Eerder schreef ik al eens over het toepassen van SAML en waarom je dit nou zou inzetten. Ben je het even vergeten? https://www.martijnverheij.nl/wat-is-nu-saml-authenticatie-en-wie-heeft-dit-nodig/

De ontwikkelaars van SafeNet (Thales) hebben een product ontwikkeld waarmee een Single Sign-On ervaring en Identity-as-a-service is gecombineerd.
De afgelopen maanden heb ik de kans gekregen om het product wat meer aan de tand te voelen.

Voordelen:
Enkele voordelen die ik zag als vergelijking met o.a ADFS of MFA.

  • Gefedereerde Slimme Single Sign On ervaring
  • Vooraf gerealiseerde templates om koppelingen met applicaties te bouwen
  • Centrale plek waar je toegangs beleid kunt inregelen.
  • Flexible vormen van authenticatie middelen
    • Hardware tokens
    • Software tokens
    • SMS tokens
    • Certificaat gebaseerde authenticatie
    • Windows geïntegreerde authenticatie
    • GrIDsure (op basis van een patroon)
  • Draait niet in je eigen datacenter, daardoor altijd beschikbaar.
    Bij ADFS heb je toch extra investeringen nodig om het hoog beschikbaar aan te bieden.
  • Import van externen of indirecte medewerkers via een CSV bestand. Deze personen voorzie je toch van een veilig authenticatie middel zonder dat hiervoor een autorisatie benodigd is in de on-premise infra.
  • Sinds MFA van Microsoft niet meer losverkocht wordt, is dit onderdeel van Azure AD Premium P1 geworden. Hierdoor kun je STA echt gaan overwegen voor je organisatie.

Nadelen:
Een nadeel die ik constateerde

  • Er is nog maar beperkte ondersteuning voor on-premisse applicaties.

Simpel en eenvoud

Waar ik het meeste voorkeur aan geef zijn producten die eenvoud uitstralen en simpel zijn in te richten.
Met SafeNet Trusted Access (STA) had ik dit gevoel ook. Ik had vrij snel het product ingericht en een koppeling gelegd met een on-premise Active Directory in mijn testlab.
Belangrijk aspect wat je niet moet vergeten dat STA samenwerkt met SafeNet Authentication Cloud. Een aantal onderdelen en instellingen zullen vanuit de SafeNet Authentication Cloud uitgevoerd moeten worden, waaronder het configureren van de AD Synchronisatie.
Het aanmaken van authenticatie beleid instellingen en het aansluiten van cloud applicaties gebeurt weer vanuit de SafeNet Trusted Acces portaal.

Na het realiseren van de Active Directory Synchronisatie kwamen de vervolgstappen.
Er zitten zoveel mogelijkheden in de oplossing dat het verstandig is om authenticatie beleid vooraf helder te maken en in kaart te brengen. Je kunt zoveel opties instellen denk daarbij aan “Vanuit welk interne IP netwerk komt de eindgebruiker” of “Wat voor operating system wordt er gebruikt”

Deze beleidsinstellingen voeg je weer samen aan de AD groep en applicatie.
Mijn tip! Bepaal goed de security afwegingen en overwegingen. Als je maar gewoon weg wat begint te klikken zie je door alle mogelijkheden de bomen in het bos niet meer.

Applicaties

Dit is omvangrijke store van producten en diensten waarmee authenticatie mogelijkheden voor zijn in te richten. Wil je hier een SAML authenticatie mogelijkheid realiseren voor Office 365, dan zoek je in de applicatie sectie de applicatienaam, en configureer de applicatie met jou eisen en wensen. Uiteindelijk ontvangt de eind gebruiker deze dienst als applicatie in zijn dashboard.
In de applicatie configuratie onderdeel wordt stap voor stap uitgelegd wat je moet doen, de eventuele bestanden die je nodig bent staan ook al voor je klaar.
Dit alles om zo eenvoudig mogelijk een cloud applicatie beschikbaar te maken voor je organisatie.

Authenticatie

Als ik kijk naar een eindgebruikers perspectief vind ik het product eenvoudig in gebruik. Wel vind ik het jammer dat b.v. je authenticatie verzoek niet van je smartwatch kunt “goedkeuren”. Zelf had ik even moeite om de GrIDSure token te begrijpen. Ik had nog even geen handleiding gelezen dus misschien lag het daar aan.

Het gebruik van de Mobile app MobilePASS+ is ook eenvoudig en biedt zelfs een extra bescherming door de toegang tot je MFA token nog met een extra pincode of vingerafdruk af te schermen.

En heb je nog bestaande hardware tokens in gebruik. Deze zijn eenvoudig te koppelen in het systeem. Deze hoef je dus niet af te schrijven.

Vanuit het dashboard heb je een snel overzicht van je authenticatie gedrag van je gebruikers.

Eindconclussie

Als je nadenkt over het gebruik van SAML in je bedrijfsomgeving, je denkt na over een goede wijze van authenticatie dan kan ik zeker SafeNet STA aanbevelen. Zeker nu MFA van Microsoft niet meer los te verkrijgen is.