellen und den zugehörigen technischen Clients wird die die Verwaltung dieser Clients immer wichtiger. Airlock IAM kann technische Clients und deren API Keys verwalten und über Rate Limits und Plans die Nutzung der Schnittstellen steuern. Airlock Gateway nutzt den API Policy Service, um die Regeln abzufragen und dann durchzusetzen.
API Keys sind eine Ergänzung der Filterfunktionen im Airlock Gateway und eine Ergänzung der Authentisierungsfunktionen in Airlock IAM.
Der Einsatz der API Key Funktionen setzt Airlock Gateway 7.4 voraus.
OIDC und OAuth 2.0
Im Rahmen der Entwicklung der PSD2 Funktionen in Airlock IAM, wurde eine neue Implementation der OpenID Connect und OAuth 2 Komponente gestartet. Diese Umsetzung wurde nun konsequent weiterverfolgt und die neue Komponente unterstützt den Authorization Code Grant, Dynamic Client Registration und den Client Credentials Grant.
Neben den modernisierten REST Schnittstellen wurden auch funktionale Erweiterungen umgesetzt. Airlock IAM kann neu mit ACR (Authentication Context Class Reference) Values umgehen und so die Stärke der Authentisierung in OIDC Flows verwalten. Im proprietären Session Management Endpunkt, können Clients die Token von Benutzern verwalten. Durch die Kombination von ACR Values und den neuen SSO Token ist es auch möglich mit OIDC Flows eine Bestätigung mittels zweitem Faktor zu konfigurieren.
Dank einer Migrationsfunktion kann ein Upgrade auf die neue Implementation der OAuth/OIDC Komponente ohne spürbare Auswirkung auf Endbenutzer vollzogen werden. Authentisierte User können einfach bestehende Token (Access und Refresh) mit einem neuen OAuth Client nutzen und bei der ersten Interaktion werden alle Token durch neue Token ersetzt, ohne dass der Benutzer sich nochmals einloggen muss.
Weitere Highlights
Neben den erwähnten neuen Funktionen wurden viele Erweiterungen und Verbesserungen umgesetzt. Unter anderem sind dies:
- MS-OFBA - Microsoft Office Form Based Authentication erlaubt es Anwendern mit einer lokalen Installation von Microsoft Office direkt innerhalb der Office Applikation einzuloggen und so Firmenressourcen zu nutzen (SharePoint).
- Die Verwendung der searchForEntry() Funktion und die Suche über memberOf Attribute verbessern die Performance in Microsoft Active Directory Anbindungen für Kunden mit grossen und komplexen MS-AD Setups.
- Für die Konformität mit der Europäischen Richtlinie zu PSD2 ist es möglich den Failed Login Counter dem Benutzer anzeigen zu lassen, respektive den Counter über das REST API auszulesen.
- IAM stellt neu für die Loginapp einen Health-Check-Endpunkt zur Verfügung. Dieser ist dazu da, zu prüfen ob IAM bereit ist, um Authentisierungsrequests zu verarbeiten (z.B. im Airlock Gateway).