Imprivata SingleSignOn Appliance
Kompatibel mit fast allen Hersteller von Tokens & SmartCards
Vasco Middleware vorinstalliert - eigene Token (auch Bio.&FingerPrint)

Imprivata® OneSign™ Authentication Management
erhöht die Netzwerksicherheit, indem es Windows-Passwörter durch eine Auswahl von starken Authentifizierungsoptionen ersetzt. OneSign Authentication Management vereinfacht die mit der Administration von Netzwerkauthentifizierungen verbundene Komplexität und Kosten, indem die Lösung Netzwerkpasswörter durch eine starke Zwei-Faktor-Authentifizierung ersetzt – unabhängig davon, ob die Benutzer online sind und sich
mit dem Unternehmensnetz verbinden möchten oder sich offline an ihrem Laptop anmelden. Die branchenweit leistungsstärkste und innovative Appliance unterstützt zudem VASCOs Digipass Token Management sowie die nahtlose Migration auf die Funktionen
von Single Sign-On- und/oder Physical | Logical. OneSign Authentication Management bietet:

• Sichere Benutzeranmeldung in Microsoft Windows-Umgebungen
• Integrierte Unterstützung für eine Vielzahl von Zwei-Faktor-Authentifizierungsmöglichkeiten
• Monitoring und Reporting, um regulative Compliance-Auflagen zu erfüllen
• Vorinstallierte Unterstützung und Verwaltung von VASCO Digipass Einmalpasswort-Token
• Digipass-Unterstützung für sowohl Online- UND Offline-Authentifizierung
  
  
  Funktionen Appliance-basiert
  Vollkommen in sich abgeschlossen und sicher verpackt.
  
  Einfach zu benutzen, einfach zu verwalten
  Eine zentrale Anlaufstelle für die Verwaltung von Benutzern, Authentisierungen und Richtlinien; unproblematisch: keine Änderungen an bestehenden Netzwerken, Verzeichnissen oder am Workflow der Benutzer notwenig.
  
  Fest integrierte Zwei-Faktor-Authentifikation
  Unterstützt von Haus aus eine Reihe von starken Authentifizierungoptionen einschließlich: VASCO Digipass Token, Fingerbiometrie, Smartcards, Proximity-Cards, USB-Token und HID-Cards; integrierte Funktionen zur Installation von Self-Assignment und Massenoperationen. One Time Passwort Token können online und offline genutzt werden.
  
  Günstiger Preis
  Ein Gerät, ein günstiger Preis; schnelle und einfache Installation; fast keine Wartungsarbeiten; weniger als 50 Prozent der Kosten von konkurrierenden Lösungen; höherer Token-Wert: kein erzwungenes Ablaufdatum und zukünftiger Wiedereinkauf.
  
  Upgrade auf Single Sign-On und/oder Physical | Logical Problemloses Upgrade zu einer kompletten Single-Sign-On-Lösung oder integrierter physikalischer/logischer Funktionalität mit einem einfachen Lizenzschlüssel; keine zusätzlichen Installationen oder Verwaltungsaufgaben

Imprivata® OneSign™ Single Sign On (SSO)
setzt auf innovative Technologien, um Organisationen dabei zu helfen, von erhöhter Produktivität ihrer Benutzer und reduzierten Kosten bei der Verwaltung von Passwörtern zu profitieren, indem die Lösung ein Single Sign-On (SSO) für alle Ihre Unternehmensanwendungen ermöglicht.
OneSign Single Sign-On setzt dabei zum Patent angemeldete Technologien ein, um SSO ohne Modifikationen an Anwendungen zu ermöglichen. Unternehmen profitieren dabei von einer zentralisierten Passwortverwaltung, niedrigeren Kosten am Helpdesk, erhöht Produktivität und Zufriedenheit der Anwender sowie der Fähigkeit, Compliance nachzuweisen.OneSign Single Sign-On benötigt keine Modifikationen an bestehenden Anwendungen und keine Schulungen bei den Benutzern. Mit der integrierten Unterstützung für verschiedene starke Authentifizierungsmethoden und zentralisierte Passwortregeln ermöglicht es OneSign Single Sign-On Unternehmen, das Sicherheitsniveau zu implementieren, das sie für ihre Umgebungen benötigenOneSign Single Sign-On ist unverzichtbar für IT-Abteilungen, die eine heterogene Anwendungslandschaft administrieren. Denn da OneSign viele Passwörter und Anmeldeereignisse an Anwendungen durch eine einzige zentral administrierte Benutzeranmeldung ersetzt, wird die IT-Abteilung deutlich entlastet. Jetzt gibt es keinen Grund mehr, wegen einer besseren Benutzbarkeit auf höhere Sicherheit zu verzichten. Denn Imprivata ermöglicht sowohl Sicherheit als auch Bequemlichkeit mit der vollständig integrierten OneSign-Appliance.Statt auf speziell geschriebene Skripte
oder Visual Basic Code zu setzen, nutzt OneSign Single Sign-On den OneSign Application Profile Generator™ (APG), um das Login-Verhalten
von Zielanwendungen zu "lernen". Daraus generiert der APG das richtige XML-Profil, das an alle SSO-Benutzer auf Session-Basis sicher verteilt wird. Wenn neue Anwendungen hinzukommen oder bestehende Anwendungen sich ändern, kann der APG die Änderungen innerhalb von Minuten nachvollziehen, ohne dass irgendeine Betriebsunterbrechung oder Downtime auftritt.Weiterhin können Organisationen auch die OneSign Single
Sign-On Extension Objects™ einsetzen, um SSO mit beliebig vielen kritischen Geschäftsfunktionen zusammenzuführen. Dabei können OneSign-Single-Sign-On-Ereignisse die Ausführung von unabhängigen Prozeduren auslösen und dadurch mächtige Funktionen wie Roaming User Desktops, persönliche Laufwerksbuchstaben oder automatische Passwortsynchronisation ermöglichen.Die browserbasierten Werkzeuge von OneSign ermöglichen es Administratoren, die Authentifizierungsanforderungen zu administrieren und die Sicherheit ihrer Informationen durch geradlinige Richtlinien für Passwörter zu erhöhen.Administratoren können dabei Bedingungen für Passwörter wie die minimale/maximale Länge,
die Gültigkeitsdauer oder das automatisches Zurücksetzen verändern, und von Anwendungen generierten Anforderungen zum Zurücksetzen
eines Passworts automatisch berücksichtigen.

Funktionen


Automatisierung von Passwortänderungen bei Anwendungen
Mit OneSign Single Sign-On können Administratoren klare und leicht verständliche Passwortvorgaben für alle SSO-fähigen Anwendungen implementieren, die auf der primären Benutzerauthentifikation basieren. Für zusätzliche Sicherheit kann OneSign dann hinter den Kulissen komplexe Anwendungspasswörter im Namen der Benutzer rotieren. Dies erlaubt es Organisationen, die eine periodische Passwortänderung bei bestimmten Anwendungen benötigen, diese Änderungen automatisch durchzuführen.

Selbstbedienung beim Passwortmanagement
Mit dieser Option können Benutzer ohne Zutun des Helpdesks einfach ihre Passwörter zurücksetzen oder sich über neue Netzwerk- und Anwendungspasswörter informieren lassen. Administratoren können dabei Grenzwerte für die Verifizierung von Benutzeridentitäten oder Benutzergruppen festlegen. Diese werden dann zunächst aufgefordert, einige zufällig ausgewählte oder von Administrator vorgegebene Fragen zu beantworten. Sobald sie authentifiziert sind,
erbringt OneSign Single Sign-On den Service. Diesen Dienst können Benutzer sowohl über das Netzwerk oder über das Web nutzen.

Breite Unterstützung für starke Authentifizierung
OneSign Single Sign-On unterstützt von Haus aus die wichtigsten Arten der Authentifizierung – ohne dass irgendeine Integration mit Geräteherstellern notwendig wäre. Zu den Authentifizierungsmethoden zählen Passwörter, starke Passwörter, Authentifizierung oder Identifizierung über Fingerbiometrie, aktive und passive Proximity-Cards, Smartcards, Token für Einmalpasswörter, USB-Token und Kerberos-Authentifizierung. Die Administratoren entscheiden dabei, welche Benutzer welche Authentifizierungmodi haben sollen und ob sie ihre Authentifizierungsoptionen mit der Zeit aufrüsten.

Application Profile Generator™ (APG): Mausklick statt teure Skriptprogrammierung
Der OneSign Single Sign-On Application Profile Generator (APG) unterstützt SSO und Passwortänderungen für ALLE Unternehmensanwendungen – ohne die Entwicklung von Logon-Skripten, eigenen Konnektoren oder Änderungen an bestehendem Programmcode. Denn der APG lernt durch Point-and-Klick automatisch von selbst den schwierigsten Anwendungen deren Verhalten bei Anmeldevorgängen und Passwortänderungen – einschließlich von nativen Java-Clients, Telnet-Emulatoren, Web-to-Host-Anwendungen, Frame-basierten Webanwendungen und vielen mehr.

Monitoring und Reporting
Der OneSign Intelligent Agent ermöglicht es Organisationen, Passwort-bezogene Zugriffsereignisse ihrer Benutzer zu überwachen und in einer zentralen Datenbank zu speichern. Ein leicht zu bedienendes Berichtsmodul kann so die Sicherheit erhöhen und regulative Compliance anwendungsübergreifend durchsetzen. Zum ersten Mal sind Administratoren dadurch in der Lage, alle Zugriffsdaten für jeden Benutzer, jede Anwendung und jeden Rechner an einem einzigen Ort zentral zu überwachen. So lassen sich beispeilsweise sogar Benutzer enttarnen, die unter Umständen ihre Zugangsdaten zu vertraulichen Anwendungen an eine dritte Person weitergegeben haben.

Unterstützung für Provisioning
OneSign Single Sign-On bietet Unterstützung für das Provisioning auf Basis des Industriestandards der Service Provisioning Markup Language (SPML). Das SPML-basierte Provisioning ermöglicht es OnSign Single Sign-On, Benutzer und deren Netzwerk- und Anwendungsberechtigungsnachweise automatisch bereitzustellen und wieder einzuziehen. Auf diese Weise müssen Sie Ihren Benutzer niemals selbst Passwörter ausgeben. Neue Benutzer, Anwendungen und Passwortänderungen werden automatisch in OneSign abgebildet. Die Provisioning-Partner von Imprivata stellen dabei fertige Konnektoren zu OneSign zur Verfügung. Zu den Partnern zählen unter anderem Courion und Fischer International. Fragen Sie Ihre OneSign-Vertretung nach eine aktuellen Liste der Provisioning-Partner und -Konnektoren für OneSign.

OneSign Extension Objects: Roaming Desktops, Laufwerkszuordnungen und mehr
Organisationen können jetzt Ereignisse in OneSign Single Sign-On erweitern, um unbegrenzt viele geschäftskritische Funktionen zu automatisieren oder Ereignisse mit diesen zusammenzuführen. Dies wird durch die Ausführung von prozeduralem Code erreicht, der mit einem beliebigen Ereignis eines OneSign Intelligent Agent verknüpft werden kann.

Beispiele:

• Arbeitsplatzübergreifendes Management der Roaming-User-Desktop-Session
• Persönliche Laufwerkszuordnungen folgen den Benutzer, wenn er seinen Arbeitsplatz wechselt
• Automatische Synchronisation von Passwörtern zwischen mehreren Arbeitsplätzen
• Ereignisbasierte Benutzernachrichten führen einen Start-Befehl beim Login aus

• Application Profile Generator (APG)
  Unsere intelligente APG-Technologie macht alle Unternehmensanwendungen auf Anhieb SSO-fähig – egal ob legacy, Client/Server oder webbasiert. Es müssen keine eigenen Skripte erstellt werden, keine Konnektoren gebaut werden und es gibt keine langwierigen und teuren Integrationsprojekte zu managen.
• Intuitive Benutzeroberfläche
  Die Administratorkonsole von OneSign Single Sign-On verfügt über eine intuitive und leicht zu bedienende webbasierte Benutzeroberfläche. Dies ermöglicht es Unternehmen, in der kompletten Organisation Single-Sign-On einfach zu installieren, konfigurieren und auszubringen. Innerhalb nur weniger Tage können Sie Ihre Organisation komplett mit der SSO-Ausstatten.
• OneSign Intelligent Agent
  Der OneSign Intelligent Agent übernimmt automatisch alle Updatevorgänge für Sie. Er erkennt, wenn neue Versionen, Anwendungsprofile für SSO oder Sicherheitsrichtlinien für Benutzer hinzugefügt oder verändert wurden. Und auch für die Endanwender ist es einfach. Sie melden sich einfach wie immer an ihren Anwendungen an und benötigen keine Schulungen oder Änderungen an ihrer Desktopumgebung.

• Automatisierte Passwortregeln
  OneSign Single Sign-On automatisiert die Implementation von Passwortregeln, indem das System hinter den Kulissen einzigartige, starke Passwörter erstellt, um so Compliance-Vorgaben zu erfüllen. Es führt dann Passwortänderungen im Namen der Benutzer automatisch durch, was eine höhere Sicherheit gewährleistet. So beseitigt die Lösung auch Sicherheitsbrüche durch Passwörter, die auf Zettel geschrieben auf Bildschirmen und Tastaturen kleben. Und, OneSign Single Sign-On verringert die teuren Anrufe beim Helpdesk, die in Verbindung mit vergessenen Passwörtern auftreten.
• OneSign Extension Objects
  Organisationen können Ereignisse von OneSign Single Sign-On so erweitern, dass sie mit Hilfe der OneSign Extension Objects beliebig viele geschäftskritische Funktionen auslösen.
• Unterstützung für eine Vielzahl starker Authentifizierungsmodalitäten
  Mit integrierter Unterstützung für verschiedene Authentifizierungsmethoden wie Passwörter, ID-Token, aktive oder passive Proximity-Cards, Smartcards und Fingerbiometrie bietet OneSign Single Sign-On einen cleveren und effektiven Weg, um Ihre Sicherheit zu erhöhen und gleichzeitig die Vorteile und Bequemlichkeit von Single-Sign-On zu nutzen.
• Monitoring und Reporting
  Integrierte Monitoring-Funktionen ermöglichen einen Überblick darüber, welche Benutzer wann auf welche Anwendungen zugegriffen haben – einschließlich aller Aktivitäten zur Passwortänderung. Detaillierte Zugriffsprotokolle und Berichte versetzen Organisationen in die Lage, ihre Security Policies zu verfeinern und zu härten sowie die Einhaltung regulativer Vorgaben anwendungsübergreifend durchzusetzen.

• Abgeschlossene Appliance
  Als in sich abgeschlossen Appliance stellt OneSign Single Sign-On alle Funktionen zur Verfügung, die für eine effektive Implementation und Verwaltung von Single Sign-On notwendig sind. Es gibt keine zusätzlichen Anschaffungen – keine Skriptentwicklung und keine teure Integration.
• Niedrige Installations- und Betriebskosten Änderungen an Richtlinien, Anwendungen oder Benutzerprofilen lassen sich innerhalb von Minuten an der Administrationskonsole einpflegen und transparent anwenden. Benutzer bleiben produktiv und der tägliche Administrationsaufwand ist minimal.

Imprivata® OneSign™ Physical | Logical
vereint Zugangskontrollsysteme für Netzwerke und Gebäude zu einem unternehmensweiten Sicherheitsmanagement.Statt lediglich auf Zugangsausweise für Gebäude zurückzugreifen konsolidiert OneSign Physical | Logical die Identitäten zwischen physikalischen Zugangssystemen und IT-Verzeichnissen. Denn nur diese Konvergenz macht die Erstellung und den Einsatz von einer einzigen konvergenten Sicherheitsrichtlinie möglich, die den Zugriff auf das Netzwerk in Abhängigkeit von dem physikalischen Aufenthaltsort, der Rolle und/oder dem Angestelltenstatus eines Benutzers erlaubt oder verbietet.Erstmals können nun Ereignisse von physikalischen Zugangssicherheitssystemen in Entscheidungen über den Netzwerkzugang mit einbezogen werden. Dies sorgt für eine feinmaschigere Authentifizierungsschicht um Schlupflöcher zu schließen und stellt Organisationen weitere Monitoring- und Reporting-Funktionen zur Verfügung, um besser regulative Compliance nachweisen zu können.

Adressierte Sicherheitsszenarien

• Stellen Sie sicher, dass ein Benutzer, der auf Netzwerkressourcen im Büro zugreifen möchte, auch wirklich das Gebäude betreten hat

• Verbieten Sie VPN-Zugriff, wenn sich die Person bereits im Gebäude befindet

• Setzen Sie Richtlinien über den mehrfachen Ein- und Austritt sowie dem dichten Hinterherfolgen von berechtigen Personen (Tailgating) durch

• Sperren Sie sofort einen Benutzer aus allen physikalischen Einrichtungen und IT-Anlagen aus

• Konsolidierten Sie Berichte über Benutzerzugriffe entlang einer physikalischen, Netzwerk- oder Remote-Access-bezogenen Zeitachse

Bildet Identitäten zwischen physikalischen Zugangssystemen und IT-Verzeichnissen ab, um eine konvergente Richtlinie für den Zugang zum Netzwerk zu ermöglichen. Dies geschieht auf Basis:

• des physikalischen Aufenthaltsorts eines Benutzers, dessen Rolle innerhalb der Organisation und dessen Angestelltenstatus
• und schließt sowohl den lokalen als auch den entfernten Netzwerkzugriff ein

Bietet integrierte und zentralisierte Überwachung des und Berichterstattung über den Benutzergriff, um die regulative Compliance besser darstellen zu können

• Wer greift auf was zu, von wo aus und wann?

Ermöglicht eine einzige Anlaufstelle, um Benutzer sofort aus Gebäuden und dem IT-Netzwerk auszusperren

• Eliminiert Verzögerungen zwischen Zurücknahme des Ausweises und Sperrung der Benutzerkonten

Unproblematisch, kompatibel zu bestehenden physikalischen Zugangskontrollsystemen von Unternehmen

• Maximiert bestehende Investitionen in die Sicherheit
• Unabhängig von den Zugangskarten für Gebäude; arbeitet mit allen bestehenden und zukünftigen Kartentypen zusammen

Strategische Partnerlösungen

OneSign Physical | Logical bietet eine vollständige Integration von und eingebaute Unterstützung für die leistungsstärksten und fortschrittlichsten physikalischen Zugangssicherheitssysteme auf dem Markt:

• Lenel Systems International – OnGuard
• S2 Security – NetBox
• Tyco|Software House – C·Cure

OneSign Technology

User Enrollment

Administratoren von OneSign können ganz einfach Benutzer aus bestehenden Verzeichnissen importieren oder sie mit diesen synchronisieren. Der Import lässt sich selektiv auf Gruppen oder sogar einzelne Individuen beschränken; es sind keine Änderungen an bestehenden Verzeichnissen notwendig. Der Administrator kann mehrere Security Policies und Einstellungen festlegen und diese beim Enrollment Einzelpersonen, Gruppen oder speziellen Computern zuweisen. Die Einstellungen einer Policy können die Angabe einer lokalen und entfernten Authentifizierungsmethode für einen Benutzer beinhalten, die Frequenz einer Challenge, Offline-Modus, etc.

Single Sign-On (SSO) Application Enablement

Der OneSign Single Sign-On Application Profile Generator (APG) lernt das Authentifizierungsverhalten beliebiger Anwendungen und stellt diese Attribute in einem XML-Profil dar. Die Anwendungsunterstützung schließt alle Anwendungstypen einschließlich Win32, Webanwendungen, Host-basierte Mainframe-Anwendungen (mit oder ohne HLLAPI TE), kommandozeilenbasierte Anwendungen und Java JVM-Anwendungen (AWT, SWING) mit ein.

OneSign nutzt die XML-Anwendungsprofile, um das Verhalten von Anwendungen bei Login und Passwortänderung aller SSO-aktivierten Anwendungen festzulegen. Das Hinzufügen oder Verändern neuer Anwendungen für SSO ist so einfach wie die Ausführung des browserbasierten intelligenten AGP, um ein aktualisiertes Profil in XML zu erstellen. Man muss weder komplizierte Skripte schreiben noch irgendwelche Konnektoren bauen. Der OneSign Intelligent Agent entdeckt und verwaltet gültige Berechtigungsnachweise für den Einsatz in sicheren SSO-Sessions, die auf dem festgelegten XML-Profil und den SSO-Policy-Einstellungen basieren. Dies funktioniert unabhängig davon, wie auf eine Anwendung zugegriffen wird – lokal, über einen Host oder beispielsweise über einen Citrix Metaframe-Server. Berechtigungsnachweise, die SSO-Policy und die SSO-Anwendungsprofile folgen dem Benutzer sicher zu allen Unternehmensanwendungen auf Basis der Benutzerauthentifizierung gegen die OneSign-Appliance. Zugriffsberechtigungen und Policies sind nun an einen Benutzer gebunden, nicht an einen Arbeitsplatzrechner.

Credential Transport und Session Management

OneSign automatisiert die SSO-Anmeldung für einen registrierten Benutzer an vielen Anwendungen innerhalb einer Session. Anstelle einer manuellen Anmeldung an individuellen Programmen werden die Berechtigungsnachweise (Credentials) eines Benutzers transparent und sicher an beliebig viele Anwendungen weitergegeben. Dies führt zu einer einzigen sicheren und vereinheitlichten Identität, die einfach zu erstellen, zu pflegen und zu nutzen ist.

Unsere zum Patent angemeldete Technologie, Imprivata Secure eXchange (ISX), ist ein sicherer Transportmechanismus, der die Speicherung und Zustellung von Benutzer-Credentials, Richtlinien und XML-Profilen verwaltet. Die Kommunikation zwischen dem OneSign Intelligent Agent und einer OneSign-Appliance läuft immer sicher, nicht öffentlich und authentifiziert ab. Benutzer-Credentials werden während einer Kommunikations-Session in einem digitalen Tresor geschützt und können so weder kopiert noch gestohlen werden. Ein authentifizierter Benutzer erhält für die Dauer der OneSign-Session sichere SSO-Credentials für alle aktiven Anwendungen. Die Länge einer Session sowie die Richtlinien werden vom Administrator festgelegt und pro Benutzer oder Computer angewendet.

SSO-Session- und Credential-Management

Der OneSign Intelligent Agent untersucht aktiv die Tätigkeiten eines Benutzers nach Zugriffsversuchen auf Client/Server-, Legacy- oder webbasierte Anwendungen und vergleicht diese mit einer während jeder OneSign-Sitzung aktualisieren Liste von registrierten Anwendungen.

Der OneSign Intelligent Agent merkt, wenn eine registrierte Anwendung eine Funktion ausführt, die in dem Anwendungsprofil hinterlegt ist und startet dann eine entsprechende Aufgabe – wie beispielsweise die Erfassung oder Auslieferung von Credentials oder die Ausführung eines Passwortwechsels im Namen des OneSign-Benutzers. Wenn die Credentials fehlen, wartet der OneSign Intelligent Agent im Discovery-Modus darauf, dass der Benutzer den Berechtigungsnachweis für die Anwendung zur Verfügung stellt. Wenn die vom Benutzer zur Verfügung gestellten Credentials gültig sind, speichert der OneSign Intelligent Agent diese im Credential-Tresor. Wenn die Credentials zurückgewiesen werden, werden sie nicht gespeichert.

Der OneSign Intelligen Agent ist jederzeit über alle Veränderungen im Bilde, die seit dem letzten SSO-Session-Update passiert sein könnten – einschließlich Änderungen an Credentials, an Richtlinien oder an dem Verhalten von Anwendungen. Durch die Schaffung eines synchronisierten Blicks auf alle Credentials, die die Zielanwendung für eine erfolgreiche Anmeldung benötigt, kann der OneSign Intelligent Agent dynamisch und transparent alle Veränderungen für den Benutzer vornehmen. Dies ermöglicht einen nahtlosen Zugriff auf Anwendungen ohne die Notwendigkeit für administrative Eingriffe. Benutzer starten eine SSO-fähige Anwendung genau wie jede andere, beispielsweise durch den Klick auf ein Desktop-Icon, die Auswahl eines Eintrags im Startmenü von Windows oder durch einen Befehl auf der Kommandozeile. Jede Anwendung, auf die von einem unterstützten Windows-PC aus zugegriffen wird, lässt sich für SSO mit Imprivata OneSign Single Sign-On nutzen.

Benutzerüberwachung und Reporting

OneSign speichert alle SSO-Ereignisse in Logdateien, auf die der Administrator zugreifen kann. Diese Logs beinhalten eine Historie aller Änderungen an der OneSign-Konfiguration zusammen mit einem Zeitstempel und dem Benutzernamen des Administrators, um einen Audit-Trail zur Verfügung zu stellen. Events auf Client-Seite, die SSO-Dienste betreffen, werden von der OneSign Appliance gesammelt und konsolidiert, um sie zentral betrachten und darstellen zu können. Events lassen sich pro Benutzer, Anwendung oder Computer darstellen.

Einfach zu benutzende Tools ermöglichen die Erstellung von Berichten über Aktivitäten von Benutzer und Administrator, SSO-Sessions, Anwendungs-SSO, Passwortänderungen und Ausnahmeberichte für bestimmte aufgetretene Funktionsfehler.

Administratoren können jeden Bericht in eine Komma-separierte Datei (CSV) exportieren und so die Daten in Berichtsanwendungen von Drittherstellern nutzen.

Unterstützung für Authentifizierungsmodalitäten

Imprivata OneSign unterstützt wichtige Arten starker Authentifizierung von Haus aus, einschließlich starker Passwörter, digitale Zertifikate, Proximity-Cards und Fingerbiometrie.

Installationen, bei denen ID-Token-Technologie von VASCO Digiass, RSA SecurID oder Secure Computing SafeWord für eine starke Authentifizierung zum Einsatz kommt, können bestehende Investitionen sofort wirksam einsetzen – ohne eine manuelle Integration.

Unterstützung für Fingerbiometrie lässt sich automatisch ohne zusätzliche Lizenzgebühren eingesetzen. Alle notwendigen biometrischen Matching-Algorithmen sowie Technologien zur Selbstregistrierung und Benutzerauthentifizierung werden mit der OneSign-Appliance ausgeliefert. Die Interoperabilität zwischen verschiedenen biometrischen Geräten ist schnell, einfach und sicher. Die biometrische Signatur, die OneSign von dem Scanner eines Biometrieherstellers erhält, ist voll kompatibel zu der Authentifizierungsaufforderung eines Scanners von einem zweiten Hersteller. Diese außergewöhnliche Flexibilität von OneSign ist gerade für Organisationen ein wichtiges Feature, die eine heterogene biometrische Scannerumgebung benötigen.

Digitale Zertifikate werden durch die Nutzung von den standard Microsoft-Smartcard-Diensten unterstützt. Jedes Windows-kompatible Smartcard-Gerät mit kompatibler Middleware kann für eine starke Authentifizierung genutzt werden. Die Unterstützung für sowohl aktive wie passive Proximity-Cards ist ebenfalls in OneSign enthalten.

Starke Authentifizierung

Imprivata OneSign unterstützt wichtige Arten der Authentifizierung von Haus aus – ohne dass eine kundenspezifische Integration mit Geräteherstellern notwendig ist. Die Administratoren können entscheiden, welche Benutzer welche Authentifizierungsmöglichkeiten haben sollen und ob sie ihre Authentifizierungsoptionen mit der Zeit upgraden möchten. Beispielsweise könnte sich ein Administrator dazu entschließen, zunächst Passwörter zu nutzen und später stärkere Formen der Authentifizierung wie Biometrie oder Proximity-Cards einzusetzen. Authentifizierungsoptionen werden durch die OneSign User Security Policy festgelegt und auf die Benutzer auf Basis bestehender Mitgliedschaften in Verzeichnisgruppen, global oder individuell angewendet. Vor dem Einsatz zur Authentifizierung müssen OneSign-Benutzer jedes Token, jede Smartcard oder Proximity-Card registrieren und aktivieren.

Token für Einmalpasswörter

OneSign bietet von Haus aus Unterstützung für VASCO Digipass Token und hat VASCOs VACMAN-Middleware bereits in die OneSign-Appliance eingebaut. Man muss keinen weiteren Token-Management-Server kaufen oder pflegen, was Kosten spart und Komplexität verringert. Zusätzlich können Installationen, die starke Authentifizierungs-Token von Secure Computing SafeWord oder RSA Security SecurID im Einsatz haben, diese bestehenden Investitionen nutzen. Denn OneSign enthält von Haus aus die RADIUS-Integration von Secure Computings Premier Access und Remote Access Servern sowie RSAs Authentication Manager zur Desktop-Authentifizierung. OneSign kann so eine wirklich nahtlose einstufige Desktopanmeldung ermöglichen, bei der Zwei-Faktor-Einmal-Passwörter für die Anmeldung an jeder SSO-fähigen Client/Server-, Web- oder Legacy-Anwendung von einem beliebigen OneSign-fähigen Desktop zum Einsatz kommen.

Authentifizierung mit Fingerbiometrie

Eine Imprivata OneSign-Appliance enthält eine Reihe von sicheren und leistungsstarken Funktionen für Fingerbiometrie – ohne zusätzliche Kosten außer für den Fingerabdruckscanner. Bei fingerbiometrischer Authentifizierung belegen übereinstimmende Fingerabdrücke, dass ein Benutzer derjenige ist, der er/sie vorgibt zu sein.

Identifizierung mit Fingerbiometrie (optional)

OneSign unterstützt optional eine fingerbiometrische Identifizierung. Diese unterscheidet sich von der Authentifizierung in einem wichtigen Punkt. Bei der fingerbiometrischen Identifizierung ermittelt der Matching-Algorithmus die Identität des Benutzers aus der Datenbank aller registrierten Benutzer, ohne dass man einen Benutzernamen angeben muss… man spart sich also die Tipparbeit.

Fingerbiometrische Unterstützung von ThinkPad T42, Dell D-Serie und andere

OneSign unterstützt die ThinkPad-Modelle, die mit einem UPEK-Fingerabdrucksensor zur Windows-Anmeldung ausgestattet sind. Benutzer registrieren und authentifizieren sich lokal und können dann jeden UPEK-fähigen PC nutzen, um sich mit einer einfachen Fingerbewegung zu authentifizieren.

Aktive Proximity-Cards

OneSign unterstützt von Haus aus Xyloc-Proximity-Cards von Ensure Technologies. Xyloc ist ein aktives RF-Produkt, das es Benutzern ermöglicht, sich allein durch Annäherung an einem Proximity-aktivieren PC zu identifizieren. OneSign sperrt den PC automatisch, wenn sich der Benutzer wieder entfernt. Diese Funktion ist von Haus aus enthalten und der Kunde benötigt keine zusätzliche Software oder Server, um sie einzusetzen, was wiederum Kosten spart und Komplexität reduziert. Xyloc-Karten arbeiten mit den OneSign Single-User Agents oder der Shared-Workstation-Optionen zusammen.

Passive Proximity-Cards

Käufer von OneSign können die Vorteile von bereits vorhandenen, kostengünstigen passiven Karten für den Gebäudezugang als einen bekannten und einfachen Weg zur Authentifizierung nutzen, ohne neue Karten an die Benutzer ausgeben zu müssen. OneSign unterstützt die Integration der Proximity Physical Access Cards von HID und Motorola/Indala. Es ist keine Schnittstelle von OneSign zum Access-Card-Panel notwendig. Die Verbindung von einer bestehenden Karte zu einer OneSign-Benutzeridentität wird durch den pcProx-USB-Cardreader von RFIdeas Inc. automatisiert. Der Zugangskartenmodus lässt sich mit Passwort oder Fingerbiometrie kombinieren, um eine starke Zwei-Faktor-Authentifizierung zu ermöglichen.

Smartcards/USB-Token

OneSign unterstützt den Einsatz von digitalen Zertifikaten nach x.509 v3 für die Windows-Anmeldung in Active-Directory-Umgebungen. Die Authentifizierung per Smartcard gestattet dem Benutzer in einem Zug den Zugang zum Netzwerk und zu einer SSO-Session. OneSign ist voll kompatibel zu den Zertifikatsdiensten des Microsoft Active Directory und kann jede Smartcard oder jedes USB-Token nutzen, das ein MS-kompatibles Login-Zertifikat und kompatible Middleware für Active-Directory-Umgebungen mit Windows-2000- oder XP-Professional-Desktops enthält. Smartcards, die dem U.S. Departement of Defense (DOD) Common Access Card Standard entsprechen, werden ebenfalls für den Einsatz bei der MS Active Directory Desktop-Authentifizierung und SSO in einem Schritt unterstützt.

Kerberos-Authentifizierung für MS Active-Directory-Passwörter

OneSign unterstützt die Auswahl zwischen nativer Benutzername/Passwort-Authentifizierung mit oder ohne Kerberos für MS Active-Directory-Umgebungen. Der Kerberos-Modus bietet eine höhere Authentifizierungsgeschwindigkeit und zusätzliche Verschlüsselung für Passwortnutzer in OneSign.

Sicherheit
Imprivata OneSign ist eine stabile und leicht zu installierende Appliance, die mit dem Ziel entwickelt wurde, Funktionen zur unaufdringlichen starken Authentifizierung sowie für Single Sign-On an dem kompletten Portfolio von Unternehmensanwendungen zur Verfügung zu stellen. Der vielschichtige Ansatz von OneSign entschärft viele bekannte Sicherheitsrisiken in Unternehmensnetzen, für Anwendungen, für Daten unterwegs und auf Client-PCs.

OneSigns zahlreiche Schutzschichten machen Client, Server und die Datenübertragung sicher. Um einen nicht-authorisierter Zugang zu erlangen, müsste man gleichzeitig zahlreiche integrierten OneSign-Sicherheitschichten knacken, was so gut wie unmöglich ist. Zu den Schichten zählen unter anderem das Device-Stripping und die Härtung, der Code des Authenticated Agent und der Anwendung, PKI, SSL und AES-Verschlüsselung – die alle verschiedene Einmalschlüssel nutzen sowie um die Auslieferung von verschleierten, verschlüsselten, digital signierten Datenbankinformationen gebaut wurden.

Höheres Sicherheitsniveau ermöglichen

1. Richtlinien für starke Passwörter
Die primäre Authentifizierung von OneSign lässt sich eng in die Authentifizierung von Windows-Domänen und/oder Novell Netware integrieren. Da ein Passwort leichter zu sichern ist als mehrere Passwörter, können Administratoren von OneSign klare und geradlinige Sicherheitsrichtlinien für alle SSO-Anwendungen auf Basis der primären Benutzerauthentifizierung implementieren. Imprivatas Secure eXchange (ISX) Technologie stellt die Sicherheit der primären Authentifizierung und des kompletten OneSign-Datentransports sicher.

2. Änderungen von Passwörtern
Um die Sicherheit noch weiter zu erhöhen, kann OneSign komplexe Anwendungspasswörter hinter den Kulissen im Namen des Benutzers rotieren und so den einzelnen Anwendungsrichtlinien einer Organisation entsprechen. Dies ermöglicht die rasche Einführung und Durchsetzung von stärkeren Passwortrichtlinien, ohne zusätzliche Schulung oder Belastung für die Benutzer. Denn die Benutzer kennen ihre Passwörter für die einzelnen Anwendungen nicht mehr, sondern erhalten nur über einen OneSign-fähigen PC Zugriff auf ihre Applikationen. OneSign macht eine starke zentralisierte Richtlinie für Anwendungspasswörter zur Realität und senkt gleichzeitig die Kosten des Helpdesks.

3. Richtlinienformate
OneSign kann stärkere Passwörter generieren, die den Anforderungen jeder einzelnen Anwendung genügen. So lassen sich benutzerdefinierte Masken auf Anwendungsbasis erstellen, die es Administratoren erlauben, die Länge eines Passworts, eine Buchstabenmischung, spezielle Zeichen oder spezielle Positionen in einem Array und noch viel mehr festzulegen.

4. Benutzerabmeldung mit einem Mausklick
Administratoren können jeden Benutzer mit nur einem Mausklick von allen SSO-fähigen Unternehmensanwendungen und von der Anmeldung am Netzwerk-Desktop ausschließen. Wenn die automatisierten OneSign-Passwortrichtlinien implementiert wurden, kennen die Benutzer ihre verschiedenen starken Passwörter für die Backend-Anwendungen nicht mehr und können auch nicht Out-of-Band-Verbindungen nutzen, um dort Zugriff zu erlangen.

5. Optionen zur Authentifizierung
Imprivata OneSign unterstützt wichtige Arten der Authentifizierung von Haus aus – ohne dass eine kundenspezifische Integration mit Geräteherstellern erforderlich ist. Die Administratoren können entscheiden, welche Benutzer welche Authentifizierungsmöglichkeiten erhalten und können mit der Zeit weitere Authentifizierungsoptionen einfach hinzunehmen. Zu den Authentifizierungsmöglichkeiten zählen beispielsweise Einmalpasswort-Token, Smartcards, Proximity-Cards und Fingerbiometrie. So könnte sich ein Administrator dazu entschließen, zunächst Passwörter einzusetzen und später stärkere Formen der Authentifizierung hinzuzunehmen.

6. Bestehende Investitionen in RSA und Secure Computing nutzen
Installationen, die Secure Computing SafeWord oder RSA Security SecurID zur starken Authentifizierung im Einsatz haben, können ihre bestehenden Investitionen weiterhin nutzen. OneSign unterstützt von Haus Secure Computing Premier Access Server, SafeWord Remote Access und RSA Authentication Manager Server als primäre Art zur Authentifizierung von Desktops. OneSign stellt eine wirklich nahtlose einstufiges Desktopanmeldung bereit, bei der Zwei-Faktor-Einmal-Passwörter für die Anmeldung an jeder SSO-fähigen Client/Server-, Web- oder Legacy-Anwendung von einem beliebigen OneSign-fähigen Desktop zum Einsatz kommen.