Hintergrund

Haben Sie sich jemals gefragt, warum Sie bei einer Anmeldung bei DRACOON aus mehreren Authentifizierungsoptionen (E-Mail-Anmeldung, Anmeldung über Active Directory, OpenID Connect oder RADIUS) wählen müssen? Der Grund ist, dass ein Benutzer sich bei DRACOON alternativ mit mehreren dieser Methoden am System anmelden kann. Zudem gibt es bis heute bei DRACOON keinen eindeutigen Benutzernamen, der für eine Anmeldung genutzt werden kann. Zwar muss die E-Mail-Adresse eindeutig sein, aber diese Eindeutigkeit ist lediglich auf eine Authentifizierungsmethode festgelegt.

Login-Screen mit Auswahl der Authentifizierungsmethode

Diese beiden Beschränkungen erfordern, dass der Nutzer bei jeder Anmeldung dem Server mitteilen muss, welche Authentifizierungsmethode genutzt werden soll. Unsere eigenen Erfahrungen damit und das Feedback unserer Kunden dazu ist sehr negativ: selbst erfahrene Benutzer wählen immer wieder versehentlich die falsche Methode und können sich folglich nicht anmelden. Dieses Problem trat insbesondere bei DRACOON für Windows/Mac häufig auf. Zudem wurden von Benutzermanagern oft zusätzliche (nicht benötigte) Authentifizierungsmethoden bei Benutzern versehentlich aktiviert.

Auf der Haben-Seite bietet diese Funktion kaum Mehrwerte für unsere Kunden. Lediglich ein einziger wirklicher Vorteil besteht: Melden sich sämtliche Benutzer über eine externe Benutzerdatenbank (z.B. ein Active Directory oder einen OpenID-Connect-fähigen Identity Provider) an, so kann dies bei einer veränderten Netzwerkkonfiguration (z.B. hat sich die Adresse der Nutzerdatenbank geändert) dazu führen, dass eine Anmeldung unmöglich wird – und damit auch eine Korrektur der Konfiguration. Einige wenige Administratoren (Konfigurationsmanager) haben daher für ihren eigenen Account zusätzlich eine Anmeldung per E-Mail-Adresse und lokalem Passwort aktiviert, so dass sie sich im Notfall noch anmelden können. Dies wäre jedoch auch mit einem separaten zusätzlichen Benutzerkonto umsetzbar.

Auf Basis dieser Betrachtung haben wir uns dazu entschieden, die Nutzung unterschiedlicher Authentifizierungsmethoden für einen einzelnen Account nicht länger zu unterstützen. Davon nicht betroffen ist die weiterhin mögliche Nutzung verschiedener Authentifizierungsmethoden in einer DRACOON-Umgebung. Das bedeutet, dass beispielsweise weiterhin gleichzeitig einige Benutzerkonten mit Active-Directory-Anmeldung und andere Benutzerkonten mit E-Mail-Anmeldung existieren können.

Einschränkungen

Mit dem nächsten LTS-Release wird die Option, mehr als eine Authentifizierungsmethode mit einem Benutzer zu verknüpfen, nicht mehr verfügbar sein. Bestehende Benutzer, die zwei oder mehr Authentifizierungsmethoden nutzen können, sollten vor einem Update angepasst werden. Wir empfehlen, für die betroffenen Benutzerkonten je ein oder mehrere zusätzliche Benutzerkonten mit unterschiedlicher Authentifizierungsmethode anzulegen.

Beispiel

Aktueller Stand:

Der Benutzer Max Mustermann besitzt einen Account mit zwei Authentifizierungsmethoden. Er kann sich über Active Directory (max.mustermann) und lokal über E-Mail-Adresse (max.mustermann@firma.de) anmelden.

Empfohlene Lösung:

Max Mustermann legt für seinen lokalen Benutzer einen zusätzlichen Account an und weist ihm die benötigten Berechtigungen und Rollen zu. Anschließend entfernt er die lokale Authentifizierungsmethode aus seinem alten Account. Er besitzt nun zwei voneinander unabhängige Accounts.

Vorteile in der weiteren Entwicklung von DRACOON

Wir werden einen für die jeweilige Umgebung eindeutigen Benutzernamen für jeden Account einführen, der unabhängig von E-Mail-Adressen bestehen kann. Damit wird es erstmals möglich, dass ein Nutzer zwei unterschiedliche Accounts mit der gleichen E-Mail-Adresse (aber unterschiedlichen Benutzernamen) verwendet. Zudem müssen bei der Anmeldung neben dem Benutzernamen und dem Passwort keine weiteren Informationen (wie Authentifizierungsmethode) mehr ausgewählt werden, was die Nutzung von DRACOON erheblich vereinfacht.

Mittelfristig ergeben sich durch diese Vereinfachung weitere Optionen im Bereich des Policy-Managements, um beispielsweise konkrete Vorgaben zu machen, aus welchen IP-Adressbereichen eine Anmeldung für bestimmte Benutzer möglich sein soll. Zu unseren Plänen hierzu wird es in den nächsten Monaten gesonderte Informationen geben.

Migration

Es ist erforderlich, vor dem Update alle betroffenen Accounts wie oben beschrieben auf mehrere Accounts aufzuteilen. Vor dem Einspielen des Updates wird geprüft, ob weiterhin Accounts mit mehreren Authentifizierungsmethoden existieren. Ist dies der Fall, lässt sich das Update nicht installieren.

[Update 8. April 2019]

Die Umsetzung dieser Änderungen ist in der Cloud für Mai 2019 und für das Release LTS 2019-01 für unsere On-Premises-Kunden geplant. Wir stellen ein Kommandozeilenwerkzeug bereit, mit dem Administratoren vor dem Update prüfen können, ob auf ihrer Umgebung Accounts mit mehr als einer konfigurierten Authentifizierungsmethode bestehen.

[Update 9. Juli 2019]

Die Arbeiten an der beschriebenen Änderung sind abgeschlossen und ein Rollout in unserer Cloud wurde für den 9./10. August 2019 terminiert.

[Update 10. August 2019]

Nach dem erfolgreichen Update auf unserer Cloud-Umgebung wird diese Änderung definitiv in LTS 2019-02 (Ende 2019) enthalten sein.


Florian Scheuer

Florian Scheuer verantwortet als Chief Technical Officer von DRACOON die Entwicklung des gleichnamigen Produkts.

2 Comments

Christoph Otte · 16. July 2018 at 13:38

Das ist eine tolle und längst überfällige Änderung.
Wird der neue Benutzername dann vom Admin vergeben und ist ggf. auch änderbar?

    Florian Scheuer · 16. July 2018 at 15:09

    Vielen Dank für die Unterstützung!
    Ja, beim Anlegen eines neuen Benutzers planen wir, dass der Benutzermanager den Nutzernamen festlegt. Und natürlich kann dieser auch im Nachhinein geändert werden.

Leave a Reply to Florian Scheuer Cancel reply

Your email address will not be published. Required fields are marked *