Identity Management
Zentrale Begriffe und Probleme Modellbildung Methoden zur Authentisierung über HTTP Technische Aspekte Compliance Hindernisse, Kosten und Nutzen Fazit und Ausblick Inhalt
Login/einloggen/ausloggen Ressourcen Identitäten und Rechte Benutzerverwaltung/Konfiguration Rollen und Benutzergruppen Single-Sign-On und Federation Zentrale Begriffe und Probleme
Bedeutung eines Logins Benutzername/Passwort Eindeutig? Domäne Login/einloggen/ausloggen
Daten, Peripherie, Services, …. Was noch? Schützenswert Zugänglich und Benutzbar Ressourcen
Login = Identität? Authentisierung Wissen(Passwort) Besitz(Zertifikat) Merkmal/Biometrie(Fingerabdruck, IP?) Kombination von Methoden Identitäten
Zugriff von Identitäten auf Ressourcen Hinzufügen, Lesen, Ändern, Löschen (CRUD) Bekannte Rechte? Rechte
Zuweisung von Rechten zu Identitäten Organisation der Zuweisungen Benutzerinformationen aktuell halten Selbstverwaltung Benutzerverwaltung
Sammlung von Benutzern = Benutzergruppe Sammlung von Rechten = Rolle Reduzierung des Verwaltungsaufwandes Reduzierte Fehleranfälligkeit Benutzergruppen und Rollen
Eine zentrale Stelle zur Authentisierung Verwendung derselben Identitäten in unterschiedlichen Zusammenhängen Über Organisationgrenzen hinaus Sicherheit versus Benutzerfreundlichkeit „Single Sign On“ und Federation
Modellbildung (1) Authentisierung Autorisierung Informationen zu Benutzern Ressourcen Aufteilung in Repositories
Modellbildung (2)
Methoden zur Authentisierung über HTTP (Basic) Basic: „username:passwort“ wird base64 encoded an den Header der Nachricht angefügt GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Methoden zur Authentisierung über HTTP (Digest) Digest: Server generiert und sendet „nonce“ und erwartet korrekt gebildeten Hashwert als Antwort GET /private/index.html HTTP/1.1 => nonce=„…“ GET … response=„MD5(…)“
Client sendet Anfrage an Service Service erwartet Ticket Client fragt Ticket-Server an Ticket-Server authentifiziert Client und sendet ihm Ticket Client kann Ticket verwenden um mit Service zu kommunizieren Methoden zur Authentisierung über HTTP (Kerberos)
Technische Aspekte (1) LDAP – Lightweight Directory Access Protocoll Schnittstellenprotokoll für hierarchische Datenbanken Optimiert für Authentifizierung und Autorisierung Verwendet zum Beispiel für Active Directory SAML – Security Assertion Markup Language XML-Framework Zusicherungen zu Benutzerzuständen von Authentisierung, Autorisierung und Attributen
Technische Aspekte (2) SASL – Simple Authentication and Security Layer Protokoll zur Vereinbarung von Authentisierungsmechanismen(Basic, Digest, Kerberos, …) Session zwischen Client und Server, ggf. TLS/SSL
Viele Gesetze zum Schutz von Benutzerdaten besonders für Börsennotierte Unternehmen Essenz: Nur so viele Daten speichern wie unbedingt notwendig Sorgfältig mit den Daten umgehen Jeder darf nur so viele Rechte haben wie für den Geschäftsprozess gebraucht werden Zugriffe müssen streng protokolliert werden Compliance
Heterogene Strukturen Unterschiedliche Anforderungen Kein akuter Handlungsbedarf Entwicklungs-und Adaptierungskosten Hindernisse auf dem Weg zum IMS
Compliance-Fragen zentralisiert behandelbar Geringere neu-Entwicklungskosten Weniger Verwaltungsaufwand Nutzen eines IMS
Viele verbreitete Standards, Frameworks und Techniken Kein klares Konzept zum Identity Management Unbedingte Notwendigkeit zur Auseinandersetzung mit dem Thema Fazit
Sehr teure Homogenisierung der Authentifizierung Übernahme von Standards Vorteile u.a. Benutzerfreundlichkeit, geringere Einarbeitungszeiten, Datensicherheit, … Schaffen von Infrastruktur Ausblick
?-) Fragen?
Vielen Dank für Ihre Aufmerksamkeit!