cat-windows-server

How-To: Post SuisseID mit Remote Desktop Gateway

WINDOWS SERVER

Mit SuisseID kommt der erste elektronische Identitätsnachweis der Schweiz. Damit ist beispielsweise möglich Verträge digital zu signieren, die Echtheit von E-Mails zu bestätigen oder Internetdienstleistungen mit einer sicheren Authentifizierung zu nutzen. Weitere Anwendungsmöglichkeiten sind zunehmend im Aufbau, zunehmende mehr Anbieter von Internetdienstleistungen bekunden Interesse an SuisseID und planen die Integration in den kommenden Monaten.

Sicherheit ist natürlich ein zentrales und auch sehr heikles Thema. Die Sicherheit muss natürlich auch immer im Gesamtkontext von Mensch, Computer und Internet bewertet werden, deren totale Kontrolle allerdings ausserhalb der Möglichkeiten einer SuisseID liegt. Diesen Umstand können auch nicht die Herausgeber der SuisseID, die Schweizerische Post/SwissSign AG und QuoVadis nicht ändern. Aber jeder User kann die Sicherheit seines Gesamtsystems massgeblich selbst beeinflussen.

In diesem Artikel geht es nun um das Anwendungsbeispiel, wie Firmen einen sicheren Zugang von extern auf Basis von SuisseID anbieten können. Die Idee ist aufzuzeigen, dass die Sicherheit von SuisseID auf für Basis Infrastruktur Themen wie Remote Desktop Services angewendet werden können.

SuisseID, die Registrierung

Seit Mai 2010 kann SuisseID als Chipkarte oder USB Token erworben werden, wobei der USB-Stick ohne speziellem Lesegerät in jedem Computer mit einem USB Port betrieben werden kann. Das komplette Angebot wird auf der Webseite der Schweizerischen Post präsentiert.

Da die Post SuisseID als elektronischer Identitätsausweis dient, müssen zusätzliche Validierungen durchgeführt werden. Für die Bestellung muss die Person an einer Poststelle authentifiziert werden. Eine weitere Validierung erfolgt später während des Bestellprozess um die E-Mail Adresse zu bestätigen. Erst wenn sämtliche Schritte erfolgreich abgeschlossen wurden, wird die SuisseID versendet. Die Schweizerische Post hat die erforderlichen Schritte für den Bestellvorgang auch in einem Video beschrieben:

[youtube=http://www.youtube.com/watch?v=ZWOeDoMmPJI&w=600&rel=0]

Die Bestellung und Registrierung, sowie die anschliessende Auslieferung der SuisseID laufen in der Regel sehr schnell und unproblematisch ab. Aus eigener Erfahrung kann ich bestätigen, dass es keine 10 Tage gedauert hat.

Einbindung in die Windows Infrastruktur

Die SuisseID kann für verschiedenste Szenarien eingesetzt werden, wie Beispielsweise für die Authentifizierung für den Remote Zugang bei Remote Desktop. Mit einer SuisseID kann somit sichergestellt werden, dass auch nur User im Besitze des entsprechenden Certificate sich einloggen können. Dazu wird im Active Directory der User mit dem SwissID Certificate verknüpft:

Für solche eine Integration mit SuisseID sind folgende Komponenten erforderlich:

  • Active Directory Domain Services (ADDS)
  • Active Directory Certificate Services (ADCS)
  • Remote Desktop Session Host (RDSH)
  • Remote Desktop Web Access (RDWA)
  • Remote Desktop Gateway (RDGW)

Sämtliche dafür erforderlichen Komponenten sind Roles und Features von Windows Server 2008 / 2008 R2. Somit kann alles mit Boardmittel umgesetzt werden und es entstehen keine zusätzlichen Lizenzkosten.

Microsoft Consulting Kollege Martin Sieber hat dazu ein detailliertes Whitepaper bereitgestellt welches die erforderlichen Schritte genausten beschreibt.

Weitere Informationen

Dieser Artikel wurde durch die Scheizerische Post als [Trigami-Review] finanziert. Der Inhalte repräsentiert allerdings alleine die Meinung des Autors.

Remote Desktop Services , Windows Server 2008 R2

, , ,

About the Author

Michel Luescher is a solution architect in the worldwide Datacenter & Cloud Infrastructure Center of Excellence (CoE) at Microsoft Corporation based out of Zurich, Switzerland. Primarily, Michel is focused on hybrid cloud solutions (Hyper-V, System Center and Microsoft Azure). In addition Michel is speaker, blogger and author of several books.

Comments (3)

  • Marco says:

    Hi du,

    dein LInk zum Whitepaper von Martin geht auf das OWA von Mircosoft 🙂

    Ist wohl nicht ganz das Ziel, oder?

    Liebe Grüsse
    Marco

     
    • Michel says:

      Korrigiert, Danke für den Hinweis 😉

      Grüsse
      Michel

       
  • Dr. Robert Poehler says:

    Leider hat bei mir die Bereitstellung nicht geklappt. Die Anmeldung funktionierte, aber die schrifltich bestellten Unterlagen kamen nicht an.

     

Leave a Reply.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Was bedeuten eigentlich die Icons in der Hyper-V Console? How-To: Swisscom DSL Router mit DynDNS