Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

SiG Identity Management Technology Version 1.0 Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach Dr. Horst Walther, SiG Software Integration GmbH:

Ähnliche Präsentationen


Präsentation zum Thema: "SiG Identity Management Technology Version 1.0 Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach Dr. Horst Walther, SiG Software Integration GmbH:"—  Präsentation transkript:

1

2 SiG Identity Management Technology Version 1.0 Dienstag, , Achat Plaza Hotel in Offenbach Dr. Horst Walther, SiG Software Integration GmbH: 16:15 – 17:00

3 SiG Technologie Evolution des Identity Managements Eine Identity Management Architektur Der Integrationsbedarf Spezialisierungen der Datenbanksysteme Integration über Verzeichnisdienste Entwicklung der Verzeichnisdienste X.500 vs. LDAP Entwicklung der X.500-Standards Daten und Verzeichnis-Integration Meta-Verzeichnisdienste Virtuelle Verzeichnisdienste Provisioning – was ist das? Architektur eines Identity Management Systems Integration über Federation Federated Identity

4 SiG Unabhängige Quellen … Evolution des Identity Managements Historisch 3 unabhängige Strömungen... Die Idee der public key infrastructure (PKI) für eine zertifikatsbasierte starke Authentisierung kann bis in das Jahr 1976 zurück verfolgt werden, Die CCITT[1] heute ITU-T[2] hat ihre 1. Spezifikation eines X.500- Verzeichnis- dienstes 1988 veröffentlicht.[1][2] Die heute üblichen Verzeichnisdienste sind durch diese Entwicklung beeinflusst. 5 Jahre später startete das NIST[3] seine Arbeiten am role based access control (RBAC)[4].[3][4] [1] Comite Consultatif Internationale de Télégraphie et Téléphonie [1] [2] International Telecommunications Union- Telecommunication [2] [3] National Institute of Standards & Technology [3] [4] RABC: Role Based Access Control [4] Die verfügbaren Komponenten zeigen eine deutliche funktionale Überlappung und ergänzen sich nicht problemlos zu einer Identity Management Infrastruktur PKI 1988 X RBAC 2001 IDM

5 SiG Eine Identity Management Architektur

6 SiG Der Integrationsbedarf Das typische Fortune 500 Unternehmen wartet über 180 Verzeichnisse, wie Adressverzeichnisse, Telephonbücher... (Quelle: Forrester Research). Viele Anwendungen und Systeme verwalten ihre eigenen Identitätsspeicher... Betriebssysteme: Windows NT, 2003, XP,... Datenbanksysteme: ORACLE, DB2,.. Mail-Systeme: Outlook, Lotus NOTES,... Service-Systeme: RACF, Firewalls,... E-business-Systeme: Internet-Portale, e-Banking-Systeme,... Eigenentwickelte Geschäftsanwendungen.

7 SiG Spezialisierungen der Datenbanksysteme OLTP- Datenbanksysteme Transaction processing häufige Updates, Kurze Datensätze, OLAP- Datenbanksysteme Analyse von vorverdichteten, redundant Massendaten Verzeichnisdienste, Häufiger Lesezugriff, Spezial-DBMS auf den Einzelzugriff auf (kurze) Einzeldatensätze optimiert. Ungeachtet aller Verwirrungen über die Natur von Verzeichnisdiensten – Es sind schlicht spezialisierte Datenbanksysteme.

8 SiG Integration über Verzeichnisdienste Ein Verzeichnisdienst bietet eine einheitliche Sicht auf die Identity Informationen... Telefon Video Conference Video Conference Application Sharing Application Sharing Electronic Mail Electronic Mail Multimedia WWW Multimedia WWW Groupware Netzwerk- Administration Netzwerk- Administration Workflow Termin- kalender Termin- kalender Security Certification Authority Certification Authority Verzeichnis- dienste Verzeichnis- dienste Er... wird von jeder Anwendung genutzt. ermöglicht die Pflege von Informationen an einer einzigen Stelle. bietet eine universelle, einfach zu bedienende Oberfläche für den Zugriff. ist im Intranet unverzichtbar. Fast jede Anwendung und jedes System verwalten heute noch ein eigenes Verzeichnis. Z.B.: SAP: Personalwesen, Benutzerverwaltung, Kreditoren, Debitoren, etc. RACF: Verwaltung der Zugriffsrechte von Personen und Rollen auf geschäftliche und technische Objekte Windows NT: Active Directory auch für MS Exchange Lotus Notes: Notes Namens- und Adressbuch, Zugriffs- kontrollisten der Datenbanken, etc.

9 SiG Entwicklung der Verzeichnisdienste Verzeichnisdienste gehen auf X.500-Standards zurück. Einflüsse für die weitere Entwicklung... Anfangs war die Implementierung für die Hardware zu anspruchsvoll. Ergebnis: Lightweight-DAP (X.500-Zugangsprotokoll), LDAP. Später war Hardwareleistung weniger der Engpass. Ein großer Teil der Identity Information war bereits in Nicht-LDAP- Repositories gespeichert. Chance für die Virtuellen Verzeichnisdienste... bewusster Verzicht auf die Leseoptimierung. Verzeichniszugriff wird nur simuliert statt dessen wird auf die Original Datenquellen zugegriffen Die Steigerung der Leistungsfähigkeit der Netze ließ die Bedeutung der X.500-Protokolle DSP und DISP sinken. Heute ist mit XML (und Dialekten) sogar LDAP ein veritabler Konkurrent erwachsen. Die meisten Verzeichnisdienste basieren auf X.500-Standards.

10 SiG X.500 vs. LDAP X Der erste Standard – wurde 1993 veröffentlicht. ist ein ISO- (International Standards Organisation) und ITU- (International Telecommunications Union) Standard. beschreibt, wie globale Verzeichnisse strukturiert werden sollten. sieht eine hierarchische Organisation mit Levels für jede Informations- kategorie ( z.B. Land, Stadt, Organisation,... ) vor. unterstützt X.400 Systeme. ist das Ergebnis von Gremien-Arbeit der Telekommunikationsgesell- schaften. (Top-Down-Prinzip) LDAP... Der pragmatische Zugang der Internet- Gemeinde zu X.500. steht für Lightweight Directory Access Protocol und soll X.500/DAP ersetzen. entstand aus dem Bedarf, schlanken Clients Zugriff auf X.500 zu ermöglichen. nutzt nicht das X.500 zugrundeliegende (mächtige) OSI- Protokoll, sondern das weit verbreitete TCP/IP. wird betreut durch die Internet Engineering Task Force (IETF). Interessierte können ihre Lösungen zur Standardisierung einreichen. (Bottom-Up-Ansatz ) Der allumfassende Standard-- vs. --der schnelle Zugriff

11 SiG X.500 und LDAP - Wie kam es dazu? LDAP stellt 90% der DAP-Funktionalität bei 10% der Kosten zur Verfügung LDAP besitzt Vorteile gegenüber dem X.500-DAP durch: Transport über TCP -> stark reduzierter Overhead Verzicht auf selten benutzte Funktionen, die Verwendung einfacherer zu verarbeitender Zeichenkettenformate als die hochstrukturierten X.500-Formate sowie eine einfachere Codierung der Daten für den Transport. LDAP bietet damit einen einheitlichen Zugriff und eine einheitliche Kommunikation mit Verzeichnisdiensten LDAP DAP Funktionalität Kosten noch Standardisierungs- bedarf

12 SiG X /93Überblick über Konzepte, Modelle und Dienste X /93Modelle X /93Authentisierungs-Framework X /93Abstrakte Dienste Definition X /93Verfahren für verteilte Verarbeitung X /93Protokoll Spezifikationen X /93Ausgewählte Attribut Typen X /93Ausgewählte Objekt Klassen X /93Replizierung X /95Verzeichnis-Zugriffs Protokoll X /95Verzeichnis-System Protokoll Quelle: X Die Standard-Serie Auch außerhalb von Auch außerhalb von X.500 gebräuchlich

13 SiG Der X.500-Standard definiert bereits 17 Basis-Objekt-Klassen … X Standardobjekte Objekt-Klassen: Alias Country Locality Organization Organizational Unit Person Gemeinsame Attribute: Common Name (CU) Organization Name (O) Organizational Unit Name (OU) Locality Name (L) Street Address (SA) State or Province Name (S) Country (C) Weitere Objektklassen und Attribute lassen sich hinzufügen.

14 SiG Normen – vordefinierte X.500-Attribute Welche Attributtypen sind nach X.520 bereits formuliert? Systemattribute: Knowledge Information Bezeichnungsattribute: Name, Vorname, Nachname, Initialien, Generation Qualifier, Unique Identifier, DN Qualifier, Seriennummer Geographische Attribute: Land, Lokalität, Staat, Straße, Hausnummer Organisationsattribute: Organisationseinheit, Titel Beschreibende Attribute: Beschreibung, Suchhilfe, Erweiterte Suchhilfe, Geschäftskategorie Post-Adress-Attribute: Post-Adresse, Postleitzahl, Postfach, Physical Delivery Office Name Telephon-Adress-Attribute: Telephonnummer, Telexnummer, Teletext- Terminal, Faxnummer, X.121-Adressen, ISDN-Nummer, Registered Adress, Desination Indicator Preferences Attribute: Bevorzugte Versandmethode OSI-Anwendungs-Attribute: Präsentationsadresse, Unterstützter Anwendungskontext, Protokollinformation Relationale Attribute: Distinguished Name, Unique Member, Besitzer, Role Occupant, Siehe_Auch Domain Attribute: DMD Name

15 SiG Normen – vordefinierte X.500-Objekte Welche Objektklassen sind nach X.521 bereits formuliert? Land: Name, Beschreibung, Suchhilfe Lokalität: Beschreibung, lokale Attribute, Siehe_Auch Organisation: Name, Organisationsattribute Organisationseinheit: Name, Organisationsattribute Person: Name, Vorname, Telephonnummer, Paßwort, Siehe_Auch Unterklassen: Person organisatorisch, Residential Person Rolle: Name, Beschreibung, lokale Attribute, Name Organisationseinheit, Post-Attribute, Bevorzugte Versandmethode, Role Occupant, Siehe_Auch, Telekommunikationsattribute Gruppe: Name, Mitglied, Name Organisation, Name Organisationseinheit, Besitzer, Siehe_Auch, Geschäftskategorie Group of Unique Names: Name, Unique Member, Beschreibung, Name Organisation, Name Organisdationseinheit, Besitzer, Siehe_Auch, Geschäftskategorie Anwendungsprozess: Name, Beschreibung, Name Lokalität, Name Organisationseinheit, Siehe_Auch Application Entity: Name, Präsentationsadresse, Beschreibung, Name Lokalität, Name Organisation, Name Organisationseinheit, Siehe_Auch, Unterstützter Anwendungskontext Gerät: Name, Beschreibung, Name Lokalität, Name Organisation, Name Organisationseinheit, Besitzer, Siehe Auch, Seriennummer Strong User Authentification: Benutzerzertifikat User Security Information: unterstützte Algorithmen Certification Authority: CA-Zertifikat, Zertifikat-Sperrliste, Authority-Sperrliste, Cross Certificate Pair

16 SiG X.500 Konzepte, Modelle und Dienste X.501 Modelle X.509 Authentifizierungs-Framework X.511 Dienste Definition X.518 Verteilte Verarbeitung X.519 Protokoll Spezifikationen X.520 Attribut Typen X.521 Objekt Klassen X.525 Replizierung X.581 Zugriffs Protokoll (DAP) X.582 System Protokoll (DSP) Working GroupLDAPext Working GroupLDUP RFC1487X.500 LDAP v1 RFC1488String Representation RFC1777LDAP v2 RFC1788String Representation for Attributes RFC 1779String Representation for DN RFC1823LDAP API RFC1959LDAP URL RFC1960String Representation for Search Filters RFC2164X.500/LDAP MIXER address mapping RFC2247Domains in X.500/LDAP DN RFC2251LDAPv3 RFC2252Attribute Syntax Definition RFC2253UTF-8 String Representation of DN RFC2254String Representation for Search Filters RFC2255URL Format RFC2256X.500 User Schema for use with LDAPv3 RFC2307LDAP as Network Information Service RFC2559X LDAPv2 DRAFTLDIF inetOrgPerson X.530 Zugriffs Protokoll Entwicklung der Standards

17 SiG Daten und Verzeichnis-Integration Die Daten- und Verzeichnisintegrationslösung dient auch als Fundament für Sicherheitsanwendungen wie: Single Sign-On Password Management PKI Digitale Zertifikatsdienste User Provisioning Die Konsolidierung der Benutzerdatenbestände könnte zu einer Verbesserung der Datenkonsistenz um 44%, Güte um 36% und Sicherheit um 33% führen.META Group

18 SiG Synchronisierung von Verzeichnisdiensten (1) IBM RACF Sec.Way SAP R/3 Lotus Notes MS ADS z.B. Sun One C/S Unix Host Unkoordinierte Schemata Kein automatisierter Abgleich zwischen Verzeichnissen (Aufwand steigt unkalkulierbar) Horizontale Koordination Tivoli, TME10 Netw./System Management

19 SiG Synchronisierung von Verzeichnisdiensten (2) IBM RACF Sec.Way SAP R/3 Lotus Notes MS ADS z.B. Sun One C/SUnixHost Gemeinsames Schema Gemeinsames Schema zzgl. systemspez. Erweiterungen... Paarweiser Abgleich zwischen Verzeichnissen (Aufwand steigt quadratisch) Horizontale Koordination Tivoli, TME10 Netw./System Management

20 SiG Synchronisierung von Verzeichnisdiensten (3) IBM RACF Sec.Way SAP R/3 Lotus Notes MS ADS z.B. Sun One Abgleich über Meta-Verzeichnis C/SUnixHost Gemeinsames Schema Gemeinsames Schema zzgl. systemspez. Erweiterungen Horizontale Koordination Tivoli, TME10 Netw./System Management

21 SiG Virtuelle Verzeichnisdienste Virtuelle Verzeichnisdienste sind eine Untermenge von Metaverzeichnisdiensten... Sie synchronisieren nicht, sondern sie bieten eine vereinheitlichte Sicht der Informationen. Sie... wandeln die LDAP-Anfragen in Anfragen an die originalen Datenquellen um, nehmen die Ergebnismengen in Empfang und stellen sie als vereinheitlichte Sicht dem Anfrager zur Verfügung. Da sie auf die originalen Datenquellen zugreifen, sind die zu lesenden Informationen auch nicht leseoptimiert gespeichert. Das Zeitverhalten wird also durch das der langsamsten Datenquelle bestimmt. Sie ermöglichen den Verbleib der Daten-Kontrolle in den Abteilungen (keine politischen Grabenkämpfe) Zuverlässigkeit: Das schwächste System bestimmt die Zuverlässigkeit des gesamten Systems.

22 SiG Delta Datenbank Identity Speicher Datenbank XML WinNT Quelle ASCII Quelle LDAP/LDIF Quelle Datenbank Quelle Generische Quelle XML WinNT updates ASCII Ausgabe LDIF/DSML Ausgabe Database Ausgabe Generische Ausgabe From-pass To-pass LDAP Verzeichnis Config & Log XML Join Engine Daten Tranformation Audit trail Web services Web services Beispiel: MaXware DSE - Funktionen Quelle: MaXware

23 SiG Provisioning Benutzer können so über verschiedene Systeme hinweg angelegt und verwaltet werden. Ressourcen können für sie in über Workflows mit Genehmigungs- prozessen bereit gestellt werden. Veränderungen bei den Benutzern lassen sich automatisch umsetzen. Verlässt ein Benutzer das Unternehmen, werden die Benutzerkonten automatisch gelöscht oder gesperrt. Die Administrationsprozesse durch Provisioning-Lösungen sind auch unter dem Aspekt von Sicherheit und Risiko-Management wichtig. Auch bei mittelständischen Unter- nehmen ergibt ein deutlicher Mehrwert solcher Lösungen. Provisioning-Lösungen bieten ein erhebliches Potenzial bei der effizienteren Gestaltung von Administrationsprozessen..

24 SiG Web-Access Sie regeln zentral den Zugriff auf vorhandene Anwendungen mit Web-Schnittstellen. Gerade bei älteren Anwendungen ist das Web Enablement ein Mittel, sie in neue Infrastrukturen zu integrieren. Web Access Management ist für die Sicherheit dann unverzichtbar. Zusätzlich sind in der Automobilindustrie auch SOAs (Service Oriented Architectures) nötig, um Geschäftsprozesse flexibel abbilden zu können. Damit können Funktionen vorhandener Anwendungen als Dienste in neue Anwendungen integriert werden. Wegen der zentralen Rolle von Portalen sind Web Access Management- Lösungen auch für den internen Einsatz wichtig.

25 SiG Provisioning workflow Architektur eines Identity Management Systems Verzeichnisdienst Audit & Abstimmung Antrags-Workflow Human Resource Vorgesetzter Angestellter Zentraler Speicher für Identitäten, Rollen, Gruppen und Policies. Zielsysteme Antragsteller Rollenverwaltung ID Verwaltung

26 SiG Integration über Federation Zentral-Modell Netz-Identity und Benutzerinfor- mation in einer einzigen Ablage, Zentralisierte Steuerung, Single point of failure, Verbindet gleichartige Systeme. Federated Modell Netz-Identity und Benutzerinfor- mation in verschiedenen Ablagen Keine zentrale Steuerung Kein Single point of failure Verbindet gleichartige und unterschiedliche Systeme

27 SiG Federated Identity Das Verwalten und Aushandeln der Vertrauensbeziehungen über Organisationsgrenzen hinweg mittels sogenannter föderierte Identitäten. Föderierte Szenarios: Benutzerbequemlichkeit Verwandte industry Gruppierungen Geschlossene, hoch-verteilte Organisationen Strategische B-to-B Beziehungen. Über opt-in zum heterogenen Single Sign on – Federation liefert die Verbindung.

28 SiG Fragen, Vorschläge, Hinweise? Danke

29 SiG A chtung A nhang Hier kommen die berüchtigten back-up-Folien...


Herunterladen ppt "SiG Identity Management Technology Version 1.0 Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach Dr. Horst Walther, SiG Software Integration GmbH:"

Ähnliche Präsentationen


Google-Anzeigen