Integrationsleitfaden CMI STS 3
Der CMI Security Token Service, kurz CMI STS, authentifiziert Benutzer am CMI mittels OAuth 2.0 bzw. OpenID Connect (OIDC). Der STS stellt Nutzern und Applikationen signierte JWT-Tokens aus, die von den CMI-APIs akzeptiert werden. Standardmässig erfolgt die Authentifizierung gegen die Nutzerdatenbank im CMI (BuiltIn-Login). Alternativ kann der STS die Authentifizierung per OIDC und WS-Federation an andere Identity Provider (z.B. ADFS, MS365, Auth0, KeyCloak, etc.) delegieren. Dann muss ggf. ein Claims-Mapping im CMI erfolgen (Breaking Change zu STS 2). Ausserdem unterstützt der CMI STS 3 Zwei-Faktor Authentifizierung mittels TOTP.
Aufgabe
Vor einigen Jahren beinhaltete jede einzelne CMI-Applikation eine eigene Logik zum Anmelden eines Benutzers. Mit der zunehmenden Anzahl verschiedener Applikationen und Neuanforderungen im Bereich der Sicherheit wurde diese Architektur zunehmend zum Problem. Immer häufiger sollten CMI-Applikation auch über das Internet erreichbar gemacht werden und die Integration in unterschiedlichste Identity und Access Management Systeme (IAM) immer wichtiger.
Um diesen neuen Anforderungen gerecht zu werden, wurde 2017 die erste Version des CMI STS (Security Token Service) für unsere Kunden bereitstellt. Neben dem sogenannten BuiltIn-Login und der Active Directory Integration konnten CMI-Applikationen den Authentifizierungsprozess an den CMI STS delegieren. Das ermöglicht es der CMI Lösungsplattform, die Authentifizierung für alle Applikation einheitlich, zentral und sicher durchzuführen. Die neuste Web Client Generation erfordert in jedem Fall einen CMI STS, um eine sichere Authentifizierung zu gewährleisten.
Wenn ein Identity Provider (IDP) zur Verfügung steht, kann der CMI STS die Authentifizierung wiederum an ein zentrales IAM delegieren. Der CMI STS fungiert in diesem Fall als Vermittler zwischen dem IAM und der CMI Lösungsplattform.
Mit der Version 3 wurde der CMI STS grundlegend weiterentwickelt. Wie schon beim Vorgänger setzt der CMI STS 3 auf bewährte und aktualisierte Third-Party-Libraries, deren Sicherheitsmechanismen gut getestet sind, um die Authentifizierung durchzuführen. Zudem wurden viele Verbesserungen vorgenommen, die einen einfacheren Betrieb ermöglichen.
Die folgende Skizze zeigt eine Variante, bei der CMI STS die Authentifizierung an den IDP «Active Directory Federation Services» (ADFS) delegiert, in dem es den Benutzer auf diesen IDP umleitet. Das ADFS führt mit Hilfe des Active Directory ein Login durch. Ist es erfolgreich, wird der Benutzer zurück zum CMI STS umgeleitet, der das Login für die CMI Lösungsplattform vollständig abschliesst.
Lifecycle Policy
Der CMI STS 3 ersetzt die erste CMI STS Generation (Version 1 und 2). Es gibt ein Überschneidungszeitfenster, in dem beide Versionen unterstützt werden. Dieses Zeitfenster orientiert sich an den Release-Daten der CMI Lösungsplattform. Es gibt eine Migrationsanleitung.
CMI STS 1.x...2.x
Diese Komponente befindet sich im "Wartungsstatus". Fehler und Sicherheitslücken werden bis Ende 2024 geschlossen. CMI bietet bis Ende 2024 Support für bestehende Installationen an. Es werden keine neuen Funktionen in die Komponente eingebaut.
Voraussetzung
- Technische Abhängigkeiten und Anforderungen
- Installations- / Updateanleitung IIS
- Konfigurationsanleitung
- Migrationshilfe