Certificate of Advanced Studies in Security & Privacy

Größe: px
Ab Seite anzeigen:

Download "Certificate of Advanced Studies in Security & Privacy"

Transkript

1 Berner Fachhochschule Software-Schule Schweiz Certificate of Advanced Studies in Security & Privacy Modul: Identity Management, Access Management & Biometrie HT2, 26. Mai 2010, Ömer Tutkun Gruppenarbeiten Gruppe Thema Datum Zeit!!Mattiello!!Spring!!Nacht!!Styczynski!!Brügger!!Brändle "! ID Management im WEB mit OpenID "! WIF (Windows Identity Foundation) :00 13: :00 13: :00 13:15!!Mangold :00 13:15!!Frey!!Jaun!!Cappellozza!!Burger :00 13: :00 13:15 Ö. Tutkun, HT2-F2

2 Inhaltsübersicht IdM HT2 Identifikation & Authentisierung 0 Zusammenfassung 1. HT 1 Trust 2 Identifikation & Authentisierung 3 Benutzerverwaltung 4 Übung Ö. Tutkun, HT2-F3 Zusammenfassung IAM HT1 1/3 Problemstellung & Lösungsansatz Reale Identität Digitale Identität Resourcen Id-01/pwd1 Id-02/pwd1 Id-03/pwd2 Id-04/pwd3 Id-0n/pwd4 U&CM U&CM U&CM U&CM U&CM Service 1 Service 2 Service 3 Service 4 Service n Herr Stiller IdM Service 1 Service 2 IdM-id /pwd U&CM Service 3 Service 4 Service n Ö. Tutkun, HT2-F4

3 Zusammenfassung IAM HT1 2/3 Lebenszyklus & Begleitprozesse INTEGRATE Technische Prozesse AKTIVIERUNG GENERATE ERZEUGEN EINSATZ OPERATE REVOKATION Geschäftsprozesse UPDATE Ö. Tutkun, HT2-F5 Zusammenfassung IAM HT1 3/3 Identity & Access Management IAM: Technologien, die zwischen Subjekten & Objekten sowie Objektgruppen ein definiertes Trust -Verhältnis ermöglichen Identity and Access Management Benutzer Typ1 Authentisierung System1 Benutzer Typ2 Directory System2 Benutzer Typ3 Autorisierung System3 Ö. Tutkun, HT2-F6

4 Trust!! Übergeordnetes Vertrauensverhältnis!! Kann weitergereicht werden Trust Trust Trust Ö. Tutkun, HT2-F7 Was ist Trust? Facetten von Trust Facette Beschreibung Identifizierung Authentisierung (Authentifizierung) Authorisation Integrität Wer bist du? Wie stelle ich fest, dass du der bist, für den du dich gibst? Bist du befugt, diese Transaktion auszuführen? Sind die gesendeten Daten gleich den Empfangenen? Vertraulichkeit Auditing Nicht- Bestreitbarkeit Sind wir sicher, dass sonst niemand die Daten liest? Sind Einträge vorhanden, um den Geschäftsfall nachzuvollziehen? Kannst du beweisen, dass der Sender und der Empfänger den selben Transaktionskontext hatten? Ö. Tutkun, HT2-F8

5 Trust & Security Kontext Aspekt Die Etablierung Inhalt Propagation Erläuterung "! Erfolgreiche Authentisierung erzeugt digitale Identität auf System (Principal) "! SK gilt für alle folgenden aktiven Prozesse (Threads) und Namensräume "! SK kann lokal, domänebezogen, netzbezogen oder global sein "! SK muss vor Veränderungen durch den Benutzer oder System(e) geschützt werden "! Der SK besteht während der Usersession "! Eindeutige Identität des Benutzers auf Systemregisterebene "! Rollen und Grruppeninformation eines Benutzers "! Weitergabe der Identitätsparameter/Attribute in der Kommunikationskette durch Impersonation Delegation oder SSO Ö. Tutkun, HT2-F9 Authentisierung!! Beschreibung -! Die Benutzerauthentisierung stellt zur Runtime die zweifelsfreie Authentifizierung der Systembenutzer sicher -! Dies beinhaltet insbesondere die Entgegennahme eines Identifikationselements sowie dessen Verifikation anhand eines Authentisierungselements!! Definitionen -! Identifikationselement # Identifikator des Benutzers -! Authentisierungselement # Element, welches die Identität des Benutzers bestätigt -! Authentisierung # Überprüfung der Korrektheit der entgegengenommenen Identität auf Basis des Authentisierungselements (Verifikation über W,H,S) Credentials -! Assurance/Trust # Qualität der Identifizierung und Authentisierung; Grad des Vertrauens in die Korrektheit der festgestellten Identität Ö. Tutkun, HT2-F10

6 Authentisierung registriert Benutzerverwaltung Security Context Benutzer Benutzer- Verzeichnis gibt Identifikationsmittel liefert Benutzeridentität (Logon-ID) Authentifizierungsprotokoll Identifizieren/ Authentifizierung Credential Store Propagation SSO Delegation Impersonation Appl/IT-System!Appl/IT-System!Appl/IT-System Legende: Laufzeit (runtime) Setup & Maintain Security Log Ö. Tutkun, HT2-F11 Digitale Identität & Trust Keine Authentifizierung Nicht Trusted Extrahieren einer registrierten Benutzeridentität aus dem Legitimationsmittel (z.b. Logon-ID, IP-Adresse, Kartentyp, MAC-Adresse etc.) Schwache Authentifizierung Mittlere Authentifizierung Starke Authentifizierung Digitale Identität Identifikation einer registrierten Benutzeridentität und Authentifikation nach Wissen (z.b. Logon-ID und Passwort) Identifikation einer registrierten Benutzeridentität und Authentifikation nach Wissen und kopierbarem Besitz (z.b. Logon-ID, Passwort mit One-time-Passwort "Streichliste" oder Softtoken) Authentifikation nach Wissen und Besitz/Sein (z.b. Smartcard oder HSM mit PIN und krypt. Schlüssel oder One-time-Passwort übermittelt mit mtan oder Vasco-Token) Trusted Ö. Tutkun, HT2-F12

7 Authentisierung Credentials & Wirkungsgrade!!Schwache Benutzerauthentisierung # Assurance Level: LOW -! Basierend auf zwei Elementen o! Identifikationselement: Ein registrierter Identifikator o! Authentisierungselement: Geheimes Wissen; Etwas, das der Benutzer weiss!!mittlere Benutzerauthentisierung # Assurance Level: MEDIUM -! Basierend auf drei Elementen o! Identifikationselement: Ein registrierter Identifikator o! 1. Authentisierungselement: Geheimes Wissen; Etwas, das der Benutzer weiss o! 2. Authentisierungselement: Daten, die der Benutzer besitzt; z.b. Software Token!!Starke Benutzerauthentisierung # Assurance Level: HIGH -! Basierend auf drei Elementen o! Identifikationselement: Ein registrierter Identifikator o! 1. Authentisierungselement: Geheimes Wissen; Etwas, das der Benutzer weiss o! 2. Authentisierungselement: Ein physisches Objekt, das der Benutzer besitzt, z.b. Hardware Token: Ö. Tutkun, HT2-F13 Authentisierung Trust (Assurance) Levels PKI/Digital Signature Multi-Faktor Token Schadensausmass PIN/User ID Strong Password NIEDRIG Zugriff auf Webseiten Knowledge-Based MITTEL Online Handel HOCH E-Government SEHR HOCH Hochsicherheitsanwendungen Bedürfnis nach Trust Ö. Tutkun, HT2-F14

8 Authentisierung Identifikationselemente * Das Identifikationselement ist bei einem Zertifikat implizit enthalten. In diesem Falle findet eine Authentisierung gegen das Zertifikat statt. Erst dann wird die ID durch geheimes Wissen frei gegeben. Ö. Tutkun, HT2-F15 Authentisierung Authentisierungselemente (Credentials)!! Statische Authentisierungselemente -! Statisches Passwort -! Geräte PIN -! Biometrie!! Einmalige Authentisierungselemente -! Offline Einmal-Passwort Generator -! Streichliste -! Rasterkarte -! Zwei-Kanal Verfahren -! Offline C/R Gerät!! PKI basierte Authentisierungselemente -! Hard Token -! Soft Token Ö. Tutkun, HT2-F16

9 Authentisierung Statische Authentisierungselemente Ö. Tutkun, HT2-F17 Authentisierung Einmalige Authentisierungselemente Ö. Tutkun, HT2-F18

10 Authentisierung PKI basierte Authentisierungselemente Ö. Tutkun, HT2-F19 Bewertung Statisches Passwort!! Breites Nutzungsspektrum!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Authentisierung direkt in die Applikation integrierbar!! Authentisierungslogik zentral oder dezentral!! Das Authentisierungselement basiert nur auf Wissen!! Missbrauchsgefahr gross!! Kann geknackt werden Ö. Tutkun, HT2-F20

11 Bewertung Geräte PIN!! Schützen Geräte bei Verlust o.ä. vor Missbrauch!! dezentrale Authentisierungslogik!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Kann gestohlen werden!! Anwendung schränkt PIN-Stärke ein Ö. Tutkun, HT2-F21 Bewertung Biometrie!! Eindeutig einer Person zuordenbar!! Kein zusätzliches Token nötig!das Authentisierungselement ist immer vorhanden!! Kann nicht verändert werden!! Für starke Authentisierung gegenüber entfernten Systemen nicht geeignet!mitgeschnittene Übertragungen der biometrischen Merkmale können wieder verwendet werden!! Einfache Leser sind leicht zu manipulieren!nur teuere, mit mehreren Sensoren ausgestatte Leser für biometrische Merkmale sind ausreichend sicher!! Biometrische Daten müssen als öffentlich betrachtet werden (insbesondere Fingerabdrücke) Ö. Tutkun, HT2-F22

12 Bewertung Offline einmal-passwort Generator!! Kann als 2. Authentisierungselement eingesetzt werden!! Der Besitz des Generators als weitere Sicherheit (Haben)!! Kann in der Anwendung auch als Runtime-Authorisierung eingesetzt werden.!! Eindeutige Zuordnung zur Anwendung!! Verteilung an die Benutzer kostenintensiv!! Schränkt die Benutzung ein (Mobilität) Ö. Tutkun, HT2-F23 Bewertung Streichliste!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Zusätzliche Sicherheit durch geringe Kosten!! Basiert auf Wissen und ist somit kopierbar!! Einsatz von Kopie kann vom Benutzer nicht erkannt werden Ö. Tutkun, HT2-F24

13 Bewertung Rasterkarte!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Zusätzliche Sicherheit durch geringe Kosten!! Basiert auf Wissen und ist somit kopierbar!! Einsatz von Kopie kann vom Benutzer nicht erkannt werden Ö. Tutkun, HT2-F25 Bewertung Zwei-Kanal Verfahren!! Geringere Kosten!Kein zusätzliches Hardware Token nötig!! Benutzerfreundlich!Der Benutzer kann ein Gerät verwenden, das er schon kennt (z.b. Mobiltelefon, PDA)!! Verfügbarkeit!Zwei-Weg-Verfahren Empfänger sind weit verbreitet!! Flexibilität!Kann mit verschiedenen Einweg- PW Systemen kombiniert werden!! Empfänger ist kein Sicherheitsgerät!Empfänger (z.b. Mobiltelefon) kann anderen Personen gegeben werden!die PIN kann allenfalls nicht immer geheim gehalten werden!! Der zweite Weg kann unsicher sein!das Authentisierungselement kann beim Transport über den zweiten Weg in der Regel leichter kompromittiert werden (keine Authentisierung)!! Benötigt meist zusätzlichen Registrierungsaufwand!Für den zweiten Weg müssen zusätzliche Daten (z.b. Telefonnummer) erfasst und verifiziert werden Ö. Tutkun, HT2-F26

14 Bewertung Offline C/R Gerät!! Keine Software oder Hardware Installation auf dem Benutzer PC nötig!! Mit Smartcard kombinierbar!! Kann nicht über eine elektronische Schnittstelle angegriffen oder missbraucht werden!! Bietet dem Benutzer Beweglichkeit!! Benutzerinteraktion notwendig und somit stabil gegen automatisierte Attacken!! Durch eine Man-in-the-Middle- Attacke kann der Challenge/ Response Austausch abgefangen werden.!! Es braucht Benutzerintervention, kann somit nicht von Software genutzt werden!! Kann nur für Benutzerauthentisierung gebraucht werden!! Bietet keine Single Sign On Funktionalität Ö. Tutkun, HT2-F27 Bewertung Hard Token (1)!! Hohe physische Sicherheit!! Elektronische Schnittstelle!Ermöglicht den bedienerlosen Gebrauch, ohne menschliche Intervention!! Möglichkeiten für Single Sign On!Software kann das frei geschaltete Token transparent für den Benutzer einsetzen!! Elektronische Schnittstelle kann angegriffen werden!! Nach der Freischaltung des Hard Token kann die elektronische Schnittstelle von Malicious Code missbraucht werden!z.b. um sich an einer Anwendung anzumelden!! Benötigt Hardware und Software auf dem Benutzter PC!! Mobilität ist eingeschränkt auf Systeme, die mit einem Leser für das Hard Token ausgestattet sind.!! Das Hard Token muss personalisiert und entsprechend verwaltet werden Ö. Tutkun, HT2-F28

15 Bewertung Hard Token (2)!! Kann mit weiteren Funktionen kombiniert werden!verschlüsselung, Unterschrift!Physische Zutrittskontrolle (Badge)!Zahlungsverkehr!! Es ist keine weitere BenutzerID nötig!identifikationselement (Zertifikat) und Authentisierungselement (private key) bilden zusammen eine Einheit!! Verwaltung von dynamischen Daten, die auf dem Hard Token gespeichert sind, ist aufwendig Ö. Tutkun, HT2-F29 Bewertung Soft Token (1)!! Benötigt keine zusätzliche HW und ist deshalb günstig!! Ermöglicht Roaming, wenn auf einem Server gespeichert!! Kann neu formatiert werden, um die Bedürfnisse spezifischer Anwendungen zu erfüllen!! Möglichkeit für Single Sign On!Software kann das frei geschaltete Token transparent für den Benutzer einsetzen!! Kann von einem Angreifer kopiert werden!! Kann vom Benutzer kopiert werden!die Verteilung des Soft Token kann nicht kontrolliert werden!! Ist nicht geschützt gegen Brute- Force Angriffe via Software auf die PIN Ö. Tutkun, HT2-F30

16 Bewertung Soft Token (2)!! Bietet zusätzliche PKI basierte Funktionalität!Verschlüsselung, Unterschrift!! Es ist keine weitere BenutzerID nötig!identifikationselement (Zertifikat) und Authentisierungselement (private key) bilden zusammen eine Einheit!! Nach der Freischaltung des Token, d.h. nach Entschlüsselung mittels des notwendigen Passworts, ist der geheime Schlüssel (Private Key) im Klartext im Speicher des PC abgelegt Ö. Tutkun, HT2-F31 Benutzerverwaltung!! Beschreibung! Die Benutzerverwaltung umfasst die Funktionen für die Verwaltung von Benutzereinträgen in den von Systemen (Applikationen, Plattformen, Infrastrukturen) verwendeten Verzeichnissen! Dies beinhaltet insbesondere das Erzeugen, Mutieren und Löschen von Einträgen mit Identifikatoren (insb. UserID), Credentials (wie Passwörter und Schlüssel), Stammdaten (wie Namen und Adressen) und Strukturdaten (wie OE und Kostenstellen)! Abgegrenzt ist die Verwaltung von Rollen&Rechten (# siehe Autorisierung )!! Definitionen! Benutzerverzeichnis # Datenspeicher, der die Identifikatoren aller Entitäten (evtl. mit damit verknüpften Attributen) enthält, die sich mit dem IT System, zu dem das Verzeichnis gehört, in Beziehung setzen Ö. Tutkun, HT2-F32

17 Lösungsansätze für die Systemanbindung!! Stand alone! Das Benutzerverzeichnis des Systems wird als Insel betrieben und lokal administriert!! Pull! Das Benutzerverzeichnis des Systems bezieht benutzerbezogene Daten aus 1-n Umsystemen!! Push & Synchronise! Das Benutzerverzeichnis des Systems wird von einem Quellsystem gespiesen Integrationsgrad!! Zentrales Benutzerverzeichnis! Das System verwendet ein Umsystem als Benutzerverzeichnis Ö. Tutkun, HT2-F33 Lösungsansatz Stand alone Das Benutzerverzeichnis des Systems wird als Insel betrieben und lokal administriert Hoheit System System Administration Ö. Tutkun, HT2-F34

18 Lösungsansatz Pull Das Benutzerverzeichnis des Systems bezieht benutzerbezogene Daten aus 1 bis n Umsystemen Quelle 1 Quelle n Hoheit Quelle 1 Hoheit Quelle n z.b. LDIF System Import z.b. LDAP Hoheit System Ö. Tutkun, HT2-F35 Lösungsansatz Push & Synchronise Das Benutzerverzeichnis des Systems wird von einem Quellsystem gespiesen Hoheit Quelle Quelle Z System Agent API Hoheit System Plattform System Ö. Tutkun, HT2-F36

19 Zentrales Benutzerverzeichnis Das System verwendet ein Umsystem als Benutzerverzeichnis Hoheit Quelle Quelle n System Hoheit System Ö. Tutkun, HT2-F37 Bewertung Stand alone!! Keine Anpassungen an System und Prozessen erforderlich!! Keine Abhängigkeiten!! Klare Verantwortlichkeit!! Administration und Datenhaltung sind x-fach redundant!! Ineffiziente und inkonsistente Daten!! Keine zentrale Kontrollmöglichkeit Ö. Tutkun, HT2-F38

20 Bewertung Pull!! Verbesserung von Effizienz und Konsistenz durch Zentralisierung von Administrationsprozessen!! Keine Anpassungen am System erforderlich!! Unendlich viele Anbindungsvarianten (Batch-Filetransfer, Java Messaging, LDAP, )!! LDAP als gut etablierter Standard!! Recht klare Verantwortlichkeiten!! Zusätzliche Daten können dezentral hinzugefügt werden!! Keine zentrale Kontrollmöglichkeit!! Gefahr des Wildwuchses, wenn n viel grösser als 1 wird Ö. Tutkun, HT2-F39 Bewertung Push & Synchronise!! Verbesserung von Effizienz und Konsistenz durch Zentralisierung von Administrationsprozessen!! Keine Anpassungen am System erforderlich!! Zentrale Kontrolle incl. Soll/Ist- Abgleichsmöglichkeit!! Zusätzliche Daten können dezentral hinzugefügt werden!! Aufwendige Implementierung von Konnektoren (basierend auf Agenten und/oder Remote-APIs)!! Proprietäre Lösungen, kaum Standards!! Heikle Verantwortlichkeitsregelung (z.b. Change Mgmt. und Testing, Incident & Problem Mgmt.) Ö. Tutkun, HT2-F40

21 Bewertung Zentrales Benutzerverzeichnis!! Verbesserung von Effizienz und Konsistenz durch Zentralisierung von Administrationsprozessen!! Keine redundante Datenhaltung; garantierte Datenkonsistenz!! Keine Synchronisationsprozesse notwendig!! Ausgereifte, performante und skalierbare Produkte verfügbar!! Vollständiges Directory-Enabling von Applikationen ist aufwendig! Heute nur innerhalb homogener Umgebungen (AD-Domänen, Novell, NIS) standardmässig unterstützt!! Aufwendige Implementierung! Definition des Directory Information Tree! Schema-Definitionen Ö. Tutkun, HT2-F41 Übung 2 PKI 1/2 PKI Infrastruktur MS CA RA Directory Basisdienste DNS NTP Zertifikat MSCAPI Crypto- Funktionen PKI-Client PKI-Anwendung Ö. Tutkun, HT2-F42

22 Übung 2 PKI 2/2!! Diskutieren Sie anhand der PKI-Übersicht den Lebenszyklus der digitalen Identitäten -! Unterscheiden Sie zwischen Initialisierungs- (Integrate) und Runtimeprozessen(Operate). -! Was ist das Identifikationselement? -! Was ist das Authentifikationselement? -! Wo befinden sich diese? -! Braucht man ein Directory? Warum? -! Wie funktioniert eine SSO-Lösung mit PKI? Ö. Tutkun, HT2-F43 Inhaltsübersicht IdM HT2 Identifikation & Authentisierung 0 1 Singel Sign On 2 Federation 3 Übung Ö. Tutkun, HT2-F44

23 Authentisierungsarten Direkte Authentifizierung Authentifizierungsdelegation Benutzer Single Sign-On Authentifizierung Login Login Login Login Login Login Appl./ IT-System Appl./ IT-System Appl./ IT-System Appl./ IT-System delegieren Appl./ IT-System Authentifizierungs- Broker (z.b. Kerberos, SSO-Plattform) Vertraulicher Kommunikationskanal Sicherer und autorisierter Kommunikationskanal Authentifizierungs- Broker (z.b. Radius) impersonifizieren Appl./ IT-System Appl./ IT-System propagieren Appl./ IT-System Credential Store Single Sign-On Domäne Ö. Tutkun, HT2-F45 SSO-Varianten Quelle: Ö. Tutkun, HT2-F46

24 SSO Technologien!! Traditionelles Single Sign-On (lokal) -! Clientbasiert -! Serverbasiert!! Password Synchronization!! Authentifikation-Plattformen (Ticket)!! Portal Ö. Tutkun, HT2-F47 SSO Technologien Traditionelles SSO!! Kein völlig neues Konzept -! Kerberos -! RADIUS!! Einmalige Authentisierung, Mehrfachanwendung!! Login Credentials (Identifikations- und Authentifikationselemente) oft lokal gespeichert!! Transparent bei Applikationszugriff!! Single (Domäne) oder Multiple (heterogen) Credentials!! Implementationen: -! Skript basiert -! Cookies -! APIs und DLLs Ö. Tutkun, HT2-F48

25 Traditionelles SSO Für und Gegen!! Für -! Einfache Benutzung -! Reduziert Supportaufwand -! Reduziert Login-Zyklen!! Gegen -! Integration mit Legacy-Systemen Zeit- und Resourcen-aufwendig -! Single Point of Attack -! Skripting Lösungen führen dazu, dass Credentials oft bem Client abgelegt sind Ö. Tutkun, HT2-F49 SSO Technologien Password Synchronization!! Passwortverwaltung über alle Plattformen und Systeme!! Benutzer muss sich nur ein Passwort merken!! Bei Passwortänderung werden Passwörter auf allen Systemen angepasst(synchronisiert)!! Implementation -! Verteilt: Agenten steuern die Synchronisation auf Applikationen und Systemen -! Zentralisiert: Alle Authentisierungsanfragen laufen über einen zentralen Server Ö. Tutkun, HT2-F50

26 Password Synchronization: Für und Gegen!! Für -! Benutzer muss nur ein Passwort kennen -! Einfach zu implementieren -! Help Desk kann alle Passwörter von einer Konsole aus resetten!! Gegen -! Anzahl von Logons bleibt gleich wie vorher -! Unterstützt nur Passwortauthentisierung -! Sicherheitsrisiko (Passwort) Ö. Tutkun, HT2-F51 SSO Technologies Authentisierungsplattform!! Bietet eine zentrale Verwaltungsmöglichkeit von unterschiedlichen Authentisierungsmethoden!! Benutzer authentisieren sich gegenüber einem Gateway mit einer Authentisierungsmethode -! Smartcards, PKI, Biometrics etc.!! Unterstützt mehrschichtige Authentisierungspolicies!! Funktioniert durch Abstraktion der Authentisierungsschicht auf einem Gateway!! Alle Benutzer loggen sich auf diesem Gateway ein!! Gateway definiert die Anforderungen an Trustlevel / Authentisierungsmethode Ö. Tutkun, HT2-F52

27 Authentisierungsplattform Für und Gegen!! Für -! Vereinfacht die Integration durch die Abbildung der Authentisierungsfunktion auf dem Gateway -! Mehrere Authentisierungsmethoden können unterstützt werden -! Vereinfacht die Umsetzung von Complianceanforderungen!! Gegen -! Reduziert nicht die Anzahl von Logins -! Single Point of Attack / Failure o! Denial of Service Ö. Tutkun, HT2-F53 SSO Technologien Portal-Logon!! Zugriff auf mehrere Sites durch einmaliges Login!! Login auf Portal zu Anfang der Benutzersession!! Alle folgenden Logins werden transparent behandelt.!! Credentials werden im Cache abgelegt entweder -! Lokal via Cookies -! Und/Oder auf dem Server durch Zustandsvektoren!! Automatischer Zugriff bei Bedarf Ö. Tutkun, HT2-F54

28 Portal-Logon Für und Gegen!! Für -! Einfache Benutzung -! Standard Webtechnologie!! Gegen -! Web Only -! Trust wird externalisiert -! Eingeschränkte Kontrollmöglichkeit (Passport!) Ö. Tutkun, HT2-F55 Federation Übersicht!! Unternehmen brauchen Anwendungen und Dienste, um Identität und Berechtigung über autonome Domänen auszutauschen.!! Traditionelle IAM Technologien (Directory Dienste, delegierte Administration, etc.) skalieren nicht über Domänengrenzen.!! Identity Federation liefert eine sichere Vorgehensweise für IAM mit geringen technischen Abhängigkeiten.!! Identity Federation ist eine auf Standards basierende Methode. Dadurch können mehrere unabhängige Domänen mit eigenen Authentifizierungen zusammen arbeiten. Ö. Tutkun, HT2-F56

29 Identity Management Federation Kernkomponenten -! Agreements / SLAs, -! Standards, -! Technologien, die digitale Identitäten und allfällige Attribute zwischen autonomen Domänen portabel machen (Transitives Trust) Extranets Internal Systems & Data The Internet Inerne MA Partner oder xsp Weniger bekannt unbekannt Ö. Tutkun, HT2-F57 Federation Szenario Ö. Tutkun, HT2-F58

30 Federation Terminologie!! Identity Provider!! Source Domain!! Portal Site!! Asserting Party!! Service Provider!! Destination Domain!! Affiliate Site!! Relying Party!! Resource Provider Ö. Tutkun, HT2-F59 Federation Anwendungsfälle und Nutzen Nutzen Benutzer Datenschutz und Komfort Effizienz bei der Verwaltung Komfort für Domänen Eigentümer Sicherheit und Compliance Beschreibung Einfacher Zugang zu Anwendungen in verschiedenen Domänen mit Single Sign On (SSO). Es ist nicht notwendig, persönliche Daten zwischen Domänen zu transferieren. Anwendungen können die Benutzerverwaltung einem einzigen Identity Provider überlassen. (Benutzer Selfservice) Der Domänenverwalter muss sich nicht um Verbindungen mit anderen Domänen kümmern (kein Globales Directory, Domänen bleiben so wie erwünscht) Sichere und auditierbare Kommunikation. Trust wird erreicht durch die Businessverantwortlichen. Vorteil für out-of-box und Standardlösungen gegenüber proprietären Lösungen. Ö. Tutkun, HT2-F60

31 Federation Standards!! SAML!! WS-Federation!! Liberty Alliance ID-FF Näheres siehe HT Ö. Tutkun, HT2-F61 Q & A Diskussion?! Sorular?? Questions??! Fragen?! Questions???! Domande?! Preguntas?! Perguntas?!!"#$"%?! Ö. Tutkun, HT2-F62

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Single Sign-On, Password Management, Biometrie Single Sign-On: Anmeldung an mehreren

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH

Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH Was ist starke Authentisierung? Wissen Besitz Biometrische Merkmale Starke Authentisierung beschreibt die

Mehr

Kobil Roundtable 2013. Identity Federation. Konzepte und Einsatz

Kobil Roundtable 2013. Identity Federation. Konzepte und Einsatz Kobil Roundtable 2013 Identity Federation Konzepte und Einsatz Basel, 23. Oktober 2013 3 AD domain controller AD domain controller csi-domäne File server Exchange server Basel, 23. Oktober 2013 4 cnlab-domäne

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Single Sign-On Step 1

Single Sign-On Step 1 Single Sign-On Step 1 Novell Tour 2006 Stefan Stiehl Senior Technology Specialist sstiehl@novell.com Holger Dopp Senior Consultant hdopp@novell.com Was ist Single Sign-On? Eine Befugnisverwaltungstechnologie,

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration Single Sign-On Einführung und Überblick Dipl-Inf. Rolf Negri Copyright Trivadis AG 1 Agenda Einleitung Technologie und Funktionalität Installation und Konfiguration Ausblick Single Sign-On Copyright Trivadis

Mehr

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick Dr. Joachim Gerber INFORA-Kompetenzteam Informationssicherheit & Id-Management München, 14.06.2010 Agenda 1. Identität Begriff

Mehr

Das Plus an Unternehmenssicherheit

Das Plus an Unternehmenssicherheit Out-of-The-Box Client Security Das Plus an Unternehmenssicherheit ic Compas TrustedDesk Logon+ Rundum geschützt mit sicheren Lösungen für PC-Zugang, Dateiverschlüsselung, Datenkommunikation und Single

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung KOBIL Meine kleine, aber feine Verwaltung KOBIL ist ein Managementsystem zum Verwalten digitaler Identitäten mit Einmalpasswörtern und Zertifikatstechnologie. wurde speziell für Standard-Microsoft-Umgebungen

Mehr

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Ergebnisse der TeleTrusT-AG "SOA" SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Arbeitsergebnisse des SOA Security AKs Anfang 2009 - Themenfindung für das Dokument Mitte 2009 Vorgehenskonzept

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Dezentrales Identity Management für Web- und Desktop-Anwendungen Dezentrales Identity Management für Web- und Desktop-Anwendungen Sebastian Rieger, Thorsten Hindermann srieger1@gwdg.de, thinder@gwdg.de Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen,

Mehr

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Datenspuren, 13.09.14, Dresden Cornelius Kölbel cornelius@privacyidea.org Identität - Wikipedia Bergriffsklärung Wikipedia:

Mehr

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g rmation bi-cube Identity Server T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE LÖSUNG ZU EINER GESICHERTEN AUTHENTIFIKATION...3 2 BI-CUBE IDENTITY SERVER IN EINEM IPM

Mehr

SIGS Security Interest Group Switzerland Trends in Mobile Authentication

SIGS Security Interest Group Switzerland Trends in Mobile Authentication SIGS Security Interest Group Switzerland Trends in Mobile Authentication Christian Birchler, cnlab security AG Esther Hänggi, cnlab security AG 4. November 2014, Basel E-Banking-Authentisierungsmethoden

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier Di 8.3 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier In-depth support and

Mehr

Certificate of Advanced Studies in Security & Privacy

Certificate of Advanced Studies in Security & Privacy Certificate of Advanced Studies in Security & Privacy Modul: Identity Management, Access Management & Biometrie HT5, 23. Juni 2010, Ömer Tutkun Ö. Tutkun, HT6-F1 Inhaltsübersicht IdM HT5-IdM I Gruppenarbeit

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

Smartcard-Authentifizierung mit Oracle-Forms

Smartcard-Authentifizierung mit Oracle-Forms Smartcard-Authentifizierung mit Oracle-Forms Teil 1: Theoretisches zur 2-Faktor Authentifizierung Das Smartcard-Projekt der Nordrheinischen Ärzteversorgung Irisstrasse 45 11. November 2004 1 Inhalt Kurzvorführung

Mehr

Jan Mönnich dfnpca@dfn-cert.de

Jan Mönnich dfnpca@dfn-cert.de Crypto-Token in der Praxis Jan Mönnich dfnpca@dfn-cert.de Warum Crypto-Token? Auf Crypto-Token werden private Schlüssel nicht extrahierbar gespeichert Crypto-Operationen werden direkt auf dem Gerät durchgeführt

Mehr

Transaktionskosten senken mit dem Wirtschaftsportalverbund

Transaktionskosten senken mit dem Wirtschaftsportalverbund Transaktionskosten senken mit dem Wirtschaftsportalverbund Rainer Hörbe Leiter Arbeitskreis WPV 8. März 2013 1 1 Identifikation + Berechtigung + Sicherheitsmaßnahmen Problemstellung: Vertrauen im Internet?

Mehr

IT-Sicherheit weltweit Praxisbeispiel Single Sign-On

IT-Sicherheit weltweit Praxisbeispiel Single Sign-On IT-Sicherheit weltweit Praxisbeispiel Single Sign-On Sebastian Glandien - Hamburg - 22.09.2014 1 2 Gründe für Single Sign-On Gründe für Single Sign-On Ausgangslage Der Zugriff auf Applikationen bei Hapag-Lloyd

Mehr

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling Identity Management Nutzen Konzepte Standards Dr. Oliver Stiemerling ecambria systems GmbH Hospeltstr. 35a 50825 Köln Tel.: 0221 595527-0 Fax.: 0221 595527-5 os@ecambria-systems.com http://www.ecambria-systems.com

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft. Microsoft Identity & Access Plattform Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.com Herausforderung Identity & Access Management Wie und wo verwalte

Mehr

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen Thomas Lenggenhager thomas.lenggenhager@switch.ch Bern, 11. Juni 2010 Übersicht Die Shibboleth basierte SWITCHaai

Mehr

Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013

Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013 Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013 Thomas Kessler / thomas.kessler@temet.ch / 079 508 25 43 / www.temet.ch Inhalt Angaben zum Referenten

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

benötigen eine sichere Technologieumgebung

benötigen eine sichere Technologieumgebung Innovative Bankenprodukte benötigen eine sichere Technologieumgebung - Folie 1-26.09.2010 11:42 Herausforderung Online-Bedrohung für E-Banking nimmt zu Sicherheit des bestehenden Verfahrens muss erhöht

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Identity and Access Management for Complex Research Data Workflows

Identity and Access Management for Complex Research Data Workflows Identity and Access Management for Complex Research Data Workflows Richard Zahoransky, Saher Semaan, Klaus Rechert richard.zahoransky@rz.uni-freiburg.de, semaan@uni-freiburg.de, klaus.rechert@rz.uni-freiburg.de

Mehr

Office 365 - Authentisierung in der Cloud

Office 365 - Authentisierung in der Cloud Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 - Authentisierung in der Cloud 6. Oktober 2011 Seite 1 Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 Agenda 09:00-10:15 Overview Office

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices

Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices 28.08.2013 Agenda Warum Bürgerkonto Niedersachsen? Übersichtliches Portal Bausteine der Lösung und Kommunikationsprozess Derzeit in Planung Bürgerkonto

Mehr

Single Sign-On mit Tivoli Access Manager for enterprise Single Sign-On

Single Sign-On mit Tivoli Access Manager for enterprise Single Sign-On Single Sign-On mit Tivoli Access Manager for enterprise Single Sign-On Walter Karl IT Specialist Das IBM Security Framework GRC GOVERNANCE, RISK MANAGEMENT & COMPLIANCE Ein grundlegendes Konzept für Security

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative!

Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative! Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative! - X.509 Sicherheit für alle mobilen Geräte - Die PKI/MDM Integrationsproblematik - Ist Ihre Infrastruktur kompatibel? Juni 2013 Nicolas

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management Ga-Lam Chang, Peak Solution GmbH, Geschäftsführung und Organisator der IAM Area Ausgangssituation Business

Mehr

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke.

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke. Fachhochschule Köln, Campus Gummersbach Fachbereich Informatik Studiengang Allgemeine Informatik Kolloquium Analyse und Vergleich von Identity Management-Technologien und Implementierung eines Resource

Mehr

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP Office 365 Einsatzszenarien aus der Praxis Martina Grom, Office 365 MVP Über mich Office 365 Überblick Services aus der Microsoft cloud Deployment Überblick Geht es sich an einem Wochenende aus? Migrationsentscheidungen

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

Portal for ArcGIS - Eine Einführung

Portal for ArcGIS - Eine Einführung 2013 Europe, Middle East, and Africa User Conference October 23-25 Munich, Germany Portal for ArcGIS - Eine Einführung Dr. Gerd van de Sand Dr. Markus Hoffmann Einsatz Portal for ArcGIS Agenda ArcGIS Plattform

Mehr

Verzeichnisdienst: Firmenkonzepte. Universität Duisburg-Essen

Verzeichnisdienst: Firmenkonzepte. Universität Duisburg-Essen Verzeichnisdienst: Firmenkonzepte Universität Duisburg-Essen Übersicht 1. Problem 2. Produktvorstellungen von Sun, IBM und Siemens 3. Anforderungspapier 4. Konzepte von IBM und Sun für die Universität

Mehr

Secure Identity Management (SIM) bei Raiffeisen. Gerald Färber Raiffeisen Informatik, IT Architektur 12. Oktober 2005 / a.

Secure Identity Management (SIM) bei Raiffeisen. Gerald Färber Raiffeisen Informatik, IT Architektur 12. Oktober 2005 / a. Secure Identity Management (SIM) bei Raiffeisen Gerald Färber Raiffeisen Informatik, IT Architektur 12. Oktober 2005 / a.trust Info Day 2 Raiffeisen Informatik 2. größter IT-Services Anbieter Österreichs*

Mehr

Sichere Datenhaltung in verteilten Systemen

Sichere Datenhaltung in verteilten Systemen Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes,

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

Möglichkeiten und Grenzen der modernen Schutzmechanismen

Möglichkeiten und Grenzen der modernen Schutzmechanismen Neue Bedrohungen im Internet-Banking Möglichkeiten und Grenzen der modernen Schutzmechanismen 27.3.2009 1 Cnlab AG Cnlab AG Organisation - Gegründet 1997-10 Ingenieure - Sitz Rapperswil / SG - Im Besitz

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

Seminar "Smarte Objekte und smarte Umgebungen" Identity Management

Seminar Smarte Objekte und smarte Umgebungen Identity Management Seminar "Smarte Objekte und smarte Umgebungen" Identity Management Teil1: Einführung und die ideale Sicht Systeme aus der Forschung (Bettina Polasek) Teil2: Die angewandte Sicht - Industrielle Systeme

Mehr

Generalversammlung ech 13. März 2009, Luzern

Generalversammlung ech 13. März 2009, Luzern Generalversammlung ech 13. März 2009, Luzern ech-fachgruppe IAM (Identity und Access Management) Co-Fachgruppenleiter: Hans Häni AFI Kanton Thurgau Identity und Access Management Basisbausteine für Anwendungen

Mehr

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004 Identity Management Puzzle mit vielen Teilen Identity Management Forum München 10. Februar 2004 Beratung Lösungen Coaching Pro Serv Wartung Definition Identi tät [lat.; Idem; der-/dasselbe] die; das Existieren

Mehr

Active Directory unter Linux

Active Directory unter Linux CeBIT 2015 Active Directory unter Linux Prof- Dr.-Ing. Kai-Oliver Detken DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen http://www.decoit.de detken@decoit.de DECOIT GmbH Kurzvorstellung der DECOIT GmbH

Mehr

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis Cnlab / CSI 2013 Social Business endlich produktiv! Demo Identity Federation in der Praxis Zürich, 11. September 2013 Identity Federation in der Praxis - SSO mittels Kerberos (AD-Integriert) - Federation

Mehr

PINsafe - starke Multi-Faktor-Authentifizierung ohne Token

PINsafe - starke Multi-Faktor-Authentifizierung ohne Token PINsafe - starke Multi-Faktor-Authentifizierung ohne Token PINsafe - was ist das? PINsafe ist ein Authentifizierungssystem, das ohne weitere Hardware (z.b. Token) beim Anwender den sicheren Zugriff auf

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...

Mehr

Sicherheit im gesamten Unternehmen von Web to Host

Sicherheit im gesamten Unternehmen von Web to Host Sicherheit im gesamten Unternehmen von Web to Host GDD-Erfa-Kreis Bayern München, 25.06.99 Referent: Alfred Doll (Business Development Manager, NorCom) Problemstellung: Web to Host Situation Früher: Host

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden Markus Hertlein hertlein@internet-sicherheit.de Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen

Mehr

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de Die Dienste der DFN-AAI Ulrich Kähler, DFN-Verein kaehler@dfn.de Was ist DFN-AAI? AAI Authentifizierung Autorisierung Infrastruktur Seite 2 Was ist DFN-AAI? DFN-AAI ist ein regulärer Dienst des DFN-Vereins.

Mehr

Social Login mit Facebook, Google und Co.

Social Login mit Facebook, Google und Co. IAM EXCELLENCE OAuth 2.0 und OpenID Connect Social Login mit Facebook, Google und Co. Stefan Bohm www.ic-consult.com Geschützte Ressourcen = Userattribute + Steuerung des Logins + Information über Login

Mehr

Easy Single Sign-On - Leif Hager, Sales Mgr EMEA HMK DKEY Europe GmbH 2009

Easy Single Sign-On - Leif Hager, Sales Mgr EMEA HMK DKEY Europe GmbH 2009 Easy Single Sign-On - Lösung der Passwortproblematik Leif Hager, Sales Mgr EMEA HMK DKEY Europe GmbH 2009 Viele Passwörter? Das Problem aller Unternehmen Die steigende Verlässlichkeit auf e-business erfordert

Mehr

Single Sign-On / Identity Management

Single Sign-On / Identity Management Ein Überblick Michael Jäger 15. Juni 2010 1 / 55 Inhalt 1 Begriffe Web Single Sign-On Identität und Web-SSO SSO Szenarien Föderative Identitätsverwaltung SSO und SOA 2 Identitätsverwaltungssysteme Überblick

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

PINsafe Multi-Faktor-Authentifizierung Integration

PINsafe Multi-Faktor-Authentifizierung Integration PINsafe Multi-Faktor-Authentifizierung Integration PINsafe bietet mit integrierter Radius Server Technologie einfache Anbindungen zu gängigen VPN und Remote Access Lösungen, zum Beispiel: Array Networks

Mehr

Integration von Zertifikaten in Benutzerverwaltungssysteme

Integration von Zertifikaten in Benutzerverwaltungssysteme Integration von Zertifikaten in Benutzerverwaltungssysteme FernUniversität in Hagen Universitätsrechenzentrum Certification Authority (CA) Universitätsstr. 21 58084 Hagen 1 Inhalt Zertifikate Was können

Mehr

Rollen und Berechtigungskonzepte

Rollen und Berechtigungskonzepte Alexander Tsolkas Klaus Schmidt Rollen und Berechtigungskonzepte Ansätze für das Identity- und Access Management im Unternehmen Mit 121 Abbildungen PRAXIS VIEWEG+ TEUBNER Vorwort VII 1 Elemente zur Berechtigungssteuerung......

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr

Nevis Sichere Web-Interaktion

Nevis Sichere Web-Interaktion Nevis Sichere Web-Interaktion Enterprise Security: Wachsende Gefahren und Anforderungen Moderne Unternehmen sehen sich immer neuen Gefahren durch Online- und In-House-Angriffe ausgesetzt. Gleichzeitig

Mehr

Warum und wie Daten verschlüsselt werden am Beispiel von Max P.

Warum und wie Daten verschlüsselt werden am Beispiel von Max P. Warum und wie Daten verschlüsselt werden am Beispiel von Max P. Jens Albrecht Dipl. El.-Ing. FH CEO insinova ag jens.albrecht@insinova.ch 7:30 Termin auf PDA checken Max P. macht sich auf zu einem Kundentermin.

Mehr

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat IT-Symposium 2006 2E04 Synchronisation Active Directory und AD/AM Heino Ruddat Agenda Active Directory AD/AM Möglichkeiten der Synchronisation Identity Integration Feature Pack Microsoft Identity Integration

Mehr

Corporate Metadirectorysystem im DLR. Produktionssicht

Corporate Metadirectorysystem im DLR. Produktionssicht Corporate Metadirectorysystem im DLR Produktionssicht 1 Ergebnisse Datenstrukturen Funktionen Benutzerschnittstellen Informations- Sicht Produktions- Sicht Systemschnittstellen Provisioning Synchronisation

Mehr

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Partner Roundtable 28.Juni 2007 Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Thema des Tages was hat das mit uns hier heute zu tun? Oracle s Zusage The The

Mehr

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen.

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen. Mobile Security: Sicherer Applikationszugriff für eine mobile Welt Oracle Mobile and Social Access Management Heike Jürgensen Security Sales Citizen Services Mobile Banking Online Healthcare Business Transformation

Mehr

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen Herzlichen Dank! Projektleitung S.A.F.E.: Meinhard Wöhrmann (meinhard.woehrmann@olg-duesseldorf.nrw.de)

Mehr

Identity Management und 2FA mit (Free)IPA

Identity Management und 2FA mit (Free)IPA Identity Management und 2FA mit (Free)IPA @Chemitzer Linuxtage 2015 Senior Linux Consultant 1 Agenda Wieso eigenlich IdM einsetzen? Authentifizierung und Autorisierung Lokales Usermanagement Zentrales

Mehr

Chipkartensysteme II

Chipkartensysteme II Chipkartensysteme II Aladdin USB etoken von Florian Schenk und René Marx 1 Gliederung? etoken - die Vorteile? Sicherheit und Benutzerakzeptanz? Merkmale des etoken? Übersicht etoken USB Pro? Vorteile etoken

Mehr

Passfaces - eine zusätzliche Möglichkeit zur Authentisierung in Windows-Netzwerken, Internet und Intranet

Passfaces - eine zusätzliche Möglichkeit zur Authentisierung in Windows-Netzwerken, Internet und Intranet Mit Energie in die Zukunft Passfaces - eine zusätzliche Möglichkeit zur Authentisierung in Windows-Netzwerken, Internet und Intranet (Kurzvortrag anlässlich Veranstaltung des Zeitsprung IT Forum Fulda

Mehr

Single Sign-on im SAP environment. SAGA Arbeitsgruppe SAP Basis Linz, 30.11.2009 Günther Berger

Single Sign-on im SAP environment. SAGA Arbeitsgruppe SAP Basis Linz, 30.11.2009 Günther Berger Single Sign-on im SAP environment SAGA Arbeitsgruppe SAP Basis Linz, 30.11.2009 Günther Berger Verfügbare SSO Verianten Secure Network Connection Kommunikation SAPGUI Applikationsserver Logon Tickets Weiterleitung

Mehr

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria Identity Management in der Praxis Roman Brandl Sun Microsystems, Austria Agenda Was (alles) ist IdM? Sun Identity Management Portfolio Fallbeispiele / Denkanstöße Q&A Identity Grid Audit Dienste Richtlinien

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

Sebastian Rieger sebastian.rieger@gwdg.de

Sebastian Rieger sebastian.rieger@gwdg.de Integration bestehender IP-basierter Autorisierung und Abrechnung in Shibboleth-basierte basierte Föderationen Sebastian Rieger sebastian.rieger@gwdg.de de Gesellschaft für wissenschaftliche Datenverarbeitung

Mehr