Enterprise Single-Sign-On ist derzeit eines der wichtigsten IT-Themen. Das ist nicht überraschend. Denn zum einen steigt die Zahl der Anwendungen und damit auch der Benutzername-/Kennwort-Kombinationen immer weiter. Und zum anderen kann man mit kaum einer IT-Lösung seinen Benutzern einen spürbareren Nutzen liefern.
Einer der Anbieter in diesem Markt ist Citrix mit seinem Password Manager 4.5. Interessant dabei ist, dass das Produkt nicht zwingend mit dem Presentation Server eingesetzt werden muss, in den es integriert ist, sondern auch in Umgebungen ohne diesen Nutzen bringen kann. Citrix tritt damit als Wettbewerber der anderen Anbieter im E-SSO-Markt auf, also primär Passlogix, ActivIdentity, Evidian, CA und Imprivata. Ausserdem gibt es noch etliche OEM-Nehmer insbesondere von Passlogix und ActivIdentity, die ebenfalls im Markt mitmischen.
Das Citrix-Produkt selbst basiert historisch gesehen auf der Technologie von Passlogix, die aber von Citrix seither unabhängig weiterentwickelt wurde. Es ist mittlerweile also keine OEM-Lösung mehr, sondern ein absolut eigenständiges Produkt, das darüber hinaus verschiedene innovative Funktionen enthält, die die Konkurrenten bisher nicht bieten.
Das Produkt ist, wie die meisten Werkzeuge im E-SSO-Bereich, relativ einfach nutzbar. Die Installation ist, wenn man die Voraussetzungen erfüllt, innerhalb weniger Minuten zu bewerkstelligen. Der erste Schritt ist die Vorbereitung des Speichers für die Credentials. Neben dem Active Directory und dem eDirectory werden auch Freigaben im Dateisystem unterstützt. Das ist unter dem Aspekt der Sicherheit nicht empfehlenswert, für einen ersten Test aber praktisch, weil man beispielsweise keine Schema-Anpassungen durchführen muss. Weitere Verzeichnisdienste werden ebenfalls unterstützt, allerdings nur über eine kostenpflichtige Erweiterung.
Anschliessend müssen mehrere Komponenten eingerichtet werden. Dazu gehört der Citrix-Lizenzserver, soweit noch nicht vorhanden. Für diesen gibt es eine Web-basierende Konsole, die über die IIS oder Apache genutzt werden kann.
Die Kernkomponenten sind aber zum einen der Password-Manager-Dienst als die Serverkomponente, über die entweder von Remote Clients oder innerhalb des Presentation-Managers die Credentials angefordert werden können. Der Austausch der Benutzernamen und Kennwörter erfolgt SSL-verschlüsselt. Die Schlüsselkonfiguration muss gesondert erfolgen, ist aber gut dokumentiert. Für den Dienst müssen ausserdem ASP .NET und das Microsoft .NET Framework 2.0 installiert werden.
Das zweite zentrale Modul ist die Password Manager Console, die wiederum aus mehreren Elementen besteht. Über sie erfolgt einerseits das zentrale Management, andererseits aber auch die Definition von Anwendungen.
Die Anwendungsdefinition ist bei jeder E-SSO-Lösung die grösste Herausforderung. Das Ziel der Produkte ist ja, dass sich ein Benutzer einmal authentifiziert, um auf die vom E-SSO-Produkt gespeicherten Credentials zugreifen zu können. Anschliessend werden diese im Hintergrund an die Anwendungen übergeben. Dazu muss aber erkannt werden, wenn ein Kennwort angefordert wird. Und es muss erkannt werden, wenn eine Kennwortänderung ansteht. Entsprechend müssen Definitionen erstellt werden, die beschreiben, in welcher Form beispielsweise Benutzernamen und Kennwörter an bestimmte ausführbare Dateien übergeben werden müssen.
Beim Citrix Password Manager erfolgt die Konfiguration über eine grafische Konsole. Es gibt sehr viele Vorlagen, die mit dem Produkt geliefert werden. Ausserdem gibt es eine Website, über die mehr als 150 weitere Definitionen geladen werden können. Damit kann man schnell zu einer funktionsfähigen Infrastruktur kommen.
Bei der neuen Version 4.5 setzt Citrix aber auch Massstäbe für das Enterprise Single-Sign-On. So können nun für verschiedene Zugriffswege unterschiedliche Geräte für die starke Authentifizierung genutzt werden. Fehler bei Kennwortänderungen werden besser erkannt und Probleme damit minimiert. Das Zurücksetzen von Kennwörtern kann über eine Web-Schnittstelle erfolgen. Der Internet Explorer 7 wird dabei unterstützt.
Die wichtigste Neuerung ist aber die Unterstützung von Kerberos und von Federation-Standards. Damit kann eine integrierte Kerberos-Authentifizierung erfolgen. Mehr noch, das System kann auch als Federation-Endpunkt dienen, der anderen Systemen bezüglich der Authentifizierung vertraut. Dabei werden sowohl SAML als auch Microsofts ADFS unterstützt.
