• Keine Ergebnisse gefunden

Internationale Standards und technische Lösungen für Identity Management

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Internationale Standards und technische Lösungen für Identity Management"

Copied!
21
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 21 Seite )

Volltext

(1)

Deckblatt

(2)

Internationale Standards zu Identity Management

Harald Krause

(3)

Was ist Identity-Management?

„Identity-Management in der Informationstechnologie bezeichnet die Disziplin, die sich mit der ganzheitlichen Verwaltung Digitaler Identitäten befasst.“

z.B.

„ Erzeugen, Registrieren, Ändern und Löschen

„ Zuordnen von Rollen, Rechten und Eigenschaften

„ Bereitstellen und Verteilen

„ Verwenden und Überprüfen

(4)

Warum Identity-Management?

„ Das Denken bei Wirtschaft und Öffentlicher Verwaltung erfolgt zunehmend in globalen Geschäftsprozessen.

„ Geschäftsprozesse überspannen daher Organisationen, Regionen und Hoheitsbereiche.

„ Durch Öffnung der Netze verschwimmen die Organisationsgrenzen.

„ Der Trend zur Strukturierung der IT-Unterstützung in Service- orientierte Architekturen (SOA) erfordert neue Konzepte zur Behandlung von Identitäten.

Identity-Management in moderner, service-orientierter Form

(5)

Identity-Management besitzt zwei Dimensionen

„ Authentisierung / Authentifizierung

¾ Nachweisen bzw. Überprüfen der Identität

¾ Entspricht die behauptete Identität (z.B. im Login) der tatsächlichen?

¾ Grundlagen sind:

ƒ Kenntnis eines Geheimnisses (z.B. Password, PIN)

ƒ Besitz (z.B. Smartcard, Token)

ƒ biometrische Eigenschaften (z.B. Fingerabdruck, Iris)

„ Autorisierung

¾ Einräumen von Rechten anhand der festgestellten Identität und Rolle

¾ Wer darf auf welche Ressource zugreifen?

¾ Grundlagen sind:

ƒ Identität

ƒ Rolle und Funktion

ƒ Kontext

ƒ Stärke der Authentisierung

Technologien sind weitgehend etabliert

Technologien sind weitgehend etabliert

Komplexität nimmt stetig zu

Komplexität nimmt stetig zu

(6)

Autorisierung früher, heute und morgen

Blick zurück:

„ Applikationen verwalten Nutzer und Rechte selbst.

„ Jede Applikation erfordert eigene Authentisierung (Login).

„ Applikationen kennen Nutzer nur innerhalb eines Kontextes.

(keine shared services)

„ Nutzer sind in vielen Datenbanken oder Verzeichnissen vertreten.

„ Nutzerverzeichnisse sind untereinander abgeschottet („Silos“).

(7)

Klassische Autorisierung bei Client/Server

Müller Meier Schulze

darf dies darf das

(8)

Klassische Autorisierung bei Client/Server

Müller Meier Schulze

darf dies darf das

(9)

Autorisierung früher, heute und morgen

Blick nach vorn:

„ Applikationen stützen sich auf virtuelle, verteilte Services.

„ Ganze Prozessketten werden unterstützt.

„ Nutzer können Services in unterschiedlichen Kontexten verwenden.

(z.B. Sollstellung in SAP aus verschiedenen Fachverfahren)

„ Autorisierungsentscheidungen können sich nicht immer auf die Identität stützen (Service kann nicht immer alle Nutzer „kennen“).

(10)

Autorisierung bei SOA

(serviceorientierten Architekturen)

(11)

Autorisierung bei SOA

(serviceorientierten Architekturen)

Müller Meier Schulz e

darf dies darf das

?

MüllerMeierSchulze

darf dies darf das

?

Müller Meier Schulz e

darf dies darf das

?

Müller Meier Schulz e

darf dies darf das

?

(12)

Autorisierung bei SOA

(serviceorientierten Architekturen)

Trust- Domains

Trust- Domains

Trust- Domains

(13)

Lösungsansatz: Strukturierung in Trust-Domains

Trust-Domain A

Trust-Domain D Trust-Domain B

Trust

Trust Trust

Tru st

(14)

Trust-Domains und „Identity as a Service“

„ Trust-Domains sind Nutzer und Services zugeordnet.

„ Die Trust-Domain verantwortet

¾ Registrierungsprozess

¾ Authentifizierung

¾ Zuordnung von Rollen, Rechten und Eigenschaften

„ Trust-Domains können differenzierte Vertrauensbeziehungen untereinander definieren (direkt und indirekt).

„ Eine Vertrauensbeziehung zwischen Services und Nutzer wird durch spezielle Services etabliert.

(innerhalb einer Trust-Domain oder zischen Trust-Domains)

(15)

Identity as a Service: Identity-Provider (IdP)

„ IdP repräsentiert Trust-Domain.

„ IdP ist Instanz, die Service-Anbietern (der eigenen oder fremden Domain) folgendes in einem Token bescheinigt:

¾ dass ein Nutzer sich korrekt authentifiziert hat

¾ wie der Nutzer sich authentifiziert hat (Stärke)

¾ welche Rollen und Eigenschaften dem Nutzer zugeordnet sind

¾ welche Rechte ein Nutzer besitzt

„ Diese Token sind kurzlebig, d.h. sie werden i.d.R. für nur eine Dienstnutzung ausgestellt.

„ Die Token werden vom IdP elektronisch signiert.

(16)

Token vom Identity-Provider (IdP)

<SAMLAssertion>

<Subject>

<Authentication>

<Attribute>

<Authorization>

Wer ist der Besitzer des Tokens?

Wann, wie und wo hat sich der Besitzer

authentifiziert?

Rollen und

Eigenschaften des Besitzers („Claims“) Zugriffsrechte des

elektronische Signatur

(17)

Identity as a Service: Identity-Provider (IdP)

IdP

Client

Authentisieren 1

Tokenanfordern 2

Dienst nutzen verknüpft mit Token 3

Token

prüfen 4

(18)

Trust-Domain B Trust-Domain A

Identity Federation mittels Identity-Provider

IdP

Authentisi eren 1

To

kenanfordern 2

Dienst nutzen verknüpft mit Token

IdP

Tokenanfordern 3

Token prüfen 4

Token

prüfen 6

(19)

Standards zu Identity-Management

WS-Trust & WS-Federation SAML 2.0 SAML

Assertion

(20)

Standards zu Identity-Management

Messaging: SOAP, WS-Addressing,MTOM Metadata

WS-Policy

WS-Security WS-Security

Policy

WS-Trust

WS-Federation WS-SecureConversation

Profilierung durch OSCI 2.0 Profilierung durch OSCI 2.0

(21)

Vielen Dank für Ihre Aufmerksamkeit!

Referenzen

Jetzt herunterladen ( PDF - 21 Seite - 477.72 KB )

ÄHNLICHE DOKUMENTE

immer dem

Man giefst daher den Entwickler auf die entgegenge- setzte obere Kante gleichmäfsig auf, so dafs er mit einem Schlage die ganze Platte bedeckt; ein Theil desselben fliefst dann an

Archiv "Disease-Management-Programme: Noch immer in der Warteschleife" (31.10.2003)

RSA führe jedoch dazu, dass sich Kran- kenkassen selbst dann, wenn sie vom Nutzen der DMP nicht überzeugt sind, daran beteiligen müssen, weil sie sonst unwirtschaftlich handeln

Archiv "Internationale Anlagestrategie - irgendwo ist immer Hausse" (08.10.1987)

Daß höhere Zinsen auf Dauer Gift für die Wertpa- piermärkte sein müssen, ist eine fundamentale Feststel- lung, da natürlich die Preise für Aktien vom aktuellen Ka-

Immer mehr, immer besser

Sie können als Antikörper auf der Oberfläche oder als Kinasehemmer in den Zellen andocken und die VEGF­Signale blockieren, was das Wachstum der Blutgefäße und damit auch des

Wir sind immer für Sie da!

Mit einem Plakat stellen Stadtverwaltung und Klinikum Ludwigshafen Menschen in den Mittelpunkt, die in der Zeit der Corona-Pandemie in unterschiedlichen Einrichtungen und

Es war nicht immer so

Eine Veranstaltung der Lebenshilfe Graz und Umgebung – Voitsberg in Kooperation mit CLIO und der ARGE Jugend gegen Gewalt und Rassismus. Heimo Halbrainer / Ursula Vennemann (Hg.),

Immer knapper, immer teurer?

Importabhängigkeit und steigende Preise sind für deutsche Unternehmen solange kein Problem, wie der Zugang auch zu seltenen, nicht substituierbaren Metallen gesichert

Immer schneller –immer mehr

Bundesanstalt für Arbeitsschutz und Arbeitsmedizin Heidemarie Teubner, Gruppe 1.3 Nöldnerstraße 40–42 10317 Berlin.. Fachliche