SSO op Android Enterprise: Hypergate

On-Premise Single Sign-On (SSO) op Android Enterprise: veiligheid en gebruiksgemak gaan toch samen!

Meer dan ooit is naadloze SSO benodigd voor mobiele devices. Er zijn steeds meer beveiligingsrisicos die ook mobiele platformen raken en zakelijke gebruikers vertrouwen steeds meer op hun smartphones voor toegang tot zakelijke apps en portals. Er is dus een grote noodzaak voor een gecentraliseerd login-systeem waarbij gebruikers worden ontzorgd en de ICT-afdeling controle houdt.

Wat is Single Sign-On en hoe werkt het eigenlijk?

Het invullen van gebruikersnamen en wachtwoorden is vervelend en tijdrovend. Op een PC of laptop is het nog te doen met een normaal toetsenbord, maar op een smartphone is het ronduit irritant. Was het een typfout of is er iets mis met mijn account? Als een gebruiker dan ook nog eens niet op kantoor is maar vanuit huis werkt, dan wordt het pas echt vervelend. Dit is precies waar SSO on de hoek komt kijken. Zonder in te leveren op beveiliging stelt SSO gebruikers in staat om snel en eenvoudig toegang te krijgen tot beveiligde systemen en apps. Een gebruiker hoeft zich slechts eenmalig te authenticeren met behulp van het toestel. Daarna kan de gebruiker alle zakelijke apps en portals benaderen zonder opnieuw te hoeven inloggen.

Kerberos: dé standaard voor SSO

De Kerberos-authenticatie technologie is de standaard voor SSO in zakelijke omgevingen. Het wordt binnen zakelijke domeinen gebruikt en heeft een bewezen “track record” als het gaat om veiligheid en schaalbaarheid. De naam is afgeleid van de driekoppige hond in de Griekse mythologie en de “3” is dan ook relevant bij de werking van het protocol. Bij de inzet van Kerberos authenticatie wordt zogenaamde symmetrische encryptie toegepast en zijn er drie partijen relevant: de client (bij de gebruiker), de service (de app of portal die de gebruiker wil benaderen) en het Key Distribution Center (KDC). Hoe het proces precies werkt is prima op internet te vinden, in dit blog beperk ik het tot het belangrijkste: Een gebruiker beschikt over een ticket – het bewijs van zijn identiteit welke versleuteld is met een geheime sleutel voor de specifieke, gewenste service – op zijn device. Zolang dit ticket geldig is, wordt deze gebruikt om te authentiseren en kan een gebruiker, zonder opnieuw in te hoeven loggen, gebruik maken van deze specifieke service.

Maar hoe gaat dat dan op smartphones?

Single Sign-On is al een tijd een uitdaging op smartphones en tablets en dan met name op Android devices. Vaak lukt het nog wel om op iOS devices het voordeel van Kerberos SSO te benutten maar bij Android devices is dat toch anders. Bedrijven komen dan uit bij uitgebreide EMM-tools zoals MobileIron. Met de komst van Android Enterprise is het helemaal een uitdaging geworden, zelfs met EMM-tools.

Kerberos SSO op Android Enterprise: het kan!

Wat als ik via de Google Chrome browser op een Android device, gewoon het intranet kan benaderen? Nou, dat kan dus gewoon met een oplossing genaamd “Hypergate”. Hypergate is specifiek gebouwd voor Android Enterprise en ondersteunt Kerberos SSO op bijvoorbeeld Google Chrome, Microsoft Edge of Evernote. Het is als een Zwitsers zakmes: simpel, effectief en biedt veel mogelijkheden! Met Hypergate kunnen gebruikers zonder problemen toegang krijgen tot services binnen het interne netwerk van het bedrijf met een geweldige user experience en zonder wachtwoorden. De oplossing gebruikt de normale Android API’s en werkt met behulp van SPNEGO om Kerberos SSO naar web applicaties te porteren. Het afhandelen van de Kerberos authenticatie gebeurt feitelijk op eenzelfde manier als bij het gebruik van bijvoorbeeld een desktop: direct en rechtstreeks met het KDC. De oplossing simuleert een veilige “Smart Card” login zonder extra componenten in het netwerk te moeten installeren.

Flexibel en zonder extra infrastructurele wijzigingen

Hypergate is een zeer flexibele oplossing die prima samenwerkt met EMM/UEM oplossingen zoals VMware Workspace One, Blackberry, Microsoft Intune en MobileIron. Ook is het een oplossing die enkel Android Enterprise vereist, ongeacht het merk of type Android smartphone. De app kan eenvoudig via beheerde Google Playstores worden gedistribueerd naar de devices en er zijn verder geen wijzigingen in de infrastructuur benodigd.

SSO op clouddiensten

Clouddiensten zoals Office 365, Salesforce en AFAS online gebruiken ook allerlei authenticatiemethoden zoals bijvoorbeeld SAML, OAuth, OpenID etc. Omdat er hier geen sprake is van een “on-premise” directory waarmee Kerberos kan worden gebruikt, is er een zogenaamde “Identity Provider” vereist waarmee Hypergate weer kan communiceren. Wanneer een Identity Provider Kerberos authenticatie accepteert, dan kan Hypergate worden ingezet om een seamless SSO ervaring te bewerkstelligen op Android. In ieder geval worden Ping Identity en Okta ondersteund in combinatie met Hypergate, maar er zijn er natuurlijk veel meer.

Wachtwoord veranderen: geen probleem

Een wachtwoord-reset of wijziging was in het verleden vaak alsnog een probleem. Een gebruiker moest dan vaak inloggen op een Windows-werkplek om het wachtwoord te wijzigen. Ook dat is verleden tijd want met Hypergate kan dit ook gewoon gebeuren op een smartphone of tablet.

Certified Hypergate Partner

In Nederland zijn slechts twee Certified Hypergate Partners aangewezen en wij zijn in staat om snel en probleemloos de Hypergate-oplossing te adviseren en implementeren in vrijwel elke omgeving. We leveren zelf de MobileIron en Sophos EMM oplossingen maar kunnen ook prima Hypergate implementeren bij bestaande Microsoft Intune of VMware Workspace One omgevingen. Meer weten? Vraag onze accountmanagers naar meer informatie en mogelijkheden voor een demo of Proof of Concept.

Telefoon: 0546 - 746010
E-mail: sales@groupsecure.nl



Kerberos SSO op Android