Na de migratie van on-premises naar cloudhosting op Approach-servers, uitte een van onze klanten de wens om een SSO-aanmelding te integreren in Atlas met behulp van Microsoft Azure AD om het verificatieproces te vereenvoudigen.
Waarom een SSO aanmelding implementeren met Microsoft Azure AD?
Door over te stappen op een SSO-authenticatie zouden hun gebruikers op een snelle en veilige manier verbinding kunnen maken met de Atlas Web App via hun bedrijfsreferenties. Het belangrijkste voordeel is dat gebruikers niet langer een aparte set inloggegevens nodig hebben om toegang te krijgen tot het platform.
Wat zijn de voordelen?
De SSO-authenticatie biedt organisaties eenvoudige en snelle toegang tot Atlas. Zonder dat gebruikers meerdere inloggegevens hoeven bij te houden.
Bovendien is de gegevensbeveiliging verbeterd omdat er een enkel authenticatiepunt wordt gebruikt bij het rechtstreeks verzenden van de referenties naar de IDP, wat de mogelijkheid verkleint dat deze uitwisselingen met kwade bedoelingen worden onderschept.
Het gebruik van de Access Gateway biedt klanten veel voordelen:
- Een eenvoudige plug’n’play-oplossing
- Compatibel met alle toepassingen
- Cloud compatibiliteit
- Totale bescherming tegen externe toegang. Aangezien MFA een token levert dat wordt gecontroleerd door de Access Gateway om toegang te krijgen tot de webapplicatie
Use case: hoe werd de verandering geïmplementeerd binnen ATLAS?
ATLAS is een zeer configureerbare .Net webapplicatie. Het is ontworpen om expats, managers en beheerders toegang te geven tot een gecentraliseerde gegevensbron op basis van verschillende toestemmingsniveaus, afhankelijk van de toegewezen rol van de gebruiker.
Ontworpen, eigendom en onderhouden door het Secure Development team van Approach, blijft beveiliging een prioriteit. Vooral vanwege de gevoelige aard van de gegevens die in ATLAS worden opgeslagen.
Om de database goed te beveiligen, is authenticatie nodig voor alle gebruikers die verbinding proberen te maken met het platform. Maar dit vereist weer een extra set referenties.
Om Atlas succesvol te verbeteren om een SSO-authenticatiestroom te ondersteunen met behulp van een SAML-protocol op Microsoft Azure AD, hebben onze ontwikkelaars twee oplossingen geïdentificeerd:
- Er moesten nieuwe ontwikkelingsinspanningen worden geleverd in Atlas. Om de aanvullende configuraties en applicatiestroom op te nemen om SSO met behulp van het SAML-protocol te ondersteunen
- De klant maakte al gebruik van Approach’s WAF Application Intelligence om Atlas te beveiligen. Er was een Access Gateway-functie beschikbaar om SSO te ondersteunen met behulp van het SAML-protocol op Microsoft Azure AD.
Na rijp beraad koos ons team voor de tweede optie.
Waarom een Access Gateway gebruiken om SSO te ondersteunen?
Hoewel de eerste oplossing inhoudt dat Atlas volledige controle houdt over de configuraties van de aanvullende authenticatiestroom. Dit voorstel zou extra ontwikkelingswerk in de applicatie en extra configuraties met zich meebrengen, waardoor de onderhoudskosten voor de extra authenticatiestroom ter ondersteuning van het SAML-protocol zouden toenemen.
Voor deze klant, Atlas wordt gehost achter een WAF en de bijbehorende Access Gateway, zorgt de tweede oplossing ervoor dat er minder ontwikkelingswerk gedaan hoeft te worden omdat alleen de extra request header waarde, geleverd door de WAF, gelezen hoeft te worden om de gebruiker te identificeren.
Dit vermindert het gebruik van een pakket van een derde partij om het extra authenticatieprotocol af te handelen.
Omdat alle webverzoeken die bij Atlas binnenkomen al geïdentificeerd zouden zijn, zouden er slechts kleine configuraties en geen extra authenticatiestroom binnen de Atlas-applicatie nodig zijn. Tegelijkertijd zou het gebruik van het OpenID Connect protocol onze bestaande SSO-verificatie overbodig maken.
In het algemeen zou Atlas vereenvoudigd worden om een SSO authenticatie te leveren in toekomstige organisaties die gebruik maken van een Access Gateway ondersteund protocol. Dit zou het beheer van cycli van toegangstokens vereenvoudigen omdat het bijvoorbeeld een verlopen token automatisch zou kunnen vernieuwen.
Het toegangstoken zou verder kunnen worden verstrekt in de request header naast de geauthenticeerde gebruikers e-mail om te worden gebruikt in ruil voor een SAML Assertion en een ander toegangstoken te verkrijgen van Microsoft bij het aanroepen van een Graph API.
Conclusie
SSO-authenticatie is een efficiënte oplossing die eenvoudig kan worden toegepast op de meeste webapplicaties. Hierdoor wordt de beveiliging verbeterd en de complexiteit verminderd.
Door Approach’s Access Gateway te gebruiken, zijn we in staat om de SSO-verificatie over te hevelen naar een veiligere en robuustere oplossing die anders zou worden afgehandeld door de webapplicatie.
Verder zal de Access Gateway alleen doorsturen naar de applicatie als het verzoek wordt gedaan door een geauthenticeerde gebruiker =. Dit zal de hoeveelheid onnodig verkeer naar de applicatie drastisch verminderen.