Seminararbeit im Studiengang Scientific Programming
1. Einleitung 2. Rolle 3. Role-Based Access Control 4. Analyse der Beispielprozesse 5. Datenbank 6. Programm 7. Fazit und Ausblick Philip Minkenberg, Institut für Eisenhüttenkunde2
Institut der RWTH Aachen Circa 250 Beschäftigte Zwei Lehrstühle Philip Minkenberg, Institut für Eisenhüttenkunde3
Personen/Gruppen direkt in Quelltext eingetragen Änderungen schwierig, da Programmierer nicht mehr anwesend Dokumentation unvollständig Inkonsistenzen und viel Arbeit bei Änderung Philip Minkenberg, Institut für Eisenhüttenkunde4
Einheitliches Rollensystem Änderungen leicht vorzunehmen Grundlage für Workflow-Management-System Philip Minkenberg, Institut für Eisenhüttenkunde5
1. Einleitung 2. Rolle 3. Role-Based Access Control 4. Analyse der Beispielprozesse 5. Datenbank 6. Programm 7. Fazit und Ausblick Philip Minkenberg, Institut für Eisenhüttenkunde6
Definiert Rechte und Aufgaben eines Benutzers in einer Software Der Wirklichkeit nachempfunden Trennung von Personen und Rechten Verknüpfung Rolle Recht Einmal definiert, beliebig oft verwendbar Philip Minkenberg, Institut für Eisenhüttenkunde7
Rechtebasierter ZugriffRollenbasierter Zugriff Person 1 – Recht Philip Minkenberg, Institut für Eisenhüttenkunde8
Rechtebasierter ZugriffRollenbasierter Zugriff Person 1 – Recht 1 Person 1 – Recht 2 Person 1 – Recht 3 Person 1 – Recht Philip Minkenberg, Institut für Eisenhüttenkunde9
Rechtebasierter ZugriffRollenbasierter Zugriff Person 1 – Recht 1 Person 1 – Recht 2 Person 1 – Recht 3 Person 1 – Recht 4 Person 2 – Recht 1 Person 2 – Recht 2 Person 2 – Recht 3 Person 2 – Recht 4 Person 3 – Recht 1 Person 3 – Recht 2 Person 3 – Recht 3 Person 3 – Recht Philip Minkenberg, Institut für Eisenhüttenkunde10
Rechtebasierter ZugriffRollenbasierter Zugriff Person 1 – Recht 1Recht 1 – Rolle 1 Person 1 – Recht 2Recht 2 – Rolle 1 Person 1 – Recht 3Recht 3 – Rolle 1 Person 1 – Recht 4Recht 4 – Rolle 1 Person 2 – Recht 1 Person 2 – Recht 2 Person 2 – Recht 3 Person 2 – Recht 4 Person 3 – Recht 1 Person 3 – Recht 2 Person 3 – Recht 3 Person 3 – Recht Philip Minkenberg, Institut für Eisenhüttenkunde11
Rechtebasierter ZugriffRollenbasierter Zugriff Person 1 – Recht 1Recht 1 – Rolle 1 Person 1 – Recht 2Recht 2 – Rolle 1 Person 1 – Recht 3Recht 3 – Rolle 1 Person 1 – Recht 4Recht 4 – Rolle 1 Person 2 – Recht 1 Person 2 – Recht 2Person 1 – Rolle 1 Person 2 – Recht 3Person 2 – Rolle 1 Person 2 – Recht 4Person 3 – Rolle 1 Person 3 – Recht 1 Person 3 – Recht 2 Person 3 – Recht 3 Person 3 – Recht Philip Minkenberg, Institut für Eisenhüttenkunde12
Rechtebasiert: Anzahl der Rechte * Anzahl der Personen Rollenbasiert: Anzahl der Rechte + Anzahl der Personen Änderung Rolle Recht relativ selten Recht Rolle bleibt erhalten, auch wenn Rolle nicht benutzt wird Hierarchie möglich Philip Minkenberg, Institut für Eisenhüttenkunde13
Rollen sind Weiterentwicklungen von Gruppen Gruppe: Gruppierung von Personen (ohne Betrachtung der Rechte) Rolle: Basiert auf Arbeitsprozessen -> Gruppierung von Rechten Session-Management: Rolle nur so lange aktiv, wie benötigt -> principle of least privilege Hierarchie / Bedingungen möglich Philip Minkenberg, Institut für Eisenhüttenkunde14
1. Einleitung 2. Rolle 3. Role-Based Access Control 4. Analyse der Beispielprozesse 5. Datenbank 6. Programm 7. Fazit und Ausblick Philip Minkenberg, Institut für Eisenhüttenkunde15
NIST-Standard (ANSI-Norm ) Computer Security Conference 1992 4 Versionen: ◦ Grundmodell ◦ Hierarchie ◦ Einschränkungen ◦ Vereinigung Philip Minkenberg, Institut für Eisenhüttenkunde16
Philip Minkenberg, Institut für Eisenhüttenkunde17
Philip Minkenberg, Institut für Eisenhüttenkunde18
Philip Minkenberg, Institut für Eisenhüttenkunde19
Besitz zweier Rollen ausgeschlossen Beispiel: Mutter Vater Philip Minkenberg, Institut für Eisenhüttenkunde20
Wirken nur auf Sessions Nicht zwei konfliktbehaftete Rollen gleichzeitig Beispiel: Vier-Augen-Prinzip Philip Minkenberg, Institut für Eisenhüttenkunde21
Philip Minkenberg, Institut für Eisenhüttenkunde22
Philip Minkenberg, Institut für Eisenhüttenkunde23
Philip Minkenberg, Institut für Eisenhüttenkunde24
10 Attribute: 4x stat. + 6x dyn. Ohne RBAC-A: 1024 Rollen Mit RBAC-A: 16 Rollen + 64 Regeln Philip Minkenberg, Institut für Eisenhüttenkunde25
Philip Minkenberg, Institut für Eisenhüttenkunde26
1. Einleitung 2. Rolle 3. Role-Based Access Control 4. Analyse der Beispielprozesse 5. Datenbank 6. Programm 7. Fazit und Ausblick Philip Minkenberg, Institut für Eisenhüttenkunde27
Philip Minkenberg, Institut für Eisenhüttenkunde28
Philip Minkenberg, Institut für Eisenhüttenkunde29
Philip Minkenberg, Institut für Eisenhüttenkunde30
Philip Minkenberg, Institut für Eisenhüttenkunde31
Philip Minkenberg, Institut für Eisenhüttenkunde32
Philip Minkenberg, Institut für Eisenhüttenkunde33
Philip Minkenberg, Institut für Eisenhüttenkunde34
Philip Minkenberg, Institut für Eisenhüttenkunde35
Philip Minkenberg, Institut für Eisenhüttenkunde36
Philip Minkenberg, Institut für Eisenhüttenkunde37
hierarchisches Datenbankmodell Gruppen und Personen müssen einer/mehreren Rollen zugeordnet werden können Baumstruktur muss unterbrochen werden können (Weitergabeverbot) Bedingungen zwischen Rollen und Rechten Philip Minkenberg, Institut für Eisenhüttenkunde38
1. Einleitung 2. Rolle 3. Role-Based Access Control 4. Analyse der Beispielprozesse 5. Datenbank 6. Programm 7. Fazit und Ausblick Philip Minkenberg, Institut für Eisenhüttenkunde39
RBAC - Grundmodell + erste Erweiterung (Hierarchie) + Attribute (Zeit, Anwesenheit, Einwilligung etc.) „Gewaltentrennung“ wird nicht benötigt Philip Minkenberg, Institut für Eisenhüttenkunde40
Philip Minkenberg, Institut für Eisenhüttenkunde41
1. Einleitung 2. Rolle 3. Role-Based Access Control 4. Analyse der Beispielprozesse 5. Datenbank 6. Programm 7. Fazit und Ausblick Philip Minkenberg, Institut für Eisenhüttenkunde42
Kopplung an ActiveDirectory über LDAP Authentifizierung über Kerberos Philip Minkenberg, Institut für Eisenhüttenkunde43
Philip Minkenberg, Institut für Eisenhüttenkunde44
Zuteilung: ◦ Benutzer -> Rolle ◦ Rolle -> Recht ◦ Session Abfrage (unter Beachtung der Bedingungen): ◦ Alle Personen mit entsprechender Rolle ◦ Alle Personen mit entsprechendem Recht ◦ Alle Rollen einer Person Philip Minkenberg, Institut für Eisenhüttenkunde45
1. Einleitung 2. Rolle 3. Role-Based Access Control 4. Analyse der Beispielprozesse 5. Datenbank 6. Programm 7. Fazit und Ausblick Philip Minkenberg, Institut für Eisenhüttenkunde46
RBAC mächtiges Werkzeug, wenn es um Rechteverwaltung geht Nicht alle Sonderfälle abgebildet -> Vereinfachung des Systems Kommunikation unter beteiligten Personen muss vorhanden bleiben Seminararbeit Vorbereitung auf Bachelorarbeit Philip Minkenberg, Institut für Eisenhüttenkunde47
Vielen Dank für Ihre Aufmerksamkeit Philip Minkenberg, Institut für Eisenhüttenkunde48