Authentifizierung – Übersicht
RAMP unterstützt mehrere Authentifizierungsmethoden, um den Anforderungen verschiedener Deployment-Szenarien gerecht zu werden. Dieser Leitfaden hilft Ihnen, die richtige Authentifizierungsmethode für Ihre Organisation zu wählen.
Verfügbare Authentifizierungsmethoden
Abschnitt betitelt „Verfügbare Authentifizierungsmethoden“| Methode | Geeignet für | Komplexität | Funktionen |
|---|---|---|---|
| RAMP Native | Kleine Teams, Einstieg | Niedrig | Benutzername/Passwort, MFA, Passwort-Zurücksetzen |
| OIDC/OAuth2 | Modernes SSO, Cloud-Umgebungen | Mittel | SSO, externer IdP, OAuth2 |
| Windows Auth | Unternehmens-Intranets, AD-Umgebungen | Mittel-Hoch | Nahtlose Windows-Anmeldung, AD-Integration |
| LDAP | Unternehmensverzeichnisse, OpenLDAP | Mittel | Verzeichnisintegration, zentralisierte Benutzer |
| ADFS | Legacy Enterprise SSO | Mittel-Hoch | WS-Federation, anspruchsbasierte Authentifizierung |
Entscheidungsleitfaden
Abschnitt betitelt „Entscheidungsleitfaden“Wählen Sie RAMP Native, wenn:
Abschnitt betitelt „Wählen Sie RAMP Native, wenn:“- Sie mit RAMP beginnen
- Sie ein kleines Team haben (< 50 Benutzer)
- Sie keinen vorhandenen Identitätsanbieter haben
- Sie Benutzer direkt in RAMP verwalten möchten
- Sie Multi-Faktor-Authentifizierung (MFA) benötigen
Wählen Sie OIDC/OAuth2, wenn:
Abschnitt betitelt „Wählen Sie OIDC/OAuth2, wenn:“- Sie Microsoft Entra ID (Azure AD), Google Workspace, Okta oder Auth0 verwenden
- Sie modernes Single Sign-On (SSO) möchten
- Sie eine Integration mit cloudbasierten Identitätsanbietern benötigen
- Ihre Benutzer sich bereits über OAuth2/OIDC authentifizieren
- Sie die Funktionen externer Identitätsanbieter nutzen möchten
Wählen Sie Windows Authentication, wenn:
Abschnitt betitelt „Wählen Sie Windows Authentication, wenn:“- RAMP in Ihrem internen Netzwerk (Intranet) betrieben wird
- Alle Benutzer Windows-Domain-Rechner verwenden
- Sie eine nahtlose Authentifizierung (ohne Anmeldeaufforderungen) wünschen
- Sie Active Directory haben
- RAMP auf Windows Server mit IIS gehostet wird
Wählen Sie LDAP, wenn:
Abschnitt betitelt „Wählen Sie LDAP, wenn:“- Sie Active Directory oder OpenLDAP haben
- Sie eine zentrale Benutzerverwaltung wünschen
- Sie sich gegen Unternehmensverzeichnisse authentifizieren müssen
- Sie Verzeichnisbenutzer suchen/durchsuchen möchten
- RAMP auf Linux oder Windows gehostet werden kann
Wählen Sie ADFS, wenn:
Abschnitt betitelt „Wählen Sie ADFS, wenn:“- Sie bereits Active Directory Federation Services verwenden
- Sie anspruchsbasierte Authentifizierung benötigen
- Sie Legacy-WS-Federation-Integrationen haben
- Sie SSO über mehrere lokale Anwendungen hinweg möchten
- Ihre Organisation Windows Server mit ADFS verwendet
Unterstützung mehrerer Anbieter
Abschnitt betitelt „Unterstützung mehrerer Anbieter“RAMP kann mehrere Authentifizierungsanbieter gleichzeitig unterstützen. Zum Beispiel:
- Interne Administratoren verwenden native RAMP-Konten mit MFA
- Mitarbeiter verwenden Windows Authentication oder LDAP
- Externe Auftragnehmer verwenden OIDC mit Google Workspace
Jeder Benutzer hat ein IdentityProvider-Feld, das bestimmt, wie er sich authentifiziert.
Gemeinsame Funktionen aller Methoden
Abschnitt betitelt „Gemeinsame Funktionen aller Methoden“Multi-Faktor-Authentifizierung (MFA)
Abschnitt betitelt „Multi-Faktor-Authentifizierung (MFA)“- Verfügbar für native RAMP-Benutzer
- TOTP-basiert (Google Authenticator, Authy, Microsoft Authenticator)
- 10 Backup-Codes pro Benutzer
- Administrator-konfigurierbare Richtlinien (Keine/Optional/Erforderlich)
Weitere Informationen finden Sie unter MFA-Einrichtungsanleitung
Rollenbasierte Zugriffssteuerung (RBAC)
Abschnitt betitelt „Rollenbasierte Zugriffssteuerung (RBAC)“- Alle Authentifizierungsmethoden integrieren sich mit dem RAMP-Berechtigungssystem
- Benutzer erhalten Rollen unabhängig von der Authentifizierungsquelle
- Berechtigungen werden einheitlich durchgesetzt
Audit-Protokollierung
Abschnitt betitelt „Audit-Protokollierung“- Alle Anmeldeversuche werden protokolliert
- Fehlgeschlagene Authentifizierungen werden verfolgt
- Benutzeraktivitäten werden auditiert
Sicherheitsbest-Practices
Abschnitt betitelt „Sicherheitsbest-Practices“Allgemeine Empfehlungen
Abschnitt betitelt „Allgemeine Empfehlungen“- HTTPS in der Produktion verwenden – RAMP niemals nur mit HTTP bereitstellen
- Geheimnisse regelmäßig rotieren – JWT-Geheimnisse, Client-Secrets, Dienstkonto-Passwörter
- MFA aktivieren – Zumindest für administrative Konten
- Fehlgeschlagene Anmeldungen überwachen – Auf Brute-Force-Versuche achten
- Starke Passwörter verwenden – Insbesondere für Bootstrap-Administratoren
- Umfang begrenzen – Mindestens erforderliche Berechtigungen vergeben
Netzwerksicherheit
Abschnitt betitelt „Netzwerksicherheit“- RAMP bei Verwendung von Windows Authentication in internen Netzwerken bereitstellen
- VPNs für externen Zugriff verwenden
- Firewalls konfigurieren, um den API-Zugriff einzuschränken
- Reverse Proxies (nginx, IIS) mit korrekter TLS-Konfiguration verwenden
Geheimnisverwaltung
Abschnitt betitelt „Geheimnisverwaltung“- Entwicklung: ASP.NET Core User Secrets verwenden
- Produktion: Azure Key Vault, AWS Secrets Manager oder HashiCorp Vault verwenden
- Niemals Geheimnisse in die Quellcodeverwaltung einchecken
Weitere Informationen finden Sie unter E-Mail-Einrichtungsanleitung zur SMTP-Passwort-Sicherheit
Schnellvergleich der Einrichtung
Abschnitt betitelt „Schnellvergleich der Einrichtung“| Funktion | RAMP Native | OIDC | Windows Auth | LDAP | ADFS |
|---|---|---|---|---|---|
| Einrichtungszeit | 15 Min. | 30–60 Min. | 2–4 Std. | 1–2 Std. | 2–4 Std. |
| Externe Abhängigkeiten | Keine | IdP-Konto | AD + IIS | LDAP-Server | ADFS-Server |
| SSO | Nein | Ja | Ja | Nein | Ja |
| Verzeichnissuche | Nein | Optional | Ja | Ja | Begrenzt |
| MFA-Unterstützung | Ja (integriert) | Über IdP | Nein | Nein | Über IdP |
| Passwort-Zurücksetzen | Ja (E-Mail) | Über IdP | Über AD | Über LDAP | Über IdP |
| Auto-Bereitstellung | Manuell | Ja | Ja | Ja | Ja |
Nächste Schritte
Abschnitt betitelt „Nächste Schritte“- Anforderungen prüfen anhand des obigen Entscheidungsleitfadens
- Authentifizierungsmethode auswählen
- Einrichtungsanleitung befolgen für die gewählte Methode
- Zusätzliche Funktionen konfigurieren:
- Authentifizierung testen vor dem Produktions-Deployment
- Sicherheitseinstellungen prüfen und Audit-Protokollierung aktivieren
Häufig gestellte Fragen
Abschnitt betitelt „Häufig gestellte Fragen“Kann ich mehrere Authentifizierungsmethoden verwenden?
Abschnitt betitelt „Kann ich mehrere Authentifizierungsmethoden verwenden?“Ja! RAMP unterstützt mehrere Anbieter gleichzeitig. Jeder Benutzer hat ein IdentityProvider-Feld, das seine Authentifizierungsquelle angibt.
Kann ich von einer Methode zu einer anderen wechseln?
Abschnitt betitelt „Kann ich von einer Methode zu einer anderen wechseln?“Ja, aber es erfordert sorgfältige Planung. Benutzer müssen mit dem neuen Identitätsanbieter neu erstellt werden. Wenden Sie sich für Migrationshilfe an den Support.
Welche Methode ist am sichersten?
Abschnitt betitelt „Welche Methode ist am sichersten?“Alle Methoden können bei korrekter Konfiguration sicher sein. Für maximale Sicherheit:
- MFA für native RAMP-Benutzer aktivieren
- SSO mit einem Enterprise-IdP verwenden (OIDC, ADFS)
- Alle Systeme mit Patches aktuell halten
Benötige ich eine Datenbank für die Authentifizierung?
Abschnitt betitelt „Benötige ich eine Datenbank für die Authentifizierung?“Ja, RAMP speichert Benutzermetadaten (Rollen, Einstellungen, Zuweisungen) in seiner Datenbank, unabhängig von der Authentifizierungsmethode. Die Datenbank speichert keine Passwörter für externe IdP-Benutzer.
Können externe Benutzer auf RAMP zugreifen?
Abschnitt betitelt „Können externe Benutzer auf RAMP zugreifen?“Ja, verwenden Sie OIDC mit einem öffentlichen IdP (Google, Microsoft, Auth0) und konfigurieren Sie geeignete Rollenzuweisungen für externe Benutzer.