Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 16.-18. Oktober 2018

heise devSec 2018 » Programm »

// Huch — ich bin ja schon drin! Single-Sign-On in der Arzneimittelzulassung

Für das Ressort des Bundesministeriums für Gesundheit wurde im Rahmen eines Kooperationsprojekts eine Single-Sign-On-Lösung mit Ein- und Zwei-Faktor-Authentifizierung für diverse extern zugängliche Webanwendungen und Services mit unterschiedlich hohem Schutzbedarf gesucht. Nach einer Evaluierung verschiedener Open-Source-Produkte ging Anfang 2013 eine auf Apache Fediz 1.0 basierende Eigenimplementierung in Betrieb.

Wir berichten von Anforderungen, Entscheidungsfindung, Erweiterungen, Rückschlägen, Kompromissen und Erkenntnissen. Dabei liegt der Fokus auf der Architektur und auf technischen Aspekten. Wir sprechen aber auch darüber, wie diese durch organisatorische Belange beeinflusst werden.

Vorkenntnisse
Es sind keine besonderen technischen Vorkenntnisse erforderlich, aber ein Interesse für Fragen der Absicherung von Webanwendungen und Webservices und die in diesem Umfeld gängigen Technologien wäre hilfreich. Es werden technische Aspekte der Architektur auf einem relativ abstrakten Level besprochen (SAML 2.0, ws-security, Cookies, Tomcat-Cluster, X.509, ...), ohne auf Implementierungsdetails einzugehen.

Lernziele
* Tücken und Fallen beim Single-Sign-On
* Architektur der Implementierung
* Organisatorische Auswirkungen auf architektonische Fragen
* Zwei-Faktor-Authentifizierung.

// Tarek Ahmed Tarek Ahmed

arbeitet seit 1999 als Softwareentwickler beim Deutschen Institut für medizinische Dokumentation und Information (DIMDI). Dort befasst er sich hauptsächlich mit der Softwareinfrastruktur für die Entwicklung und den Betrieb von Webanwendungen und Webservices, mit gelegentlichen Ausflügen in die Anwendungsentwicklung. Neuerdings beschäftigt er sich gern mit Fragen der IT-Sicherheit.