MyQ X bietet ein umfassendes Identitäts- und Zugriffsmanagement-Framework, das sich nahtlos in bestehende Authentifizierungssysteme von Unternehmen integrieren lässt und moderne Sicherheitsstandards unterstützt. Die IAM-Architektur gewährleistet eine sichere, skalierbare und flexible Benutzerauthentifizierung in verschiedenen Unternehmensumgebungen.
Implementierung der Multi-Faktor-Authentifizierung
MyQ X implementiert robuste Multi-Faktor-Authentifizierungsfunktionen (MFA), die die Sicherheit durch die Anforderung mehrerer Verifizierungsfaktoren erheblich verbessern:
Embedded Terminal: Zu den Standard-MFA-Methoden gehören Kombinationen aus ID-Karte und PIN, bei denen Benutzer zunächst ihre physische ID-Karte vorlegen und dann ihre Identität mit einem PIN-Code bestätigen. Alternativ bietet die ID-Karten- und Passwortauthentifizierung eine ähnliche Zwei-Faktor-Sicherheit mit Passwortüberprüfung anstelle einer PIN.
Mobilgerätebasierte Authentifizierung: Der MyQ X Mobile Client ermöglicht eine ausgeklügelte MFA durch QR-Code-Scannen in Kombination mit biometrischer Verifizierung. Benutzer authentifizieren sich durch Scannen eines auf dem Embedded Terminal angezeigten QR-Codes, wobei zusätzliche Sicherheit durch biometrische Sperren (Face ID oder Fingerabdruck) auf ihren Mobilgeräten gewährleistet wird.
Desktop Client-Integration: Unternehmen, die Microsoft 365-Dienste nutzen, profitieren von einer integrierten MFA durch Entra ID-Authentifizierung. Benutzer, die in ihren Entra ID-Konten die Zwei-Faktor-Authentifizierung aktiviert haben, werden beim Zugriff auf den Desktop-Client automatisch aufgefordert, ihre Identität mithilfe von Authentifizierungsanwendungen zu überprüfen.
OAuth 2.0-Geräteautorisierung
MyQ X unterstützt den OAuth 2.0 Authorization Code Grant-Standard und ermöglicht so eine sichere Integration mit modernen Identitätsanbietern und Anwendungen von Drittanbietern:
Standard-OAuth-Ablauf: Das System implementiert das vollständige OAuth 2.0-Autorisierungsframework, einschließlich der Darstellung der Anmeldeseite, der Generierung von Einmal-Zugangscodes und der sicheren Token-Abrufung. Client-Anwendungen erhalten Bearer-Token mit konfigurierbaren Ablaufzeiten und gewährten Berechtigungsbereichen.
API-Integrationssicherheit: OAuth-Token müssen für alle API-Endpunktzugriffe bereitgestellt werden, um sicherzustellen, dass Integrationen von Drittanbietern eine ordnungsgemäße Authentifizierung aufrechterhalten. Das System unterstützt die Validierung von Client-IDs und Client-Geheimnissen mit sicherer URI-Umleitung.
Token-Verwaltung: Zugriffstoken umfassen Ablaufkontrollen (standardmäßig 1800 Sekunden) und Bereichsbeschränkungen, wodurch eine detaillierte Kontrolle über API-Zugriffsberechtigungen ermöglicht und gleichzeitig die Sicherheit durch Token-Rotation gewährleistet wird.
Single-Sign-On-Integrationsfunktionen
MyQ X bietet eine umfassende Single-Sign-On-Integration (SSO), die die Benutzerauthentifizierung in Unternehmensumgebungen optimiert:
Microsoft 365-Integration: Die tiefe Integration mit Microsoft Entra ID ermöglicht nahtloses SSO für Unternehmen, die Microsoft 365-Dienste nutzen. Benutzer können sich mit ihren bestehenden Microsoft-Anmeldedaten authentifizieren, sodass keine separaten MyQ-Passwörter erforderlich sind.
Unternehmensverzeichnis-Dienste: Die SSO-Funktionen erstrecken sich auf verschiedene Authentifizierungsserver, darunter Active Directory, OpenLDAP und Novell eDirectory, sodass Benutzer ihre vorhandenen Unternehmensanmeldedaten für den Zugriff auf MyQ verwenden können.
Plattformübergreifende Authentifizierung: Die SSO-Funktionalität funktioniert über alle MyQ X-Komponenten hinweg, einschließlich Desktop Client, Mobile Client und Embedded Terminal, und bietet unabhängig von der Zugriffsmethode ein einheitliches Authentifizierungserlebnis.
Rollenbasierte Zugriffskontrolle (RBAC)
MyQ X implementiert eine ausgeklügelte rollenbasierte Zugriffskontrolle, die den Sicherheitsanforderungen von Unternehmen entspricht:
Detaillierte Berechtigungsverwaltung: Das System bietet eine detaillierte Kontrolle über Benutzerberechtigungen, sodass Administratoren spezifische Zugriffsrechte basierend auf organisatorischen Rollen und Verantwortlichkeiten definieren können.
Gruppenbasierte Verwaltung: Die RBAC-Implementierung unterstützt sowohl individuelle Benutzerberechtigungen als auch gruppenbasierte Zugriffskontrolle und ermöglicht so eine effiziente Verwaltung großer Benutzergruppen durch die Zuweisung von Sicherheitsgruppen.
Durchsetzung des Prinzips der geringsten Privilegien: Die Zugriffskontrollen folgen dem Prinzip der geringsten Privilegien und stellen sicher, dass Benutzer nur die für ihre Aufgaben erforderlichen Mindestberechtigungen erhalten, während die betriebliche Effizienz erhalten bleibt.
Entra ID Multi-Tenant-Unterstützung
MyQ X bietet robuste Unterstützung für Microsoft Entra ID-Mandantenumgebungen:
Mandantenübergreifende Authentifizierung: Das System kann Benutzer über mehrere Entra ID-Mandanten hinweg authentifizieren und unterstützt so komplexe Organisationsstrukturen mit mehreren Azure AD-Instanzen.
Mandantenisolierung: Die Multi-Tenant-Unterstützung umfasst geeignete Isolierungsmechanismen, die den mandantenübergreifenden Datenzugriff verhindern und gleichzeitig die zentralisierten MyQ-Verwaltungsfunktionen aufrechterhalten.
Hybrides Identitätsmanagement: Die Integration unterstützt sowohl reine Cloud- als auch hybride Identitätsszenarien und eignet sich für Unternehmen mit lokalem Active Directory, das mit Entra ID synchronisiert ist.
LDAP- und Active Directory-Integration
MyQ X bietet umfassende LDAP- und Active Directory-Integrationsfunktionen:
Flexible Synchronisierungsoptionen: Das System unterstützt mehrere Synchronisierungsmethoden, darunter vollständige Synchronisierung, selektive Attributsynchronisierung und bedingte Synchronisierung basierend auf LDAP-Filtern. Administratoren können zwischen vollständigem Ersetzen, nur Hinzufügen oder bedingten Aktualisierungen für Karten- und PIN-Eigenschaften wählen.
Erweiterte Filterfunktionen: Die LDAP-Synchronisierung umfasst ausgefeilte Filteroptionen unter Verwendung der Standard-LDAP-Filtersyntax, die einen selektiven Benutzerimport basierend auf Organisationseinheiten, Gruppenmitgliedschaften oder benutzerdefinierten Attributen ermöglichen.
Import der Gruppenstruktur: Das System kann komplette Organisationsstrukturen einschließlich Sicherheitsgruppen, Verteilergruppen und verschachtelten Gruppenhierarchien aus Active Directory importieren und dabei die organisatorischen Beziehungen innerhalb von MyQ beibehalten.
Sichere Authentifizierung: Die gesamte LDAP-Kommunikation nutzt TLS-Verschlüsselung, um Anmeldedaten und Benutzerdaten während der Synchronisierung zu schützen. Das System unterstützt sowohl herkömmliches LDAP über TLS als auch sichere LDAP-Verbindungen.
Verwaltung temporärer PINs und Sicherheitsrichtlinien
MyQ X implementiert umfassende PIN-Verwaltungs- und Sicherheitsrichtlinien:
Verbesserte PIN-Sicherheit: Version 10.2 führt eine verbesserte PIN-Sicherheit ein, einschließlich einer obligatorischen Mindestlänge von 6 Ziffern und der Verhinderung leicht zu erratender Kombinationen wie „1234“ oder „1111“.
Ausgabe temporärer PINs: Das System unterstützt temporäre PIN-Codes, die für bestimmte Zeiträume oder Einmal-Szenarien ausgegeben werden können und zusätzliche Sicherheit für Gastzugänge oder Zeitarbeitskräfte bieten.
Durchsetzung von PIN-Richtlinien: Konfigurierbare PIN-Richtlinien ermöglichen es Unternehmen, Komplexitätsanforderungen, Ablaufzeiten und Wiederverwendungsbeschränkungen festzulegen, die den Sicherheitsstandards des Unternehmens entsprechen.
Schutz bei fehlgeschlagener Authentifizierung: Die verbesserte Sicherheit umfasst die automatische Sperrung von Authentifizierungsversuchen nach wiederholten Fehlversuchen (Standard: 5 Minuten Sperrung nach 5 fehlgeschlagenen Versuchen innerhalb von 60 Sekunden).
Unterstützung biometrischer Authentifizierung
MyQ X nutzt moderne biometrische Authentifizierungsfunktionen durch die Integration mobiler Geräte:
Integration mobiler Biometrie: Der MyQ X Mobile Client unterstützt biometrische Authentifizierungsmethoden wie Face ID auf iOS-Geräten und Fingerabdruckerkennung auf Android-Geräten und bietet so eine nahtlose und dennoch sichere Zugriffskontrolle.
Multimodale Authentifizierung: Die biometrische Authentifizierung funktioniert in Verbindung mit gerätebasierter Sicherheit und schafft so ein multimodales Authentifizierungssystem, das etwas, das der Benutzer hat (Mobilgerät), mit etwas, das er ist (biometrische Merkmale), kombiniert.