Echtes Single Sign On mit Univention

10.08.2023 - Robert Siedl

Der Univention Corporate Server (UCS) hat sich in den letzten Jahren vom klassischen Windows Domänen Controller bzw. Active Directory Ersatz zum zentralen Identity Management System weiter entwickelt.

Im UCS können Benutzer, Gruppen/Rollen, Berechtigungen und Infrastrukturdienste verwaltet werden. Die Authentifizierung von IT-Services wie beispielsweise der Computer Login, Anmeldung in die NextCloud oder Rocket.Chat übernimmt der UCS Server. Ebenso kann die Authentifizierung von Microsoft 365 Cloud Services, Adobe Cloud Services oder Google Cloud Services über den Univention Corporate Server erfolgen.

Mit UCS 5 wurde Keycloak zum Standard Identity Provider für SAML- und OpenID-Connect Authentifizierung und löst die bisherigen Methoden SimpleSAMLphp und Kopano Connect ab. Dadurch wurde die Single Sign On Anmeldung wesentlich erweitert und verbessert.

Wie kannst du dir das Single Sign On in der Praxis vorstellen?

Nehmen wir an, du hast einen Univention Corporate Server als zentrales Identity Management System im Einsatz, in dem alle User und Gruppen angelegt sind. Du verwendest Services wie Domänen Dienste, Fileserver, Filesharing, E-Mail, Chat, Microsoft 365 Apps for Business, Microsoft 365 Sharepoint in der Azure Cloud und andere externe Webservices.

Der Benutzer meldet sich im Büro mit seinem Desktop (Microsoft Windows Client, Apple MAC, Google Chrome Book oder ein Ubuntu Linux Desktop) im Netzwerk an. Durch das Single Sign On Verfahren hat der User – ohne weitere Anmeldung – Zugriff auf die Fileserver, ist beim Öffnen vom MS-Outlook sofort angemeldet, die Microsoft Office Programme sind in der Azure Cloud authentifiziert, die NextCloud ist online und mit einem Klick auf Microsoft 365 Sharepoint ist der User auch in der Cloud eingeloggt. Es ist keine weitere Eingabe vom Login und Kennwort mehr notwendig. Wenn der Benutzer das Kennwort ändert, dann ist beim erneuten Login am Desktop ebenfalls keine weitere Kennworteingabe mehr notwendig.

Wenn der Benutzer von unterwegs oder vom HomeOffice aus mit einem privaten Gerät arbeiten möchte, dann meldet er sich im UCS Portal über SSO an. Dort findet er alle seine freigeschalteten Services übersichtlich aufgelistet. Durch die SSO Anmeldung ist er durch einen Klick auf beispielsweise Zimbra, Rocket.Chat, ownCloud oder OpenProject ohne weiterer Kennworteingabe in der Webapplikation eingeloggt.
Anmerkung: Natürlich kann der User auch gleich in zB: Zimbra einsteigen und wird über SSO authentifiziert, was bedeutet wenn er im zweiten Step die ownCloud öffnet wäre er auch dort gleich angemeldet.

Ich verwende das UCS Portal gerne als zentralen Einstiegspunkt, an welchem sämtliche für mich als User freigeschaltete interne und externe IT-Services gesammelt bereitgestellt werden. Um die IT-Sicherheit zu erhöhen empfehlen wir eine 2-Faktor-Authentifizierung für den externen Zugriff auf IT-Services.

Der große Vorteil vom Univention Corporate Server als zentrales Identity Management System ist, das heterogene Services mit unterschiedlichen Authentifizierungsmethoden über Single Sign On authentifiziert werden können. Lokale Dienste in deinem Netzwerk wie klassische Domänen Anmeldungen mit unterschiedlichen Client-Technologien und Zugriffe auf die Fileserver, unterschiedliche Webdienste, welche bei dir im Netzwerk oder im Rechenzentrum laufen oder Public Cloud Services wie Microsoft365, Google Workspace oder die Adobe Cloud Dienste können mit UCS über Single Sign On authentifiziert werden. Nebenbei bleibt das Kennwort steht’s auf deinem System und mit einem Klick kann ein neuer User für alle Services angelegt oder gesperrt werden. Des weiteren wird die IT-Sicherheit erhöht, weil leichter komplexe Kennwortvorgaben eingeführt werden können.

Ich finde, die Implementierung von Keycloak in UCS ist sehr gut gelungen, vereinfacht die Anmeldung der User und erhöht die IT-Security. UCS als Identity Management System ist eine nachhaltige und kostengünstige Lösung, weil durch offene Standards heterogene Services, digital souverän authentifiziert werden können.

Liebe Grüße,

Robert