BiPRO-Authentifizierung mit BiPROsense
Easy Login vervollständigte jüngst die Arten der (BiPRO-)Authentifizierung. Für BiPRO-Provider und -Consumer bleibt die Herausforderung im Sinne der Makler, am Ball zu bleiben und neue Verfahren zeitnah umzusetzen. Nun gibt es endlich auch eine Tool-Unterstützung.
Management Summary
- Ende 2021 führte easy Login ein weiteres Login-Verfahren für Makler ein: TOTP (Time-based One-Time Password).
- Das Thema ist kompliziert und sehr technisch, muss aber am Ende fachlich genutzt und verstanden werden.
- BiPRO-Provider und -Consumer sind nun in der Umsetzung (oder planen diese).
- Es werden Expert*innen für die Umsetzung, aber auch für den Test notwendig.
- Tool-Unterstützung gab es bis vor Kurzem höchstens für die Techniker*innen (z.B. SoapUI), aber auch da nicht out of the box, sondern nur, wenn manche Funktionalitäten selbst programmiert werden.
- Mit BiPROsense ist nun auch die Fachabteilung in der Lage, alle BiPRO-Authentifizierungen einfach und jederzeit selbstständig zu testen.
BiPROsense: In vier Schritten authentifiziert, einfach und bequem.
Ausgangslage
Die Vielfalt der gängigen Authentifizierungsarten im BiPRO-Umfeld ist mittlerweile sehr beeindruckend:
- „TOTP“ (Time-based One-Time Password) von easy Login (TGIC) ist das neueste Zwei-Faktor-Verfahren für Makler*innen. Mit Hilfe einer Smartphone- oder Desktop-App wird ein 8-stelliger Code erzeugt.
- „mTAN“: Das von Maklern weniger beliebte Mobile-TAN-Verfahren erfordert ein SMS-fähiges Gerät. Es wird von easy Login (TGIC) für Makler*innen angeboten. Der/Die Makler*in muss sich entweder für TOTP oder mTAN entscheiden, kann dies aber jederzeit wieder ändern.
- TGIC-Zertifikate: Diese Zertifikate dienen der Maschine-zu-Maschine-Kommunikation. Sie gibt es derzeit nur von den Versicherern mit TGIC-Technologie und nur diese können sie ausstellen.
- easy Login Zertifikate (auf TGIC-Technologie) sind für Ende 2022 geplant.
- easy Login Zertifikate (VDG-Technologie): Dienen der Maschine-zu-Maschine-Kommunikation. Ein easy Login-Nutzer kann diese selbst in der Zertifikatsverwaltung erstellen. Die Zertifikate sind nur für Versicherer mit VDG-Technologie nutzbar (14 VUs).
- VDG-Zertifikate: Werden vom VDG bereitgestellt/verwaltet, sind technisch identisch zu den easy Login Zertifikaten (VDG-Technologie).
- TGIC zu VDG Token-Tausch (TGIC-Technologie + VDG-Technologie): Mit den oben genannten TGIC-Authentifizierungsarten kann man seit Mitte 2019 das TGIC-Token gegen ein VDG-Token umtauschen und so alle (14) VDG-Versicherer erreichen.
- X.509-Zertifikate: Werden von Versicherern ausgestellt und dienen als technischer User der Maschine-zu-Maschine-Kommunikation.
- Username&Passwort: Wird vom Versicherer vergeben, kann universell genutzt werden. Passwort-Änderungen alle X Tage machen das Verfahren oft unbeliebt (für die Maschine-zu-Maschine-Kommunikation).
- Mit den RNext-Umsetzungen entstehen derzeit weitere Authentifizierungsverfahren.
BiPRO-Consumer müssen in der Regel alle Verfahren beherrschen, um alle Versicherer anbinden zu können. Hierfür ist viel technisches und fachliches Know-how erforderlich.
Auch die Versicherer haben große Herausforderungen, nur einen Teil der Authentifizierungsverfahren, z.B. die TGIC-Authentifizierung, zu betreiben, denn oft gibt es hierfür nur eine*n verantwortliche*n IT-Experten*in im gesamten Konzern.
Der Anbindungsprozess und vor allem damit einhergehende Tests sind eine große Herausforderung für alle Beteiligten.
Wie wird das (am Beispiel TGIC-TOTP) getestet?
Voraussetzungen:
- Je einen easy Login (TGIC) Account für die Test- (ETU) und Produktivumgebung
- (Initial) diverse technische Details wie TGIC-Service-ID, SSO-Gruppe, ISTS-URLs etc.
- Für TOTP: Ein Smartphone/Tablet mit geeigneter App (z.B. „IBM Security Verify“) oder für Windows die „easy Login TOTP PC-App“
- Soap – Testtool
SoapUI kann alles
Ein technisches Tool für den Test der Authentifizierung ist SoapUI.
Das öffentlich zugängliche Anbindungspaket der Dialog Versicherung bietet ein geeignetes Beispielprojekt und kann als gute Vorlage dienen. Es enthält die mTAN- und TGIC-Zertifikat-Authentifizierung. TOTP muss analog zu mTAN selbst aufgebaut werden, nachdem die technologischen Updates an die aktuelle Version des TGIC-ISTS eingepflegt wurden. Für IT-Expert*innen stellt dies kein Problem dar.
Über einzelne „TestCases“ lassen sich die zweistufige TOTP-Authentifizierung und sogar eine grafische Abfrage des TOTP-Codes umsetzen:
Im zweiten Testfall (Token-Tausch von TGIC zum VU) ist zu erkennen, ob die Authentifizierung funktioniert:
Für Techniker*innen ist SoapUI ein durchaus praktisches Tool, das zu einer guten Anbindungsdokumentation gehört und für die Testautomatisierung eingesetzt werden kann.
Und auch für fachliche Anwender*innen ist es (notfalls) zumutbar.
BiPROsense spart Zeit
BiPROsense ist ein fachliches Tool für BiPRO-Anwender.
Es enthält bereits die meisten Authentifizierungsverfahren (in Kürze sogar alle) und ermöglicht einen Test aus Sicht des Consumers:
Alle technischen Randbedingungen sind bereits eingestellt. Nur die unbedingt erforderlichen Angaben (User, Passwort, TOTP-Code) sind in übersichtlichen Dialogen anzugeben. Für jeden Schritt erfolgt eine verständliche Rückmeldung.
Ein fachlicher Service bei der TGIC lässt sich ebenfalls schnell mit dem mTAN-Verfahren testen:
Oder mit einem technischen User über ein TGIC-Zertifikat:
Auch der Test mit verschiedenen Usern und der Schwenk zwischen Test- und Produktivumgebung sind komfortabel möglich.
Erfahren Sie noch mehr über unser Produkt BiPROsense.
