Trusted SaaS im Handwerk: flexibel – integriert – kooperativ Single Sign-On in der Cloud am...
-
Upload
gabriele-schmude -
Category
Documents
-
view
106 -
download
3
Transcript of Trusted SaaS im Handwerk: flexibel – integriert – kooperativ Single Sign-On in der Cloud am...
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Single Sign-On in der Cloud am Beispiel des CLOUDwerker-Projektes
Kloster Banz, 09.09.2013, Thomas v. Bülow, 1&1 Internet AG
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Partner
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Vision der Plattform
• CLOUDwerker entwickelt ein Konzept, um IT-Dienste für Handwerker als Software-as-a-Service anzubieten
• CLOUDwerker als Informations- und Transaktionsdrehscheibe zu anderen Unternehmen, dem Kunden und der öffentlichen Verwaltung
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
1&1 WebDesk als Beispiel für den CLOUDwerker Markplatz Prototyp
• Zielsetzung
- Integrierter mobiler Handwerker Arbeitsplatz- Erweiterbar durch den Handwerker mit weiteren Diensten- Anpassbarkeit der Dienste durch den Handwerker- Automatische Integration der Daten Dienste-übergreifend
• Motivation
- E-Bilanz, E-Bundesanzeiger, Gesetze, Normen, Richtlinien- Prozesse, Ressourcen, Termine, Mitarbeiter, Kunden- Heutige HW/SW-Infrastruktur und Daten
• Funktionalität
- Der Handwerker meldet sich bei allen Diensten nur einmal an.- Der Handwerker speichert seine Daten nur einmal- Die Plattform bietet Automatisierungsmöglichkeiten für das
Single Sign On, für Datensicherung und Integration, Sicherheit.
Vorstellung des fachlichen Konzepts, Freiburg, 25.04.2013
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Grundelemente der Plattform
Handwerker 3Handwerker 2
CLOUDwerker-Plattform
Marktplatz
gewerkespezifisch
Dienstebündel
Dienst BDienst B
Billing/PricingIdentity &
Access-Mgmt
Plattform-Management-Dienste
…
Service-Hub
…
Service-Hub
B2BBetrieb - Betrieb
B2CBetrieb - Kunde
B2GBetrieb - öffentliche Verwaltung
Auswahl eines Dienstes
Datenaustausch nach außen
Datenaustausch innerhalb eines Dienstebündels
Von Handwerker ausgewählter Dienst
Handwerker 1
Dienst (z.B. E-Mail, Rapport)
Web-browser
Web-browser
…
Handwerker 3
ERP Office
…
Handwerker 2
ERP CRM
…
Handwerker 1
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Zuverlässige Servicebündel
Handwerker 3Handwerker 2
CLOUDwerker-Plattform
Marktplatz
TSF
gewerkespezifisch
Dienstebündel
Dienst BDienst B
Billing/PricingIdentity &
Access-Mgmt
Plattform-Management-Dienste
…
Service-Hub
…
Service-Hub
B2BBetrieb - Betrieb
B2CBetrieb - Kunde
B2GBetrieb - öffentliche Verwaltung
Automatische Auswahl eines Dienstes
Datenaustausch nach außen
Datenaustausch innerhalb eines Dienstebündels
Von Trusted Service Finder ausgewählter Dienst
Handwerker 1
Dienst (z.B. E-Mail, Rapport)
Web-browser
Web-browser
…
Handwerker 3
ERP Office
…
Handwerker 2
ERP CRM
…
Handwerker 1
Auswahl von Diensten mit Trusted Service Finder
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Bedrohungsszenario
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Angriffsmöglichkeiten
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Login Control Center
® 1&1 Internet AG 2013
Nach der Eingabe von http://login.1und1.de wird direkt eine Session ID erstellt.
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Login Webmailer
® 1&1 Internet AG 2013
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Login Online Storage
® 1&1 Internet AG 2013
In der App ‚Online Speicher‘ wird der Username statt einer Session ID mitgeführt.
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Service-Integration Stufe 1
EMailOnline StorageLogin
Login1. 2.
4. upload
3.download
KundendatenRechnungen
LoginCAS
LoginLexOffice
1. 2.3.
4.
1. Anmeldung im Webmailer. Schreiben einer Email, es soll ein Dokument angefügt werden2. Anmeldung am Online Storage3. Ohne SSO kann nur durch Download des Dokumentes dieses zum Upload verfügbar
gemacht werden.4. Ohne SSO kann nur der normale Upload genutzt werden.
Ähnliches gilt beim Zugriff auf Services von einem Arbeitsplatz aus: Cut/Paste, Export, Import
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Single Sign On zu Mail, Storage, SaaS, SSA
® 1&1 Internet AG 2013
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Control Panel mit Selbstbedienung
® 1&1 Internet AG 2013
1.
2.
3.
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Der Shop übernimmt die User Session
® 1&1 Internet AG 2013
4.
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Sessionmanagement im SSO
® 1&1 Internet AG 2013
1. Control-Center: geschützte Verzeichnissehttps://mein.1und1.de/xml/config/HttpOverviewNG;jsessionid=0F9B52077A46298059EDA16EE347D52A.TCpfix311a?__lf=HomeFlow
3. Wechsel vom Control-Center zum Homepage-Shophttps://homepage.1und1.de/?&ac=OM.PU.PU263K204547T7073a&usessId=ac1311b5rIUq4KerKpFiGiREfMfeQCDD
2. Control-Center: Rechnungsmanagementhttps://mein.1und1.de/xml/config/ContractInvoiceOverview;jsessionid=0F9B52077A46298059EDA16EE347D52A.TCpfix311a?__lf=HomeFlow
4. https://hosting.1und1.de/linux-hosting?&ac=OM.PU.PU263K204549T7073a&usessId=ac1311b5rIUq4KerKpFiGiREfMfeQCDD
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Systemanmeldungen Sessionbased ohne HIP SSO
1&1
Control Center
WebDesk
HIP SSO
Identity Provider
ShopEMail
Online Storage
Login
Nach Login an der Plattform werden Email, Storage, Control Center etc. ohne weiteres Login genutzt. Der Shop erhält Vertragsdaten.
VertragVertrag
Vertrag
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Trusted Plattform, mit 1&1 HIP
1&1
Control Center
WebDesk
HIP SSO
Identity Provider
ShopEMail
OnlineStorage
LoginMit HIP Registry und HIP AaaS ist Single Sign On und Interoperabilität von Webservices und On-Premise SW möglich.
Verträge
Login
Login
3rd party on-premiseLogin
ServiceRegistry
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Nutzer zu Service Identifikationexterner IdP z.B. OpenID
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Service zu Service Authorisierung mit HIP AS / SSO
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Beispiel von RESTful HTTP
POST /hip-authorizationservice/oauth/tokenAuthentication: Basic Lmdas9AsD==Content-Type: application/x-www-form-urlencodedgrant_type=client_credentials&scope=hip-bundle
HTTP/1.1 200 OKContent-Type: application/json{"access_token":"450d81fd-b868-424c-da00-8256b571de73","token_type":"bearer","expires_in":43199,"scope":"hip-bundle"}
Request an Access Token
Response
GET /hip-authorizationservice/oauth/resource/approval?access_token=1234abc-123&verb=PUT&resource=/bundles/hip-bundleAuthentication: Basic Zfa8923mfklasdasflsklsdhfJhasa==
Access Token Approval
Response
HTTP/1.1 200 OK
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Nutzer zu Service Authenfikation
• SSO/Jump Between Applications
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ
Anforderungen an SSO
• Plattformunabhängig
• Plattformkonform
• Basierend auf Standards
- SAML- OAuth2- RESTful HTTP
• Für Nutzer und Dienste
Vorstellung des fachlichen Konzepts, Freiburg, 25.04.2013