Ende der Unterstützung für mehrere Authentifizierungsmethoden

Haben Sie sich jemals gefragt, warum Sie bei einer Anmeldung bei DRACOON aus mehreren Authentifizierungsoptionen (E-Mail-Anmeldung, Anmeldung über Active Directory, OpenID Connect oder RADIUS) wählen müssen? Der Grund ist, dass ein Benutzer sich bei DRACOON alternativ mit mehreren dieser Methoden am System anmelden kann. Zudem gibt es bis heute bei DRACOON keinen eindeutigen Benutzernamen, der für eine Anmeldung genutzt werden kann. Zwar muss die E-Mail-Adresse eindeutig sein, aber diese Eindeutigkeit ist lediglich auf eine Authentifizierungsmethode festgelegt.

Diese beiden Beschränkungen erfordern, dass der Nutzer bei jeder Anmeldung dem Server mitteilen muss, welche Authentifizierungsmethode genutzt werden soll. Unsere eigenen Erfahrungen damit und das Feedback unserer Kunden dazu ist sehr negativ: selbst erfahrene Benutzer wählen immer wieder versehentlich die falsche Methode und können sich folglich nicht anmelden. Dieses Problem trat insbesondere bei DRACOON für Windows/Mac häufig auf. Zudem wurden von Benutzermanagern oft zusätzliche (nicht benötigte) Authentifizierungsmethoden bei Benutzern versehentlich aktiviert.

Auf der Haben-Seite bietet diese Funktion kaum Mehrwerte für unsere Kunden. Lediglich ein einziger wirklicher Vorteil besteht: Melden sich sämtliche Benutzer über eine externe Benutzerdatenbank (z.B. ein Active Directory oder einen OpenID-Connect-fähigen Identity Provider) an, so kann dies bei einer veränderten Netzwerkkonfiguration (z.B. hat sich die Adresse der Nutzerdatenbank geändert) dazu führen, dass eine Anmeldung unmöglich wird – und damit auch eine Korrektur der Konfiguration. Einige wenige Administratoren (Konfigurationsmanager) haben daher für ihren eigenen Account zusätzlich eine Anmeldung per E-Mail-Adresse und lokalem Passwort aktiviert, so dass sie sich im Notfall noch anmelden können. Dies wäre jedoch auch mit einem separaten zusätzlichen Benutzerkonto umsetzbar.

Auf Basis dieser Betrachtung haben wir uns dazu entschieden, die Nutzung unterschiedlicher Authentifizierungsmethoden für einen einzelnen Account nicht länger zu unterstützen. Davon nicht betroffen ist die weiterhin mögliche Nutzung verschiedener Authentifizierungsmethoden in einer DRACOON-Umgebung. Das bedeutet, dass beispielsweise weiterhin gleichzeitig einige Benutzerkonten mit Active-Directory-Anmeldung und andere Benutzerkonten mit E-Mail-Anmeldung existieren können.

Einschränkungen

Mit dem nächsten LTS-Release wird die Option, mehr als eine Authentifizierungsmethode mit einem Benutzer zu verknüpfen, nicht mehr verfügbar sein. Bestehende Benutzer, die zwei oder mehr Authentifizierungsmethoden nutzen können, sollten vor einem Update angepasst werden. Wir empfehlen, für die betroffenen Benutzerkonten je ein oder mehrere zusätzliche Benutzerkonten mit unterschiedlicher Authentifizierungsmethode anzulegen.

Beispiel

Der Benutzer Max Mustermann besitzt einen Account mit zwei Authentifzierunungsmethoden. Er kann sich über Active Directory (max.mustermann) und lokal über E-Mail-Adresse (max.mustermann@firma.de) anmelden.

Empfohlene Lösung:

Max Mustermann legt für seinen lokalen Benutzer einen zusätzlichen Account an und weißt ihm die benötigten Berechtigungen und Rollen zu. Anschließend entfernt er die lokale Authentifizierungsmethode aus seinem alten Account. Er besitzt nun zwei voneinander unabhängige Accounts.

Vorteile in der weiteren Entwicklung von DRACOON

Wir werden einen für die jeweilige Umgebung eindeutigen Benutzernamen für jeden Account einführen, der unabhängig von E-Mail-Adressen bestehen kann. Damit wird es erstmals möglich, dass ein Nutzer zwei unterschiedliche Accounts mit der gleichen E-Mail-Adresse (aber unterschiedlichen Benutzernamen) verwendet. Zudem müssen bei der Anmeldung neben dem Benutzernamen und dem Passwort keine weiteren Informationen (wie Authentifizierungsmethode) mehr ausgewählt werden, was die Nutzung von DRACOON erheblich vereinfacht.

Mittelfristig ergeben sich durch diese Vereinfachung weitere Optionen im Bereich des Policy-Managements, um beispielsweise konkrete Vorgaben zu machen, aus welchen IP-Adressbereichen eine Anmeldung für bestimmte Benutzer möglich sein soll.

Migration

Es ist erforderlich, vor dem Update alle betroffenen Accounts wie oben beschrieben auf mehrere Accounts aufzuteilen. Vor dem Einspielen des Updates wird geprüft, ob weiterhin Accounts mit mehreren Authentifizierungsmethoden existieren. Ist dies der Fall, lässt sich das Update nicht installieren.