Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

Transkript

1 Identity Management Nutzen Konzepte Standards Dr. Oliver Stiemerling ecambria systems GmbH Hospeltstr. 35a Köln Tel.: Fax.: Was ist Identity Management? Beispiel Online-Banking Grundlegende Konzepte Authentifizierung Delegation Single Sign On Föderation Standards 2004 ecambria systems GmbH Dr. Oliver Stiemerling 1

2 Was ist Identity Management? Motivation: Viele netzwerkbasierte Anwendungen benötigen zwingend die Identität der Benutzer: ecommerce / Shopping / Auktionen ecrm (Customer Relationship Management) Electronic Banking Mitarbeiterportale Personalisierte Informationsdienste Kommunikationsdienste ( ) B2B-Gateways (Maschine-Maschine Schnittstellen zwischen Unternehmen)... Definition von Identitätsmanagement Konzepte, Methoden und Technologien zur Authentifizierung, Autorisierung und Beschreibung (Attribute) von Identitäten 2004 ecambria systems GmbH Dr. Oliver Stiemerling 2

3 Identity-Management am Beispiel Online Banking Identifikation Initiale Authentifizierung Login Erhöhung der Sicherheit Kritische Anwendung Kunde Postbeamter Antrag Name Adresse Legitimation Post- Ident- Formular Pass Person Formular Username PIN (Passwort) Formular mit Unterschr. & Zusicherung TAN- Liste Username PIN Session ID Session ID TAN Bank Überweisung Kommunikation via Internet Versand per Brief Persönlicher Kontakt 2004 ecambria systems GmbH Dr. Oliver Stiemerling 3

4 Verfahren zur Authentifizierung (kleiner Ausschnitt...) Verfahren zur initialen Authentifizierung einer Identität: Persönliche Legitimation per Ausweis und Vergleich mit Person Neutrale, dritte Instanz bürgt (Postbeamter, Notar, Personalabteilung...) Einseitiges, operatives Geheimnis (z.b. Kreditkartennummer und Name) Gemeinsames Geheimnis (z.b. Betrag der letzten Rechnung) Alternativer Kommunikationsweg (Brief, Überweisung des Passworts, SMS an Handy,...) Verfahren zur laufenden Authentifizierung Passwort, TAN (Wissen) SmartCard, privater RSA-Schlüssel (Besitz) Biometrische Verfahren Gesicht, Fingerabdruck, Iris, DNA (Sein) Verfahren zur technischen Authentifizierung Session ID (im Web z.b. in der URL oder in einem Cookie) Kryptographischer Authentifizierungstoken (Cross-Domain) Einflussfaktoren bei der Wahl des Verfahrens Bequemlichkeit für den Kunden (Usability) Kosten des technischen und organisatorischen Verfahrens Kosten des Missbrauchs (Kommerziell vs. Datenschutz) Juristische Durchsetzbarkeit 2004 ecambria systems GmbH Dr. Oliver Stiemerling 4

5 Problemfeld: Die Authentifizierung von juristischen Personen (GmbH, AG, e.v. etc.) Problem: Juristische Personen haben keine Personalausweise oder biometrischen Merkmale und führen selbst keine Handlungen aus. Lösung: Juristische Personen haben natürliche Personen, die als offiziell Bevollmächtigte für die juristische Person handeln dürfen (Geschäftsführer, Vorstände, Prokuristen...) Authentifizierungspfad bei juristischen Personen: Handelsregisterauszug / Vereinsregisterauszug (möglichst original) enthält Name und Anschrift der Bevollmächtigten Personalausweis des Bevollmächtigten Problem: Ein Geschäftsführer kann nicht alles selbst machen Lösung: Er delegiert einen Teil seiner Aufgaben Problem: Der Mitarbeiter, der die delegierte Aufgabe bearbeitet, soll nicht auf alles Zugriff haben. Lösung: Das Identitäts Management System erlaubt die Einrichtung von Unter- mit eingeschränkten Rechten ecambria systems GmbH Dr. Oliver Stiemerling 5

6 Delegation am Beispiel eines CRM Systems eines Büromaterialzulieferers Kunde: X GmbH vertreten durch Rahmenvertrag über Lieferung von Heftzwecken inklusive Account zur bequemen Online- Bestellung und Rechnungseinsicht! Zulieferer: Y GmbH vertreten durch Geschäftsführer delegiert Verwaltungsaufgaben Assistent delegiert Rechnungsprüfung CRM Master Account mit allen Rechten Geschäftsführer CRM System Funktion Funktion Unter- Unter- verwalten verwalten delegiert Bestellung Buchhalter Unter-Account 1 darf Rechnung sehen CRM CRM Funktion Funktion Rechnungseinsicht Rechnungseinsicht Einkäufer Unter-Account 2 darf bestellen CRM CRM Funktion Funktion Bestellen Bestellen 2004 ecambria systems GmbH Dr. Oliver Stiemerling 6

7 Single Sign On am Beispiel einer Intranetanwendung: Vorher Web CSCW Tool otto1, *** omeier, *** ottom, *** meiero, *** meiero, *** motto2, *** om4, *** Lohnabrechnung Stundenzettel Reisebeantragung Reisekosten ecambria systems GmbH Dr. Oliver Stiemerling 7

8 Nach Einführung von SSO: Nur noch einen Account für alle Anwendungen Web CSCW Tool Lohnabrechnung otto1, *** Stundenzettel Reisebeantragung Reisekosten ecambria systems GmbH Dr. Oliver Stiemerling 8

9 Föderation: Single Sign On über zwei oder mehr Account-Datenbestände Firma 1 otto1, *** ottom, *** meier, *** otto1 Firma 2 Shopping Portal ottom Firma 3 Online-Banking meier 2004 ecambria systems GmbH Dr. Oliver Stiemerling 9

10 Ablauf einer Föderation Hinweis: Dies ist nur einer von mehreren möglichen alternativen Abläufen bei der Föderation 4 "Hallo U 2, willst Du Deine föderieren?" 2 1 Login als U 1 bei Navigation zur Bank mit Session ID der Anwendung der Anwendung 6 Request mit Federation Notice Login als U "Ja bitte!" Anwendung U 1 /P 1 -> name 0 7 Account-Identifier U 1 -ID (Opaque) Juristisches Agreement: "Wir bilden circle-of-trust" - Austausch von public keys - Anpassung der Identity Systeme Online Banking U 2 /P 2 -> Konto-Inhaber U 1 -ID (als Alias) 2004 ecambria systems GmbH Dr. Oliver Stiemerling 10

11 Single Sign On nach einer Föderation Rolle: Identity Provider (IDP) 1 Login als U 1 bei 2 5 "Hier ist Dein Kontostand, lieber U 2" Navigation zur Bank mit SessionID des Anwendung der Anwendung 3 Authentication Request mit SessionID Rolle: Service Provider (SP) Anwendung 4 0 Account-Identifier U 1 -ID (Opaque) Juristisches Agreement: "Wir bilden circle-of-trust" Online Banking U 1 /P 1 -> name - Austausch von public keys - Anpassung der Portale U 2 /P 2 -> Konto-Inhaber U 1 -ID (als Alias) 2004 ecambria systems GmbH Dr. Oliver Stiemerling 11

12 Standards im Kontext von Identity Management: SAML SAML = "Security Assertion Markup Language" XML-Schemata zur Beschreibung sicherheitsrelevanter Information über Identitäten Authentifizierung (Zusicherung der Identität) Autorisierung (Rechte der Identität) Attribute (Eigenschaften der Identität) Interaktionsprotokolle und Transport-Bindings Transport per SOAP über sicheren Server-Server-Kanal Transport über Browser-POST Quelle: OASIS "Organization for the Advancement of Structured Information Standards" (non-profit Standardisierungsgremium) Ursprünglich intendierte Use Cases: Singe-Sign-On Verteilte Business Transaktionen Autorisierungsservice 2004 ecambria systems GmbH Dr. Oliver Stiemerling 12

13 Standards im Kontext von Identity Management: Liberty Alliance Project Die Protokolle im Liberty Alliance Project basieren auf SAML Föderation Single Sign On Global Logout Ein zentrales Logout kann beim IDP angestoßen werden Es loggt den Benutzer aus allen SP-Sessions aus. Deföderation Effekt: Opaque User-ID wird gelöscht Identity Provider Introduction Protocol Common Domain Cookie (CDC) Ansatz Ein IDP von vielen sagt "Der User ist bei mir angemeldet!" Ein SP überprüft den CDC auf einem zentralen System und handelt entsprechend (Redirect des Nutzer zum relevanten IDP) => Komplexes Protokoll. Viele Konfigurationsmöglichkeiten und Topologien 2004 ecambria systems GmbH Dr. Oliver Stiemerling 13

14 Zusammenfassung Identity Management ist eine wichtige Basis für viele Netzwerkanwendungen Komplexes, interdisziplinäres Designproblem Grundlegende Konzepte in den Bereichen: Authentifizierung Delegation Single Sign On Föderation Standards SAML: Security Assertion Markup Language Liberty Alliance Project 2004 ecambria systems GmbH Dr. Oliver Stiemerling 14