September 2020
Autor:in des Beitrags
Maximilian
Team Lead Projects – Cloud
Veröffentlicht am
21.09.2020 von Maximilian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Customer Success Story:

Authentication Service für AWS Management Zugriffe mit Citrix ADCs

Über tausend Accounts in der Public Cloud und über hundert Anwendungen über eine On-Prem gesetzte Zwei-Faktor-Authentifizierung zentral und sicher managen? Das geht! Wir zeigen Ihnen wie.

Ein Global Player der Automobilindustrie stellt seinen Entwicklungsteams über Amazon Web Services (AWS) eine Plattform für die Zusammenarbeit bereit. Im Unternehmen sind für eine starke On-Prem-Authentifizierung drei unterschiedliche Zwei-Faktor-Autorisierungs-Typen (2FA-Typen) im Einsatz. Die Prozesse zur Beantragung von Zugriffs- und Nutzungsrechten werden über ein Self-Service-Portal automatisiert gesteuert.

In der Cloud befindet sich geistiges Eigentum, das mit einer starken Authentifizierung geschützt werden soll. Die im Unternehmen bereits existierenden Multi-Faktor-Authentifizierungslösungen und die dazugehörigen Prozesse können allerdings nicht direkt für den Zugriff auf die Cloud eingesetzt werden. Auch AWS bietet eine eigene 2FA-Lösung an, diese würde jedoch einen weiteren Token für den Benutzer voraussetzen.

Die Vernetzung erfolgt über ein föderatives Identitätsmanagement

Der Einsatz einer einfachen Identity Federation-Lösung scheitert an den komplexen Anforderungen. Die Lösung muss flexibel genug sein, um sowohl an der bestehenden 2FA des Unternehmens als auch an mehrere Verzeichnisse anzudocken, in denen sich die für die Authentifizierung und Autorisierung nötigen Benutzer-Attribute befinden: ein AD und ein weiteres Directory mit jeweils unterschiedlichen Nutzergruppen.

Dafür wurde eine speziell auf den Bedarf abgestimmte Konfiguration von Citrix ADC (ehemals NetScaler ADC) in Kombination mit einer Eigenentwicklung von Provectus konzipiert, die das Identitäts-Management übernimmt. Gehostet und bereitgestellt wird die gesamte Lösung natürlich innerhalb von AWS.

Wie läuft die Authentifizierung für den Anwender ab?

Nachdem sich der Benutzer über eine einheitliche Maske angemeldet hat, sammelt die Lösung die Attribute aus den jeweiligen Verzeichnissen und übergibt diese mit einer vertrauenswürdigen Assertion an AWS. So ist der Zugriff auf den Cloud-Space für sämtliche externe und interne Entwickler und Anwendungsverantwortliche einheitlich sowie gemäß der Vorgaben und Prozesse des Unternehmens geregelt: Jeder wird mit den richtigen Berechtigungen zum richtigen Account geleitet.

Wie ist der technische Aufbau der Lösung?

Innerhalb eines dedizierten AWS Accounts stehen drei Citrix ADC EC2 Instanzen in jeweils einer Availabilty Zone bereit. Um auf benötigte On Premises Systeme zugreifen zu können befinden sich die ADC Instanzen in einem Transit VPC, das den Zugriff darauf gewährt.

Die Lösung soll jedoch auch Benutzern aus dem Internet zur Verfügung stehen, weshalb per VPC Endpoint und VPC Endpoint Service ein Public VPC zuvor geschaltet wurde. Ein Application Load Balancer im Public VPC stellt dafür einen Einstiegspunkt zur Verfügung.Um für geografisch weit entfernte Benutzer eine optimale Performance liefern zu können, wurde der AWS Global Accelerator implementiert, dessen Public IPs in Route53 als DNS Records veröffentlich sind.

Was wurde mit der Lösung erreicht?

Nach der erfolgreichen Implementierung wird die Authentifizierungslösung so erweitert, dass sie nicht nur den Zugang zu AWS, sondern auch den Zugriff auf die in der Cloud und in den eigenen Datacentern gehosteten Anwendungen steuert.Ein weiterer Vorteil: Die Akzeptanz bei den Entwicklern und Anwendern ist hoch, denn in der Regel kann eine App innerhalb weniger Stunden über die standardisierten Prozesse und technischen Protokolle an die zentrale Identity Federation angeschlossen werden – eine massive Zeitersparnis im Vergleich zum Entwicklungsaufwand für eine eigene Lösung zur Authentifizierung und Autorisierung.

Das könnte dich auch interessieren

Blogbeitrag

Passkeys: Die Schlüssel zu einer sichereren und passwortlosen Zukunft

Die Frequenz von Phishing-Attacken steigt immer weiter. Wie sieht also die Authentifizierung der Zukunft aus?
Weiterlesen
Blogbeitrag

Entra Private Access – Zero Trust für den hybriden Arbeitsplatz?

Mit Entra Private Access entwickelt Microsoft derzeit die wohl weitsichtigste Lösung für einem Hybriden Arbeitsplatz.
Weiterlesen
Blogbeitrag

Microsoft Copilot

Microsoft läutet mit dem Copiloten eine neue Ära der KI ein. Der Copilot ist mit dem neusten 23H2-Feature-Update für Windows 11 verfügbar und beinhaltet mehr als 150 neue Funktionen.
Weiterlesen
Whitepaper

Lizenzänderungen bei Citrix – Was Sie jetzt wissen müssen

In unserem kostenfreien Whitepaper bringen wir Licht ins Dunkle und erklären Ihnen, was Sie über die aktuelle Situation bei Citrix und die damit einhergehenden Änderungen wissen müssen.
Weiterlesen
Blogbeitrag

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

Wir erklären, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger DSGVO-konform einsetzen möchten.
Weiterlesen
Blogbeitrag

Verlängerter Support für Windows Server 2012/R2

Der Support für Windows Server 2012/R2 läuft aus, was bedeutet, dass Microsoft keine Sicherheitsupdates mehr bereitstellt.
Weiterlesen
Blogbeitrag

Verified Credentials

In diesem Beitrag geht es um die Konfiguration der Verified Credentials und die dafür benötigten Azure-Komponenten.
Weiterlesen
Blogbeitrag

Neuer Angemessenheits-beschluss für den Datenverkehr EU-USA

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen,
Weiterlesen
Blogbeitrag

How to: Zuweisung des Citrix Renewal Partner

Wir erklären Ihnen, wie Sie Ihren Renewal Partner bzw. Solution Advisor in Citrix „My Account“ hinzufügen oder ändern.
Weiterlesen
Blogbeitrag

Citrix NetScaler ADC und Gateway – Kritische Schwachstellen

Citrix warnt seine Kunden vor den kritischen Sicherheitslücken. Administratoren sollten deshalb ihr Security Bulletin überprüfen.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter