Suchen

Anbindung von ownCloud an privacyIDEA Eigene Daten, eigene Cloud, eigene Identität

| Autor / Redakteur: Cornelius Kölbel / Peter Schmitz

Heutzutage erwarten Anwender zurecht, dass ihre Informationen und Daten überall verfügbar sind. Es gibt zahllose Anbieter, die mit proprietären Lösungen zur Synchronisation von Daten in der Cloud den Anwendern ein einfaches Leben versprechen. Doch ist dieses Leben auch sicher?

Firma zum Thema

Nicht alle Daten sollen für jeden in der Cloud nutzbar sein.
Nicht alle Daten sollen für jeden in der Cloud nutzbar sein.
(Bild: Pixabay)

Der Anwender kann seine Daten überall nutzen, doch hat er auch die Kontrolle über diese Daten? Kann er zuverlässig definieren, wer seine Urlaubsfotos sehen kann? Kann er sicher sein, dass keine unberechtigten Personen Zugriff auf Firmengeheimnisse wie die neusten Konstruktionsdaten erhalten? Nein, denn auch der Anbieter eines Cloud-Dienstes kann diese Daten, ohne dass der Anwender es bemerkt, beliebig kopieren. Diese Lücke füllen verschiedene Lösungen, die es ermöglichen die eigenen Daten auf einen Maschinen unter der eigenen Kontrolle von überall verfügbar zu halten. ownCloud ist seit mehreren Jahren das wohl bekannteste Projekt in diesem Bereich. Mitte letzten Jahres ist außerdem durch den Fork mit Nextcloud neuer Wind in den Markt gekommen.

Zwei-Faktor-Authentifizierung erhöht die Sicherheit

Ab ownCloud 9.1 und Nextcloud 10 ist ein definiertes Zwei-Faktor-Framework enthalten. Das 2FA-Framework ersetzt nicht die bisherige Anmeldung, sondern ermöglicht es, dem bestehenden ownCloud-Passwort einen zweiten Faktor hinzuzufügen. Der Anwender erhält nur noch Zugriff auf seine Daten, wenn er zusätzlich zu seinem Passwort einen Besitz wie ein Smartphone, eine Smartphone-App oder einen Hardware-Token vorweisen kann.

Bildergalerie
Bildergalerie mit 10 Bildern

Dies wird erreicht, indem in ownCloud eine entsprechende Zwei-Faktor-App oder auch "Zwei-Faktor-Provider" registriert wird. ownCloud bietet bereits einen Zwei-Faktor-Provider für TOTP (kompatibel mit Google Authenticator) und einem weiteren 2FA-Provider, der ein Einmalpasswort mittels E-Mail versenden kann. Für Nextcloud findet sich seit kurzem sogar eine App, die einen Yubikey als zweiten Faktor des Benutzers mittels U2F akzeptiert. An Ende des Artikels gibt es ein Video-Tutorial zur U2F Authentifizierung bei ownCloud mit privacyIDEA.

All diese Apps sind im Sinne der Datenhoheit des Benutzers gehalten. Der Benutzer bestimmt selber, ob er einen zweiten Faktor aktivieren möchte, oder nicht. Der Benutzer, als Besitzer seiner Daten, kann also auch über die Güte des Zugangs zu diesen Daten entscheiden.

Im Unternehmensumfeld ist dieser Ansatz nicht geeignet. Denn hier unterliegt die Zwei-Faktor-Authentifizierung definierten Sicherheitsrichtlinien. Diese richten sich nach rechtlichen Auflagen oder vertraglichen Bedingungen bspw. zwischen Kunden und Zulieferern. Im Unternehmen ist also klar definiert, welcher Benutzer einen zweiten Faktor für welche Applikation verwenden soll. Dies liegt außerhalb der Entscheidung des einzelnen Benutzers.

Weiterhin ist die Verwaltung des zweiten Faktors direkt in ownCloud für Unternehmen nicht sinnvoll. Denn oft soll die Zwei-Faktor-Authentifizierung gleichzeitig am VPN, der Firewall, am Desktop oder an anderen Portalen genutzt werden. Der Google Authenticator aus ownCloud kann für die anderen Anwendungen nicht genutzt werden. Für den VPN-Zugang müsste der Benutzer also einen weiteren zweiten Faktor erhalten, der wiederum an einer anderen Stelle verwaltet werden würde.

Doch genau wie die Benutzer selber sollen auch die Authentifizierungsmerkmale - Passwörter und Zweite Faktoren - im Unternehmen zentral verwaltet werden. Auch die Regeln, welcher Benutzer sich wie mit einem zweiten Faktor anmelden muss, sollen zentral definiert sein und nicht dem einzelnen Benutzer überlassen werden.

(ID:44513762)