Federated Identity Management

Größe: px
Ab Seite anzeigen:

Download "Federated Identity Management"

Transkript

1 IAMaaS IDM RBAC AM/SSO PAM EDU FACHBERICHT Federated Identity Management IAM über die Grenzen des Unternehmens hinaus Autor: Michael Petri Hamburg, Deutschland Winterthur, Schweiz Wien, Österreich IPG AG Technoparkstrasse 2 CH-8406 Winterthur T

2 Inhalt 1. Einführung 3 2. Aufteilung von Authentifizierung und Autorisierung Die Authentifizierung durch den Claims Provider Tokens und Claims Die Autorisierung durch die claims-aware Applikation Attribute Based Access Control 7 3. Der Federated Trust Der Intermediary Die Virtualisierung der Authentifizierung Die Relying Party ist auch ein Service Provider Mehrwert dank Federated IDM Der richtige Umgang mit Tokens IAM und das Federated Identity Management Fazit Portrait Michael Petri IPG AG 18 Seite 2

3 1. Einführung Federated Identity Management hilft den Unternehmen, das stetige Wachstum von zu administrierenden Identitäten und Benutzerkonten unter Kontrolle zu bringen. Mit Cloud Computing und der allerorts vorhandenen Anbindung an das Internet werden vermehrt Applikationen ausserhalb der unternehmenseigenen Domäne genutzt. Die eigenen Mitarbeiter sind nicht mehr in der Lage alle Logins zu kennen. Das Unternehmen ist nicht mehr in der Lage, auch die externen Partner oder gar Kunden effizient zu verwalten. Dies führt zu einer ungebremsten Steigerung des Administrationsaufwandes, beginnend beim Service Desk. Verstärkt wird dies noch durch den Umstand, wenn eine sichere Authentisierung gefordert ist, für welche Hardware wie Kartenleser oder Token von Nöten ist. Ausserhalb des Unternehmens laufende Applikationen werden immer häufiger geschäftskritisch und sollen daher ins Identity & Access Management (IAM) integriert werden. Die Pflege der Identitätsattribute, das Provisioning und Deprovisioning dürfen nicht in der Eigenverantwortung des Mitarbeiters liegen. Sie müssen durch das Unternehmen in dazu vorgesehenen Prozessen kontrolliert werden. So entsteht plötzlich ein Anspruch an das IAM, über die Grenzen des Unternehmens hinaus zu wirken. Mit der Anbindung externer Applikationen entstehen neue Herausforderungen. Die Federation ist die aufstrebende Lösung dafür, welche Universitäten und Grosskonzerne schon lange verwenden. Der Nutzen der Federation ist dabei weitaus grösser als nur die Reduktion von Logins und die Implementation von komfortablem und sicherem Single Sign On (SSO) über die Grenzen des Unternehmens hinaus. Die Federation ist ein gegenseitiger Trust zwischen zwei Parteien. Der Claims Provider verwaltet die Identitäten seiner Mitarbeiter. Die Relying Party betreibt für die Mitarbeiter des Claims Providers eine Anwendung. Über den federated Trust werden Tokens mit Identitätsinformationen ausgetauscht. Der Claims Provider stellt die Tokens nach erfolgreicher Authentifizierung des Benutzers aus und die Relying Party verwendet die Tokens für die Autorisierung. Das System für Federated Identity Management ist eine Ergänzung zum bestehenden System für Identity & Access Management (IAM). Vorhandene Prozesse, Technologien, Konzepte und Produkte für das IAM behält man bei und erweitert sie, um auch den unternehmensübergreifenden Zugriff aus dem IAM kontrollieren zu können. IPG AG unterstützt als Experte Unternehmen aller Branchen, um die komplexe Welt von Identitäten und Benutzerkonten auch firmenübergreifend verwalten zu können. Die Erfahrung zeigt, dass oftmals mit dem Überschreiten der Unternehmensgrenze auch die Hoheit über die Benutzer und Prozesse verloren geht. Eine Hoheit, die aus rechtlicher Sicht nicht verloren gehen darf. Seite 3

4 2. Aufteilung von Authentifizierung und Autorisierung Authentifizierung und Autorisierung werden oft in einem Zug genannt. Doch diese zwei Vorgänge müssen nicht als unzertrennliches Paar betrachtet werden. Wer sich mit der Federation beschäftigt, muss sich mit der Schnittstelle zwischen diesen Vorgängen befassen und sich ihrer Abgrenzung bewusst werden. Bei der Federation werden die Authentifizierung und die Autorisierung auf zwei Parteien bzw. Unternehmen aufgeteilt. Das erste Unternehmen nennt man Claims Provider 1. Die Benutzer dieses Unternehmens nutzen eine Anwendung, welche ein anderes Unternehmen betreibt. Dieser Betreiber ist das zweite Unternehmen und wird als Relying Party bezeichnet. Die bereitgestellte Anwendung ist eine erweiterte Web-Applikation, welche aus dem Browser aufgerufen wird (nachfolgend claims-aware Applikation genannt) Die Authentifizierung durch den Claims Provider Der Claims Provider führt ein Directory mit den Identitäten all seiner Benutzer. Im Directory sind zu jedem Benutzer Attribute wie Name, Vorname, -Adresse, etc. sowie Gruppenmitgliedschaften hinterlegt. Die wichtigste Aufgabe des Claims Providers ist es, diese Identitäten auf eine sichere Art und Weise zu authentifizieren. Bei der Wahl des Authentifizierungs-Protokolls hat der Claims Provider nur zu berücksichtigen, dass es sich um ein sicheres Verfahren handeln soll. Zum Einsatz kommen heute meist Kerberos oder eine TLS-Client Authentifizierung. Die Authentifizierung des Benutzers gegen das Directory nimmt ein Security Token Service (STS) vor. Microsoft Active Directory Federation Services 2.0 (ADFS 2.0), Quest One Identity, CA SiteMinder und viele weitere Produkte für Federations-Endpunkte beinhalten einen solchen STS. Auch bestehende Entry Server beinhalten die Möglichkeiten für Federationen. Man kann diese weiter nutzen und ergänzen. Nach erfolgreicher Authentifizierung liest der STS die Attribute des Benutzers aus dem Directory aus und erstellt ein sogenanntes Token. Dieses Token wird im Hintergrund an den Browser des Benutzers übermittelt. Claims Provider Active Directory 2. Informationen beziehen Security Token Service (STS) 1. Benutzer authentifizieren und Token anfragen 3. Token erstellen und an Browser übermitteln Web-Browser Token Benutzer Abbildung 1: Ablauf der Authentifizierung durch den Claims Provider 1 1 Die Terminologie dieser Begriffe ist in der Literatur nicht einheitlich. Anstelle der Bezeichnung Claims Provider findet man auch die Bezeichnungen Identity Provider oder Asserting Party. Die Relying Party wird oft auch als Service Provider bezeichnet. Claims-aware Applikationen werden oft auch assertion-aware Applikationen genannt. Seite 4

5 2.2. Tokens und Claims Ein Token ist ein signiertes und verschlüsseltes XML-Dokument, welches der Claims Provider STS erzeugt. Später wird es von der Relying Party für die Autorisierung des authentifizierten Benutzers eingesetzt. Im Token sind Claims enthalten. Ein Claim ist ein Namen-Werte-Paar, welches den Benutzer beschreibt und für dessen Korrektheit der Claims Provider als Herausgeber verantwortlich ist. Die Anzahl und auch die Art der Claims kann frei gewählt werden, ausschlaggebend ist der Nutzen des Claims. Name, -Adresse und Gruppenmitgliedschaften sind klassische Beispiele für Claims, aber auch gegen die Schuhgrösse als Claim spricht nichts, wenn denn diese von Nutzen ist. Die Signatur des Ausstellers gewährt die Authentizität und Integrität der im Token enthaltenen Claims. Die Verschlüsselung garantiert zudem, dass die enthaltene Information von niemand anderem als dem Empfänger, also der Relying Party, gelesen werden kann. Ein Zeitstempel im Token gibt dessen Ablaufzeit an. Token Claim 1 Claim 2 Claim 3... Claim n Beispiele für Claims: - Name - Alter - -Adresse - Rollen -... Ablaufzeit Signatur Abbildung 2: Ein Token mit Claims und Beispielen für Claims 2.3. Die Autorisierung durch die claims-aware Applikation Der Claims Provider stellt auf Anfrage einer Relying Party die Tokens aus. Greift ein Benutzer auf eine claims-aware Applikation zu, wird er automatisch an den Claims Provider weitergeleitet. Dieser führt eine Authentifizierung durch und sendet das Token an die Relying Party. Diese entschlüsselt es und überprüft anschliessend die Signatur und den Zeitstempel. Ist all dies korrekt, kann die claims-aware Applikation die Claims für die Autorisierung verwenden. Claims Provider Security Token Service (STS) Relying Party 8. Autorisierung mit Claims claims-aware Applikation 5. Token für Relying Party ausstellen Token 4. Token für Relying Party anfordern 1. Zugriff anfragen Web-Browser 2. Weiterleitung zur Authentifizierung erforderlich Token 7. Token übermitteln Benutzer 3. und 6. automatische Weiterleitung Abbildung 3: Ablauf der Anmeldung mit SSO an einer claims-awaren Applikation Seite 5

6 Für die Verarbeitung solcher Tokens und damit eine Web-Anwendung zu einer claims-aware Applikation wird, können verschiedene Bibliotheken eingesetzt werden. Beispielsweise existiert in.net die Windows Identity Foundation (WIF), eine sehr umfangreiche Bibliothek mit einem modularen und erweiterbaren Aufbau. Der Aufwand, um eine Applikation claims-aware zu machen, ist damit minimal. Das bestehende Authentifizierungs-Modul, welches in der web.config aktiviert ist, wird mit dem Tool FedUtil auf die Module von WIF umgestellt. Sodann wird beim Aufruf der Applikation ein Token gefordert und es erfolgt automatisch eine Weiterleitung der Anfrage an den zuständigen Claims Provider zur Authentifizierung. Das zurückerhaltene Token wird dann vom WS-Federation Authentication Module (WSFAM) verarbeitet und validiert. Ist das Token gültig, wird vom Session Authentication Module (SAM) ein IClaimsPrinciple Objekt erstellt und in einem Cookie im Browser des Benutzers abgelegt. <<interface>> IPrinicpal - Identity: IIdentity <<interface>> IIdentity - AuthenticationType: String - IsAuthenticated: Boolean - Name: String + IsInRole(): boolean <<interface>> IClaimsPrinicpal - Identity: IClaimsIdentity <<interface>> IClaimsIdentity - Claims: Claim Claim - ClaimType: String - Issuer: String - OriginalIssuer: String - Subject: IClaimsIdentity - Value: String Abbildung 4: UML-Klassendiagramm des bekannten IPrinciple und dem neuen IClaims-Principle Das IClaimsPrinciple Objekt ist eine Erweiterung des bekannten IPrinciple, welches von allen konventionellen Authentifizierungs-Modulen für.net im Einsatz ist. Damit ist IClaimsPrinciple kompatibel mit IPrinciple. Die Autorisierungs-Entscheidungen, welche über die gesamte Applikation im Code verteilt erfolgen, funktionieren also weiterhin, sofern die Methode IPrinciple.isInRole(Rollenname) verwendet wurde. In diesem Fall wird das Claim Role abgefragt, denn dieses enthält die vom Claims Provider vergebenen Benutzerrollen. Damit integriert sich eine claims-aware Applikation in ein bestehendes RBAC-Konzept. Der Name des Benutzers ist wie bis anhin in einem IClaimsIdentity Objekt abgelegt. Andere Attributwerte bezog man früher oft aus dem Directory z.b. mittels LDAP-Abfragen. Dies ist bei claims-aware Applikationen nicht mehr notwendig. Eine Anbindung an das Directory und damit eine zusätzliche Abhängigkeit ist obsolet. Das gesuchte Attribut wurde bereits als Claim im Token mitgesendet und ist als Claim Objekt in der IClaimsIdentity referenziert. Auf diese Weise kann man möglicherweise auf ein Benutzerprofil in der claims-aware Applikation verzichten und - noch wichtiger - es entstehen neue Möglichkeiten für die Autorisierung: Für Autorisierungsentscheidungen kann man nun die Claims beiziehen. Seite 6

7 2.4. Attribute Based Access Control Diese neuen Möglichkeiten für die Autorisierung basierend auf Claims sind eine Umsetzung von Attribute Based Access Control (ABAC) 2. Um eine Autorisierungsentscheidung herbeizuführen, wird ein Regelwerk verarbeitet. In den Zugriffsregeln werden Attribute unter Verwendung von logischen Operationen untersucht. Es können drei Klassen von Attributen berücksichtigt werden: Identitäts-Attribute Ressourcen-Attribute Umgebungs-Attribute Bei Identitäts-Attributen handelt es sich um Informationen zum Benutzer, welcher auf eine Ressource zugreifen möchte. Bezogen auf die Federation handelt es sich typischerweise um Claims, welche der Claims Provider liefert. Die Ressourcen-Attribute umfassen Transaktionen aus der Anwendung, Metadaten von Dateien und dergleichen Informationen über das Objekt, auf welches der Benutzer zugreifen möchte. Die Umgebungs-Attribute beschreiben den erweiterten Kontext um den Zugriff. Sie enthalten einfache Informationen wie beispielsweise die Zeit, aber auch abstraktere, allgemeingültige Informationen beispielsweise zum Status des Systems oder Netzwerks bezüglich der Sicherheit. Abbildung 5: Autorisierung mittels Attribute Based Access Control Der Gestaltung von Zugriffsregeln mit ABAC sind kaum Grenzen gesetzt. Bei der Autorisierung kann man beliebig viele Attribute einbeziehen und diese mit logischen Ausdrücken verknüpfen. Auch mathematische Operationen oder Funktionen von Datum und Zeit kann man nutzen. Ein solch mächtiges, flexibles und feingranulares Regelwerk aufzubauen erfordert jedoch einigen Aufwand. Eine weitere Schwierigkeit bei ABAC ist, dass plötzlich einzelne Attribute autorisierungsrelevant werden und entsprechend sorgfältig zu pflegen sind. Dies führt zu neuen, ungern gesehenen Aufgaben und Verantwortungen für die HR-Abteilung. Es gilt daher exakt zu definieren, welche Identitäts-Attribute gepflegt sind und in ABAC-Zugriffsregeln verwendet werden dürfen. Sogleich drängt sich das Bedürfnis auf, auch die erlaubten Attributwerte festzulegen, was den administrativen Aufwand ansteigen lässt. Daher empfiehlt sich die Verwendung von ABAC nur in komplexen Situationen und nur mit minimaler Anzahl von Attributen. 2 E. Yuan und J. Tong, «Attribute Based Access Control (ABAC) for Web Services» [Online]. URL: [Zugriff am 22 Oktober 2012]. Seite 7

8 Als Alternative drängt sich eine Kombination aus ABAC und Role Based Access Control (RBAC) auf. Man erstellt weiterhin Rollen und weist sie den Benutzern zu. So wie es RBAC vorsieht. Die bestehenden IAM-Betriebsprozesse für Rollen können weiterhin genutzt werden. Im Token sind die Rollen als Role Claim enthalten und können von der claims-aware Applikation genutzt werden. Für die Autorisierung selbst setzt man, wo erforderlich, ABAC-Zugriffsregeln ein. Mit diesen Zugriffsregeln kann man Rollen und einzelne, ausgewählte Attribute kombinieren. Auch die Kombination von mehreren Rollen ist möglich. Seite 8

9 3. Der Federated Trust Kommen wir zurück zur Federation und betrachten dieses Konzept etwas detaillierter. Der Claims Provider und die Relying Party müssen sich gegenseitig vertrauen. Damit das gegenseitige Vertrauen ausgedrückt werden kann, besteht ein Federated Trust aus zwei unabhängigen Bestandteilen: Der Claims Provider richtet auf seinem STS ein Relying Party Trust ein. Damit erlaubt er die Herausgabe von Tokens an die Relying Party und äussert sein Vertrauen in die Reyling Party, dass sie sachgemäss und vertrauensvoll mit den bereitgestellten Claims umgeht. Die Relying Party richtet einen Claims Provider Trust ein. Sie vertraut dadurch auf die korrekte Pflege der Attribute durch den Claims Provider und der Authentizität der erhaltenen Tokens. Erst wenn der Relying Party Trust und der Claims Provider Trust eingerichtet sind, ist der federated Trust zustande gekommen. Da die zwei Parteien mit den zwei gegenseitigen Trusts einen Kreis formen (vgl. Abbildung 6), wird hier vom Circle of Trust gesprochen. Der Circle of Trust kann von jeder Partei ohne mitwirken der anderen Partei unterbrochen werden. Sobald dies geschieht, ist der federated Trust nicht mehr funktionsfähig. Relying Party Trust Claims Provider Relying Party (claims-aware Application) Claims Provider Trust Abbildung 6: Der Relying Party Trust und der Claims Provider Trust bilden gemeinsam einen federated Trust 3.1. Der Intermediary Ist der erste federated Trust eingerichtet, dauert es nicht lange bis zum zweiten, dritten und vierten. Je mehr Trusts eingegangen werden, umso lohnenswerter ist die Investition in das Federated IDM System. Das Federated IDM System ist eine Infrastruktur, die genutzt und ausgelastet werden will. Doch mit vielen Trusts stellt sich die Frage: Wie können all diese Trusts verwaltet werden? Soweit wir die Federation bis jetzt kennen, stellt dies in der Tat ein Problem dar. Wie die Abbildung 7 zeigt, führt der einfache Federated Trust tendenziell zu einer Vollvermaschung zwischen den Claims Providern und den Relying Parties. Noch schlimmer erscheint dies aus der Optik der Relying Party: Sie unterhält meist eine Vielzahl von claims-aware Applikationen. Weil jede dieser claims-aware Applikationen ein Endpunkt des Federated Trusts darstellt, sind zur Anbindung eines Claims Providers sogar mehrere Federated Trusts notwendig. Seite 9

10 Claims Provider 1 Federated Trusts Relying Party 1 (claims-aware Application) Claims Provider 2 Relying Party 1 (claims-aware Application) Claims Provider 3 Relying Party 1 (claims-aware Application) Abbildung 7: Vollvermaschung von Claims Providern und Relying Parties mit federated Trusts Natürlich ist dies nicht praktikabel. Deshalb wird in der Praxis ein einfacheres Verfahren angewandt. Dieses stellt Abbildung 8 dar und basiert auf einem Hub-and-Spoke-Modell. Die Spokes sind die Claims Provider und die claimsaware Applikationen. Als Hub kommt ein sogenannter Intermediary zum Einsatz. Der Intermediary ist ebenfalls ein STS. Gegenüber dem Claims Provider nimmt er die Rolle einer Relying Party ein. Aus Sicht der claims-aware Applikation erscheint der Intermediary wie ein Claims Provider. Die Anzahl der Trusts ist damit minimal gehalten und die Frage nach dem Verwaltungsaufwand entschärft. Claims Provider 1 Federated Trusts Relying Party Federated Trusts claims-aware Application 1 Claims Provider 2 Intermediary claims-aware Application 2 Claims Provider 3 claims-aware Application 3 Abbildung 8: Reduktion der federated Trusts mit der Einführung eines Intermediarys Es drängt sich die nächste Frage auf: Wer soll einen Intermediary betreiben? Die Antwort ist ganz einfach: die Relying Party. Der eine Grund wurde bereits erwähnt. Die Relying Party betreibt üblicherweise mehrere Anwendungen. Wenn ein zusätzlicher Claims Provider angebunden werden soll, dann würde dies bei der direkten Anbindung einen Change an jeder Applikation erfordern. Mit dem Konzept des Intermediaries hat eine claims-aware Applikation genau einen federated Trust, nämlich denjenigen zum Intermediary. Diesen Trust kann man alleinig durch die Relying Party verwalten und erfährt dadurch möglichst wenige Änderungen. Die Integration von neuen Anwendungen ist kostengünstig und rasch möglich. Die beiden nachfolgenden Kapitel gehen auf die zwei weiteren Gründe ein Die Virtualisierung der Authentifizierung Die claims-aware Applikation muss sich dank dem Intermediary nicht mehr um verschiedene Claims Provider kümmern. Ihr einziger Ansprechpartner für die Authentifizierung ist der Intermediary. Für diese Kommunikation muss die claims-aware Applikation nur ein einziges Federations-Protokoll unterstützen. Eine Implementation von Authentifizierungsprotokollen wie Kerberos, NTLM, Digest, TLS und was es alles gibt, ist bei der claims-aware Applikation nicht notwendig. Die sichere Authentifizierung ist Sache des STS beim Claims Provider. Sollte ein etabliertes Authentifizierungsprotokoll Schwachstellen aufweisen und durch ein neues ersetzt werden, so betrifft dies nur den STS, aber keinesfalls die claims-aware Anwendung. Seite 10

11 Die Wahrscheinlichkeit ist gering, dass ein STS als fertiges Produkt eines Softwarelieferanten eine Schwachstelle aufweist, die lange nicht behoben wird. Ebenso unwahrscheinlich ist es, dass das Produkt die aktuellen Authentifizierungsprotokolle nicht unterstützt. Schliesslich ist das Produkt zu diesem Zweck geschaffen und steht in einem harten Konkurrenzkampf mit anderen Produkten. Bei der Herstellung der claims-aware Applikation kann sich der Entwickler also auf die sichere Implementation eines Federations-Protokolls konzentrieren. Dies senkt den Entwicklungsaufwand und erhöht die Sicherheit der gesamten Anwendung. formular-basierte Authentifizierung zertifikat-basierte Authentifizierung Kerberos? Claims Provider?? Kerberos? Applikation Token Intermediary Token SAML? Kerberos Claims Provider Token WS-Federation WS-Federation SAML Token Applikation SAML formular-basierte Authentifizierung zertifikat-basierte Authentifizierung Abbildung 9: Eine Applikation muss nur noch ein Federatationsprotokoll (grün) implementieren und wird von allen Authentifizierungsprotokoll (gelb) unabhängig. Wie die Abbildung 9 zeigt, existieren nicht nur viele Authentifizierungsprotokolle (gelb), sondern auch etliche Federations-Protokolle (grün). Zu letzteren gehören die bekannten Protokolle Security Assertion Markup Language (SAML) und WS-Federation. Die grundlegenden Konzepte dieser Protokolle sind nahezu identisch. Die Resultate eines Vergleiches bezüglich Funktionalität, Sicherheit und weiterer Kriterien können aus der Dissertation von Hommel 3 entnommen werden. Viele STS unterstützen mehrere Federations-Protokolle, wodurch ein Intermediary auch Transformationen zwischen den Protokollen vornehmen kann. Somit funktioniert eine claims-aware Applikation, welche nur ein Federations-Protokoll unterstützt, mit jedem Claims Provider, jedem anderen Federations- Protokoll und jedem Authentifizierungsprotokoll. Aus Sicht der Applikation kann also durchaus von einer Virtualisierung der Authentifizierung gesprochen werden. 3 W. Hommel, Architektur- und Werkzeugkonzepte für föderiertes Identitäts-Management, München: Ludwig-Maximilians-Universität, URL: Seite 11

12 3.3. Die Relying Party ist auch ein Service Provider Setzt man diese Theorie der Virtualisierung der Authentifizierung konsequent um, kann sich ein Benutzer der Relying Party nicht mehr direkt an der claims-aware Applikation anmelden. Die claims-aware Applikation unterstützt keine Authentifizierungsprotokolle, sondern delegiert die Authentifizierung an den Intermediary. Damit muss sich auch ein Benutzer im Unternehmen der Relying Party bei einem Claims Provider authentifizieren. Auf den ersten Blick scheint dies ein unnötiger Umweg zu sein. Auf den zweiten Blick jedoch offenbart sich ein grosser Nutzen. Viele Vorteile einer Föderation gelten nicht nur unternehmensübergreifend, sondern auch unternehmensintern. Hierzu gehören: SSO mit einem sicheren Verfahren ist möglich. Zentrale Verwaltung und Durchführung der Authentisierung. Zentralisierung und Virtualisierung der Authentifizierung senken das Risiko für Sicherheitslücken. Die Applikationen verwenden ein einheitliches Authentifizierungsverfahren und eine standardisierte Anbindung. Die Applikationen benötigen keine Anbindung an das Directory, um Identitäts-Attribute zu beziehen. Der Entwicklungs- und Wartungsaufwand für Applikationen nimmt ab. Immer mehr Applikationen unterstützen Federationsprotokolle (z.b. SAP, SharePoint und viele weitere). All diese Gründe sprechen dafür, federated Trusts auch unternehmensintern einzusetzen. Dem widerspricht auch nichts, weil man die Infrastruktur eines Federated IDM Systems mehrfach nutzen kann. Weil der Intermediary ein vollwertiger STS ist, kann er in einer Mehrfachrolle agieren. Er ist erstens Ansatzpunkt für Föderationen zu anderen Unternehmen. Zweitens föderiert er mit den claims-aware Applikationen und drittens kann er Benutzer authentifizieren und als Claims Provider auftreten. In der Praxis verschmelzen die zwei Funktionen des Claims Providers und der Relying Party also wieder. Mit der Infrastruktur eines Federated IDM Systems kann ein Unternehmen somit beide Funktionen gleichzeitig übernehmen, mit anderen Unternehmen föderieren und die vorhandenen Föderationen selbst nutzen. Seite 12

13 4. Mehrwert dank Federated IDM Mit Federated IDM verlangsamt sich die Zunahme von Identitäten im unternehmenseigenen Directory. Dies reduziert den Aufwand für die Pflege der Identitäten. Man muss keine Identitäten von Partnern im eigenen Directory anlegen, sondern kann die bestehenden Identitäten im Directory des Partners nutzen. Die Zahl der Identitäten im eigenen Directory ist abhängig von der Anzahl eigener Mitarbeiter. Unabhängig von der Anzahl Personen aus Partnerunternehmen, welche auf die bereitgestellten claims-awaren Anwendungen zugreifen, bleibt der Verwaltungsaufwand für die Pflege des eigenen Directories konstant. Auch bei Business to Customer (B2C) kann man die Federation einsetzen. Public Identity Provider verwalten Identitäten von Privatpersonen. Hierzu gehören SwissID, LiveID, Facebook und viele weitere. Eine Federation mit diesen öffentlichen Claims Providern ist möglich. Es erlaubt dem Service Provider, seine Anwendungen an die Kunden bereitzustellen, ohne alle Kunden-Identitäten im Directory pflegen zu müssen. Trotzdem warten viele Unternehmen mit dem Aufbau eines Systems für Federated IDM zu. Sie zweifeln an der Rentabilität dieser Infrastruktur und sehen den Nutzen noch nicht. Weil ihre Partner noch keine Federationen unterstützen, fehlt der Anreiz, eine Infrastruktur für das Federation IDM möglichst rasch aufzubauen. Doch plötzlich ist der Bedarf da, eine Möglichkeit für einen federated Trust gegeben, doch das Federated IDM System fehlt dann. Der Aufwand für das Setup und den Betrieb ist zu gross für einen einzelnen federated Trust. Das notwendige Wissen und die Erfahrung fehlen. Zugegeben: Die Eintrittshürden sind hoch. Mit der Erkenntnis, dass eine Relying Party auch ein Claims Provider ist und man die Infrastruktur einer Federated IDM vielseitig nutzen kann, ist der Weg zur Rentabilität geebnet. Bei der Lancierung eines Federated IDM kann man keine sofortige Rentabilität erwarten. Zuerst muss das Potenzial eines Federated IDM Systems im Sinne einer Infrastruktur erkannt werden. Dieses liegt in der hohen Flexibilität und den vielfältigen Einsatzzwecken. Wie bei anderen Projekten im IAM-Umfeld ist ein stufenweiser Einstieg ratsam. Wo der erste Schritt erfolgt, ist nicht ausschlaggebend. Wichtig ist der zweite Schritt, welcher rasch auf den ersten folgen soll und kann. Der erste Schritt bringt hauptsächlich Kosten mit sich. Das lässt sich leider nicht verhindern. Mit dem zweiten Schritt beginnt man, das Potenzial zu nutzen und profitiert bereits von der Investition aus dem ersten Schritt. Den zweiten Schritt zu finden, ist einfach, denn man weiss nun, wie es geht und was man kann. Sobald der Bedarf für einen federated Trust plötzlich auftritt - und er tritt plötzlich auf - kann man zuschlagen, eine einfache Lösung bereitstellen und damit Kosten einsparen. Die Federation ist sehr flexibel. Wer sie einsetzen will, muss ebenso flexibel sein und frühzeitig die Grundlagen dafür schaffen Der richtige Umgang mit Tokens Die Sicherheit der federated Trusts basiert auf Kryptographie. Die Tokens sind verschlüsselt und signiert. Da auch Cookies zum Einsatz kommen, sind alle Verbindungen durch SSL geschützt. Der Inhalt der Cookies ist verschlüsselt und die Flags secure und httponly schützen das Cookie vor Diebstahl. Dank diesen Massnahmen gilt die Federation als sicher, sofern die eingesetzten Schlüssellängen und Cipher korrekt gewählt sind. Mit vielen federated Trusts zwischen vielen Unternehmen entsteht eine Art Netzwerk. Wie in einem Datennetzwerk können die Pakete bzw. die Tokens von einem Knoten zum nächsten wandern. Anders ausgedrückt sind federated Trusts transitiv. Die Folge ist in Abbildung 10 ersichtlich. Seite 13

14 Ein Unternehmen A unterhält einen federated Trust zu einem Unternehmen B. Dieses wiederum hat einen federated Trust zum Unternehmen C. Obwohl Unternehmen A mit dem Unternehmen C keinen direkten federated Trust hat, können Tokens des Unternehmens A zu der claims-aware Applikation C gelangen. Abbildung 10: erlaubter und unerlaubter Tokenfluss über federated Trusts Mit der Grundkonfiguration leitet ein STS Tokens unbeschränkt weiter. In manchen Fällen ist dies gewünscht, oft aber äusserst ungewollt. In den Tokens können sich sensitive Daten zur Identität des Benutzers befinden, welche der Claims Provider durch den Relying Party Trust einer Relying Party anvertraut. Durch diese Weitergabe von Tokens kann schlimmstenfalls sogar der Datenschutz des Claims Providers verletzt werden. Um den Tokenfluss zu kontrollieren, sind gemäss einer praktischen Empfehlung von John Craddock 4 (Microsoft) mehrere Massnahmen auf dem STS erforderlich: Der STS des Claims Providers darf nur die minimal notwendigen Claims für den Zugriff auf die claims-aware Applikation herausgeben. Jedem Token wird ein sogenanntes Marker-Claim beigefügt, welches den Ursprung des Tokens enthält (typischerweise der FQDN des Claims Providers). Ein Intermediary STS prüft den Marker-Claim und sendet das Token nur dann weiter, wenn der Claims Provider eine Weiterleitung über diesen federated Trust erlaubt. Empfängt ein STS ein unvollständiges Claim, d.h. ohne gültiges Marker-Claim, wird das Token verworfen. Ein federated Trust setzt voraus, dass der Partner vertrauensvoll mit den Tokens umgeht. Die Regeln zur Steuerung des Tokenflusses einzuhalten, ist eine Bedingung für die Vertrauenswürdigkeit. Diese und weitere Vereinbarungen zur Einhaltung von Gesetzen und Regeln muss man in einem Federations-Vertrag zwischen dem Claims Provider und der Relying Party klären. In einem solchen Vertrag geht es nicht nur um Datenschutz und Haftungsfragen, sondern auch um technische Aspekte zur Einhaltung von formalen Grundsätzen. 4 J. Craddock, «Active Directory Federation Services,Part 2: Building Federated Identity Solutions,» 18. Mai [Online]. URL: Seite 14

15 5. IAM und das Federated Identity Management Zweifelsohne besteht ein Zusammenhang zwischen dem Federated Identity Management und dem IAM. Wer das Federated Identity Management als einen Bestandteil des IAM Systems betrachtet, liegt nicht falsch. Schliesslich soll es in den Prozessen möglichst keinen Unterschied zwischen unternehmensinternen und -externen Applikationen geben. Viele Sicherheits- und Compliance-Anforderungen gelten gleichermassen. Nur technisch funktioniert der Zugriff auf die Applikation unterschiedlich, was in der Praxis zu einer Unterteilung in zwei ebenbürtige und sich ergänzende Komponenten führt. Ein Unternehmen mit einem etablierten IAM-System kann dieses durch Federated Identity Management erweitern. Am IAM-System sind bereits Quellsysteme wie das HR-System und interne Applikationen als Zielsysteme angeschlossen. Die etablierten Prozesse und Workflows erlauben die sichere, automatisierte Berechtigungszuweisung und (De-)Provisionierung von Benutzerkonten. Das IAM-System fungiert als ein Metadirectory, welches die Daten über die Identitäten in den Quellsystemen beschafft, sammelt und nur die notwendigen Identitätsattribute an die Zielsysteme weiterleitet. Identity & Access Management Gesetze Reglemente Konzepte Federated Identity Management Federations- Verträge Konzepte Prozesse Prozesse HR System Directory Anderer Claims Provider Anderes Quellsystem Applikation IAM Provisioning Security Token Service Andere Relying Party Claims-aware Application Applikation Konnektoren Konnektoren Benutzerkonten Datenbank Konnektoren Metadatenbank Federated Trusts Claims-aware Application Abbildung 11: Zusammenhang zwischen dem Identity & Access Management und dem Federated Identity Management Wenn eine Lösung für Federated Identity Management an das bestehende IAM-System angeschlossen werden soll, dienen zwei Systeme als Schnittstelle: ein Directory zur Authentifizierung, wie zum Beispiel das Active Directory eine Datenbank mit Benutzerkonten und Identitäts-Attributen Theoretisch könnte man das Directory für beide Funktionen einsetzen. Die Funktionalität vieler Directories würde es erlauben. Eine Trennung bietet sich aber nicht nur zu didaktischen Zwecken an. Durch eine Auslagerung der Benutzerkonten und Identitäts-Attribute in eine SQL-Datenbank steigt die Flexibilität bezüglich der Erweiterbarkeit des Schemas und ermöglicht einfache Abfragen mit hoher Performance. Den Account im Directory nutzt das Federated Identity Management System für die Authentifizierung von Benutzern. In der zusätzlichen Datenbank liegen die Benutzerkonten für die Applikationen, welche über die Federation angebunden sind. Das IAM-System legt pro Benutzer und Applikation ein entsprechendes Benutzerkonto an. Es ist möglich, dem Benutzerkonto eine Gültigkeitsdauer zu geben und nur diejenigen Attribute zu hinterlegen, welche der Applikation preisgegeben werden dürfen. Seite 15

16 An das Directory und die Datenbank mit den Benutzerkonten ist das Federated Identity Management System angebunden. Seine Aufgaben sind die Pflege von Verbindungen zu externen Applikationen anderer Organisationen oder die Bereitstellung eigener Applikationen für eine Federation. Existiert noch kein IAM-System, ist dies nicht tragisch, denn Federated Identity Management ist trotzdem möglich. Nur von den hohen Synergien zwischen dem IAM und dem Federated Identity Management kann nicht profitiert werden. Die Datenbank mit Benutzerkonten entfällt. Das Federated IDM-System muss stattdessen mehrere Quellsysteme anbinden, um alle benötigten Attribute zu beschaffen. Diese zusätzlichen Schnittstellen bringen Mehraufwand und Kosten. Die Authentifizierung erfolgt weiterhin gegen das Directory. Für das Federated IDM System ist die Ermittlung, ob ein Benutzer eine externe Applikation nutzen darf, nur aufwändig möglich. Unabhängig davon, ob ein IAM-System im Unternehmen vorhanden ist, kann man ein Federated Identity Management einführen und damit sicheres Single Sign On (SSO) über die Grenzen des Unternehmens ermöglichen. Seite 16

17 6. Fazit Viele Unternehmen zögern mit der Einführung eines Federated IDM-Systems und stellen die Rentabilität dieser Infrastruktur in Frage. Dabei entsteht der Nutzen der Federation erst mit seinem flexibel erweiterbaren und vielfältigen Einsatz. Wer die Einsatzmöglichkeiten der Federation erkennt und einen ersten Schritt in Richtung deren Umsetzung geht, findet darin rasch einfache Lösungen für plötzlich auftretende Probleme. Federated IDM bietet einfache Möglichkeiten, um SSO über Unternehmensgrenzen hinaus zu ermöglichen. Man kann es aber auch für SSO auf unternehmensinterne Anwendungen nutzen, was eine bessere Auslastung der Infrastruktur zur Folge hat. Immer mehr Anwendungen, die im unternehmenseigenen Rechenzentrum laufen, unterstützen die Federation als sicheres Verfahren für die zentralisierte Authentifizierung. Ein früher Einsatz dieser etablierten Technologie zahlt sich aus. Wer jetzt Erfahrungen mit Föderationen sammelt, ist in naher Zukunft gerüstet für die nächste Stufe der Vernetzung mit Partnern, Lieferanten und Kunden. Die Experten von IPG AG können Sie beim Aufbau eines Federated IDM Systems beraten und unterstützten. Unsere langjährige Expertise über Zugriffsmodelle, Prozesse, Rechtsgrundlagen und IAM-Systeme kann Ihnen zu einem erfolgreichen Start mit dem Federated Identity Management verhelfen. So konzipierte und implementierte IPG AG bei einem Schweizer Handelsbetrieb die Anbindung des Filialnetzes. Über Händler und Servicepartner können dadurch zuverlässig und sicher auf zentrale Anwendungen zugreifen und untereinander Daten austauschen. Seite 17

18 7. Portrait 7.1. Michael Petri Michael Petri, Bachelor in Informatik der Zürcher Hochschule für angewandte Wissenschaften, ist Consultant für Identity & Access Management bei der IPG AG in Winterthur. Er verfügt über fundiertes Wissen und Erfahrung in Federated Identity Management. Er analysiert bestehende Berechtigungsmanagement-Umgebungen und etabliert neue Rollenmanagement-Prozesse und Rollenmodelle IPG AG Als Experte für Identity & Access Management bietet IPG AG Lösungen für den umfassenden Schutz von Benutzerdaten und Zugriffsrechten an; dies für Unternehmen und Verwaltungen der gesamten Wirtschaft. Der Integrationsexperte ist auf die Planung und Implementierung von Lösungen für die Verwaltung von Benutzerdaten und Zugriffsrechten spezialisiert. Die langjährige Projekterfahrung garantiert ein umfassendes Verständnis für alle Themen rund um das Identity & Access Management. Die Experten von IPG AG unterstützen in den Themen: Identity & Access Management as a Service Identity Management & Provisioning Role Based Access Control Access Management & Single Sign On Privileged Access Management Education Mit praxisorientierten Prozessen und fundiertem Informatik-Wissen bauen die Experten Brücken zwischen Organisation und Informatik. Viele Kunden aus allen Branchen vertrauen auf die Funktion des Enablers IPG AG. Als bevorzugter Umsetzungspartner für Software-Hersteller ist IPG AG in den Marktregionen Schweiz, Deutschland und Österreich in Winterthur, Hamburg und Wien ansässig. Weitere Informationen zu IPG AG finden Sie auf Seite 18

Identity and Access Management for Complex Research Data Workflows

Identity and Access Management for Complex Research Data Workflows Identity and Access Management for Complex Research Data Workflows Richard Zahoransky, Saher Semaan, Klaus Rechert richard.zahoransky@rz.uni-freiburg.de, semaan@uni-freiburg.de, klaus.rechert@rz.uni-freiburg.de

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick Dr. Joachim Gerber INFORA-Kompetenzteam Informationssicherheit & Id-Management München, 14.06.2010 Agenda 1. Identität Begriff

Mehr

Föderiertes Identity Management

Föderiertes Identity Management Föderiertes Identity Management 10. Tagung der DFN-Nutzergruppe Hochschulverwaltung Berlin, 09.05.-11.05.2011 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de 1 von 23 (c) Mai 2011 DAASI

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Veröffentlichung und Absicherung von SharePoint Extranets

Veröffentlichung und Absicherung von SharePoint Extranets Veröffentlichung und Absicherung von SharePoint Extranets Denis Holtkamp, ITaCS GmbH Senior Consultant IT-Infrastruktur Goldsponsor: Partner: Silbersponsoren: Veranstalter: Agenda Intranet Extranet-Szenarien

Mehr

Positionspapier: Portalverbund und ehealth

Positionspapier: Portalverbund und ehealth Positionspapier: Portalverbund und ehealth e-government Arbeitsgruppe Integration und Zugänge (AG-IZ) Dr. Wilfried Connert Franz Hoheiser-Pförtner, MSc Rainer Hörbe Peter Pfläging Juli 2009 Inhalt Zielsetzung

Mehr

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Dezentrales Identity Management für Web- und Desktop-Anwendungen Dezentrales Identity Management für Web- und Desktop-Anwendungen Sebastian Rieger, Thorsten Hindermann srieger1@gwdg.de, thinder@gwdg.de Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen,

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

MOA-ID Hands-On Workshop

MOA-ID Hands-On Workshop MOA-ID Hands-On Workshop Architektur und Neuerungen Wien, 27.05.2014 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Neuerungen Datenbankbasierte

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Single Sign-On, Password Management, Biometrie Single Sign-On: Anmeldung an mehreren

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 ZIEL...3 2 FUNKTIONS-KONZEPT...3 2.1 Struktur...3

Mehr

Transaktionskosten senken mit dem Wirtschaftsportalverbund

Transaktionskosten senken mit dem Wirtschaftsportalverbund Transaktionskosten senken mit dem Wirtschaftsportalverbund Rainer Hörbe Leiter Arbeitskreis WPV 8. März 2013 1 1 Identifikation + Berechtigung + Sicherheitsmaßnahmen Problemstellung: Vertrauen im Internet?

Mehr

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen Thomas Lenggenhager thomas.lenggenhager@switch.ch Bern, 11. Juni 2010 Übersicht Die Shibboleth basierte SWITCHaai

Mehr

Windows Azure-Integration

Windows Azure-Integration Windows Azure-Integration On-Premise Services und Benutzerdaten an die Cloud anbinden Jürgen Mayrbäurl Architect Evangelist Microsoft Österreich jurgenma@microsoft.com Andreas Winterer Geschäftsführer

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier Di 8.3 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier In-depth support and

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur IntegraTUM Teilprojekt Verzeichnisdienst 24. September 2009 Dr. Wolfgang Hommel, Leibniz- Rechenzentrum IntegraTUM IdenJty &

Mehr

Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices

Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices 28.08.2013 Agenda Warum Bürgerkonto Niedersachsen? Übersichtliches Portal Bausteine der Lösung und Kommunikationsprozess Derzeit in Planung Bürgerkonto

Mehr

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server SharePoint Security Einführung in das SharePoint Sicherheitssystem Fabian Moritz MVP Office SharePoint Server 1 Agenda SharePoint Identitäten Authentifizierungsverfahren Benutzer, Gruppen und Rollen Heraufstufung

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

Single Sign-On Step 1

Single Sign-On Step 1 Single Sign-On Step 1 Novell Tour 2006 Stefan Stiehl Senior Technology Specialist sstiehl@novell.com Holger Dopp Senior Consultant hdopp@novell.com Was ist Single Sign-On? Eine Befugnisverwaltungstechnologie,

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de Grundlagen AAI, Web-SSO, Metadaten und Föderationen Wolfgang Pempe, DFN-Verein pempe@dfn.de DFN-AAI IdP-Workshop, 24./25. Juni 2015, HS Amberg-Weiden Was ist DFN-AAI? AAI Authentifizierung Autorisierung

Mehr

Identitätsmanagement der nächsten Generation

Identitätsmanagement der nächsten Generation Identitätsmanagement der nächsten Generation mit der österreichischen Handy-Signatur Dr. Eisenstadt, 03.06.2014 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung KOBIL Meine kleine, aber feine Verwaltung KOBIL ist ein Managementsystem zum Verwalten digitaler Identitäten mit Einmalpasswörtern und Zertifikatstechnologie. wurde speziell für Standard-Microsoft-Umgebungen

Mehr

Identity & Access Management in der Cloud

Identity & Access Management in der Cloud Identity & Access Management in der Cloud Microsoft Azure Active Directory Christian Vierkant, ERGON Datenprojekte GmbH Agenda oidentity Management owas ist Azure Active Directory? oazure Active Directory-Editionen

Mehr

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP Office 365 Einsatzszenarien aus der Praxis Martina Grom, Office 365 MVP Über mich Office 365 Überblick Services aus der Microsoft cloud Deployment Überblick Geht es sich an einem Wochenende aus? Migrationsentscheidungen

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

HINTcare Kostengünstige Heimverwaltung aus dem Rechenzentrum

HINTcare Kostengünstige Heimverwaltung aus dem Rechenzentrum HINTcare Kostengünstige Heimverwaltung aus dem Rechenzentrum Cloud Computing Infrastruktur als Service (IaaS) HINT-Rechenzentren Software als Service (SaaS) Desktop als Service (DaaS) Ein kompletter Büroarbeitsplatz:

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Kobil Roundtable 2013. Identity Federation. Konzepte und Einsatz

Kobil Roundtable 2013. Identity Federation. Konzepte und Einsatz Kobil Roundtable 2013 Identity Federation Konzepte und Einsatz Basel, 23. Oktober 2013 3 AD domain controller AD domain controller csi-domäne File server Exchange server Basel, 23. Oktober 2013 4 cnlab-domäne

Mehr

Sichere Datenhaltung in verteilten Systemen

Sichere Datenhaltung in verteilten Systemen Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes,

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen Herzlichen Dank! Projektleitung S.A.F.E.: Meinhard Wöhrmann (meinhard.woehrmann@olg-duesseldorf.nrw.de)

Mehr

Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management

Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management 7. Treffen der IT-Betriebszentren im Hochschulbereich 26. September 2007 Wolfgang Hommel, Leibniz-Rechenzentrum

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006 Anwendungsintegration an Hochschulen am Beispiel von Identity Management Norbert Weinberger - Sun Summit Bonn 26.4.2006 Ausgangslage: Anwendungsinseln Zugang zu IT- Ressourcen, z.b. Radius Rechenzentrum

Mehr

FirstWare FreeEdition Quick Start Guide. Version 1.3

FirstWare FreeEdition Quick Start Guide. Version 1.3 FirstWare FreeEdition Quick Start Guide Version 1.3 Inhaltsverzeichnis 1 Einleitung...3 2 Systemvoraussetzungen...4 2.1 Lokale Installation...4 2.2 Web Server Installation (IIS)...5 3 Installationsanleitung...6

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Methoden zur Benutzerüberprüfung im ELMS 1.1

Methoden zur Benutzerüberprüfung im ELMS 1.1 Methoden zur Benutzerüberprüfung im ELMS 1.1 2012-12-21 Kivuto Solutions Inc [VERTRAULICH] INHALTSVERZEICHNIS ÜBERSICHT...1 ÜBERPRÜFUNGSMETHODEN...2 Integrierte Benutzerüberprüfung (IUV)...2 Shibboleth

Mehr

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke.

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke. Fachhochschule Köln, Campus Gummersbach Fachbereich Informatik Studiengang Allgemeine Informatik Kolloquium Analyse und Vergleich von Identity Management-Technologien und Implementierung eines Resource

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

Integration von SAP Netweaver mit Identity und Access Management

Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Unternehmenslösungen für sicheres und skalierbares Identity und Access

Mehr

Ganzheitliches Identity & Access Management (IAM)

Ganzheitliches Identity & Access Management (IAM) Ganzheitliches Identity & Access Management (IAM) Inhalt 1. Einführung 2 2. Aufgabe des Business 4 3. Die Technologie 5 3.1. Zugriff 5 3.2. Zugang 5 3.3. Identität 6 4. Abrundung 7 Ganzheitliches IAM Bericht

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Von der Testumgebung zum produktiven Einsatz von Shibboleth

Von der Testumgebung zum produktiven Einsatz von Shibboleth Authentifizierung, Autorisierung und Rechteverwaltung Von der Testumgebung zum produktiven Einsatz von Shibboleth 3. Shibboleth-Workshop Freiburg, 10. Oktober 2006 Bernd Oberknapp, UB Freiburg E-Mail:

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Sichere Web-Services in einem föderierten Umfeld

Sichere Web-Services in einem föderierten Umfeld Sichere Web-Services in einem föderierten Umfeld ZKI Arbeitskreis Verzeichnisdienste ZEDAT FU Berlin Axel Maurer Die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) integrierte

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung Inhalt SSO Account... 1 Erstkontakt mit dem System (Internet / Kundensicht)... 2 Erstkontakt mit dem System (Intranet)... 3 Funktionen

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

IAM in the Cloud - Guidance der Cloud Security Alliance

IAM in the Cloud - Guidance der Cloud Security Alliance Klaus Gribi United Security Providers IAM in the Cloud - Guidance der Cloud Security Alliance MEET SWISS INFOSEC, 26. Juni 2013 Agenda Vorstellung der Cloud Security Alliance (CSA) Vorstellung CSA Switzerland

Mehr

Software as a Service

Software as a Service Software as a Service Andreas Von Gunten http://www.ondemandnotes.com http://www.andreasvongunten.com SaaSKon 2008 11. November 2008 Das Problem - Komplexität Software selber zu betreiben, bedeutet zunehmende

Mehr

Role Based Access Control und Identity Management

Role Based Access Control und Identity Management Role Based Access Control und Identity Management Treffen des ZKI-AK Verzeichnisdienste, 7.-8.3.2012, Halle Peter Gietz, Markus Widmer, DAASI International GmbH Peter.gietz@daasi.de 1 Agenda 2 (c) März

Mehr

Identity Management Einführung in die Diskussion

Identity Management Einführung in die Diskussion Identity Management Einführung in die Diskussion Hans Pfeiffenberger Alfred Wegener Institut, Bremerhaven 1 Agenda Begriffe (Damit wir alle über dasselbe sprechen) Motivation, strategische Ziele Integrierte

Mehr

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de Die Dienste der DFN-AAI Ulrich Kähler, DFN-Verein kaehler@dfn.de Was ist DFN-AAI? AAI Authentifizierung Autorisierung Infrastruktur Seite 2 Was ist DFN-AAI? DFN-AAI ist ein regulärer Dienst des DFN-Vereins.

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Microsoft Office SharePoint Server

Microsoft Office SharePoint Server Microsoft Office SharePoint Server von Dipl.-Ing. Thomas Simon Dipl.-Ing. Lars Kuhl Dipl.-Des. Alexandra Meyer Dominik Zöller Microsoft Office SharePoint Server 2007 Seite 4-83 4 Planungsaspekte 4.1 Architektur

Mehr

On breaking SAML. Be Whoever You Want to Be. von David Foerster

On breaking SAML. Be Whoever You Want to Be. von David Foerster On breaking SAML Be Whoever You Want to Be von David Foerster Gliederung Übersicht & Motivation XML Signature Wrapping Attacks Vorstellung Gegenmaßnahmen Zusammenfassung 2 Übersicht & Motivation SAML Übersicht

Mehr

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel Organisationsübergreifendes Single Sign On mit shibboleth Tobias Marquart Universität Basel Überblick Einordnung von Shibboleth, Abgrenzung zu OpenID Organisatorische und technische Komponenten einer Federation

Mehr

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language. Inhalt Einführung Was ist Wozu braucht man Wo wird verwendet kleine Demo Security Assertion Markup Language Björn Rathjens Inhalt Einführung Was ist Wozu braucht man Wo wird verwendet kleine Demo 1 Einführung

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02.

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02. XML Wrapping: Die Kunst SAML s zu fälschen Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 19. DFN Workshop

Mehr

Neuerungen bei Shibboleth 2

Neuerungen bei Shibboleth 2 Neuerungen bei Shibboleth 2 Shibboleth-Workshop BW Stuttgart, 7. Februar 2008 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de Übersicht Aktueller Status Kommunikation IdP

Mehr

Version 4.1. licensemanager. What's New

Version 4.1. licensemanager. What's New Version 4.1 licensemanager What's New 1 Neue Features der Version 4.1 3 2 Neue Features der Version 4.0 4 3 Neue Features der Version 3.2 5 4 Neue Features der Version 3.1.1 6 5 Neue Features der Version

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT Seminar Grid-Computing Oktay Tugan, WS 2006/07 SICHERHEIT Überblick Motivation Sicherheitsfunktionen und Schwierigkeiten Anforderungen Beispiel GSI Weitere Sicherheitsmechanismen Gesellschaftliche Probleme

Mehr

SSZ Policy und IAM Strategie BIT

SSZ Policy und IAM Strategie BIT SSZ Policy und IAM Strategie BIT Thierry Perroud Unternehmensarchitekt BIT Agenda Geschäftstreiber SSZ Abgrenzung Access Management / Identity Management IAM Strategien Zugriffsmuster Stand der Arbeiten

Mehr

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration Single Sign-On Einführung und Überblick Dipl-Inf. Rolf Negri Copyright Trivadis AG 1 Agenda Einleitung Technologie und Funktionalität Installation und Konfiguration Ausblick Single Sign-On Copyright Trivadis

Mehr

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Partner Roundtable 28.Juni 2007 Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Thema des Tages was hat das mit uns hier heute zu tun? Oracle s Zusage The The

Mehr

schlank stark beweglich

schlank stark beweglich schlank stark beweglich mit Ant-On! für Intranet, Websites und Web-basierte Spezialanwendungen schlank Ant-On! ist handbuchfrei zu bedienen Ant-On! ist das ideale System für alle Online-Redakteure. Es

Mehr

Datenkonvertierung & EDI

Datenkonvertierung & EDI Cloud Services Datenkonvertierung & EDI Geschäftsprozesse optimieren Ressourcen entlasten Kosten reduzieren www.signamus.de Geschäftsprozesse optimieren Mit der wachsenden Komplexität moderner Infrastrukturen

Mehr

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen Mit der aktuellen Version hält eine komplett neu konzipierte webbasierte Anwendung Einzug, die sich neben innovativer Technik auch durch ein modernes Design und eine intuitive Bedienung auszeichnet. Angefangen

Mehr

Autorisierung zentral steuern

Autorisierung zentral steuern Autorisierung zentral steuern AdNovum hatte jüngst Gelegenheit, ein Autorisierungs-Management-System für ein Gesundheits-Enterprise-Portal zu bauen. Welche Form der Autorisierung soll auf welcher Stufe

Mehr

Elektronische Identitäten: Das alltägliche Datenschutzproblem

Elektronische Identitäten: Das alltägliche Datenschutzproblem Elektronische Identitäten: Das alltägliche Datenschutzproblem Walter Hötzendorfer Arbeitsgruppe Rechtsinformatik, Universität Wien walter.hoetzendorfer@univie.ac.at Europa-Tagung Von Jägern, Sammlern und

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft. Microsoft Identity & Access Plattform Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.com Herausforderung Identity & Access Management Wie und wo verwalte

Mehr

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria Identity Management in der Praxis Roman Brandl Sun Microsystems, Austria Agenda Was (alles) ist IdM? Sun Identity Management Portfolio Fallbeispiele / Denkanstöße Q&A Identity Grid Audit Dienste Richtlinien

Mehr

Die Microsoft Cloud OS-Vision

Die Microsoft Cloud OS-Vision Die Microsoft Cloud OS-Vision 29-01-2014, itnetx/marcel Zehner Seit Oktober 2013 steht Microsoft mit dem neuen Betriebssystem Microsoft Windows Server 2012 R2 am Start. Aus Sicht von vielen Unternehmen

Mehr

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Erfahrungen im Münchner Wissenschaftsnetz Silvia Knittl, Wolfgang Hommel {knittl,hommel}@mnm-team.org Agenda Hybrid Cloud im Münchner Wissenschaftsnetz

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Mehr