Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Erna Hofmeister Geändert vor über 7 Jahren
1
Identity Management
2
Zentrale Begriffe und Probleme Modellbildung Methoden zur Authentisierung über HTTP Technische Aspekte Compliance Hindernisse, Kosten und Nutzen Fazit und Ausblick Inhalt
3
Login/einloggen/ausloggen Ressourcen Identitäten und Rechte Benutzerverwaltung/Konfiguration Rollen und Benutzergruppen Single-Sign-On und Federation Zentrale Begriffe und Probleme
4
Bedeutung eines Logins Benutzername/Passwort Eindeutig? Domäne Login/einloggen/ausloggen
5
Daten, Peripherie, Services, …. Was noch? Schützenswert Zugänglich und Benutzbar Ressourcen
6
Login = Identität? Authentisierung Wissen(Passwort) Besitz(Zertifikat) Merkmal/Biometrie(Fingerabdruck, IP?) Kombination von Methoden Identitäten
7
Zugriff von Identitäten auf Ressourcen Hinzufügen, Lesen, Ändern, Löschen (CRUD) Bekannte Rechte? Rechte
8
Zuweisung von Rechten zu Identitäten Organisation der Zuweisungen Benutzerinformationen aktuell halten Selbstverwaltung Benutzerverwaltung
9
Sammlung von Benutzern = Benutzergruppe Sammlung von Rechten = Rolle Reduzierung des Verwaltungsaufwandes Reduzierte Fehleranfälligkeit Benutzergruppen und Rollen
10
Eine zentrale Stelle zur Authentisierung Verwendung derselben Identitäten in unterschiedlichen Zusammenhängen Über Organisationgrenzen hinaus Sicherheit versus Benutzerfreundlichkeit „Single Sign On“ und Federation
11
Modellbildung (1) Authentisierung Autorisierung Informationen zu Benutzern Ressourcen Aufteilung in Repositories
12
Modellbildung (2)
13
Methoden zur Authentisierung über HTTP (Basic) Basic: „username:passwort“ wird base64 encoded an den Header der Nachricht angefügt GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
14
Methoden zur Authentisierung über HTTP (Digest) Digest: Server generiert und sendet „nonce“ und erwartet korrekt gebildeten Hashwert als Antwort GET /private/index.html HTTP/1.1 => nonce=„…“ GET … response=„MD5(…)“
15
Client sendet Anfrage an Service Service erwartet Ticket Client fragt Ticket-Server an Ticket-Server authentifiziert Client und sendet ihm Ticket Client kann Ticket verwenden um mit Service zu kommunizieren Methoden zur Authentisierung über HTTP (Kerberos)
16
Technische Aspekte (1) LDAP – Lightweight Directory Access Protocoll Schnittstellenprotokoll für hierarchische Datenbanken Optimiert für Authentifizierung und Autorisierung Verwendet zum Beispiel für Active Directory SAML – Security Assertion Markup Language XML-Framework Zusicherungen zu Benutzerzuständen von Authentisierung, Autorisierung und Attributen
17
Technische Aspekte (2) SASL – Simple Authentication and Security Layer Protokoll zur Vereinbarung von Authentisierungsmechanismen(Basic, Digest, Kerberos, …) Session zwischen Client und Server, ggf. TLS/SSL
18
Viele Gesetze zum Schutz von Benutzerdaten besonders für Börsennotierte Unternehmen Essenz: Nur so viele Daten speichern wie unbedingt notwendig Sorgfältig mit den Daten umgehen Jeder darf nur so viele Rechte haben wie für den Geschäftsprozess gebraucht werden Zugriffe müssen streng protokolliert werden Compliance
19
Heterogene Strukturen Unterschiedliche Anforderungen Kein akuter Handlungsbedarf Entwicklungs-und Adaptierungskosten Hindernisse auf dem Weg zum IMS
20
Compliance-Fragen zentralisiert behandelbar Geringere neu-Entwicklungskosten Weniger Verwaltungsaufwand Nutzen eines IMS
21
Viele verbreitete Standards, Frameworks und Techniken Kein klares Konzept zum Identity Management Unbedingte Notwendigkeit zur Auseinandersetzung mit dem Thema Fazit
22
Sehr teure Homogenisierung der Authentifizierung Übernahme von Standards Vorteile u.a. Benutzerfreundlichkeit, geringere Einarbeitungszeiten, Datensicherheit, … Schaffen von Infrastruktur Ausblick
23
?-) Fragen?
24
Vielen Dank für Ihre Aufmerksamkeit!
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.