Airlock IAM 8.0
Mit Vollgas in die Cloud
Unser wichtigstes Ziel für Version 8.0 war, mit Airlock IAM einen grossen Schritt in Richtung vollständige Cloud-Fähigkeit zu machen, einschliesslich horizontaler Skalierbarkeit und Verbesserungen für den Betrieb in Kubernetes.
Zudem haben wir Unterstützung für PostgreSQL hinzugefügt, eine populäre Datenbank in modernen Cloud-Umgebungen. Zur besseren Unterstützung von IAM-Implementierungen mit mehreren Instanzen wird das Benutzerprotokoll jetzt in die Datenbank geschrieben statt in herkömmliche Protokolldateien. Um die Automatisierung zu verbessern und 'Infrastructure as Code' zu unterstützen, haben wir Konfigurationsvariablen hinzugefügt, die beim Start einer IAM-Instanz initialisiert werden. Der zugrundeliegende Apache-Webserver loggt nun nach stdout, um die Integration mit Cloud-Logging-Diensten zu vereinfachen. Zu guter Letzt haben wir die Adminapp-Oberfläche etwas poliert, um sie moderner zu gestalten.
Zero Trust Segmentierung mit OAuth 2.0 Token Exchange
Komplexe Webanwendungen bestehen oft aus verschiedenen Services mit unterschiedlichen Aufgaben. So kann es sein, dass ein Frontend-Server im Auftrag des Benutzers einen Backend-Server kontaktiert, der in einer anderen Sicherheitszone läuft. Falls jede Zone über eigene Zugriffs-Tokens verfügt, kann der Frontend-Server nicht einfach das bestehende Token weiterleiten. Dafür sieht der OAuth 2.0 Token Exchange vor, dass man beim Autorisierungsserver ein gültiges Token entgegennimmt in ein neues Token umtauschen kann. Mit dieser Segmentierung der Token-Domänen kann ein Angreifer daran gehindert werden, von einem kompromittierten System aus auf weitere Server zuzugreifen.
Verbesserungen in der Adminapp
Der Adminapp wurde eine neue Angular-Version sowie diverse Verbesserungen spendiert:
- Gezielte Erweiterung der Benutzerverwaltung: Mit dieser neuen Javascript-API können zusätzliche Registerkarten zur Benutzerverwaltungsoberfläche hinzugefügt werden. Diese Tabs können z.B. externe Daten und Funktionalitäten enthalten, die dem Helpdeskmitarbeiter helfen.
- Die Suchleistung in sehr großen Datenbanken wurde durch eine wesentlich feinere Konfiguration des Suchverhaltens erheblich verbessert. Es ist jetzt möglich, die Standardsuche auf die Suche nach ganzen Wörtern auszurichten und die Vorteile spezialisierter Indizes voll auszunutzen.
- Schnellere Validierung: Unsere Ingenieure haben hart daran gearbeitet, den Validierungs- und Aktivierungsprozess zu beschleunigen, was bei grossen und komplexen Konfigurationsdateien spürbar ist.
Halten Sie Ihre Benutzer auf dem Laufenden
Die Benachrichtigungen über Ereignisse wurden seit IAM 7.5 mit jeder Version erweitert. Mit Version 8.0 sind erneut neue Funktionen hinzugekommen:
- Anmeldung von einem neuen Gerät
Wenn sich jemand mit einem bisher unbekannten Browser anmeldet, kann der Benutzer darüber benachrichtigt werden. Diese SMS oder E-Mail kann den Standort oder weitere Browserinformationen enthalten.
- Geräte-Token-Änderungsereignisse
Das Hinzufügen, Ändern und Löschen von Gerätetoken erzeugt nun auch Ereignisbenachrichtigungen, und es kann ein Ereignisabonnent konfiguriert werden, der die Benutzer über diese Ereignisse informiert.
- Events an andere Server weiterleiten
Mit einem neuen Event Subscriber können Ereignisse an einen entfernten REST Service gesendet werden.
Verbesserte Sicherheit
Getreu seiner DNA wurde die Sicherheit von Airlock IAM in mehreren Bereichen verbessert:
- Strenge WAF-Sicherheitsregeln
Die Mapping Templates für Airlock Gateway wurden aktualisiert, um die REST API von Airlock IAM besser zu schützen. Dies erfordert eine Konfigurationsänderung in Airlock Gateway nach dem Upgrade von Airlock IAM.
- Gehärtete Content Security Policy
Mit dem Einzug der Cloud sehen wir immer mehr Anwendungsszenarien, in denen auch die Adminapp für Remote-Benutzer zugänglich ist. Um solche Szenarien sicherer zu unterstützen, wurde die Adminapp CSP verbessert.
- Keine irreführenden log4j-Warnungen
Kurz nach Bekanntwerden der log4shell-Sicherheitslücke hatten wir die Log4j-Bilbiotheken in IAM gepatcht. Mit IAM 8.0 haben wir unseren Code auf die neuste Version von log4j aktualisiert, damit Sicherheitsscanner keine irreführenden Warnungen mehr ausgeben.
Profitieren Sie von der neuen Loginapp
Egal wie komplex Ihre Anforderungen sind: Mit der Loginapp setzen Sie benutzerfreundliche Login-Flows schnell und sicher um. Zahlreiche Standardmodule können flexibel angeordnet und angepasst werden, um komplexe Authentifizierungs- und Autorisierungsszenarien und eine breite Palette von Self-Services zu unterstützen, vom einfachen Zurücksetzen des Passworts bis zur Verwaltung von 2FA-Geräten.
Das Loginapp Design Kit ist ein UI-Simulator, mit dem Designer und Frontend-Entwickler das Look & Feel der Loginapp einfach an ihre Corporate Identity anpassen können. Sie können alle Screens lokal auf ihrem Rechner verändern, ohne Zugang zu einem IAM-System.
Major Release
IAM 8.0 wurde auf Docker Hub und der Airlock Techzone publiziert. Dieser Major Release beinhaltet eine Reihe einschneidender Änderungen. Einige abgekündigte Funktionen wurden definitiv entfernt, dazu gehört auch die JSP-Loginapp. Als Vorbereitung auf den Upgrade auf IAM 8.0 empfehlen wir das Studium der Release Notes inklusive Upgrade-Anleitung. Airlock IAM 8.0 wird voraussichtlich bis 01/2025 unterstützt. Falls Sie noch IAM 7.6 oder älter im Einsatz haben, empfehlen wir Ihnen ein baldiges Update.