Identity Management

 Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse, Kosten und Nutzen  Fazit und Ausblick Inhalt

 Login/einloggen/ausloggen  Ressourcen  Identitäten und Rechte  Benutzerverwaltung/Konfiguration  Rollen und Benutzergruppen  Single-Sign-On und Federation Zentrale Begriffe und Probleme

 Bedeutung eines Logins  Benutzername/Passwort  Eindeutig?  Domäne Login/einloggen/ausloggen

 Daten, Peripherie, Services, …. Was noch?  Schützenswert  Zugänglich und Benutzbar Ressourcen

 Login = Identität?  Authentisierung  Wissen(Passwort)  Besitz(Zertifikat)  Merkmal/Biometrie(Fingerabdruck, IP?)  Kombination von Methoden Identitäten

 Zugriff von Identitäten auf Ressourcen  Hinzufügen, Lesen, Ändern, Löschen (CRUD)  Bekannte Rechte? Rechte

 Zuweisung von Rechten zu Identitäten  Organisation der Zuweisungen  Benutzerinformationen aktuell halten  Selbstverwaltung Benutzerverwaltung

 Sammlung von Benutzern = Benutzergruppe  Sammlung von Rechten = Rolle  Reduzierung des Verwaltungsaufwandes  Reduzierte Fehleranfälligkeit Benutzergruppen und Rollen

 Eine zentrale Stelle zur Authentisierung  Verwendung derselben Identitäten in unterschiedlichen Zusammenhängen  Über Organisationgrenzen hinaus  Sicherheit versus Benutzerfreundlichkeit „Single Sign On“ und Federation

Modellbildung (1)  Authentisierung  Autorisierung  Informationen zu Benutzern  Ressourcen  Aufteilung in Repositories

Modellbildung (2)

Methoden zur Authentisierung über HTTP (Basic)  Basic: „username:passwort“ wird base64 encoded an den Header der Nachricht angefügt  GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

Methoden zur Authentisierung über HTTP (Digest)  Digest: Server generiert und sendet „nonce“ und erwartet korrekt gebildeten Hashwert als Antwort  GET /private/index.html HTTP/1.1 => nonce=„…“  GET … response=„MD5(…)“

 Client sendet Anfrage an Service  Service erwartet Ticket  Client fragt Ticket-Server an  Ticket-Server authentifiziert Client und sendet ihm Ticket  Client kann Ticket verwenden um mit Service zu kommunizieren Methoden zur Authentisierung über HTTP (Kerberos)

Technische Aspekte (1)  LDAP – Lightweight Directory Access Protocoll  Schnittstellenprotokoll für hierarchische Datenbanken  Optimiert für Authentifizierung und Autorisierung  Verwendet zum Beispiel für Active Directory  SAML – Security Assertion Markup Language  XML-Framework  Zusicherungen zu Benutzerzuständen von  Authentisierung, Autorisierung und Attributen

Technische Aspekte (2)  SASL – Simple Authentication and Security Layer  Protokoll zur Vereinbarung von Authentisierungsmechanismen(Basic, Digest, Kerberos, …)  Session zwischen Client und Server, ggf. TLS/SSL

 Viele Gesetze zum Schutz von Benutzerdaten besonders für Börsennotierte Unternehmen  Essenz:  Nur so viele Daten speichern wie unbedingt notwendig  Sorgfältig mit den Daten umgehen  Jeder darf nur so viele Rechte haben wie für den Geschäftsprozess gebraucht werden  Zugriffe müssen streng protokolliert werden Compliance

 Heterogene Strukturen  Unterschiedliche Anforderungen  Kein akuter Handlungsbedarf  Entwicklungs-und Adaptierungskosten Hindernisse auf dem Weg zum IMS

 Compliance-Fragen zentralisiert behandelbar  Geringere neu-Entwicklungskosten  Weniger Verwaltungsaufwand Nutzen eines IMS

 Viele verbreitete Standards, Frameworks und Techniken  Kein klares Konzept zum Identity Management  Unbedingte Notwendigkeit zur Auseinandersetzung mit dem Thema Fazit

 Sehr teure Homogenisierung der Authentifizierung  Übernahme von Standards  Vorteile u.a. Benutzerfreundlichkeit, geringere Einarbeitungszeiten, Datensicherheit, …  Schaffen von Infrastruktur Ausblick

?-) Fragen?

Vielen Dank für Ihre Aufmerksamkeit!