SecSignID Plugin: Bamboo

22.03.2018 12 Minuten Lesedauer

2-Faktor-Authentifizierung mit der SecSignID für Bamboo

Im folgenden erklären wir Ihnen wie Sie das SecSignID-Plugin für Ihr Bamboo-System installieren und es dadurch noch sicherer gestalten.

Überblick

Überblick & Quickstart

Bamboo ist ein ein Tool für Continuous Integration und Deployment, das automatisierte Builds, Tests und Releases in einem Workflow zusammenführt. Es wurde von dem Unternehmen Atlassian entwickelt. Es bietet weitreichende Funktionen und hohe Anpassungsfähigkeit. Die Funktionalitäten können fast beliebig mit Plugins erweitert werden.

SecSign ist eine echte Zwei-Faktor-Authentifizierung für Bamboo. Es fügt der Anwendung eine zusätzliche Sicherheitsschicht hinzu, indem es das Smartphone des Benutzers als ein physisches Token benutzt. Dadurch weist sich der Nutzer aus, indem er es besitzt.

Mehr Information zur Bamboo Zwei-Faktor-Authentifizierung finden Sie auf dem Atlassian Marketplace.

Fragen? Kontaktieren Sie uns, wenn Sie Hilfe beim Setup des SecSign ID Plugins brauchen oder Ihnen ein Plugin für eine andere Programmierumgebung fehlt.

Kontakt

Installation

Installation des Plugin

Die Installation des Plugins ist dank des Universal Plugin Managers von Atlassian sehr einfach.

  1. Melden Sie sich als Administrator an Ihrem Bamboo-System an
  2. Über das Administrations-Menu kommen Sie zur Verwaltung der Add-Ons
  3. Suchen Sie nach ‘SecSign’ und klicken Sie auf ‘Install’

Eine andere Möglichkeit ist das Herunterladen des SecSign ID Plugins vom Atlasssian Marketplace. Sie können anschließend das Plugin in Bamboo hochladen und so installieren.
Gehen Sie einfach über das Administrations-Menu zur Verwaltung der Add-Ons und dort zum Punkt ‘Manage Add-Ons’. Hier haben Sie die Möglichkeit, das SecSign ID Plugin hochzuladen.

In der Add-On-Verwaltung haben Sie auch die Möglichkeit, das SecSign ID Plugin zu aktivieren bzw zu deaktivieren.

2FA für die Nutzer aktivieren

Je nach Systemanforderungen gibt es mehrere Optionen, die 2FA für Ihre Nutzer zu aktivieren. SecSign ID bietet praktisches Gruppen-Enrollment, individuelles Rollout durch den Administrator sowie Nutzer-basiertes Sign-up an.

2FA manuell in der Bamboo Nutzerverwaltung aktivieren

Ein manuelle, individuelle Anmeldung ist ideal für kleine Nutzergruppen oder um die Integration zu testen. Navigieren Sie zum Bamboo Backend, Nutzermanagement und dann zum jeweiligen Nutzer, für den Sie die 2FA aktivieren wollen. Jeder Nutzeraccount hat ein Textfeld, in dem die SecSign ID eingetragen werden kann (Der Nutzername, der zuvor in der App ausgewählt wurde).

Sie können auswählen, ob die Nutzer sich auch weiterhin mit nur dem Nutzernamen und Passwort einloggen dürfen, selbst wenn 2FA aktiviert ist. Für verbesserte Sicherheit sollte diese Option deaktiviert werden.

Der Nutzer kann 2FA beim nächsten Login nutzen, nachdem seine SecSign ID zu seinem Nutzeraccount hinzugefügt wurde. Für die Authentifizierung wählt der Nutzer den entsprechenden Access Pass in der SecSign ID App auf seinem Smartphone aus. Mehr Informationen zum Ablauf der Authentifizierung finden Sie unter Ablauf des Logins.

2FA manuell über die SecSign ID Plugineinstellungen aktivieren

Alternativ können Sie individuelle Nutzer über die SecSign ID Plugineinstellungen aktivieren. Navigieren Sie zum SecSign ID Menü in Ihrem Bamboo Backend. Sie finden das SecSign ID Menü unter Nutzermanagement > SecSign ID 2FA Login oder im oberen Menü.
In den SecSign ID Plugineinstellungen finden Sie eine Liste aller Bamboo Nutzer getrennt nach Administratoren und regulären Nutzern. Jeder Nutzer hat ein Textfeld, in dem die SecSign ID eingetragen werden kann.
Für zusätzlichen Schutz deaktivieren Sie bitte die Option des Nutzernamen/Password-Logins trotz aktivierter 2FA.

Optionen für die Aktivierung von großen Benutzerzahlen

SecSign ID bietet zahlreiche komfortable Optionen für die automatische Aktivierung der 2FA für ganze Nutzergruppen auf einmal. Das folgende Kapitel bietet eine Übersicht über die einzelnen Optionen basierend auf Ihrem aktuellen System und Nutzeraccount-Eigenschaften.

Option 1a: Der Nutzer aktiviert seine ID selbst

Um diese Option zu nutzen, muss der Nutzer bereits einen existierenden Bamboo Account haben

Sie können Ihren Nutzer eine selbstständige Aktivierung der Zwei Faktor Authentifizierung beim nächsten Login anbieten. Meldet sich der Benutzer nun mit seinem Passwort und Benutzernamen bei seinem regulären Bamboo Login an, wird er aufgefordert, seine SecSign ID einzugeben. Er gibt daraufhin seinen in der SecSign ID App gewählten Nutzernamen (ID) an, authentifiziert sich in der App und hat somit automatisch die 2FA für seinen nächsten Login aktiviert. So können Ihre bestehenden Bamboo Nutzer ihre ID einfach selber mit ihrem Nutzeraccount verbinden.

Für dieses Feature muss der Administrator im Backend die Funktion „Dialog ID hinzufügen“ aktivieren.

Option 1b: Individuelle ID Apps in Kombination mit Ihrem SecSign Inhouse Server

Für einen noch komfortableren und praktischen Rolloutprozess bietet SecSign individuelle ID Apps in Kombination mit Ihrem SecSign Inhouse Server. Mit den individuellen Custom Apps haben Sie die Möglichkeit, auf Sie zugeschnittene Rollloutoptionen zu nutzen, zum Beispiel Email-basierte Enrollment Codes.

Kontaktieren Sie uns für ausführliche Informationen und Beratung zur Custom ID App.

Kontakt

Option 2: Rollout für Atlassian Crowd Setups

Wenn sie bereits Atlassian Crowd nutzen, können Sie Ihre Nutzer entweder mit dem individuellen Nutzer Sign-up (Option 1) oder mit einer auf Ihre Bedürfnisse zugeschnittene ID App anmelden. Crowd bietet dann die Möglichkeit, 2Fa für alle verbundenen Services (zum Beispiel Jira, Confluence, Bamboo,…) auf einmal zu aktivieren.

Um diese Option zu nutzen, müssen Sie erst die SecSign ID Plugins für die entsprechenden Services installieren. Ausführliche Informationen zur Crowd Installation und Integration finden Sie im Crowd Tutorial.

Für die Nutzung von Crowd mit einer existierenden SecSign ID Jira Installation lesen Sie bitte Abschnitt 6. Atlassian Crowd.

SecSign bietet darüber hinaus Lösungen für Sonderfälle, zum Beispiel für Systeme mit Nutzer sowohl im Crowd Management als auch andere Verwaltungen, zum Beispiel interne BitbuBamboocket Nutzer. Kontaktieren Sie uns für eine maßgeschneiderte Beratung und Lösung.

Kontakt
Option 3: Rollout für Nutzer außerhalb Ihres internen Confluence Nutzermanagement-Systems

Die einfachste Option, 2FA für Ihre im Active Directory verwalteten Nutzer einzuführen, ist die Verbindung von Ihrem Nutzermanagementsystem und dem Inhouse Server mit einer individuell Custom ID App. Der Nutzer meldet sich hierfür mit seinen Active Directory Credentials an, gibt seine SecSign ID an und ist automatische für die 2FA aktiviert.

Sie können diese Lösung auch für andere Services nutzen, zum Beispiel VPNs, Portale und mehr. Es bietet sowohl die Option eines individuellen Plugins, die Nutzung von ADFS oder SAML Inhouse Atlassian Anwendungen (wenn alle Nutzer die gleiche Email-Adresse nutzen, um Beispiel @yourcompany.com).

Kontaktieren Sie uns für ausführliche Informationen zu individuellen und auf Ihr System zugeschnittenen Lösungen.

Kontakt

ID Zuordnung

Nutzereinstellungen

Sie können jedem Bamboo-Nutzer eine oder mehrere SecSign IDs zuordnen. Mit diesen SecSign IDs kann anschließend eine Authentifizierung und Anmeldung bei Bamboo erfolgen.
Möchten Sie einem Bamboo-Nutzer mehrere SecSign IDs zuweisen, dann tragen Sie einfach alle SecSign IDs durch Komma getrennt in das Feld ein.

Dass mehrere SecSign IDs einem Bamboo-Nutzer zugewiesen werden können ist sinnvoll, wenn es sich zum Beispiel bei dem Bamboo-Nutzer nicht um eine einzelne Person handelt, sondern zB. um einen Firmen-Account. Dann haben Sie hier die Möglichkeit, mehrere SecSign IDs der einzelnen Mitarbeiter diesem Firmen-Account zuzuweisen.

Bamboo-edit-secsignid

Die Übersicht über die einzelnen Nutzer und deren SecSign IDs ist aufgeteilt in Rollen, welche die Nutzer im Bamboo-System zugewiesen bekommen haben. An erster Stelle folgt eine Auflistung aller Administratoren, die üblicherweise in der Bamboo-Gruppe ‘bamboo-administrators’ sind.
Anschließend werden alle Nutzer aufgeführt, die lediglich über einfache Rechte verfügen und Bamboo nicht administrieren dürfen.

Daneben haben Sie auch die Möglichkeit, die Zuordnung der SecSign IDs in der Profil- und Nutzeransicht von Bamboo vorzunehmen. Wenn Sie in die Nutzerverwaltung von Bamboo gehen, finden Sie eine Auflistung aller Nutzer des Bamboo-Systems.
Dort können Sie die Account-Informationen der einzelnen Nutzer abrufen und die jeweiligen Profile einsehen. In dieser Profil-Ansicht finden Sie auch gleich die Information zu den zugewiesenen SecSign IDs und können Sie ändern.

Bamboo-viewuser-1500x685

Neue Nutzer unter Bamboo anlegen

Beim Anlegen neuer Nutzer durch einen Bamboo-Administrator werden zusätzlich die Felder für die SecSign ID angezeigt. Der Administrator kann bei Kenntnis dann gleich die SecSign ID dem neuen Nutzer zuweisen als auch die Einstellung vornehmen, ob der Nutzer sich noch mit Passwort anmelden darf.

Ist diese Option ausgeschaltet, ist eine Anmeldung mit Nutzername und Passwort nicht mehr möglich. Da Bamboo bei der Anmeldung lediglich zwei Zustände kennt (erfolgreich und fehlgeschlagen) wird dem Nutzer nur angezeigt, dass Nutzername und Passwort nicht korrekt sind.

2FA Ablauf

Ablauf der Authentifizierung

Nachdem die 2FA für den Nutzer aktiviert wurde, wird das regulaäre Nutzername/Passwort-Feld beim Login nicht mehr angezeigt. Stattdessen seiht der Nutzer die Eingabemaske für die SecSign ID.

Wenn der Nutzer auf Login klickt, wird ein sogenannter Access Pass vom ID Server angefordert. Dieser Access Pass stellt die Authentifizierungssession da und muss vom Nutzer auf seinem Smartphone bestätigt werden.
Dafür vergleicht der Nutzer lediglich den Access Pass auf der Bamboo Seite mit den Access Pässen in der SecSign ID App auf seinem Smartphone. Sobald der Nutzer den passenden Access Pass ausgewählt hat, ist er automatisch für Bamboo authentifiziert.

Um die Authentifizierung zu testen installieren Sie bitte die SecSign ID App auf Ihrem Smartphone und erstellen Sie eine SecSign ID in der App.

Diese SecSign ID wird dann dem entsprechenden Nutzer zugewiesen. Der Administrator kann dies für alle Nutzer übernehmen oder der Nutzer kann die ID individuell seinem Profil zuordnen, nachdem er sich mit Nutzername und Passwort eingeloggt hat.

Einstellungen

Plugineinstellungen und Konfiguration

Inhouse ID Server

Stärken Sie Ihren Schutz mit einer Inhouse SecSign ID Zwei-Faktor Authentifizierung. Mit SecSign ID behalten Sie alle 2FA Komponenten Inhouse – ohne Kompromisse.

  • Kombinieren Sie exzellente Sicherheit mit umfangreichen, individuellen Anpassungen.
  • Individuell auf Ihre Bedürfnisse anpassbare Anmelde- und Enrollment-Optionen für Ihre Nutzer und Administratoren.
  • Zahlreiche Optionen für Auditierungen, Endpunkte-Kontrollen Optionen for Auditing und Nutzersicherheit. Schutz so stark wie Sie ihn brauchen – ohne Kompromisse
  • Schützen Sie alle Firmenzugangspunkte (Web, VPN, Desktop und alle anderen Angriffspunkte)
  • Integrieren Sie Zwei-Faktor Authentifizierung in Ihre bestehenden Apps oder lassen Sie uns eine für Sie bauen – perfekt auf Ihre Bedürfnisse zugeschnitten.
  • Behalten Sie die Kontrolle über jeden Aspekt – sämtliche Daten, Update Sicherheit, Authentifizierungsprozess oder Administration.
  • Unsere Anwendungen haben minimalste Wartungsanforderungen. Typische Probleme sind bei SecSign schon gelöst, zum Beispiel: Geräteverlust, Austausch eines Gerätes und andere. Mit SecSign sind Sie nur einen Klick von der fertigen Lösung entfernt. Minimieren Sie Zeitaufwand, Kosten und Frustration.
Mehr Informationen zum SecSign ID Inhouse Setup:
SecSign ID Inhouse Kontakt

Benutzer erlauben, seine ID selbst zu ändern

Wenn ein Nutzer in der SecSign ID App eine neue ID erstellt und diese Funktion aktiviert ist, kann er seine alte ID selbstständig gegen die neue austauschen.
Wenn diese Funktion aktiviert ist, kann der Nutzer seine ID selbständig ändern. Der Administrator kann diese Funktion deaktivieren. In dem Fall muss der Nutzer für die Änderung seiner ID über den Administrator gehen.

Wir empfehlen aus Sicherheitsgründen, dass diese Funktion entweder deaktiviert wird, oder hier zusätzliche individuelle Aktivierungs- und Sicherheitsmechanismen verwendet werden.

Bamboo-change-secsignid

Zwei Authentifizierungsoptionen

Die Zwei-Schritt Authentifizierung (2SA) ermöglicht einen zusätzlichen Schritt in der Authentifizierung, der die Sicherheit nochmals erhöht. Wenn die Option aktiviert ist, wird der Nutzer vor der SecSign ID Zwei-Faktor Authentifizierung zu einer Nutzername/Passwort Authentifizierung aufgefordert. Erst wenn der Nutzer erfolgreich mit Nutzername und Passwort authentifiziert wurde, wird er automatisch zu der Zwei-Faktor Authentifizierung aufgefordert.

Der Nutzer erhält dafür eine Push-Notifikation auf seinem mobilen Gerät und bestätigt den Login über die SecSign ID App. Er kann die Zwei-Faktor Authentifizierung nicht selbständig aktivieren, ohne sich zuvor erfolgreich mit Nutzername und Passwort eingeloggt zu haben.

Zwei Faktor Authentifizierung mit der SecSign ID

Sichere Authentifizierung ohne Passwort

Zwei-Schritt Authentifizierung mit der SecSign ID

Zusätzlicher Schutz durch Kombination der SecSign ID mit Passwortschutz

Nach der erfolgreichen Nutzername/Passwort-Authentifizierung wird der Nutzer automatisch zu der Zwei-Faktor Authentifizierung mit der SecSign ID weitergeleitet. Erst nachdem sowohl der Login mit Nutzername und Passwort und die SecSign ID Zwei-Faktor Authentifizierung erfolgreich beendet wurde, wird der Nutzer in das System eingeloggt.

Bamboo-edit-two-step

Mehr Informationen über diese Option finden Sie auf dem SecSign ID Blog.

Zwei-Schritt Authentifizierung

IPSafeZone

Die meisten Inhouse Atlassian Services wie JIRA und Bamboo nutzen interne Netzwerke für den internen Zugriff. Netzwerke mit diesem Aufbau sind in der Regel nicht für externen Zugriff erreichbar und ist nur für intern authentifizierte Nutzer freigeschalten.
Mit der SecSign IDSafeZone Erweiterung müssen sich die internen Nutzer in diesem Netzwerk nicht mit der Zwei-Faktor Authentifizierung authentifizieren, sondern lediglich mit einer Nutzername/Passwort-Authentifizierung. Für externen Zugriff zum System muss zusätzlich eine erfolgreiche Zwei-Faktor Authentifizierung erfolgen.

Mit der IPSafeZone Option wird eine sichere IP-Zone definiert. Nutzer innerhalb dieser IP-Zone müssen sich nicht mit der Zwei-Faktor Authentifizierung authentifizieren, sondern nur mit der weniger sicheren Nutzername/Password Authentifizierung. Für Nutzer außerhalb der IP-Zone ist eine Zwei-Faktor Authentifizierung oder, falls aktiviert, die Zwei-Schritt Authentifizierung, für die Anmeldung im System vorausgesetzt.

Bamboo-edit-iprange

Mehr Informationen über diese Option bietet der SecSign Blog.

IPSafeZone

Design des Login Screens anpassen

Das Standard-Plugin für Bamboo bietet die Option, das Design des Loginfensters anzupassen. Bei der Cloud-Version des Plugins können hier farbliche Anpassungen eingestellt werden, für die Inhouse-Version des Plugins sind zusätzlich individuelle Anpassungen wie beispielsweise Logos möglich.

Für eine unverbindliche Beratung zur Anpassung des Plugins an Ihr Firmendesign kontaktieren Sie uns bitte. [/col]

Coming soon

Authentifizierung ohne Access Pass

Wenn gewünscht, kann die Zwei-Faktor Authentifizierung in Bamboo auch ohne Access Pass durchgeführt werden. Dafür bestätigt der Nutzer den Login in der App (oder lehnt ihn ab), ohne den zusätzlichen Schritt der Access Pass Bestätigung.

Diese Option ist nur bei einer aktivierten Zwei-Schritt Authentifizierung (Login mit Nutzername und Passwort zusätzlich zur Zwei-Faktor Authentifizierung) möglich.

no access pass

Gültigkeit der Sitzung

Die Gültigkeit der Sitzung kann in den Atlassian Bamboo Einstellungen angepasst werden und wird automatisch für die SecSign ID Sitzung übernommen.
Bald kann diese Einstellung auch direkt über die SecSign ID Plugineinstellungen angepasst werden.

Coming soon

2FA Einstellungen für Gruppen

Bald können Administratoren 2FA Einstellungen für bestimmte Gruppen individuell bestimmen, zum Beispiel IPSafeZone, verpflichtende Updates und ähnliches für bestimmte Nutzer aktivieren.

Coming soon

Atlassian Crowd

Atlassian Crowd

Atlassian Crowd bietet ein komfortables Nutzermanagementsystem inklusive SSO für alle Atlassian Produkte. Der erfolgreiche Login bei zum Beispiel Bamboo authentifiziert den Nutzer automatisch für alle anderen verbundenen Atlassian Services, zum Beispiel Confluence, Jira, Bitbucket und andere.

Das SecSign ID Plugin erweitert den Crowd SSO Login mit der sicheren Zwei-Faktor Authentifizierung.

Aktivieren Sie “Synchronisierbare IDs” und speichern Sie die Einstellungen um die SecSign ID mit allen anderen Verzeichnissen zu synchronisieren, zu Beispiel für einen komfortablen Login mit Confluence und Bamboo, ohne die IDs individuell zu importieren.
Wenn eine SecSign ID in einer Anwendung bearbeitet wird, wird sie automatisch mit allen anderen Anwendungen synchronisiert und direkt entsprechend genutzt werden.
Nun kann der Nutzer sich mit seiner SecSign ID bei zum Beispiel Bamboo authentifizieren und ist automatisch bei allen anderen verbundenen Services angemeldet.

Bamboo-edit-crowd

Mehr Informationen über Crowd finden Sie auf unserer SecSign ID Crowd Plugin Seite.

SecSign ID Crowd
Synchronisation

Synchronisation der Mappings zwischen Atlassian-Produkten

Mit den richtigen Einstellungen ist es möglich, die Mappings in Crowd zu verwalten und in allen angeschlossenen Applikationen zu nutzen.
Zur Nutzung der Synchronisation und des SSO ist es nötig, dass ihr Crowd-System richtig eingerichtet ist und die Applikationen mit diesem verbunden sind.

In Bamboo besteht hierfür die Option “Synchronisierbare IDs”. Wenn die Option aktiviert wird, werden die Mappings nicht mehr lokal in Bamboo gespeichert, sondern über Crowd und die embedded Versionen in den Applikationen als Attribute für die Benutzer gespeichert.
 Hierdurch ist es möglich die Mappings von Crowd-Verzeichnissen in andere Applikationen zu synchronisieren und sie somit dort zu nutzen. Dadurch können Sie alle SecSign IDs in Crowd verwalten und sparen somit Zeit und Aufwand für die Verwaltung.
Außerdem ermöglicht dies die Nutzung des SSO für alle Dienste mit SecSign.

Wenn der Nutzer sich also in Bamboo authentifiziert hat, so ist er dann auch in Bamboo, Confluence und anderen Diensten angemeldet, für die SSO aktiviert ist. 
Es ist weiterhin möglich lokale Benutzer in Bamboo zu erstellen und diesen IDs hinzuzufügen, die nur in Bamboo verfügbar sind.

Wenn es möglich sein soll, auch in Bamboo die IDs hinzuzufügen oder zu ändern, so aktivieren Sie die Option “Schreiben in Directories”.
Hierdurch ist es dann möglich die Mappings in Bamboo zu ändern und die Änderungen auch direkt in Crowd und anderen Applikationen nutzbar zu machen. Hierfür ist es nötig, dass Bamboo in Crowd als Applikation die Berechtigung zum Ändern von Nutzer Attributen (“Modify user attributes”) hat. Ansonsten kommt es beim Schreiben der Mappings zu Fehlern.

Alle anderen Berechtigungen sind nicht nötig und können nach Ihren Wünschen angepasst werden. Auch ist es nicht zwingend nötig, dass das Crowd-Directory in Bamboo mit Schreibzugriff konfiguriert wird, da der Zugriff auf Attribute davon getrennt ist.

Problembehandlung

Problembehandlung

Sollten Probleme mit dem SecSign ID Plugin auftreten oder falls Sie Ihre SecSign ID verloren haben, können Sie das Plugin manuell entfernen.

Dazu suchen Sie das Verzeichnis, in dem das Add-On installiert wurde, üblicherweise ist dies

$Bamboo_INSTALL/atlassian-Bamboo/WEB-INF/lib/.

Oder Sie suchen im Bamboo-Home-Verzeichnis nach dem SecSign ID Plugin:

Anschliessend löschen Sie die betreffende .*jar Datei und starten Bamboo neu.

Ihr eigener ID Server

Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

Mehr Erfahren
On Premise 2FA ID

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

Mehr Lesen

Was ermöglicht Crowd?

Das SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden. Sie haben noch Fragen? Zögern Sie n ...

Mehr Lesen

Zwei-Factor Authentifizierung mit der Smartwatch

Die einfachste mobile Zwei-Faktor Authentifizierung mit der Apple Watch Die SecSign Technologies AG bietet eine neue Generation von Authentifizierungslösungen und Schutzvorrichtungen für die digitale Identität an. Diese Lös ...

Mehr Lesen