Airlock IAM 7.1

Ankündigung

Airlock IAM 7.1 ist ein General Availability Release mit "Long Term Support" und bringt viele neue Funktionen mit.

Der Fokus liegt auf der Umsetzung der Payment Services Directive (PSD2) für den Deutsch- und Französisch-sprachigen Markt und auf einer neuen, strukturierten Reporting Lösung, welche die Verwendung von SIEM Systemen einfacher und besser unterstützt. Zudem wurden die vorhandenen REST Schnittstellen weiter ausgebaut, um Flows noch mächtiger und flexibler zu machen und so die SPA Loginapp (experimentell) weiter zu entwickeln.

Dynamic Client Registration ist ein neues Feature in IAM 7.1, das die Betriebskosten für PSD2 optimiert weil sich Trusted Third Parties basierend auf OAuth Standards automatisiert selbst registrieren können. Für die Nutzer von Docker als Betriebsumgebung wurden Verbesserungen umgesetzt, die den Ressourcenbedarf reduzieren und die Integration mit Docker noch nahtloser und einfacher machen. 

 

 

PSD2

Für PSD2 wurde IAM so erweitert, dass sowohl die Umsetzung für NextGen PSD2 (Berlin Group) als auch die Umsetzung der PSD2 Variante von STET unterstützt werden können. Im Funktionsumfang eingeschlossen ist die dynamische Registrierung von technischen Clients und das Erzwingen von Rollen und Consents für den Zugriff auf die exponierten PSD2 API.  IAM wurde zudem erweitert, damit neben den lokalen Consents neu auch  remote Consents unterstützt werden können. Mittels remote Consent kann die Bank fein granular die Zustimmung der Bankkunden einholen und durchsetzen.

Reporting

Mit IAM 7.1 wird eine neue, optionale Reportingkomponente angeboten. Für die Umsetzung wurde sehr viel Wert auf die Rückwärtskompatibilität gelegt und Kunden können die bisherige Logging Lösung parallel zum neuen Reporting betreiben.

Die optionale Reporting Komponente umfasst folgende Funktionalität:

  • Neue Reporting Messages, die für die Erzeugung von Dashboards zu den Themen Authentisierung und Verwendung von Authentisierungsmitteln optimiert sind.
  • Alle Log und Reporting Messages sind JSON strukturiert und alle semantisch identischen Attribute werden für IAM und WAF gleich verwendet.
  • Built-in Support für Elasticsearch und Kibana inkl. ES Index Templates und Kibana Dashboards.

Flows

Die Erweiterung der REST Schnittstellen für die Loginapp wird weiter vorangetrieben und folgende funktionalen Erweiterungen sind umgesetzt worden:

  • Password Reset steht als Flow zur Verfügung
  • Auswahl des Authentisierungs-Flows basierend auf der "forward location"
  • Erweiterungen in der Self-Registration
    • Es können mehrere, unterschiedliche Self Registration Flows angeboten werden.
    • Zustimmung zu Terms of Services kann im Rahmen des Flows eingefordert werden.
    • Von Rollen abhängige Conditions können in Flows genutzt werden.

Dynamic Client Registration für OAuth 2.0

Neu kann im Rahmen des Authorization Servers für OAuth 2.0 auch "Dynamic Client Registration" eingesetzt werden, damit sich Clients über ein neues REST Interface selbst registrieren können. Der REST Endpunkt kann mittels Client Zertifikatsauthentisierung geschützt werden, damit nur autorisierte Parteien neue Clients registrieren können. 

Für NextGen PSD2 wurde die Dynamic Client Registration so umgesetzt, dass ein bislang unbekannter Client on-the-fly registriert wird und kein separater REST Endpunkt genutzt werden muss. Diese Registration fordert zwingend, dass ein vertrauenswürdiges X.509 Zertifikat vom Client verwendet wird.

Für die Verwaltung von dynamisch registrierten Clients wird ein administratives REST API als Teil der Adminapp angeboten. 

 

 

Docker Verbesserungen

Der Support für Docker Deployments wird stetig verbessert. Mit IAM 7.1 werden die Docker Images des IAM auch via Docker Hub zum Download angeboten. Um die Integration in Docker zu verbessern bietet IAM einen Health Check Endpunkt an und auch die Logging Integration wird neu per Default via stdout realisiert. Eine weitere Verbesserung ist die substantielle Reduktion der Grösse von IAM Containern.

Weitere neue Funktionen

Neben den erwähnten neuen Funktionen wurden viele Erweiterungen und Verbesserungen umgesetzt. U.a.:

  • Transaction Approval für Kobil TMS und Matrixkarten
  • Content Security Policy (CSP) für Loginapp HTML
  • OpenAPI Spezifikation für IAM inkl. WAF Templates
  • Performance Optimierung in der Active Directory Anbindung
  • SPA Loginapp (experimentell) mit Self-Registration

 

Sie wollen mehr erfahren?

Whitepaper - OWASP Top 10

In unserem Whitepaper zum Thema 'OWASP Top 10 für API Security' erfahren Sie, wie die Airlock API die von OWASP definierten zehn größten API Security Risiken adressiert, um APIs zu schützen.

Hier können Sie das Whitepaper herunterladen.