Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Slides:



Advertisements
Ähnliche Präsentationen
Developing your Business to Success We are looking for business partners. Enterprise Content Management with OS|ECM Version 6.
Advertisements

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
LS 2 / Informatik Datenstrukturen, Algorithmen und Programmierung 2 (DAP2)
„Ansicht Arbeitsbereich“ ist die nutzerspezifische Ansicht, in der alle Dokumente aufgelistet sind, die dem angemeldeten Benutzer zugeordnet sind. D.h.
Vorteile der Online-Produkte
Telefonnummer.
CPCP Institute of Clinical Pharmacology AGAH Annual Meeting, 29. Februar 2004, Berlin, Praktischer Umgang mit den Genehmigungsanträgen gemäß 12. AMG Novelle.
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
On a Buzzword: Hierachical Structure David Parnas.
Scratch Der Einstieg in das Programmieren. Scatch: Entwicklungsumgebung Prof. Dr. Haftendorn, Leuphana Universität Lüneburg,
Universität Stuttgart Institut für Kernenergetik und Energiesysteme LE 3.2- LM 8 - LO 9 Definitionen zu LM 8.
Java: Objektorientierte Programmierung
© 2006 W. Oberschelp, G. Vossen Rechneraufbau & Rechnerstrukturen, Folie 2.1.
Grundkurs Theoretische Informatik, Folie 2.1 © 2006 G. Vossen,K.-U. Witt Grundkurs Theoretische Informatik Kapitel 2 Gottfried Vossen Kurt-Ulrich Witt.
Internet facts 2006-I Graphiken zu dem Berichtsband AGOF e.V. September 2006.
Internet facts 2006-III Graphiken zum Berichtsband AGOF e.V. März 2007.
Internet facts 2008-II Graphiken zu dem Berichtsband AGOF e.V. September 2008.
Internet facts 2006-II Graphiken zu dem Berichtsband AGOF e.V. November 2006.
Vorlesung: 1 Betriebssysteme 2007 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebssysteme Hochverfügbarkeit (Einführung) 3. Quartal.
Vorlesung: 1 Betriebssysteme 2008 Prof. Dr. G. Hellberg Studiengang Mechatronik FHDW Vorlesung: Betriebssysteme Hochverfügbarkeit (Einführung) 2. Quartal.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.
Vererbung Spezialisierung von Klassen in JAVA möglich durch
PKJ 2005/1 Stefan Dissmann Ausblick Es fehlen noch: Möglichkeiten zum Strukturieren größerer Programme Umgang mit variabler Zahl von Elementen Umgang mit.
PKJ 2005/1 Stefan Dissmann Rückblick auf 2005 Was zuletzt in 2005 vorgestellt wurde: Klassen mit Attributen, Methoden und Konstruktoren Referenzen auf.
PKJ 2005/1 Stefan Dissmann Zusammenfassung Bisher im Kurs erarbeitete Konzepte(1): Umgang mit einfachen Datentypen Umgang mit Feldern Umgang mit Referenzen.
Betreuerin: Kathleen Jerchel
eXtreme Programming (XP)
Sicherheit von mobilem Code Hauptseminar: Sicherheit in vernetzten Systemen Sicherheit von mobilem Code Oliver Grassow.
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Grundschutztools
Vorlesung Gestaltung von soziotechnischen Informationssystemen - RequirementsEngineering und Contextual Design- Thomas Herrmann, Lehrstuhl Informations-
Rechneraufbau & Rechnerstrukturen, Folie 12.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 12.
Distanzbasierte Sprachkommunikation für Peer-to-Peer-Spiele
1. 2 Schreibprojekt Zeitung 3 Überblick 1. Vorstellung ComputerLernWerkstatt 2. Schreibprojekt: Zeitung 2.1 Konzeption des Kurses 2.2 Projektverlauf.
Entwicklung verteilter eingebetteter Systeme - Einführung
Prof. Dr. Gerhard Schmidt pres. by H.-J. Steffens Software Engineering SS 2009Folie 1 Objektmodellierung Objekte und Klassen Ein Objekt ist ein Exemplar.
20:00.
5 Methoden und Werkzeuge zur Prozessmodellierung
Virtueller Rundgang Casa Mariposa in Playa del Coco.
Leistungsbeschreibung Brückenplanung RVS RVS
Syntaxanalyse Bottom-Up und LR(0)
NEU! 1 2. Wo kommt diese Art von Rezeptor im Körper vor?
Der Test fängt mit dem nächsten Bild an!
Analyse von Ablaufdiagrammen
HORIZONT 1 XINFO ® Das IT - Informationssystem HORIZONT Software für Rechenzentren Garmischer Str. 8 D München Tel ++49(0)89 /
HORIZONT 1 XINFO ® Das IT - Informationssystem PL/1 Scanner HORIZONT Software für Rechenzentren Garmischer Str. 8 D München Tel ++49(0)89 / 540.
Publikation auf Knopfdruck Judith Riegelnig Michael Grüebler 19. Oktober 2010 / Statistiktage Neuenburg.
Ganzheitliches Projekt-, Ressourcen- und Qualitätsmanagement 1 Reports und AddOns Auf den folgenden Seiten wird Ihnen die Funktionsweise der Reports und.
Absatzwirtschaft Vertriebsumfrage Düsseldorf, den
Präsentation von Lukas Sulzer
Schweizerische Gesellschaft für Individualpsychologie nach Alfred Adler.
Vorlesung Mai 2000 Konstruktion des Voronoi-Diagramms II
PARTENARIAT ÉDUCATIF GRUNDTVIG PARTENARIAT ÉDUCATIF GRUNDTVIG REPERES KULTURELLER ZUSAMMENHALT UND AUSDEHNUNG DER IDEEN AUF EUROPÄISCHEM.
Das IT - Informationssystem
1 (C)2006, Hermann Knoll, HTW Chur, FHO Quadratische Reste Definitionen: Quadratischer Rest Quadratwurzel Anwendungen.
Analyseprodukte numerischer Modelle
Pigmentierte Läsionen der Haut
Schutzvermerk nach DIN 34 beachten 20/05/14 Seite 1 Grundlagen XSoft Lösung :Logische Grundschaltung IEC-Grundlagen und logische Verknüpfungen.
Vortrag von Rechtsanwältin Verena Nedden, Fachanwältin für Steuerrecht zur Veranstaltung Wege zum bedingungslosen Grundeinkommen der Piratenpartei Rhein-Hessen.
Untersuchungen zur Erstellung eines
Technische Frage Technische Frage Bitte löse die folgende Gleichung:
Ertragsteuern, 5. Auflage Christiana Djanani, Gernot Brähler, Christian Lösel, Andreas Krenzin © UVK Verlagsgesellschaft mbH, Konstanz und München 2012.
Bildergalerie PRESEASON CAMP Juni 2014 Romanshorn Get ready for the Season!
Die Management-Tools von Z&H COACH beinhalten zentrale Hilfsmittel für ein Management-System. Sorgfältig angewendet führen diese Tools Ihr Unternehmen.
Es war einmal ein Haus
Das IT - Informationssystem
1 Medienpädagogischer Forschungsverbund Südwest KIM-Studie 2014 Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
Monatsbericht Ausgleichsenergiemarkt Gas – Oktober
11 Zugriffskontrolle (Access Control) Ziele Privilegien Rollen GRANT und REVOKE Befehl Privilegien Rollen GRANT und REVOKE Befehl.
Comprehensive Information Base (CIB) – ein Prototyp zur semantischen Datenintegration Stefan Arts
 Präsentation transkript:

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Seminar des DBIS am IPD im Sommersemester 2007: Aktuelle Herausforderungen an Datenschutz und Datensicherheit in modernen Informationssystemen

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Motivation Benutzer sind menschlich, Betrug und versehentliche Fehler daher möglich, indem Zugriffsrechte falsch benutzt werden Zugriffsrechte sollten nur gewährt werden, wenn sie unbedingt benötigt werden Der Zugriff, der einem bestimmten Angestellten auf eine bestimmte Information gewährt wird, verändert sich abhängig vom Kontext dieser Information in der Organisation Z.B. Ist der Zugriff auf eine Bestellung vor deren Genehmigung anders als danach Zugriffskontrollanforderungen verändern sich ständig Zugriffskontrolle sollte bei der Entscheidung, ob ein Zugriff gewährt wird oder nicht, den Kontext der tatsächlich zu verrichtenden Arbeit berücksichtigen. 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Gliederung Workflows Zugriffskontrollanforderungen für Wf-Systeme Rollenbasierte Zugriffskontrolle (RBAC) Kontextberücksichtigungen in RBAC Ein kontext-sensitives Zugriffskontrollmodell Zusammenfassung 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Workflows – Begrifflichkeiten I Vordefinierte Abfolge von Aktivitäten/Tasks in einer Organisation Ziel: (Teil-) Automatisierung der Ausführung Wird von Workflow-Management-System gesteuert Workflow-Management: Umfasst Modellierung, Spezifikation, Simulation, Ausführung und Steuerung im Zusammenhang mit Workflows Workflow-Management-System: (Re-) aktives Basis-Software-System Steuert die Ausführung eines Workflows Unterstützt die Entwicklung von Workflow-Management-Anwendung Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Workflows – Begrifflichkeiten I Task: Kleinste Einheit von Arbeit, die verrichtet werden muss, um ein bestimmtes Geschäftsziel zu erreichen Definiert durch Task-Definiton: bestimmt welche Arbeit auf welchen Objekten durch welche Benutzer gemacht werden muss. Geschäftsprozess: Folge von Schritten, um ein Geschäftsresultat zu erzielen Prozess-Definition ist eine Ansammlung von Tasks Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Workflows – Beispiel I Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Workflows – Beispiel II Workflow: „Schadensfalleinreichung bei einer Versicherung“ Task 1: Initialisierung des Prozesses, Erzeugung eines neuen Dokuments namens „Schadensfall-Ablaufplan“ Ein Schadensfall-Ablaufplan kann aus einem Schadensfall-Formular, einem Polizeibericht, Zeugenberichten und –aussagen bestehen Diese Task wird durch einen Sachbearbeiter (Clerk) ausgeführt Task 2: Folgt der Beendigung von Task 1 Automatische Entscheidung, getroffen durch das System basierend auf Workflow-Kontrolldaten, in diesem Fall dem Wert des Schadens, der während Task 1 erfasst wurde Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Workflows – Beispiel III Workflow: „Schadensfalleinreichung bei einer Versicherung“ Geschäftsregeln: Spezifizieren die Bedingungen für die auszuführenden Tasks Route 2-7 wird genommen, wenn der Wert des Schadens 5000 nicht übertrifft Route 2-3 wird genommen, wenn er 5000 übertrifft Worklist: Benutzer kommuniziert mit einem Wf-System durch eine Worklist Ein Work Item ist eine Task-Instanz, die einem Benutzer durch die Workflow Engine zugewiesen wird Die Worklist eines Managers würde eine Liste von allen Schadensfällen enthalten, die genehmigt werden müssen. Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Workflows – Beispiel III Workflow: „Schadensfalleinreichung bei einer Versicherung“ Es werden viele Prozess-Instanzen von der selbem Prozess-Definition instanziiert Aus der Prozess-Definition im Beispiel werden Prozess-Instanzen für jeden Schadensfall, der eingereicht wurde, erzeugt Jede Prozess-Instanz erzeugt dann eine Task-Instanz basierend auf den Task-Definitionen in der betreffenden Prozess-Definition Prozess- und Task-Instanzen nutzen entsprechende Workflow-Kontrolldaten, wie z.B. den Wert des Schadens, um die Regeln in der Prozess-Definition zu schätzen Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollanforderungen I Anforderungen an Kontext-sensitive Zugriffskontrolle: Order of events Strict least Privilege Separation of duty Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollanforderungen II Order of events: Gewähren bestimmter Zugriffsrechte hängt von der erfolgreichen Beendigung anderer Tasks ab Z.B. Kann der Schadensfall nicht anerkannt werden, wenn nicht das Kundenprofil vervollständigt wurde Der Mechanismus sollte daher in der Lage sein zu erkennen, an welchem Punkt er bei der Bearbeitung des Schadensfalls ist Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollanforderungen III Strict least Privilege: Least Privilege: Ein Benutzer bekommt minimale Rechte, die nötig sind, um seine Arbeit zu verrichten D.h. er bekommt Rechte auf Tasks, die er zu irgendeinem Zeitpunkt während seiner Arbeit ausführen muss Die Tatsache, dass manche dieser Rechte für viele tägliche Tasks überflüssig sind, wird bei Strict least Privilege beachtet Strict Least Privilege: Rechte werden weiter eingeschränkt auf die minimalen Rechte, die zu einem bestimmten Zeitpunkt für eine bestimmte Task benötigt werden. Z.B. sollte ein Manager, der den Schadensfall-Ablaufplan inizialisiert, nur die Sachbearbeiter-Rechte erhalten, die nötig sind um die Task auszuführen, nicht aber die Rechte, um den Schadensfall zu genehmigen oder zu verweigern Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollanforderungen IV Separation of duty: Verlangt zwei oder mehr verschiedene Personen, die für den Abschluss eines Geschäftsprozesses verantwortlich sind Erschwert Betrug, da dafür eine Verschwörung nötig ist und dadurch erhöhtes Risiko der Betrüger Z.B. sollten Schadensgutachter (assessor) und Manager disjunkte Rechte haben. Außerdem müssen laut Prozess-Definition beide beteiligt sein Separation-of-duty-Anforderungen werden häufig als Geschäftsregeln formuliert, z.B. „Ein Scheck benötigt zwei verschiedene Unterschriften“ Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Role-based Access Control (RBAC) I Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Role-based Access Control (RBAC) II Benutzern (U) werden Rollen (R) durch eine Benutzer-Rollen-Zuweisungsrelation (UA) zugewiesen Die Zugriffsrechte (P), die in Verbindung stehen mit einer Rolle, werden in der Rollen-Zugriffsrechte-Zuweisungsrelation (PA) wiedergegeben Die Zugriffsrechteabstraktion (P) wird in diesem Modell wiedergegeben als die für ein Objekt (O) verfügbaren Methoden (M) Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Role-based Access Control (RBAC) III Z.B. könnte ein Benutzer das Recht erhalten die „Schadensfall-Genehmigen“-Methode für ein „Schadensfall-Formular“-Objekt auszuführen Ein Benutzer erhält die Zugriffsrechte verbunden mit den Rollen, die er für die Session (S) einnimmt Eine Session ist ein zeitgebundenes Konstrukt, um Benutzer, Rollen und Zugriffsrechte miteinander zu verbinden Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Role-based Access Control (RBAC) IV Vererbung durch Rollenhierarchie: Rollen sind untereinander partiell geordnet Rollen erben die Rechte derjenigen Rollen, die in der partiellen Ordnung kleiner sind als sie selbst. Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß Rolle r1 ist den Rollen r2 und r3 übergeordnet, die wiederum sind r4 übergeordnet r1 erbt die Rechte, die mit r2 und r3 verbunden sind r1 und r5 stehen durch die Rollenhierarchie nicht miteinander in Verbindung 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS RBAC und Kontext RBAC unterstützt Prinzipien wie „Separation of duty“ oder „least privilege“, aber erzwingt sie nicht Separation of duty: Kann erreicht werden, indem die Mitgliedschaft zweier Rollen sich gegenseitig ausschließt durch disjunkte Rollenhierarchien Im Beispiel sind dann Schadensgutachter und Manager in verschiedenen Rollenhierarchien, die Rechte von Schadensgutachter und Manager sind disjunkt Least Privilege: RBAC erlaubt einem Benutzer, eine Rolle einzunehmen, die weniger Rechte hat, als er bekommen könnte Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Ein kontext-sensitives Zugriffskontrollmodell (CoSAWoE) I Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Ein kontext-sensitives Zugriffskontrollmodell (CoSAWoE) II CoSAWoE ersetzt RBAC nicht, sondern baut darauf auf Kontextinformation: Der Kontext der Arbeit wird bestimmt durch die Prozess-Definition (PD) Eine Prozess-Definition besteht aus mehreren Task-Definitionen (TD), die gemäß eines Task-Netzwerks (TN) angeordnet sind Die Bedingungen, die die zu verfolgende Route bestimmen, sind Teil des Task-Netzwerks Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Ein kontext-sensitives Zugriffskontrollmodell (CoSAWoE) III CoSAWoE ersetzt RBAC nicht, sondern baut darauf auf Kontextinformation: Die Rolle, die dazu geeignet ist, eine bestimmte Task auszuführen, wird durch die Task-Rollen-Zuweisungsrelation (TDR) bestimmt Die Prozess-Instanz-Relation (PI) behält die Übersicht über alle instanziierten Prozesse Die Task-Instanz-Relation (TI) behält die Übersicht über alle Task-Instanzen Das Task-Instanz-Netzwerk (TIN) verbindet die Task-Instanzen ähnlich wie TN die Task-Definitionen kombiniert Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Ein kontext-sensitives Zugriffskontrollmodell (CoSAWoE) III CoSAWoE ersetzt RBAC nicht, sondern baut darauf auf Kontextinformation: Separation of duty wird mithilfe einer Konflikt-Task-Menge (CT) in diesem Modell implementiert. Wenn zwei Tasks zur CT gehören, dann müssen sie durch verschiedene Benutzer ausgeführt werden Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Ein kontext-sensitives Zugriffskontrollmodell (CoSAWoE) IV CoSAWoE ersetzt RBAC nicht, sondern baut darauf auf Session-Kontrolle: Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Ein kontext-sensitives Zugriffskontrollmodell (CoSAWoE) V CoSAWoE ersetzt RBAC nicht, sondern baut darauf auf Session-Kontrolle: Herkömmliche Sessions zeigen die verstrichene Zeit vom Einloggen des Benutzers beim Server bis zu seinem Ausloggen an Hier wird eine Session für nur eine einzige Task benutzt Authentifiziert sich ein Benutzer einmal gegenüber dem System, erhält er noch keine Rechte Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Ein kontext-sensitives Zugriffskontrollmodell (CoSAWoE) VI CoSAWoE ersetzt RBAC nicht, sondern baut darauf auf Session-Kontrolle: Wenn ein Benutzer an einem Workitem in der Worklist arbeitet, wird eine Workflow-Session errichtet und der Benutzer erhält die angemessenen Rechte Sobald der Benutzer aufhört an der bestimmten Task zu arbeiten, wird die Workflow-Session geschlossen und alle damit verbundenen Rechte entzogen Eine Session wird daher genutzt, um die Rechte eines Benutzers für die Dauer der Arbeit an einer Task zu kontrollieren Eine Session steht in Verbindung zu einer einzigen Rolle Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Zusammenfassung Zusammenfassung: Anforderungen an kontext-sensitive Zugriffskontrolle Wie kontext-sensitiv ist RBAC? Ein kontext-sensitives Zugriffskontrollmodell Außerdem erwähnenswert in diesem Zusammenhang: TBAC und Kontexte Modelle die TBAC verwenden und deren Kontext-Sensitivität WAM BFA TMAC und Kontexte Näheres dazu in der Ausarbeitung zu diesem Vortrag. Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Vielen Dank für Ihre Aufmerksamkeit! Schluss Vielen Dank für Ihre Aufmerksamkeit! Fragen? Kontakt: smukhtar@aol.com 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Quellen CoSAWoE – A Model for Context-sensitive Access Control in Workflow Environments, Reinhardt A. Botha A Context-sensitive Access Control Model and Prototype Implementation, Damian G. Cholewka, Reinhardt A. Botha, Jan H.P. Eloff 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Anhang 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Role-based Access Control (RBAC) IV Vererbung durch Rollenhierarchie: Rollen sind untereinander partiell geordnet Rollen erben die Rechte derjenigen Rollen, die in der partiellen Ordnung kleiner sind als sie selbst. Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß x 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Anhang - RBAC und Kontext RBAC unterstützt Prinzipien wie „Separation of duty“ oder „least privilege“, aber erzwingt sie nicht Separation of duty: Kann erreicht werden, indem die Mitgliedschaft zweier Rollen sich gegenseitig ausschließt durch disjunkte Rollenhierarchien Workflows Anforderungen RBAC Kontexte & RBAC CoSAWoE Schluß 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollmechanismen – RBAC I WfMS Mechaninsmen RBAC TMAC Kontexte Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollmechanismen – RBAC II Role Based Access Control (RBAC) Verfahren zur Zugriffskontrolle auf Systemressourcen Zuordnung Rollen – Zugriffsrechte Zuordnung Benutzer – Rollen Benutzer: Mensch Rolle: Funktion im Unternehmen Zugriffsrecht: Authorisierung Task im Wf-System auszuführen Rollenhierarchie und Vererbung von Zugriffsrechten Systemadministrator WfMS Mechaninsmen RBAC TMAC Kontexte Beispiele Schuss RBAC gewährleistet, dass nur authorisierte Benutzer auf bestimmte Daten zugreifen können. 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollmechanismen – TMAC I Team-based Access Control (TMAC) Zugriffskontrollverfahren für gemeinschaftliche Aktivitäten Team: Kollektion an Benutzern in best. Rollen Benutzer eines Teams erhalten Zugang zu Team-Ressourcen WfMS Mechaninsmen RBAC TMAC Kontexte Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollmechanismen – TMAC II TMAC Beispiel für aktives Sicherheitsmodell: Berücksichtigt Kontext laufender Aktivitäten Flexibles Modell, viele verschiedene Zugangsrichtlinien Strenge, just-in-time Aktivierung von Zugriffsrechten TMAC ist hybrides Zugriffskontrollmodell: Vorteile von rollenbasierten Zugriffsrechtezuweisung (RBAC) und Flexibilität feinkörniger Zugriffsrechteaktivierung WfMS Mechaninsmen RBAC TMAC Kontexte Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Kontextbasierte Zugriffskontrolle Kontextinformation: Zugriffszeitpunkt, Zugriffsort, Ort des gewünschten Objekts, transaktionsspezifische Werte Kontextinformationen müssen beachtet werden bei Beeinflussung eines Zugriffskontrollsystem zur Laufzeit WfMS Mechaninsmen Kontexte Einbindung Erzeugung Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Kontexte – C-TMAC I WfMS Mechaninsmen Kontexte Einbindung Erzeugung Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Kontexte – C-TMAC II Kontextbasierter Team-Zugriffskontrollansatz Basiert auf der Integration von RBAC und TMAC Besteht aus Benutzern, Rollen, Zugriffsrechten, Teams, Kontexten und einer Sessions-Kollektion Benutzer/Rollen-, Rollen/Zugriffsrechte-, Benutzer/Team- und Team-/Kontextzuweisung sind many-to-many Relationen Benutzer wird einer Session während deren Lebensdauer fest zugewiesen Kontext: Beinhaltet Informationen bezügl. der Daten, die für eine Aktivität benötigt werden (Orte, Zeitintervalle) WfMS Mechaninsmen Kontexte Einbindung Erzeugung Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Beispiele – interorganisatorische Workflows I Workflow, der sich über mehrere Organisationen erstreckt „virtuelles Unternehmen, das spezielle Mission unterstützt“ Bietet Lösungen für Data-Sharing und Arbeitskoordination auf globalem Level Sobald Workflow designed wurde, Zuordnung jeder Task zu Organisation und Host WfMS Mechaninsmen Kontexte Beispiele i.o. Workflows Webb. Wfs Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Beispiele – interorganisatorische Workflows II Zugriffskontrollanforderungen: Trennung der Workflow-Sicherheitsinfrastruktur auf Anwendungslevel von der Sicherheitsstruktur auf Organisationslevel Feinkörnigkeit und Kontextbasiertheit Unterstützung dynamischer Constraints WfMS Mechaninsmen Kontexte Beispiele i.o. Workflows Webb. Wfs Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Beispiele – interorganisatorische Workflows III Erfüllung der Zugriffskontrollanforderungen: Einführung von Rollendomains als Rollenstrukturschnittstelle, Abbildung der organisationseigenen Rollenstruktur auf die Rollendomain für einen Workflow Unterscheidung Zwischen den verschiedenen Tasks innerhalb eines Prozesses durch Einführung von task-spezifischen Zugriffskontrollmodulen (TACM) WfMS Mechaninsmen Kontexte Beispiele i.o. Workflows Webb. Wfs Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Beispiele – interorganisatorische Workflows IV Erfüllung der Zugriffskontrollanforderungen: History-basierte Zugriffskontrolle Monitor-Server unterhält Log mit Ausführungs-History Task, die Ausführungs-History benötigt, um Zugriffskontrollentscheidung zu machen, fragt bei Monitor-Server an WfMS Mechaninsmen Kontexte Beispiele i.o. Workflows Webb. Wfs Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Beispiele – Webbasierte Workflow-Systeme mit RBAC I Unterstützen dynamische Geschäftsprozesse in heterogenen Computersystemen Meist nur minimales Sicherheitskonzept Im folgenden: Schliessen dieser Sicherheitslücke mit RBAC User-Pull-Stil, eine Art im Web an Benutzerattribute zu gelangen WfMS Mechaninsmen Kontexte Beispiele i.o. Workflows Webb. Wfs Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Beispiele – Webbasierte Workflow-Systeme mit RBAC II WfMS Mechaninsmen Kontexte Beispiele i.o. Workflows Webb. Wfs Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zusammenfassung/Ausblick Es wurden Zugriffskontrollmechanismen im Zusammenhang mit Workflows vorgestellt WfMS Mechaninsmen Kontexte Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Zugriffskontrollmechanismen – TBAC Task-based Access Control (RBAC) Weiteres Zugriffskontroll- und Authorisierungsverfahren Task-orientiertes Sicherheitsmodell TBAC berücksichtigt Kontextinformationen Zugriffsrechte werden einsatzsynchron vergeben/zurückgenommen Motivation Mechaninsmen RBAC TBAC TMAC Kontexte WAM Beispiele Schuss 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS Motivation WFs sind Prozesse in Geschäftsumgebungen WFs bestehen aus mehreren Tasks Nur authorisierte Benutzer sollen Tasks ausführen dürfen Größte Bedrohung durch Insider Notwendigkeit geeigneter Authorisierungs- und Zugriffskontrollmechanismen 12.07.2007 Authorisierungs- und Zugriffskontrollmechanismen für Kontexte in WfMS

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.