Certificate of Advanced Studies in Security & Privacy

Größe: px
Ab Seite anzeigen:

Download "Certificate of Advanced Studies in Security & Privacy"

Transkript

1 Berner Fachhochschule Software-Schule Schweiz Certificate of Advanced Studies in Security & Privacy Modul: Identity Management, Access Management & Biometrie HT2, 26. Mai 2010, Ömer Tutkun Gruppenarbeiten Gruppe Thema Datum Zeit!!Mattiello!!Spring!!Nacht!!Styczynski!!Brügger!!Brändle "! ID Management im WEB mit OpenID "! WIF (Windows Identity Foundation) :00 13: :00 13: :00 13:15!!Mangold :00 13:15!!Frey!!Jaun!!Cappellozza!!Burger :00 13: :00 13:15 Ö. Tutkun, HT2-F2

2 Inhaltsübersicht IdM HT2 Identifikation & Authentisierung 0 Zusammenfassung 1. HT 1 Trust 2 Identifikation & Authentisierung 3 Benutzerverwaltung 4 Übung Ö. Tutkun, HT2-F3 Zusammenfassung IAM HT1 1/3 Problemstellung & Lösungsansatz Reale Identität Digitale Identität Resourcen Id-01/pwd1 Id-02/pwd1 Id-03/pwd2 Id-04/pwd3 Id-0n/pwd4 U&CM U&CM U&CM U&CM U&CM Service 1 Service 2 Service 3 Service 4 Service n Herr Stiller IdM Service 1 Service 2 IdM-id /pwd U&CM Service 3 Service 4 Service n Ö. Tutkun, HT2-F4

3 Zusammenfassung IAM HT1 2/3 Lebenszyklus & Begleitprozesse INTEGRATE Technische Prozesse AKTIVIERUNG GENERATE ERZEUGEN EINSATZ OPERATE REVOKATION Geschäftsprozesse UPDATE Ö. Tutkun, HT2-F5 Zusammenfassung IAM HT1 3/3 Identity & Access Management IAM: Technologien, die zwischen Subjekten & Objekten sowie Objektgruppen ein definiertes Trust -Verhältnis ermöglichen Identity and Access Management Benutzer Typ1 Authentisierung System1 Benutzer Typ2 Directory System2 Benutzer Typ3 Autorisierung System3 Ö. Tutkun, HT2-F6

4 Trust!! Übergeordnetes Vertrauensverhältnis!! Kann weitergereicht werden Trust Trust Trust Ö. Tutkun, HT2-F7 Was ist Trust? Facetten von Trust Facette Beschreibung Identifizierung Authentisierung (Authentifizierung) Authorisation Integrität Wer bist du? Wie stelle ich fest, dass du der bist, für den du dich gibst? Bist du befugt, diese Transaktion auszuführen? Sind die gesendeten Daten gleich den Empfangenen? Vertraulichkeit Auditing Nicht- Bestreitbarkeit Sind wir sicher, dass sonst niemand die Daten liest? Sind Einträge vorhanden, um den Geschäftsfall nachzuvollziehen? Kannst du beweisen, dass der Sender und der Empfänger den selben Transaktionskontext hatten? Ö. Tutkun, HT2-F8

5 Trust & Security Kontext Aspekt Die Etablierung Inhalt Propagation Erläuterung "! Erfolgreiche Authentisierung erzeugt digitale Identität auf System (Principal) "! SK gilt für alle folgenden aktiven Prozesse (Threads) und Namensräume "! SK kann lokal, domänebezogen, netzbezogen oder global sein "! SK muss vor Veränderungen durch den Benutzer oder System(e) geschützt werden "! Der SK besteht während der Usersession "! Eindeutige Identität des Benutzers auf Systemregisterebene "! Rollen und Grruppeninformation eines Benutzers "! Weitergabe der Identitätsparameter/Attribute in der Kommunikationskette durch Impersonation Delegation oder SSO Ö. Tutkun, HT2-F9 Authentisierung!! Beschreibung -! Die Benutzerauthentisierung stellt zur Runtime die zweifelsfreie Authentifizierung der Systembenutzer sicher -! Dies beinhaltet insbesondere die Entgegennahme eines Identifikationselements sowie dessen Verifikation anhand eines Authentisierungselements!! Definitionen -! Identifikationselement # Identifikator des Benutzers -! Authentisierungselement # Element, welches die Identität des Benutzers bestätigt -! Authentisierung # Überprüfung der Korrektheit der entgegengenommenen Identität auf Basis des Authentisierungselements (Verifikation über W,H,S) Credentials -! Assurance/Trust # Qualität der Identifizierung und Authentisierung; Grad des Vertrauens in die Korrektheit der festgestellten Identität Ö. Tutkun, HT2-F10

6 Authentisierung registriert Benutzerverwaltung Security Context Benutzer Benutzer- Verzeichnis gibt Identifikationsmittel liefert Benutzeridentität (Logon-ID) Authentifizierungsprotokoll Identifizieren/ Authentifizierung Credential Store Propagation SSO Delegation Impersonation Appl/IT-System!Appl/IT-System!Appl/IT-System Legende: Laufzeit (runtime) Setup & Maintain Security Log Ö. Tutkun, HT2-F11 Digitale Identität & Trust Keine Authentifizierung Nicht Trusted Extrahieren einer registrierten Benutzeridentität aus dem Legitimationsmittel (z.b. Logon-ID, IP-Adresse, Kartentyp, MAC-Adresse etc.) Schwache Authentifizierung Mittlere Authentifizierung Starke Authentifizierung Digitale Identität Identifikation einer registrierten Benutzeridentität und Authentifikation nach Wissen (z.b. Logon-ID und Passwort) Identifikation einer registrierten Benutzeridentität und Authentifikation nach Wissen und kopierbarem Besitz (z.b. Logon-ID, Passwort mit One-time-Passwort "Streichliste" oder Softtoken) Authentifikation nach Wissen und Besitz/Sein (z.b. Smartcard oder HSM mit PIN und krypt. Schlüssel oder One-time-Passwort übermittelt mit mtan oder Vasco-Token) Trusted Ö. Tutkun, HT2-F12

7 Authentisierung Credentials & Wirkungsgrade!!Schwache Benutzerauthentisierung # Assurance Level: LOW -! Basierend auf zwei Elementen o! Identifikationselement: Ein registrierter Identifikator o! Authentisierungselement: Geheimes Wissen; Etwas, das der Benutzer weiss!!mittlere Benutzerauthentisierung # Assurance Level: MEDIUM -! Basierend auf drei Elementen o! Identifikationselement: Ein registrierter Identifikator o! 1. Authentisierungselement: Geheimes Wissen; Etwas, das der Benutzer weiss o! 2. Authentisierungselement: Daten, die der Benutzer besitzt; z.b. Software Token!!Starke Benutzerauthentisierung # Assurance Level: HIGH -! Basierend auf drei Elementen o! Identifikationselement: Ein registrierter Identifikator o! 1. Authentisierungselement: Geheimes Wissen; Etwas, das der Benutzer weiss o! 2. Authentisierungselement: Ein physisches Objekt, das der Benutzer besitzt, z.b. Hardware Token: Ö. Tutkun, HT2-F13 Authentisierung Trust (Assurance) Levels PKI/Digital Signature Multi-Faktor Token Schadensausmass PIN/User ID Strong Password NIEDRIG Zugriff auf Webseiten Knowledge-Based MITTEL Online Handel HOCH E-Government SEHR HOCH Hochsicherheitsanwendungen Bedürfnis nach Trust Ö. Tutkun, HT2-F14

8 Authentisierung Identifikationselemente * Das Identifikationselement ist bei einem Zertifikat implizit enthalten. In diesem Falle findet eine Authentisierung gegen das Zertifikat statt. Erst dann wird die ID durch geheimes Wissen frei gegeben. Ö. Tutkun, HT2-F15 Authentisierung Authentisierungselemente (Credentials)!! Statische Authentisierungselemente -! Statisches Passwort -! Geräte PIN -! Biometrie!! Einmalige Authentisierungselemente -! Offline Einmal-Passwort Generator -! Streichliste -! Rasterkarte -! Zwei-Kanal Verfahren -! Offline C/R Gerät!! PKI basierte Authentisierungselemente -! Hard Token -! Soft Token Ö. Tutkun, HT2-F16

9 Authentisierung Statische Authentisierungselemente Ö. Tutkun, HT2-F17 Authentisierung Einmalige Authentisierungselemente Ö. Tutkun, HT2-F18

10 Authentisierung PKI basierte Authentisierungselemente Ö. Tutkun, HT2-F19 Bewertung Statisches Passwort!! Breites Nutzungsspektrum!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Authentisierung direkt in die Applikation integrierbar!! Authentisierungslogik zentral oder dezentral!! Das Authentisierungselement basiert nur auf Wissen!! Missbrauchsgefahr gross!! Kann geknackt werden Ö. Tutkun, HT2-F20

11 Bewertung Geräte PIN!! Schützen Geräte bei Verlust o.ä. vor Missbrauch!! dezentrale Authentisierungslogik!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Kann gestohlen werden!! Anwendung schränkt PIN-Stärke ein Ö. Tutkun, HT2-F21 Bewertung Biometrie!! Eindeutig einer Person zuordenbar!! Kein zusätzliches Token nötig!das Authentisierungselement ist immer vorhanden!! Kann nicht verändert werden!! Für starke Authentisierung gegenüber entfernten Systemen nicht geeignet!mitgeschnittene Übertragungen der biometrischen Merkmale können wieder verwendet werden!! Einfache Leser sind leicht zu manipulieren!nur teuere, mit mehreren Sensoren ausgestatte Leser für biometrische Merkmale sind ausreichend sicher!! Biometrische Daten müssen als öffentlich betrachtet werden (insbesondere Fingerabdrücke) Ö. Tutkun, HT2-F22

12 Bewertung Offline einmal-passwort Generator!! Kann als 2. Authentisierungselement eingesetzt werden!! Der Besitz des Generators als weitere Sicherheit (Haben)!! Kann in der Anwendung auch als Runtime-Authorisierung eingesetzt werden.!! Eindeutige Zuordnung zur Anwendung!! Verteilung an die Benutzer kostenintensiv!! Schränkt die Benutzung ein (Mobilität) Ö. Tutkun, HT2-F23 Bewertung Streichliste!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Zusätzliche Sicherheit durch geringe Kosten!! Basiert auf Wissen und ist somit kopierbar!! Einsatz von Kopie kann vom Benutzer nicht erkannt werden Ö. Tutkun, HT2-F24

13 Bewertung Rasterkarte!! Keine zusätzliche Infrastruktur notwendig (hohe Mobilität)!! Zusätzliche Sicherheit durch geringe Kosten!! Basiert auf Wissen und ist somit kopierbar!! Einsatz von Kopie kann vom Benutzer nicht erkannt werden Ö. Tutkun, HT2-F25 Bewertung Zwei-Kanal Verfahren!! Geringere Kosten!Kein zusätzliches Hardware Token nötig!! Benutzerfreundlich!Der Benutzer kann ein Gerät verwenden, das er schon kennt (z.b. Mobiltelefon, PDA)!! Verfügbarkeit!Zwei-Weg-Verfahren Empfänger sind weit verbreitet!! Flexibilität!Kann mit verschiedenen Einweg- PW Systemen kombiniert werden!! Empfänger ist kein Sicherheitsgerät!Empfänger (z.b. Mobiltelefon) kann anderen Personen gegeben werden!die PIN kann allenfalls nicht immer geheim gehalten werden!! Der zweite Weg kann unsicher sein!das Authentisierungselement kann beim Transport über den zweiten Weg in der Regel leichter kompromittiert werden (keine Authentisierung)!! Benötigt meist zusätzlichen Registrierungsaufwand!Für den zweiten Weg müssen zusätzliche Daten (z.b. Telefonnummer) erfasst und verifiziert werden Ö. Tutkun, HT2-F26

14 Bewertung Offline C/R Gerät!! Keine Software oder Hardware Installation auf dem Benutzer PC nötig!! Mit Smartcard kombinierbar!! Kann nicht über eine elektronische Schnittstelle angegriffen oder missbraucht werden!! Bietet dem Benutzer Beweglichkeit!! Benutzerinteraktion notwendig und somit stabil gegen automatisierte Attacken!! Durch eine Man-in-the-Middle- Attacke kann der Challenge/ Response Austausch abgefangen werden.!! Es braucht Benutzerintervention, kann somit nicht von Software genutzt werden!! Kann nur für Benutzerauthentisierung gebraucht werden!! Bietet keine Single Sign On Funktionalität Ö. Tutkun, HT2-F27 Bewertung Hard Token (1)!! Hohe physische Sicherheit!! Elektronische Schnittstelle!Ermöglicht den bedienerlosen Gebrauch, ohne menschliche Intervention!! Möglichkeiten für Single Sign On!Software kann das frei geschaltete Token transparent für den Benutzer einsetzen!! Elektronische Schnittstelle kann angegriffen werden!! Nach der Freischaltung des Hard Token kann die elektronische Schnittstelle von Malicious Code missbraucht werden!z.b. um sich an einer Anwendung anzumelden!! Benötigt Hardware und Software auf dem Benutzter PC!! Mobilität ist eingeschränkt auf Systeme, die mit einem Leser für das Hard Token ausgestattet sind.!! Das Hard Token muss personalisiert und entsprechend verwaltet werden Ö. Tutkun, HT2-F28

15 Bewertung Hard Token (2)!! Kann mit weiteren Funktionen kombiniert werden!verschlüsselung, Unterschrift!Physische Zutrittskontrolle (Badge)!Zahlungsverkehr!! Es ist keine weitere BenutzerID nötig!identifikationselement (Zertifikat) und Authentisierungselement (private key) bilden zusammen eine Einheit!! Verwaltung von dynamischen Daten, die auf dem Hard Token gespeichert sind, ist aufwendig Ö. Tutkun, HT2-F29 Bewertung Soft Token (1)!! Benötigt keine zusätzliche HW und ist deshalb günstig!! Ermöglicht Roaming, wenn auf einem Server gespeichert!! Kann neu formatiert werden, um die Bedürfnisse spezifischer Anwendungen zu erfüllen!! Möglichkeit für Single Sign On!Software kann das frei geschaltete Token transparent für den Benutzer einsetzen!! Kann von einem Angreifer kopiert werden!! Kann vom Benutzer kopiert werden!die Verteilung des Soft Token kann nicht kontrolliert werden!! Ist nicht geschützt gegen Brute- Force Angriffe via Software auf die PIN Ö. Tutkun, HT2-F30

16 Bewertung Soft Token (2)!! Bietet zusätzliche PKI basierte Funktionalität!Verschlüsselung, Unterschrift!! Es ist keine weitere BenutzerID nötig!identifikationselement (Zertifikat) und Authentisierungselement (private key) bilden zusammen eine Einheit!! Nach der Freischaltung des Token, d.h. nach Entschlüsselung mittels des notwendigen Passworts, ist der geheime Schlüssel (Private Key) im Klartext im Speicher des PC abgelegt Ö. Tutkun, HT2-F31 Benutzerverwaltung!! Beschreibung! Die Benutzerverwaltung umfasst die Funktionen für die Verwaltung von Benutzereinträgen in den von Systemen (Applikationen, Plattformen, Infrastrukturen) verwendeten Verzeichnissen! Dies beinhaltet insbesondere das Erzeugen, Mutieren und Löschen von Einträgen mit Identifikatoren (insb. UserID), Credentials (wie Passwörter und Schlüssel), Stammdaten (wie Namen und Adressen) und Strukturdaten (wie OE und Kostenstellen)! Abgegrenzt ist die Verwaltung von Rollen&Rechten (# siehe Autorisierung )!! Definitionen! Benutzerverzeichnis # Datenspeicher, der die Identifikatoren aller Entitäten (evtl. mit damit verknüpften Attributen) enthält, die sich mit dem IT System, zu dem das Verzeichnis gehört, in Beziehung setzen Ö. Tutkun, HT2-F32

17 Lösungsansätze für die Systemanbindung!! Stand alone! Das Benutzerverzeichnis des Systems wird als Insel betrieben und lokal administriert!! Pull! Das Benutzerverzeichnis des Systems bezieht benutzerbezogene Daten aus 1-n Umsystemen!! Push & Synchronise! Das Benutzerverzeichnis des Systems wird von einem Quellsystem gespiesen Integrationsgrad!! Zentrales Benutzerverzeichnis! Das System verwendet ein Umsystem als Benutzerverzeichnis Ö. Tutkun, HT2-F33 Lösungsansatz Stand alone Das Benutzerverzeichnis des Systems wird als Insel betrieben und lokal administriert Hoheit System System Administration Ö. Tutkun, HT2-F34

18 Lösungsansatz Pull Das Benutzerverzeichnis des Systems bezieht benutzerbezogene Daten aus 1 bis n Umsystemen Quelle 1 Quelle n Hoheit Quelle 1 Hoheit Quelle n z.b. LDIF System Import z.b. LDAP Hoheit System Ö. Tutkun, HT2-F35 Lösungsansatz Push & Synchronise Das Benutzerverzeichnis des Systems wird von einem Quellsystem gespiesen Hoheit Quelle Quelle Z System Agent API Hoheit System Plattform System Ö. Tutkun, HT2-F36

19 Zentrales Benutzerverzeichnis Das System verwendet ein Umsystem als Benutzerverzeichnis Hoheit Quelle Quelle n System Hoheit System Ö. Tutkun, HT2-F37 Bewertung Stand alone!! Keine Anpassungen an System und Prozessen erforderlich!! Keine Abhängigkeiten!! Klare Verantwortlichkeit!! Administration und Datenhaltung sind x-fach redundant!! Ineffiziente und inkonsistente Daten!! Keine zentrale Kontrollmöglichkeit Ö. Tutkun, HT2-F38

20 Bewertung Pull!! Verbesserung von Effizienz und Konsistenz durch Zentralisierung von Administrationsprozessen!! Keine Anpassungen am System erforderlich!! Unendlich viele Anbindungsvarianten (Batch-Filetransfer, Java Messaging, LDAP, )!! LDAP als gut etablierter Standard!! Recht klare Verantwortlichkeiten!! Zusätzliche Daten können dezentral hinzugefügt werden!! Keine zentrale Kontrollmöglichkeit!! Gefahr des Wildwuchses, wenn n viel grösser als 1 wird Ö. Tutkun, HT2-F39 Bewertung Push & Synchronise!! Verbesserung von Effizienz und Konsistenz durch Zentralisierung von Administrationsprozessen!! Keine Anpassungen am System erforderlich!! Zentrale Kontrolle incl. Soll/Ist- Abgleichsmöglichkeit!! Zusätzliche Daten können dezentral hinzugefügt werden!! Aufwendige Implementierung von Konnektoren (basierend auf Agenten und/oder Remote-APIs)!! Proprietäre Lösungen, kaum Standards!! Heikle Verantwortlichkeitsregelung (z.b. Change Mgmt. und Testing, Incident & Problem Mgmt.) Ö. Tutkun, HT2-F40

21 Bewertung Zentrales Benutzerverzeichnis!! Verbesserung von Effizienz und Konsistenz durch Zentralisierung von Administrationsprozessen!! Keine redundante Datenhaltung; garantierte Datenkonsistenz!! Keine Synchronisationsprozesse notwendig!! Ausgereifte, performante und skalierbare Produkte verfügbar!! Vollständiges Directory-Enabling von Applikationen ist aufwendig! Heute nur innerhalb homogener Umgebungen (AD-Domänen, Novell, NIS) standardmässig unterstützt!! Aufwendige Implementierung! Definition des Directory Information Tree! Schema-Definitionen Ö. Tutkun, HT2-F41 Übung 2 PKI 1/2 PKI Infrastruktur MS CA RA Directory Basisdienste DNS NTP Zertifikat MSCAPI Crypto- Funktionen PKI-Client PKI-Anwendung Ö. Tutkun, HT2-F42

22 Übung 2 PKI 2/2!! Diskutieren Sie anhand der PKI-Übersicht den Lebenszyklus der digitalen Identitäten -! Unterscheiden Sie zwischen Initialisierungs- (Integrate) und Runtimeprozessen(Operate). -! Was ist das Identifikationselement? -! Was ist das Authentifikationselement? -! Wo befinden sich diese? -! Braucht man ein Directory? Warum? -! Wie funktioniert eine SSO-Lösung mit PKI? Ö. Tutkun, HT2-F43 Inhaltsübersicht IdM HT2 Identifikation & Authentisierung 0 1 Singel Sign On 2 Federation 3 Übung Ö. Tutkun, HT2-F44

23 Authentisierungsarten Direkte Authentifizierung Authentifizierungsdelegation Benutzer Single Sign-On Authentifizierung Login Login Login Login Login Login Appl./ IT-System Appl./ IT-System Appl./ IT-System Appl./ IT-System delegieren Appl./ IT-System Authentifizierungs- Broker (z.b. Kerberos, SSO-Plattform) Vertraulicher Kommunikationskanal Sicherer und autorisierter Kommunikationskanal Authentifizierungs- Broker (z.b. Radius) impersonifizieren Appl./ IT-System Appl./ IT-System propagieren Appl./ IT-System Credential Store Single Sign-On Domäne Ö. Tutkun, HT2-F45 SSO-Varianten Quelle: Ö. Tutkun, HT2-F46

24 SSO Technologien!! Traditionelles Single Sign-On (lokal) -! Clientbasiert -! Serverbasiert!! Password Synchronization!! Authentifikation-Plattformen (Ticket)!! Portal Ö. Tutkun, HT2-F47 SSO Technologien Traditionelles SSO!! Kein völlig neues Konzept -! Kerberos -! RADIUS!! Einmalige Authentisierung, Mehrfachanwendung!! Login Credentials (Identifikations- und Authentifikationselemente) oft lokal gespeichert!! Transparent bei Applikationszugriff!! Single (Domäne) oder Multiple (heterogen) Credentials!! Implementationen: -! Skript basiert -! Cookies -! APIs und DLLs Ö. Tutkun, HT2-F48

25 Traditionelles SSO Für und Gegen!! Für -! Einfache Benutzung -! Reduziert Supportaufwand -! Reduziert Login-Zyklen!! Gegen -! Integration mit Legacy-Systemen Zeit- und Resourcen-aufwendig -! Single Point of Attack -! Skripting Lösungen führen dazu, dass Credentials oft bem Client abgelegt sind Ö. Tutkun, HT2-F49 SSO Technologien Password Synchronization!! Passwortverwaltung über alle Plattformen und Systeme!! Benutzer muss sich nur ein Passwort merken!! Bei Passwortänderung werden Passwörter auf allen Systemen angepasst(synchronisiert)!! Implementation -! Verteilt: Agenten steuern die Synchronisation auf Applikationen und Systemen -! Zentralisiert: Alle Authentisierungsanfragen laufen über einen zentralen Server Ö. Tutkun, HT2-F50

26 Password Synchronization: Für und Gegen!! Für -! Benutzer muss nur ein Passwort kennen -! Einfach zu implementieren -! Help Desk kann alle Passwörter von einer Konsole aus resetten!! Gegen -! Anzahl von Logons bleibt gleich wie vorher -! Unterstützt nur Passwortauthentisierung -! Sicherheitsrisiko (Passwort) Ö. Tutkun, HT2-F51 SSO Technologies Authentisierungsplattform!! Bietet eine zentrale Verwaltungsmöglichkeit von unterschiedlichen Authentisierungsmethoden!! Benutzer authentisieren sich gegenüber einem Gateway mit einer Authentisierungsmethode -! Smartcards, PKI, Biometrics etc.!! Unterstützt mehrschichtige Authentisierungspolicies!! Funktioniert durch Abstraktion der Authentisierungsschicht auf einem Gateway!! Alle Benutzer loggen sich auf diesem Gateway ein!! Gateway definiert die Anforderungen an Trustlevel / Authentisierungsmethode Ö. Tutkun, HT2-F52

27 Authentisierungsplattform Für und Gegen!! Für -! Vereinfacht die Integration durch die Abbildung der Authentisierungsfunktion auf dem Gateway -! Mehrere Authentisierungsmethoden können unterstützt werden -! Vereinfacht die Umsetzung von Complianceanforderungen!! Gegen -! Reduziert nicht die Anzahl von Logins -! Single Point of Attack / Failure o! Denial of Service Ö. Tutkun, HT2-F53 SSO Technologien Portal-Logon!! Zugriff auf mehrere Sites durch einmaliges Login!! Login auf Portal zu Anfang der Benutzersession!! Alle folgenden Logins werden transparent behandelt.!! Credentials werden im Cache abgelegt entweder -! Lokal via Cookies -! Und/Oder auf dem Server durch Zustandsvektoren!! Automatischer Zugriff bei Bedarf Ö. Tutkun, HT2-F54

28 Portal-Logon Für und Gegen!! Für -! Einfache Benutzung -! Standard Webtechnologie!! Gegen -! Web Only -! Trust wird externalisiert -! Eingeschränkte Kontrollmöglichkeit (Passport!) Ö. Tutkun, HT2-F55 Federation Übersicht!! Unternehmen brauchen Anwendungen und Dienste, um Identität und Berechtigung über autonome Domänen auszutauschen.!! Traditionelle IAM Technologien (Directory Dienste, delegierte Administration, etc.) skalieren nicht über Domänengrenzen.!! Identity Federation liefert eine sichere Vorgehensweise für IAM mit geringen technischen Abhängigkeiten.!! Identity Federation ist eine auf Standards basierende Methode. Dadurch können mehrere unabhängige Domänen mit eigenen Authentifizierungen zusammen arbeiten. Ö. Tutkun, HT2-F56

29 Identity Management Federation Kernkomponenten -! Agreements / SLAs, -! Standards, -! Technologien, die digitale Identitäten und allfällige Attribute zwischen autonomen Domänen portabel machen (Transitives Trust) Extranets Internal Systems & Data The Internet Inerne MA Partner oder xsp Weniger bekannt unbekannt Ö. Tutkun, HT2-F57 Federation Szenario Ö. Tutkun, HT2-F58

30 Federation Terminologie!! Identity Provider!! Source Domain!! Portal Site!! Asserting Party!! Service Provider!! Destination Domain!! Affiliate Site!! Relying Party!! Resource Provider Ö. Tutkun, HT2-F59 Federation Anwendungsfälle und Nutzen Nutzen Benutzer Datenschutz und Komfort Effizienz bei der Verwaltung Komfort für Domänen Eigentümer Sicherheit und Compliance Beschreibung Einfacher Zugang zu Anwendungen in verschiedenen Domänen mit Single Sign On (SSO). Es ist nicht notwendig, persönliche Daten zwischen Domänen zu transferieren. Anwendungen können die Benutzerverwaltung einem einzigen Identity Provider überlassen. (Benutzer Selfservice) Der Domänenverwalter muss sich nicht um Verbindungen mit anderen Domänen kümmern (kein Globales Directory, Domänen bleiben so wie erwünscht) Sichere und auditierbare Kommunikation. Trust wird erreicht durch die Businessverantwortlichen. Vorteil für out-of-box und Standardlösungen gegenüber proprietären Lösungen. Ö. Tutkun, HT2-F60

31 Federation Standards!! SAML!! WS-Federation!! Liberty Alliance ID-FF Näheres siehe HT Ö. Tutkun, HT2-F61 Q & A Diskussion?! Sorular?? Questions??! Fragen?! Questions???! Domande?! Preguntas?! Perguntas?!!"#$"%?! Ö. Tutkun, HT2-F62

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

!"#$"%&'()*$+()',!-+.'/',

!#$%&'()*$+()',!-+.'/', Soziotechnische Informationssysteme 7. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3, Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung!

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

OpenID und der neue, elektronische Personalausweis

OpenID und der neue, elektronische Personalausweis OpenID und der neue, elektronische Personalausweis Über sichere Identitäten im Internet CeBIT 2010, Hannover Linux Media AG Open Source Forum 05.03.2010 Sebastian Feld feld @ internet-sicherheit. de Institut

Mehr

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Single Sign-On, Password Management, Biometrie Single Sign-On: Anmeldung an mehreren

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication Christian Birchler, cnlab security AG Esther Hänggi, cnlab security AG 13. November 2014, Zurich Agenda - Kurzvorstellung cnlab

Mehr

Single Sign-On Step 1

Single Sign-On Step 1 Single Sign-On Step 1 Novell Tour 2006 Stefan Stiehl Senior Technology Specialist sstiehl@novell.com Holger Dopp Senior Consultant hdopp@novell.com Was ist Single Sign-On? Eine Befugnisverwaltungstechnologie,

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Thomas Kessler 2-Faktor Authentisierung gestern, heute und morgen Fachvortrag an der security-zone 2012

Thomas Kessler 2-Faktor Authentisierung gestern, heute und morgen Fachvortrag an der security-zone 2012 Thomas Kessler 2-Faktor Authentisierung gestern, heute und morgen Fachvortrag an der security-zone 2012 Thomas Kessler / thomas.kessler@temet.ch / 079 508 25 43 / www.temet.ch Inhalt Angaben zum Referenten

Mehr

Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH

Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH Was ist starke Authentisierung? Wissen Besitz Biometrische Merkmale Starke Authentisierung beschreibt die

Mehr

Kobil Roundtable 2013. Identity Federation. Konzepte und Einsatz

Kobil Roundtable 2013. Identity Federation. Konzepte und Einsatz Kobil Roundtable 2013 Identity Federation Konzepte und Einsatz Basel, 23. Oktober 2013 3 AD domain controller AD domain controller csi-domäne File server Exchange server Basel, 23. Oktober 2013 4 cnlab-domäne

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

SIGS Security Interest Group Switzerland Trends in Mobile Authentication

SIGS Security Interest Group Switzerland Trends in Mobile Authentication SIGS Security Interest Group Switzerland Trends in Mobile Authentication Christian Birchler, cnlab security AG Esther Hänggi, cnlab security AG 4. November 2014, Basel E-Banking-Authentisierungsmethoden

Mehr

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier Di 8.3 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier In-depth support and

Mehr

Das Plus an Unternehmenssicherheit

Das Plus an Unternehmenssicherheit Out-of-The-Box Client Security Das Plus an Unternehmenssicherheit ic Compas TrustedDesk Logon+ Rundum geschützt mit sicheren Lösungen für PC-Zugang, Dateiverschlüsselung, Datenkommunikation und Single

Mehr

Identity & Access Management

Identity & Access Management Identity Access Management Ein entscheidender Beitrag zum Unternehmenserfolg Udo Fink, CISSP HP Services Consulting Integration udo.fink@hp.com 2004 Hewlett-Packard Development Company, L.P. The information

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

Authentication Token gesucht- Nutzen Sie doch Ihr Handy. T-TeleSec OneTimePass Überblick / Version 4.0 12.03.2009 1

Authentication Token gesucht- Nutzen Sie doch Ihr Handy. T-TeleSec OneTimePass Überblick / Version 4.0 12.03.2009 1 Authentication Token gesucht- Nutzen Sie doch Ihr Handy T-TeleSec OneTimePass Überblick / Version 4.0 12.03.2009 1 T-TeleSec OneTimePass Darf ich mich vorstellen T-TeleSec OneTimePass Inhalt. 1. Die Ausgangslage.

Mehr

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration Single Sign-On Einführung und Überblick Dipl-Inf. Rolf Negri Copyright Trivadis AG 1 Agenda Einleitung Technologie und Funktionalität Installation und Konfiguration Ausblick Single Sign-On Copyright Trivadis

Mehr

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger Identitätskonzepte OpenID, WebID und OAuth Hauptseminar Web Engineering Vortrag Robert Unger WS 12/13 07.12.2012 Inhalt Einführung OpenID WebID OAuth Fazit Quellen TU-Chemnitz - Hauptseminar Web Engineering

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Ergebnisse der TeleTrusT-AG "SOA" SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Arbeitsergebnisse des SOA Security AKs Anfang 2009 - Themenfindung für das Dokument Mitte 2009 Vorgehenskonzept

Mehr

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick Dr. Joachim Gerber INFORA-Kompetenzteam Informationssicherheit & Id-Management München, 14.06.2010 Agenda 1. Identität Begriff

Mehr

Fraud Prevention Komplexe Bedrohungen erfordern flexible Sicherheitslösungen

Fraud Prevention Komplexe Bedrohungen erfordern flexible Sicherheitslösungen Fraud Prevention Komplexe Bedrohungen erfordern flexible Sicherheitslösungen Dirk Losse, CISSP 18. Oktober 2012 Identity Assurance (formerly ActivIdentity) Über uns Weltmarktführer im Bereich Türsysteme

Mehr

Identity Management mit OpenID

Identity Management mit OpenID Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Identity Management mit OpenID Innovative Internet Technologien und Mobilkommunikation WS2008/2009 Verfasser:

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Dezentrales Identity Management für Web- und Desktop-Anwendungen Dezentrales Identity Management für Web- und Desktop-Anwendungen Sebastian Rieger, Thorsten Hindermann srieger1@gwdg.de, thinder@gwdg.de Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen,

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Datenspuren, 13.09.14, Dresden Cornelius Kölbel cornelius@privacyidea.org Identität - Wikipedia Bergriffsklärung Wikipedia:

Mehr

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen Thomas Lenggenhager thomas.lenggenhager@switch.ch Bern, 11. Juni 2010 Übersicht Die Shibboleth basierte SWITCHaai

Mehr

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen Private Cloud Synchronisation Online-Zusammenarbeit Backup / Versionierung Web Zugriff Mobiler Zugriff LDAP / Active Directory Federated

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Produktinformation. bi-cube Identity Server. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g rmation bi-cube Identity Server T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE LÖSUNG ZU EINER GESICHERTEN AUTHENTIFIKATION...3 2 BI-CUBE IDENTITY SERVER IN EINEM IPM

Mehr

Sichere Datenhaltung in verteilten Systemen

Sichere Datenhaltung in verteilten Systemen Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes,

Mehr

Signatur-Initiative Rheinland-Pfalz

Signatur-Initiative Rheinland-Pfalz Signatur-Initiative Rheinland-Pfalz Das Unternehmen Gründung des Unternehmens 1986 Zentrale in Worms 60 Mitarbeiter 35% der KOBIL Mitarbeiter für Forschung & Entwicklung tätig Enge Kooperation mit Wissenschaftlern

Mehr

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein Mozilla Persona an identity system for the web Hauptseminar Web Engineering Vortrag 10.12.2012 Nico Enderlein 1 PASSWORT??? BENUTZERNAME??? 2 Idee IDEE Protokoll & Implementierung Voost ( Kalender für

Mehr

Cloud Control, Single Sign On in Active Directory Umfeld

Cloud Control, Single Sign On in Active Directory Umfeld Cloud Control, Single Sign On in Active Directory Umfeld Abdi Mohammadi ORACLE Deutschland B.V. & Co. KG Hamburg Schlüsselworte Cloud Control, SSO, SPNEGO,, Enterprise User Security, Web SSO, Oracle Access

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

Jan Mönnich dfnpca@dfn-cert.de

Jan Mönnich dfnpca@dfn-cert.de Crypto-Token in der Praxis Jan Mönnich dfnpca@dfn-cert.de Warum Crypto-Token? Auf Crypto-Token werden private Schlüssel nicht extrahierbar gespeichert Crypto-Operationen werden direkt auf dem Gerät durchgeführt

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung KOBIL Meine kleine, aber feine Verwaltung KOBIL ist ein Managementsystem zum Verwalten digitaler Identitäten mit Einmalpasswörtern und Zertifikatstechnologie. wurde speziell für Standard-Microsoft-Umgebungen

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de Die Dienste der DFN-AAI Ulrich Kähler, DFN-Verein kaehler@dfn.de Was ist DFN-AAI? AAI Authentifizierung Autorisierung Infrastruktur Seite 2 Was ist DFN-AAI? DFN-AAI ist ein regulärer Dienst des DFN-Vereins.

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

Sichere E-Mail für Rechtsanwälte & Notare

Sichere E-Mail für Rechtsanwälte & Notare Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie

Mehr

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis Cnlab / CSI 2013 Social Business endlich produktiv! Demo Identity Federation in der Praxis Zürich, 11. September 2013 Identity Federation in der Praxis - SSO mittels Kerberos (AD-Integriert) - Federation

Mehr

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP Office 365 Einsatzszenarien aus der Praxis Martina Grom, Office 365 MVP Über mich Office 365 Überblick Services aus der Microsoft cloud Deployment Überblick Geht es sich an einem Wochenende aus? Migrationsentscheidungen

Mehr

Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices

Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices 28.08.2013 Agenda Warum Bürgerkonto Niedersachsen? Übersichtliches Portal Bausteine der Lösung und Kommunikationsprozess Derzeit in Planung Bürgerkonto

Mehr

Transaktionskosten senken mit dem Wirtschaftsportalverbund

Transaktionskosten senken mit dem Wirtschaftsportalverbund Transaktionskosten senken mit dem Wirtschaftsportalverbund Rainer Hörbe Leiter Arbeitskreis WPV 8. März 2013 1 1 Identifikation + Berechtigung + Sicherheitsmaßnahmen Problemstellung: Vertrauen im Internet?

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

benötigen eine sichere Technologieumgebung

benötigen eine sichere Technologieumgebung Innovative Bankenprodukte benötigen eine sichere Technologieumgebung - Folie 1-26.09.2010 11:42 Herausforderung Online-Bedrohung für E-Banking nimmt zu Sicherheit des bestehenden Verfahrens muss erhöht

Mehr

Single Sign-On mit Tivoli Access Manager for enterprise Single Sign-On

Single Sign-On mit Tivoli Access Manager for enterprise Single Sign-On Single Sign-On mit Tivoli Access Manager for enterprise Single Sign-On Walter Karl IT Specialist Das IBM Security Framework GRC GOVERNANCE, RISK MANAGEMENT & COMPLIANCE Ein grundlegendes Konzept für Security

Mehr

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004 Identity Management Puzzle mit vielen Teilen Identity Management Forum München 10. Februar 2004 Beratung Lösungen Coaching Pro Serv Wartung Definition Identi tät [lat.; Idem; der-/dasselbe] die; das Existieren

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Office 365 & Windows Server 2012. Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

Office 365 & Windows Server 2012. Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner Office 365 & Windows Server 2012 Ein Blick über den Tellerrand René M. Rimbach Raphael Köllner AGENDA Hybrid Mehrwerte Hybrid Voraussetzungen Hybrid Deployment Prozess Hybrid Identitätsmanagement Hybrid

Mehr

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.

Microsoft Identity & Access Plattform. Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft. Microsoft Identity & Access Plattform Jörg Schanko Technologieberater Forschung & Lehre Microsoft Deutschland GmbH joergsc@microsoft.com Herausforderung Identity & Access Management Wie und wo verwalte

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat IT-Symposium 2006 2E04 Synchronisation Active Directory und AD/AM Heino Ruddat Agenda Active Directory AD/AM Möglichkeiten der Synchronisation Identity Integration Feature Pack Microsoft Identity Integration

Mehr

Integration von Zertifikaten in Benutzerverwaltungssysteme

Integration von Zertifikaten in Benutzerverwaltungssysteme Integration von Zertifikaten in Benutzerverwaltungssysteme FernUniversität in Hagen Universitätsrechenzentrum Certification Authority (CA) Universitätsstr. 21 58084 Hagen 1 Inhalt Zertifikate Was können

Mehr

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden Markus Hertlein hertlein@internet-sicherheit.de Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Enterprise User Security mit Active Directory

Enterprise User Security mit Active Directory Enterprise User Security mit Active Directory Jürgen Kühn Trivadis GmbH Düsseldorf Schlüsselworte: Enterprise User Security, Active Directory, Directory Integration and Provisioning, Active Directory Passwort

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

IT-Sicherheit weltweit Praxisbeispiel Single Sign-On

IT-Sicherheit weltweit Praxisbeispiel Single Sign-On IT-Sicherheit weltweit Praxisbeispiel Single Sign-On Sebastian Glandien - Hamburg - 22.09.2014 1 2 Gründe für Single Sign-On Gründe für Single Sign-On Ausgangslage Der Zugriff auf Applikationen bei Hapag-Lloyd

Mehr

Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013

Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013 Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013 Thomas Kessler / thomas.kessler@temet.ch / 079 508 25 43 / www.temet.ch Inhalt Angaben zum Referenten

Mehr

Office 365 - Authentisierung in der Cloud

Office 365 - Authentisierung in der Cloud Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 - Authentisierung in der Cloud 6. Oktober 2011 Seite 1 Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 Agenda 09:00-10:15 Overview Office

Mehr

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling Identity Management Nutzen Konzepte Standards Dr. Oliver Stiemerling ecambria systems GmbH Hospeltstr. 35a 50825 Köln Tel.: 0221 595527-0 Fax.: 0221 595527-5 os@ecambria-systems.com http://www.ecambria-systems.com

Mehr

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke.

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke. Fachhochschule Köln, Campus Gummersbach Fachbereich Informatik Studiengang Allgemeine Informatik Kolloquium Analyse und Vergleich von Identity Management-Technologien und Implementierung eines Resource

Mehr

Identity and Access Management for Complex Research Data Workflows

Identity and Access Management for Complex Research Data Workflows Identity and Access Management for Complex Research Data Workflows Richard Zahoransky, Saher Semaan, Klaus Rechert richard.zahoransky@rz.uni-freiburg.de, semaan@uni-freiburg.de, klaus.rechert@rz.uni-freiburg.de

Mehr

Certificate of Advanced Studies in Security & Privacy

Certificate of Advanced Studies in Security & Privacy Certificate of Advanced Studies in Security & Privacy Modul: Identity Management, Access Management & Biometrie HT5, 23. Juni 2010, Ömer Tutkun Ö. Tutkun, HT6-F1 Inhaltsübersicht IdM HT5-IdM I Gruppenarbeit

Mehr

Secure Identity Management (SIM) bei Raiffeisen. Gerald Färber Raiffeisen Informatik, IT Architektur 12. Oktober 2005 / a.

Secure Identity Management (SIM) bei Raiffeisen. Gerald Färber Raiffeisen Informatik, IT Architektur 12. Oktober 2005 / a. Secure Identity Management (SIM) bei Raiffeisen Gerald Färber Raiffeisen Informatik, IT Architektur 12. Oktober 2005 / a.trust Info Day 2 Raiffeisen Informatik 2. größter IT-Services Anbieter Österreichs*

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Swisscom der erste Dienstanbieter für qualifizierte Signaturen in der Schweiz

Swisscom der erste Dienstanbieter für qualifizierte Signaturen in der Schweiz Swisscom der erste Dienstanbieter für qualifizierte Signaturen in der Schweiz Die qualifizierten elektronischen Signatur, Einsatzgebiete im Behördenverkehr Lorenz Neher Dipl. El. Ing. FH, CISSP, CISA Das

Mehr

Smartcard-Authentifizierung mit Oracle-Forms

Smartcard-Authentifizierung mit Oracle-Forms Smartcard-Authentifizierung mit Oracle-Forms Teil 1: Theoretisches zur 2-Faktor Authentifizierung Das Smartcard-Projekt der Nordrheinischen Ärzteversorgung Irisstrasse 45 11. November 2004 1 Inhalt Kurzvorführung

Mehr

SSZ Policy und IAM Strategie BIT

SSZ Policy und IAM Strategie BIT SSZ Policy und IAM Strategie BIT Thierry Perroud Unternehmensarchitekt BIT Agenda Geschäftstreiber SSZ Abgrenzung Access Management / Identity Management IAM Strategien Zugriffsmuster Stand der Arbeiten

Mehr

Single Sign-on im SAP environment. SAGA Arbeitsgruppe SAP Basis Linz, 30.11.2009 Günther Berger

Single Sign-on im SAP environment. SAGA Arbeitsgruppe SAP Basis Linz, 30.11.2009 Günther Berger Single Sign-on im SAP environment SAGA Arbeitsgruppe SAP Basis Linz, 30.11.2009 Günther Berger Verfügbare SSO Verianten Secure Network Connection Kommunikation SAPGUI Applikationsserver Logon Tickets Weiterleitung

Mehr

PINsafe Multi-Faktor-Authentifizierung Integration

PINsafe Multi-Faktor-Authentifizierung Integration PINsafe Multi-Faktor-Authentifizierung Integration PINsafe bietet mit integrierter Radius Server Technologie einfache Anbindungen zu gängigen VPN und Remote Access Lösungen, zum Beispiel: Array Networks

Mehr

Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt

Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt Bedrohungen Herausforderungen Schutzmöglichkeiten für mobiles E-Banking Cnlab AG Engineering-Firma, Sitz Rapperswil (SG) Schwerpunkte

Mehr

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Whitepaper bi-cube SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE SITUATION...3 2 ZIELSTELLUNG...4 3 VORAUSSETZUNG...5 4 ARCHITEKTUR DER LÖSUNG...6 4.1 Biometrische

Mehr

(ikp = i-key-protocol, i=1,2,3)

(ikp = i-key-protocol, i=1,2,3) (ikp = i-key-protocol, i=1,2,3) Lehrveranstaltung E-Business-Kommunikation Fachhochschule Bonn-Rhein-Sieg, Prof. Dr. M. Leischner SS 2004 Quelle: Mihir Bellare, Juan A. Garay, Ralf Hauser, Amir Herzberg,

Mehr

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs

Mehr

PINsafe - starke Multi-Faktor-Authentifizierung ohne Token

PINsafe - starke Multi-Faktor-Authentifizierung ohne Token PINsafe - starke Multi-Faktor-Authentifizierung ohne Token PINsafe - was ist das? PINsafe ist ein Authentifizierungssystem, das ohne weitere Hardware (z.b. Token) beim Anwender den sicheren Zugriff auf

Mehr

Inhalt. TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5. TEIL II Single-Sign-on für Benutzerschnittstellen. Vorwort 13 Einleitung 15

Inhalt. TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5. TEIL II Single-Sign-on für Benutzerschnittstellen. Vorwort 13 Einleitung 15 Vorwort 13 Einleitung 15 TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5 SSO und verwandte Konzepte Chancen und Risiken Terminologie 1.3.1 Security Assertion 1.3.2 Identity Provider 1.3.3 Security Token Service

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen Herzlichen Dank! Projektleitung S.A.F.E.: Meinhard Wöhrmann (meinhard.woehrmann@olg-duesseldorf.nrw.de)

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr