„Identity Management Technology ” Version 1.0 Dr. Horst Walther, SiG Software Integration GmbH: 16:15 – 17:00 Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach
Technologie Evolution des Identity Managements Eine Identity Management Architektur Der Integrationsbedarf Spezialisierungen der Datenbanksysteme Integration über Verzeichnisdienste Entwicklung der Verzeichnisdienste X.500 vs. LDAP Entwicklung der X.500-Standards Daten und Verzeichnis-Integration Meta-Verzeichnisdienste Virtuelle Verzeichnisdienste Provisioning – was ist das? Architektur eines Identity Management Systems Integration über Federation Federated Identity
Evolution des Identity Managements Historisch 3 unabhängige Strömungen ... Die Idee der public key infrastructure (PKI) für eine zertifikatsbasierte starke Authentisierung kann bis in das Jahr 1976 zurück verfolgt werden, Die CCITT[1] heute ITU-T[2] hat ihre 1. Spezifikation eines X.500- Verzeichnis- dienstes 1988 veröffentlicht. Die heute üblichen Verzeichnisdienste sind durch diese Entwicklung beeinflusst. 5 Jahre später startete das NIST[3] seine Arbeiten am role based access control (RBAC)[4]. [1] Comite Consultatif Internationale de Télégraphie et Téléphonie [2] International Telecommunications Union-Telecommunication [3] National Institute of Standards & Technology [4] RABC: Role Based Access Control Unabhängige Quellen … 1988 X.500 1993 RBAC 1996 PKI 2001 IDM Die verfügbaren Komponenten zeigen eine deutliche funktionale Überlappung und ergänzen sich nicht problemlos zu einer Identity Management Infrastruktur.
Eine Identity Management Architektur
Der Integrationsbedarf Das typische Fortune 500 Unternehmen wartet über 180 Verzeichnisse, wie Adressverzeichnisse, Telephonbücher ... (Quelle: Forrester Research). Viele Anwendungen und Systeme verwalten ihre eigenen Identitätsspeicher... Betriebssysteme: Windows NT, 2003, XP, ... Datenbanksysteme: ORACLE, DB2, .. Mail-Systeme: Outlook, Lotus NOTES, ... Service-Systeme: RACF, Firewalls, ... E-business-Systeme: Internet-Portale, e-Banking-Systeme, ... Eigenentwickelte Geschäftsanwendungen.
Spezialisierungen der Datenbanksysteme OLTP- Datenbanksysteme Transaction processing häufige Updates, Kurze Datensätze, OLAP- Datenbanksysteme Analyse von vorverdichteten, redundant Massendaten Verzeichnisdienste, Häufiger Lesezugriff, Spezial-DBMS auf den Einzelzugriff auf (kurze) Einzeldatensätze optimiert. Ungeachtet aller Verwirrungen über die Natur von Verzeichnisdiensten – Es sind schlicht spezialisierte Datenbanksysteme.
Integration über Verzeichnisdienste Ein Verzeichnisdienst bietet eine einheitliche Sicht auf die Identity Informationen ... Er ... wird von jeder Anwendung genutzt. ermöglicht die Pflege von Informationen an einer einzigen Stelle. bietet eine universelle, einfach zu bedienende Oberfläche für den Zugriff. ist im Intranet unverzichtbar. Fast jede Anwendung und jedes System verwalten heute noch ein eigenes Verzeichnis. Z.B.: SAP: Personalwesen, Benutzerverwaltung, Kreditoren, Debitoren, etc. RACF: Verwaltung der Zugriffsrechte von Personen und Rollen auf geschäftliche und technische Objekte Windows NT: Active Directory auch für MS Exchange Lotus Notes: Notes Namens- und Adressbuch, Zugriffs- kontrollisten der Datenbanken, etc. Telefon Video Conference Application Sharing Electronic Mail Multimedia WWW Groupware Netzwerk- Administration Workflow Termin- kalender Security Certification Authority Verzeichnis- dienste 8
Entwicklung der Verzeichnisdienste Verzeichnisdienste gehen auf X.500-Standards zurück. Einflüsse für die weitere Entwicklung ... Anfangs war die Implementierung für die Hardware zu anspruchsvoll. Ergebnis: Lightweight-DAP (X.500-Zugangsprotokoll), LDAP. Später war Hardwareleistung weniger der Engpass. Ein großer Teil der Identity Information war bereits in Nicht-LDAP-Repositories gespeichert. Chance für die Virtuellen Verzeichnisdienste ... bewusster Verzicht auf die Leseoptimierung. Verzeichniszugriff wird nur simuliert statt dessen wird auf die Original Datenquellen zugegriffen Die Steigerung der Leistungsfähigkeit der Netze ließ die Bedeutung der X.500-Protokolle DSP und DISP sinken. Heute ist mit XML (und Dialekten) sogar LDAP ein veritabler Konkurrent erwachsen. Die meisten Verzeichnisdienste basieren auf X.500-Standards.
X.500 vs. LDAP X.500 ... Der erste Standard – wurde 1993 veröffentlicht. ist ein ISO- (International Standards Organisation) und ITU- (International Telecommunications Union) Standard. beschreibt, wie globale Verzeichnisse strukturiert werden sollten. sieht eine hierarchische Organisation mit Levels für jede Informations-kategorie ( z.B. Land, Stadt, Organisation, ... ) vor. unterstützt X.400 Systeme. ist das Ergebnis von Gremien-Arbeit der Telekommunikationsgesell-schaften. (Top-Down-Prinzip) LDAP ... Der pragmatische Zugang der Internet-Gemeinde zu X.500. steht für Lightweight Directory Access Protocol und soll X.500/DAP ersetzen. entstand aus dem Bedarf, „schlanken“ Clients Zugriff auf X.500 zu ermöglichen. nutzt nicht das X.500 zugrundeliegende (mächtige) OSI-Protokoll, sondern das weit verbreitete TCP/IP. wird betreut durch die Internet Engineering Task Force (IETF). Interessierte können ihre Lösungen zur Standardisierung einreichen. (Bottom-Up-Ansatz ) Der allumfassende Standard -- vs. -- der schnelle Zugriff 5
X.500 und LDAP - Wie kam es dazu? LDAP stellt 90% der DAP-Funktionalität bei 10% der Kosten zur Verfügung LDAP besitzt Vorteile gegenüber dem X.500-DAP durch: Transport über TCP -> stark reduzierter Overhead Verzicht auf selten benutzte Funktionen, die Verwendung einfacherer zu verarbeitender Zeichenkettenformate als die hochstrukturierten X.500-Formate sowie eine einfachere Codierung der Daten für den Transport. LDAP bietet damit einen einheitlichen Zugriff und eine einheitliche Kommunikation mit Verzeichnisdiensten LDAP DAP Funktionalität Kosten noch Standardisierungs- bedarf 6 18
Auch außerhalb von X.500 gebräuchlich X.500 - Die Standard-Serie X.500 11/93 Überblick über Konzepte, Modelle und Dienste X.501 11/93 Modelle X.509 11/93 Authentisierungs-Framework X.511 11/93 Abstrakte Dienste Definition X.518 11/93 Verfahren für verteilte Verarbeitung X.519 11/93 Protokoll Spezifikationen X.520 11/93 Ausgewählte Attribut Typen X.521 11/93 Ausgewählte Objekt Klassen X.525 11/93 Replizierung X.581 11/95 Verzeichnis-Zugriffs Protokoll X.582 11/95 Verzeichnis-System Protokoll Quelle: http://www.itu.ch/itudoc/itu-t/rec/x/x500up.html Auch außerhalb von X.500 gebräuchlich Auch außerhalb von
X.500 - Standardobjekte Der X.500-Standard definiert bereits 17 Basis-Objekt-Klassen … Objekt-Klassen: Alias Country Locality Organization Organizational Unit Person Gemeinsame Attribute: Common Name (CU) Organization Name (O) Organizational Unit Name (OU) Locality Name (L) Street Address (SA) State or Province Name (S) Country (C) Weitere Objektklassen und Attribute lassen sich hinzufügen.
Normen – vordefinierte X.500-Attribute Welche Attributtypen sind nach X.520 bereits formuliert? Systemattribute: Knowledge Information Bezeichnungsattribute: Name, Vorname, Nachname, Initialien, Generation Qualifier, Unique Identifier, DN Qualifier, Seriennummer Geographische Attribute: Land, Lokalität, Staat, Straße, Hausnummer Organisationsattribute: Organisationseinheit, Titel Beschreibende Attribute: Beschreibung, Suchhilfe, Erweiterte Suchhilfe, Geschäftskategorie Post-Adress-Attribute: Post-Adresse, Postleitzahl, Postfach, Physical Delivery Office Name Telephon-Adress-Attribute: Telephonnummer, Telexnummer, Teletext-Terminal, Faxnummer, X.121-Adressen, ISDN-Nummer, Registered Adress, Desination Indicator Preferences Attribute: Bevorzugte Versandmethode OSI-Anwendungs-Attribute: Präsentationsadresse, Unterstützter Anwendungskontext, Protokollinformation Relationale Attribute: Distinguished Name, Unique Member, Besitzer, Role Occupant, Siehe_Auch Domain Attribute: DMD Name 20
Normen – vordefinierte X.500-Objekte Welche Objektklassen sind nach X.521 bereits formuliert? Land: Name, Beschreibung, Suchhilfe Lokalität: Beschreibung, lokale Attribute, Siehe_Auch Organisation: Name, Organisationsattribute Organisationseinheit: Name, Organisationsattribute Person: Name, Vorname, Telephonnummer, Paßwort, Siehe_Auch Unterklassen: Person organisatorisch, Residential Person Rolle: Name, Beschreibung, lokale Attribute, Name Organisationseinheit, Post-Attribute, Bevorzugte Versandmethode, Role Occupant, Siehe_Auch, Telekommunikationsattribute Gruppe: Name, Mitglied, Name Organisation, Name Organisationseinheit, Besitzer, Siehe_Auch, Geschäftskategorie Group of Unique Names: Name, Unique Member, Beschreibung, Name Organisation, Name Organisdationseinheit, Besitzer, Siehe_Auch, Geschäftskategorie Anwendungsprozess: Name, Beschreibung, Name Lokalität, Name Organisationseinheit, Siehe_Auch Application Entity: Name, Präsentationsadresse, Beschreibung, Name Lokalität, Name Organisation, Name Organisationseinheit, Siehe_Auch, Unterstützter Anwendungskontext Gerät: Name, Beschreibung, Name Lokalität, Name Organisation, Name Organisationseinheit, Besitzer, Siehe Auch, Seriennummer Strong User Authentification: Benutzerzertifikat User Security Information: unterstützte Algorithmen Certification Authority: CA-Zertifikat, Zertifikat-Sperrliste, Authority-Sperrliste, Cross Certificate Pair 21
Entwicklung der Standards RFC2251 LDAPv3 RFC2252 Attribute Syntax Definition RFC2253 UTF-8 String Representation of DN RFC2254 String Representation for Search Filters RFC2255 URL Format RFC2256 X.500 User Schema for use with LDAPv3 X.500 Konzepte, Modelle und Dienste X.501 Modelle X.509 Authentifizierungs-Framework X.511 Dienste Definition X.518 Verteilte Verarbeitung X.519 Protokoll Spezifikationen X.520 Attribut Typen X.521 Objekt Klassen X.525 Replizierung RFC2164 X.500/LDAP MIXER address mapping RFC2247 Domains in X.500/LDAP DN X.581 Zugriffs Protokoll (DAP) X.582 System Protokoll (DSP) RFC2307 LDAP as Network Information Service RFC2559 X.509 - LDAPv2 DRAFT LDIF inetOrgPerson X.530 Zugriffs Protokoll RFC1487 X.500 LDAP v1 RFC1488 String Representation Working Group LDUP RFC1777 LDAP v2 RFC1788 String Representation for Attributes RFC 1779 String Representation for DN Working Group LDAPext RFC1823 LDAP API RFC1959 LDAP URL RFC1960 String Representation for Search Filters 1993 1994 1995 1996 1997 1998 1999 2000 23
Daten und Verzeichnis-Integration Die Daten- und Verzeichnisintegrationslösung dient auch als Fundament für Sicherheitsanwendungen wie: Single Sign-On Password Management PKI Digitale Zertifikatsdienste User Provisioning “Die Konsolidierung der Benutzerdatenbestände könnte zu einer Verbesserung der Datenkonsistenz um 44%, Güte um 36% und Sicherheit um 33% führen.”—META Group
Synchronisierung von Verzeichnisdiensten (1) Horizontale Koordination Kein automatisierter Abgleich zwischen Verzeichnissen (Aufwand steigt unkalkulierbar) Unkoordinierte Schemata IBM RACF Sec.Way z.B. Sun One SAP R/3 Lotus Notes Tivoli, TME10 MS ADS C/S Host Unix Netw./System Management 9
Synchronisierung von Verzeichnisdiensten (2) Horizontale Koordination Paarweiser Abgleich zwischen Verzeichnissen (Aufwand steigt quadratisch) Gemeinsames Schema . . . Gemeinsames Schema zzgl. systemspez. Erweiterungen IBM RACF Sec.Way z.B. Sun One SAP R/3 Lotus Notes Tivoli, TME10 MS ADS C/S Host Unix Netw./System Management 9
Synchronisierung von Verzeichnisdiensten (3) Horizontale Koordination Abgleich über Meta-Verzeichnis Gemeinsames Schema Gemeinsames Schema zzgl. systemspez. Erweiterungen IBM RACF Sec.Way z.B. Sun One SAP R/3 Lotus Notes Tivoli, TME10 MS ADS C/S Host Unix Netw./System Management 9
Virtuelle Verzeichnisdienste Virtuelle Verzeichnisdienste sind eine Untermenge von Metaverzeichnisdiensten ... Sie synchronisieren nicht, sondern sie bieten eine vereinheitlichte Sicht der Informationen. Sie ... wandeln die LDAP-Anfragen in Anfragen an die originalen Datenquellen um, nehmen die Ergebnismengen in Empfang und stellen sie als vereinheitlichte Sicht dem Anfrager zur Verfügung. Da sie auf die originalen Datenquellen zugreifen, sind die zu lesenden Informationen auch nicht leseoptimiert gespeichert. Das Zeitverhalten wird also durch das der langsamsten Datenquelle bestimmt. Sie ermöglichen den Verbleib der Daten-Kontrolle in den Abteilungen (keine politischen Grabenkämpfe) Zuverlässigkeit: Das schwächste System bestimmt die Zuverlässigkeit des gesamten Systems.
Beispiel: MaXware DSE - Funktionen XML XML From-pass Identity Speicher Datenbank To-pass WinNT Quelle WinNT updates From-pass To-pass ASCII Quelle ASCII Ausgabe From-pass To-pass Join Engine LDAP/LDIF Quelle LDIF/DSML Ausgabe From-pass To-pass Daten Tranformation Datenbank Quelle Database Ausgabe From-pass To-pass Generische Quelle Audit trail Generische Ausgabe From-pass To-pass Web services Delta Datenbank LDAP Verzeichnis Web services Config & Log XML Quelle: MaXware
Provisioning Benutzer können so über verschiedene Systeme hinweg angelegt und verwaltet werden. Ressourcen können für sie in über Workflows mit Genehmigungs-prozessen bereit gestellt werden. Veränderungen bei den Benutzern lassen sich automatisch umsetzen. Verlässt ein Benutzer das Unternehmen, werden die Benutzerkonten automatisch gelöscht oder gesperrt. Die Administrationsprozesse durch Provisioning-Lösungen sind auch unter dem Aspekt von Sicherheit und Risiko-Management wichtig. Auch bei mittelständischen Unter-nehmen ergibt ein deutlicher Mehrwert solcher Lösungen. Für das Identity Life Cycle Management bieten Provisioning-Lösungen erhebliches Potenzial bei der effizienteren Gestaltung von Administrationsprozessen. Benutzer können über verschiedene Systeme hinweg angelegt und verwaltet werden. Ressourcen können für sie in definierten Workflows mit Genehmigungsprozessen bereit gestellt werden. Veränderungen bei den Benutzern wie der Wechsel in eine andere Abteilung lassen sich automatisch durch Anpassungen von Gruppenzugehörigkeiten oder die Neuzuordnung von Ressourcen umsetzen. Verlässt ein Benutzer schließlich das Unternehmen, werden die Benutzerkonten in der oft sehr großen Zahl heterogener Systeme auch automatisch gelöscht oder gesperrt, um unbefugten Zugriff zu verhindern. Die definierten, stringenten Administrationsprozesse durch Provisioning-Lösungen sind damit auch unter dem Aspekt von Sicherheit und Risiko- Management zentrale Bausteine einer IT-Infrastruktur. Implementierungsbeispiele aus der Zulieferindustrie zeigen, dass sich auch bei mittelständischen Unternehmen bereits ein deutlicher Mehrwert solcher Lösungen ergibt. Provisioning-Lösungen bieten ein erhebliches Potenzial bei der effizienteren Gestaltung von Administrationsprozessen..
Web-Access Sie regeln zentral den Zugriff auf vorhandene Anwendungen mit Web-Schnittstellen. Gerade bei älteren Anwendungen ist das „Web Enablement“ ein Mittel, sie in neue Infrastrukturen zu integrieren. Web Access Management ist für die Sicherheit dann unverzichtbar. Zusätzlich sind in der Automobilindustrie auch SOAs (Service Oriented Architectures) nötig, um Geschäftsprozesse flexibel abbilden zu können. Damit können Funktionen vorhandener Anwendungen als „Dienste“ in neue Anwendungen integriert werden. Im Zusammenhang mit der zentralen Rolle von Portalen spielen Web Access Management-Lösungen auch für den internen Einsatz eine wichtige Rolle, um einen zentral geregelten Zugriff auf vorhandene Anwendungen mit Web-Schnittstellen zu ermöglichen. Gerade in Umgebungen mit einer großen Zahl an älteren Anwendungen ist das „Web Enablement“ solcher Anwendungen ein probates Mittel, um sie in neue Infrastrukturen zu integrieren. Web Access Management ist für die Sicherheit dann unverzichtbar. Darüber hinaus sind gerade in der Automobilindustrie auch SOAs (Service Oriented Architectures) nötig, um Geschäftsprozesse abbilden zu können. Derartige Anwendungen können Funktionen vorhandener Anwendungen als „Dienste“ in neue Anwendungen integrieren. Diese sind dann typischerweise nicht mehr funktional, sondern prozessorientiert. Um solche Anwendungen zu realisieren, müssen aber auch die Identitäten einheitlich über die zugrunde liegenden Systeme hinweg verwaltet werden. Provisioning und Web Access Management werden hier nach unserer Ansicht zunehmend in den Mittelpunkt der Betrachtung rücken. Da technisch mit Web Services gearbeitet wird, ist das Transaction Access Management sogar unverzichtbar. Wegen der zentralen Rolle von Portalen sind Web Access Management-Lösungen auch für den internen Einsatz wichtig.
Architektur eines Identity Management Systems Human Resource Vorgesetzter Angestellter Antragsteller Antrags-Workflow Verzeichnisdienst Rollenverwaltung Zentraler Speicher für Identitäten, Rollen, Gruppen und Policies. ID Verwaltung Provisioning workflow Audit & Abstimmung Zielsysteme
Integration über Federation Zentral-Modell Netz-Identity und Benutzerinfor-mation in einer einzigen Ablage, Zentralisierte Steuerung, Single point of failure, Verbindet gleichartige Systeme. Federated Modell Netz-Identity und Benutzerinfor-mation in verschiedenen Ablagen Keine zentrale Steuerung Kein Single point of failure Verbindet gleichartige und unterschiedliche Systeme
Federated Identity Das Verwalten und Aushandeln der Vertrauensbeziehungen über Organisationsgrenzen hinweg mittels sogenannter föderierte Identitäten. Föderierte Szenarios: Benutzerbequemlichkeit Verwandte industry Gruppierungen Geschlossene, hoch-verteilte Organisationen Strategische B-to-B Beziehungen. Über opt-in zum heterogenen Single Sign on – Federation liefert die Verbindung.
Fragen, Vorschläge, Hinweise? Danke
Hier kommen die berüchtigten back-up-Folien ... Achtung Anhang Hier kommen die berüchtigten back-up-Folien ...