Citrix NetScaler AAA und OpenLimit eID

Ein Enterprise Feature des Citrix NetScalers ist AAA, was nicht für „Access All Areas“ steht, sondern für „Authenticate, Authorize, Audit“. Vor jedwede Web-Anwendung kann eine entsprechende Instanz des NetScalers geschaltet werden, die den Benutzer authentifiziert (gegen die verschiedensten Backends wie LDAP/AD, Radius uvm.), seine Berechtigungen prüft und seine Zugriffe natürlich auch auditierbar protokolliert.

Wichtiger Kniff dabei: das ganze läuft über Browser-Redirects und Cookies, die einerseits den Client zur Anmeldung dirigieren, solange er sich nicht erfolgreich ausgewiesen hat und ausreichend berechtigt ist, und andererseits diese erfolgreiche Autorisierung in gesicherter Form transportieren. Damit diese Cookies den Sprung vom AAA Virtual Server zum eigentlichen Service schaffen, müssen diese beiden VServer unter der selben DNS Domain angesprochen werden (Cookie Domain).

Einsatzbeispiel der NetScaler AAA bei neuen Personalausweisen

Ein interessantes Beispiel für den Einsatz dieser Funktionalität ist im Bereich des nPA (neuer Personalausweis) die Zusammenarbeit mit dem eID-Server von OpenLimit. Der eID-Server agiert als Bindeglied zwischen AusweisApp/Bürgerclient und den Web-Anwendungen von Behörden oder anderen Service-Anbietern. Er führt die Online-Authentisierung per eID durch, sorgt für das sichere und authentische Auslesen der Daten vom nPA und verwaltet die gesamte Zertifikats-Magie, die dazu nötig ist. Einsatzort ist die gesicherte Umgebung des Service-Anbieters, da der eID-Server mit diversen internen, teils hochsicheren Instanzen kommunizieren muss.

Als sicherer Kontaktpunkt zwischen Client, in diesem Fall dem Bürger, der Anwendung und dem eID-Server bietet sich natürlich der Citrix NetScaler an. Ein entsprechender AAA VServer nutzt also den OpenLimit eID-Server als Authentifizierungs-Backend, gegen das Benutzer angemeldet und autorisiert werden können.