Certificate of Advanced Studies in Security & Privacy

Transkript

1 Certificate of Advanced Studies in Security & Privacy Modul: Identity Management, Access Management & Biometrie HT5, 23. Juni 2010, Ömer Tutkun Ö. Tutkun, HT6-F1 Inhaltsübersicht IdM HT5-IdM I Gruppenarbeit SAML 1 SuisseID 2 Shibboleth 3 IdM-Markt & Projekte 4 IdM-Zusammenfassung / Fazit Ö. Tutkun, HT6-F2 HT5-F2

2 1. SuisseID!! ein Zertifikatsträger mit einem Signaturzertifikat gemäss ZertES (QC);!! mit zusätzlich einem standardisierten Authentisierungszertifikat (IAC);!! mit einer eindeutigen SuisseID-Nummer, sowie;!! dem SuisseID Identity Provider Service (IdP) gemäss der hier vorliegenden Spezifikation. Ö. Tutkun, HT6-F3 HT5-F3 1. SuisseID: Anwendungsszenarien 1.! Ausschliessliche Verwendung der Zertifikate Die SuisseID Zertifikate werden so eingesetzt, wie das heutige Zertifikatsanwendungen bereits tun, z.b. in einem SSO Portal oder zu Signaturzwecken; 2.! Verwendung der Zertifikate unter zusätzlicher Benutzung des SuisseID-Identity Provider Services (IdP) Der SuisseID IdP Service ist eine Dienstleistung der CSPs, mit der die Zertifikatsinhaber weitere identifizierende Daten insbesondere solche, die nicht in den Zertifikaten selber gespeichert sind in vertrauenswürdiger Art und Weise an Dritte (v.a. Anwendungen) herausgeben können. Die Herausgabe erfolgt stets auf Initiative und unter der alleinigen Kontrolle des Zertifikatsinhabers; 3.! Verwendung der Zertifikate unter zusätzlicher Benutzung weiterer, externer Bestätigungs-Anbietern Mit einem ähnlichen Verfahren können Zertifikatsinhaber nicht nur identifizierende Daten über sich herausgeben, sondern auch solche, die Angaben über die Zugehörigkeit zu einer Unternehmung oder über die berufliche Qualifikation enthalten. Diese zusätzlichen Bestätigungen werden von speziellen Anbietern erbracht, die entsprechende Verzeichnisse und Register führen. Auch hier gilt, dass die Herausgabe allein in der Kontrolle des Zertifikatsinhabers liegt. Jeder der drei vorgenannten Verwendungsmöglichkeiten lässt sich sowohl mit dem Authentisierungs Zertifikat als auch mit dem Signatur-Zertifikat durchführen. Ö. Tutkun, HT6-F4 HT5-F4

3 1. SuisseID mit ISP Ö. Tutkun, HT6-F5 HT5-F5 1. SuisseID mit Claim Assertion Service CAI basiert auf: OASIS SAML 2.0 & WS-Trust 1.3 Ö. Tutkun, HT6-F6 HT5-F6

4 1. Claim Assertion Infrastructure Ö. Tutkun, HT6-F7 HT5-F7 1. Core Infrastruktur (K. 5.3)!MUST support SAML 2.0!STS nach WS-Trust Ö. Tutkun, HT6-F8 HT5-F8

5 2. Shibboleth!! SAML 2.0 basierendes Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices!! Komponenten: -! Identity-Provider: befindet sich bei der Heimateinrichtung -! Service-Provider: befindet sich beim Anbieter -! Lokalisierungsdienst oder Discoveryservice (früher WAYF: Where are you from?)!! Gesicherter Zugang zu webbasierten Diensten!! Gewährleistet anonymen Zugang zu Informationen und Ressourcen, wobei der Zutritt beliebigen Gruppen/Personen zugewiesen werden kann (z.b. Universität, Fakultät, Prof. Ziegenbart)!! Single Sign-On!! Freie Wahl des Authentifizierungssystems (erwartet Umgebungsvariable REMOTE_USER)!! Autorisierung erfolgt über Attribute!! Nachrichten werden mit Hilfe von SOAP und SAML-Anfragen/Antworten ausgetauscht!! Open-Source (Apache 2.0 Lizenz)!! Setzt auf bewährte Software und Standards auf und unterstützt die wichtigsten Betriebssysteme 2009 Ö. Tutkun, HT6-F9 HT5-F9 2. Wie funktioniert Shibboleth? Ordnet einen Benutzer seiner Heimateinrichtung zu WAYF Ressourcenverwaltung, Zugangsberechtigung Heimateinrichtung mit Identity-Provider Anbieter mit Service-Provider Authentifizierung Autorisierung Vertragspartner, Operator, rechtliche Belange Föderation 2009 Ö. Tutkun, HT6-F10 HT5-F10

6 2. Wie funktioniert Shibboleth?!! Kommunikation zwischen Service-Provider und Identity-Provider -! HTTP / HTTPS (Port 80, 443, 8443) -! Browser/Post (sichtbar für den Benutzer) -! Browser/Artifact (nicht sichtbar für den Benutzer) -! Umgebungsvariablen -! SAML-Nachrichten -! Metadaten!! SAML-Nachricht: Dient der Übertragung von Anfragen und Antworten HTTP/HTTPS SOAP Nachricht SOAP Kopf SOAP Inhalt SAML Anfrage/Antwort 2009 Ö. Tutkun, HT6-F11 HT5-F11 2. Wie funktioniert Shibboleth?!! SAML-Nachrichten -! Eigenschaften: o! Können digital signiert werden o! Werden in fünf verschiedenen Varianten verwendet: a.! b.! c.! d.! e.!!! Metadaten Bestätigung einer erfolgreichen Authentifizierung Attribute Fehlerrückmeldung Autorisierungsnachricht anhand derer der Service Provider entscheiden kann, ob ein Benutzer auf eine Ressource zugreifen darf oder nicht Zusammengesetzter Typ aus a und b (Browser/Artifact) -! Ermöglichen die Kommunikation zwischen Identity-Provider und Service- Provider -! In den Metadaten sind Identity-Provider und Service-Provider aufgeführt, die an den Austausch von Nachrichten beteiligt sind -! Nur in dem Metadaten aufgeführte Zertifikate werden akzeptiert 2009 Ö. Tutkun, HT6-F12 HT5-F12

7 2. Wie funktioniert Shibboleth?! Metadaten: Aufbau <EntitiesDescriptor> <Extensions> <ds:keyinfo /> </Extensions> <EntityDescriptor> <IDPSSODescriptor /> </EntityDescriptor> <EntityDescriptor> <SPSSODescriptor /> </EntityDescriptor> Rahmen Stamm-Zertifkate Identity Provider und Service Provider </EntitiesDescriptor> 2009 Ö. Tutkun, HT6-F13 HT5-F13 2. Wie funktioniert Shibboleth? (1) Benutzerin (5) (3) (4) WAYF (6) Benutzerin bekannt? (2) nein ja Benutzerin berechtigt? Identity-Provider (7) (8) ja nein (9) gestattet verweigert Zugriff Service-Provider 2009 Ö. Tutkun, HT6-F14 HT5-F14

8 2. Shibboleth Workflow (POST) Ö. Tutkun, HT6-F15 2. Shibboleth und Grid Computing!! Shibboleth ist auch im Bereich Grid Computing ins Zentrum des Interesses gerückt -! GridShib ist eine Implementierung von Shibboleth für die Web Services basierte Open Source Grid-Infrastruktur Globus Toolkit!! Virtuelle Organisationen, wie z.b. internationale Forschungsprojekte, die sich Grid-Ressourcen (CPUs, Storage, Services) teilen, benötigen ein föderiertes Identity Management!! In BMBF-geförderten Grid-Forschungsprojekten wird u.a. an Shibboleth-Integration -! TextGrid (Community Grid für Textwissenschaftler) -! IVOM (VO-Management, XACML mit Permis) Ö. Tutkun, HT6-F16

9 2. Shibboleth AAI SWITCH Demo Simple Demo -! Shows the basic concept and hides all technical details. Try easy demo!! Medium Demo -! Explains how things works technically. Try medium demo!! Expert Demo -! Aimed for the technically minded who want to understand all the details. Try expert demo Ö. Tutkun, HT6-F17 3. IdM-Anbieter Anbieterkategorien!! Consultingpartner!! IT Risiko Management Experten!! Integrationspartner!! Lösungsanbieter Ö. Tutkun, HT6-F18

10 3. IAM-Marktplatz Konsoliduierungsbereiche Access Management Directory Identity Integration Authentication Password Management Access Management Provisioning Meta-directory Appliances Virtual Directory 2009 Ö. Tutkun, HT6-F19 HT5-F19 3. IAM-Marktplatz Unterschiedliche Strategien Vendor Access ProvN Passwd Meta AuthN IBM Novell Sun CA Microsoft Netegrity Oblix RSA Entrust 2009 Ö. Tutkun, HT6-F20 HT5-F20

11 3. Konsolidierung Sun Quelle: Burton Group 2009 Ö. Tutkun, HT6-F21 HT5-F21 3. IAM-Marktplatz Übersicht Vendor Agent Proxy SAML XACML Liberty BEA " " " CA " Entrust " " " " HP (Baltimore) " " IBM " " " Netegrity " " " Novell " " " Open Network " " Oblix " " " RSA " " " Sun " " " " " Quelle: Burton Group 2009 Ö. Tutkun, HT6-F22 HT5-F22

12 3. Der IdM-Berg Eine Teamleistung: Richtige Priorisierung von IdM-Projekten Provisioning Federation Password synch. Strong authentication Password mgmt. Identity admin. Meta-directory / basic provisioning Access management Directory Directory-Team Security-Team Optional 2009 Quelle: Burton Group Ö. Tutkun, HT6-F23 HT5-F23 3. IAM-Technologien (Gartner, 2007) 2009 Ö. Tutkun, HT6-F24 HT5-F24

13 3. Hype Cycle für IAM (Gartner, Juni 2008) 2009 Ö. Tutkun, HT6-F25 HT5-F25 3. Gartners Do s!! Do write small applications!! Do exploit centralized IAM architectures as much as possible for new and legacy Applications!! Do use strong authentication!! Do implement a centralized IAM event log repository!! Do create a cross-unit/cross-geography project with a seniorlevel commitment!! Do engage a systems integrator (SI) for any large-scale project!! Do include audit costs when justifying an IAM investment 2009 Ö. Tutkun, HT6-F26 HT5-F26

14 3. Gartners Don ts!! Don't expect to use a single authoritative source of user information!! Don't aim for a single enterprise directory!! Don't use your enterprise directory as the authoritative repository for user provisioning.!! Don't try to integrate all applications at once!! Don't expect enterprise single sign-on (ESSO) to work for every application.!! Don't aim for 100 percent user-to-role assignment.!! Don't worry about federated identity unless you can obtain immediate, obvious value from it!! Don't consider only tactical solutions to a tactical problem.!! Don't write your own comprehensive IAM system unless your needs are, and will remain, simple Ö. Tutkun, HT6-F27 HT5-F27 4. IdM-Definition Identity Management als Verwaltung benutzerbezogener Daten Identifikation & Authentisierung Geschäftsanwendungen Credentials wie UserID, Passwörter und Zertifikate Authentisierung Stammdaten wie Namen und Adressen, Strukturdaten wie OE und Kostenstelle Autorisierung & Access Control Infrastrukturservices Rechte und Rollen Rechtekontrolle Infrastrukturdaten wie Telefonnummer und Mailadresse Sicherheitsdaten Applikatorische Daten Ö. Tutkun, HT6-F28

15 4. Herausforderungen!! Laufend zunehmende Anzahl Benutzerverzeichnisse -! Applikationen / Dienstleistungen o! Eigenentwickelte Applikationen, eingekaufte Softwarepakete -! ERP-Systeme o! Personalsystem, Buchhaltungssystem, Procurementsystem, -! Auskunftssysteme o! Internes Telefonbuch, Datawarehouse, -! Infrastrukturservices o! , Fileserver, Intranet, -! Plattformen o! Betriebssysteme, Datenbanken, -! Dedizierte Sicherheitssysteme o! SecurID-Server, PKI, Zutrittssysteme, Entry Server,!! Zunehmende Vielfalt benutzerbezogener Daten Ö. Tutkun, HT6-F29 4. IdM Motivation!! Kostenreduktion: -! Möglichkeit der Automatisierung von Administrationsvorgängen -! Reduktion von Betriebs- und Entwicklungskosten bei Eigenentwickelten Applikationen -! Schnellere Such- und Zugriffszeiten durch organisierte Datenhaltung -! Produktivitätssteigerung durch kürzere Wartungsfenster von Identitäten!! Benutzerfreundlichkeit -! Komfort- und Sicherheitsanstieg durch die Reduzierung von Accounts!! Sicherheit (CIA) -! Vermeidung von aktiven (Alt-)Identitäten und die Nutzung einheitlicher (stärkerer) Sicherheitsmassnahmen -! Möglichkeit für die systemübergreifende Überwachung und Logging durch die strukturierten Identitätsdaten (Compliance)!! Neue Anwendungen & Flexible Geschäftsprozesse -! Möglichkeit neuer Anwendungen durch übergreifende digitale Identität -! Applikationsintegration (EAI Webservices, Java) Ö. Tutkun, HT6-F30

16 4. IdM-Umfeld P1 P2 P3 P4 P.. Pn Beispiele für P:! Neueintritt! Austritt! Neues System! Neue Anwendung! Reorganisation! Etc. Ö. Tutkun, HT6-F31 4. IdM-Modell (HR) Workflow Ebene 4: Authentisierung (E4) Verbindungsebene 3 4 (VE 3-4) Ebene 3: Autorisierung (E3) Verbindungsebene 2 3 (VE 2-3) Ebene 2: Ressourcen (E2) Verbindungsebene 1-2 (VE 1-2) Ebene 1: Personendaten/Identitäten (E1) Technischer Ablauf Ö. Tutkun, HT6-F32

17 4. Die digitale Identität eindeutige Identifikation!! Registrierung!! ID, Name, Nummer!! (vertrauenswürdige) Zuordnung zum Objekt Ausstattung:!! Credentials -! unterschiedlich stark -! Password bis qualifizierte digitale Signatur Kontext-Beschreibung:!! rollenunabhängige gemeinsame Attribute aus -! Adressinformationen -! Charakteristische Merkmale. -! Rolle -! Berechtigungen Datensatz Mit diesen Daten arbeitet IdM Ö. Tutkun, HT6-F33 4. Lebenszyklus & Begleitprozesse INTEGRATE Technische Prozesse ( runtime ) AKTIVIERUNG GENERATE ERZEUGEN EINSATZ OPERATE REVOKATION Geschäftsprozesse ( support ) UPDATE Ö. Tutkun, HT6-F34

18 4. Was ist Trust? Facetten von Trust Facette Beschreibung Identifizierung Authentisierung (Authentifizierung) Authorisation Integrität Wer bist du? Wie stelle ich fest, dass du der bist, für den du dich gibst? Bist du befugt, diese Transaktion auszuführen? Sind die gesendeten Daten gleich den Empfangenen? Vertraulichkeit Auditing Nicht- Bestreitbarkeit Sind wir sicher, dass sonst niemand die Daten liest? Sind Einträge vorhanden, um den Geschäftsfall nachzuvollziehen? Kannst du beweisen, dass der Sender und der Empfänger den selben Transaktionskontext hatten? Ö. Tutkun, HT6-F35 4. Ressourcen!! Def. E2: -! Umfasst alle diejenigen Systeme, Ressourcen und Daten, über welche eine Organisation die Kontrolle haben möchte.!! Fragestellung(en) -! Datenklassifizierung -! Zugriffsmechanismen!! Problemstellung(en) -! wachsende Anzahl heterogener Zielsysteme -! Technische Anbindungen an das IdM Ebene 2: Ressourcen (E2) Ebene 1: Personendaten/Identitäten (E1) Ö. Tutkun, HT6-F36

19 4. E3 Autorisierung!! Def. E3: -! Umfasst alle die gesamte Domäne der Berechtigungen und deren Verwaltung.!! Fragestellung(en) -! Modelle zu Gewährleistung von Vertraulichkeit und Integrität auf die zu schützenden Ressourcen -! Reduktion der Komplexität in der Verwaltung der Berechtigungen -! Access Request Management, d.h. Prozesse und Workflows, die notwendig sind, um einem Mitglied alle notwendigen Rechte zu geben Ebene 3: Autorisierung (E3) Ebene 2: Ressourcen (E2) Ebene 1: Personendaten/Identitäten (E1) Ö. Tutkun, HT6-F37 4. E4: Authentisierung!! Beschreibung -! Die Benutzerauthentisierung stellt zur Runtime die zweifelsfreie Authentifizierung der Systembenutzer sicher -! Dies beinhaltet insbesondere die Entgegennahme eines Identifikationselements sowie dessen Verifikation anhand eines Authentisierungselements!! Definitionen -! Identifikationselement # Identifikator des Benutzers -! Authentisierungselement # Element, welches die Identität des Benutzers bestätigt Credentials -! Authentisierung # Überprüfung der Korrektheit der entgegengenommenen Identität auf Basis des Authentisierungselements (Verifikation über W,H,S) -! Assurance/Trust # Qualität der Identifizierung und Authentisierung; Grad des Vertrauens in die Korrektheit der festgestellten Identität Ö. Tutkun, HT6-F38

20 4. E4: Authentisierung Security Context registriert Benutzerverwaltung Benutzer Benutzer- Verzeichnis gibt Identifikationsmittel liefert Benutzeridentität (Logon-ID) Authentifizierungsprotokoll Identifizieren/ Authentifizierung Credential Store Propagation SSO Delegation Impersonation Appl/IT-System!Appl/IT-System!Appl/IT-System Legende: Laufzeit (runtime) Setup & Maintain Security Log Ö. Tutkun, HT6-F39 4. IdM Modell Anwendung Ebenen Ebene 4: Authentisierung (E4) Stacks Ebene 3: Autorisierung (E3) Technik Ebene 2: Ressourcen (E2) Prozesse Ebene 1: Personendaten/Identitäten (E1) Richtinien Mitarbeiter Partner Kunden Identitätstypen Ö. Tutkun, HT6-F40

21 4. Identity & Access Management IAM: Technologien, die zwischen Subjekten & Objekten sowie Objektgruppen ein definiertes Trust -Verhältnis ermöglichen Identity and Access Management Benutzer Typ1 Authentisierung System1 Benutzer Typ2 Directory System2 Benutzer Typ3 Autorisierung System3 SUBJEKTE REFERENZMONITOR OBJEKTE Ö. Tutkun, HT6-F41 4. Architektur IdM-System )/+&,012-&3"#4+&&+) )5%'4+6+"+%('%&&+)789%6.),09'(+&:) )/"#&&+"+%('%&&+)7;<=:) IdM-System Identitäten!Authentisierung!Autorisierung *%"+,-#".)&+"$%,+)!"#$%&%#'%'() >%+6&.&-+?+) Ö. Tutkun, HT6-F42

22 4. IdM- Referenzarchitektur Perimeter Identität Typ1 Plattformen Identität Typ2 Identität Typ3 Authentisierung Autorisierung Applikationen Dienste Provisioning Accounts & Rechte Externe Datenquellen Federation Identity Mapping Datenquellen für Identitäten, Rollen, Gruppen Ö. Tutkun, HT6-F43 HT5-F43 4. IdM Kernkomponenten Directory Service für Datenbasis Eigenschaften:!! Optimiert für lesenden Zugriff!! Eher statischer Inhaltstyp!! Standortunabhängig!! Datenreplikation und Partitionierung!! Daten in Entries mit Attributen!! Vereinfachtes Zugriffsprotokoll!! Kein DB oder Filesystem Wichtig: Zentralisierung Interoperabilität Standardisierung Provisioning für Abläufe!! Registrierung & Verwaltung von Identitäten über Systemgrenzen hinweg!! Bereitstellung von Ressourcen über Workflows mit Genehmigungsprozessen.!! Automatische Umsetzung von Veränderungen. (löschen/sperren)!! Sicherheit und Risiko-Management Ö. Tutkun, HT6-F44

23 4. Was ist neu am IdM?!! Benutzerverwaltungen gab es doch schon immer (etc/passwd)!! Neu am IdM-Konzept ist: -! Gesamtsicht auf die IT-Landschaft -! autoritative Datenquellen -! Automatisierte Benutzerverwaltung -! Grössere Interoperabilität: Federation!! Automatisierte Prozesse bewirken, dass -! Berechtigungen gleich nach der Einstellung zur Verfügung stehen -! aber auch gleich nach dem Austritt aus der Organisation entzogen werden!! Grössere Interoperabilität durch SOA (Authentisierung & Autorisierung): Federation Ö. Tutkun, HT6-F45 4. Föderativer Ansatz!! Lokale Organisationen (Identity Provider) verwalten und authentifizieren ihre Benutzer!! Ressourcenanbieter (Serviceanbieter) kontrollieren den Zugang zu den Ressourcen!! Autorisierung und Zugriffskontrolle wird über Attribute geregelt, die in den IDP gepflegt werden!! SP erfragt (bzw. bekommt automatisch geliefert) die Attribute eines Benutzers, der eine Ressource in Anspruch nehmen möchte!! Hierbei können personenbezogene Attribute zum Zwecke des Datenschutzes unterdrückt werden!! Aufgrund der Attribute (ASSERTIONS) entscheidet der SP über Zugriff Ö. Tutkun, HT6-F46

24 4. IdM Projekt Ist-Analyse- Directories Ist-Analyse- Prozesse Soll- Empfehlung Directories Soll- Empfehlung Prozesse Rollen Empfehlung der Soll- Datenflüsse Empfehlung einer Soll- Architektur Produktempfehlung Implementierungsvorschlag Projektplan Empfehlung für zentrales Directory Einheitliche Benutzer-ID & Kennwort Ö. Tutkun, HT6-F47 4. IdM Projekt Prozesse sind aufwändig...!! /+&,012-&3"#4+&&+)!! I'-+"'+)<)+J-+"'+)=A269(+')!! KC)D)8+&)!"#L+M-9A2E9'8+&)$+"A"&9,0-)8%+)N+,0'%MH)!! O+%&3%+6)!PI))!! ;Q)R=)M#&-+-)'%,0-&HH)!! N+,0'%&,0+)!"#4+&&+)%?);QST?2+68)(+(+U+')!! V9A3-9"U+%-W)!"#4+&&+)X)Y"(9'%&9-%#')X)!#6%,%+&))) Ö. Tutkun, HT6-F48

25 4. IdM Projekt Rollenkonzept mêçàéâí=fçj= fåáíá~äé=oçääéåäáäçìåö=!!fåáíá~äé=aéñáåáíáçå=çéê=q íáöâéáíëêçääéå=edêìåçëéíf=ìåç=çéêéå= wìíéáäìåöëêéöéäå= éü~ëáéêíw=!!^å~äóëé=ìåç=_éêéáåáöìåö=çéê=póëíéãêçääéå=eéêç=póëíéãf=!!wìçêçåìåö=çéê=póëíéãêçääéå=òì=q íáöâéáíëêçääéå=eéêç=póëíéãf=!!^äå~üãé=çìêåü=oçääéåñ~åüöêéãáìã= lééê~íáî=l=çåöçáåö= oçääéåäáäçìåö=!!_éç~êñ=òìê=aéñáåáíáçå=éáåéê=åéìéå=q íáöâéáíëêçääé=~ìë=çéê= ^Ää~ìÑçêÖ~åáë~íáçå=EòK_K=~ìë=mêçàÉâíF=!!aÉÑáåáíáçå=ÇÉê=q íáöâéáíëêçääé=eqsf=ìåç=ööñk=póëíéãêçääéå=epsf=ìåç= ÇÉêÉå=wìçêÇåìåÖ=!!fãéäÉãÉåíáÉêìåÖ=ÇÉê=åÉìÉå=oçääÉEåF=áå=fjf=ìåÇ=póëíÉã=!!k~ÅÜÑ"ÜêìåÖ=oçääÉåáåîÉåí~ê= fåáíá~äé=oçääéåòìíéáäìåö=!!bêëíã~äáöé=oçääéåòìïéáëìåö=öéã ëë=áå=oçääéåäáäçìåö=çéñáåáéêíéê= wìíéáäìåöëêéöéäå=áå=fjf=éü~ëáéêíw=!!_éêéáåáöìåö=çéê=póëíéãj_éêéåüíáöìåöéå=äáë=~ìñ=bäéåé=_éåìíòéê= Eéêç=póëíÉãF= oçääéåòìíéáäìåö=!!_é~åíê~öìåö=çìêåü=_éåìíòéê=äòïk=sçêöéëéíòíéê=äéá=åéìéã= jáí~êäéáíéê=e~ìíçã~íáëáéêíé=oçääéåòìïéáëìåö=ïç=ã#öäáåüf=!!wìíéáäìåö=çéê=oçääé=eìåçlççéê=pééòá~äêéåüíéf=çìêåü=qsi= _Éëí íáöìåö=çìêåü=rëéê=j~å~öéãéåíi=ööñk=ïéáíéêé=píéääéå= E`çãéäá~åÅÉI=áåíK=oÉîKF= oçääéåéñäéöé=!!ûåçéêìåö=îçå=oçääéåçéñáåáíáçåéåi=wìíéáäìåöëêéöéäåi=éíåk=çìêåü= qsúë=ìåç=psúë=!!déåéüãáöìåö=çìêåü=oçääéåñ~åüöêéãáìã=!!rãëéíòìåö=áå=fjflpóëíéã= Ö. Tutkun, HT6-F49 4. Fazit IdM Wertschöpfung Wertschöpfung Unternehmensintern (Mitarbeiter) Föderationsverbund (Partner) Globale Benutzer (Kunden) Komplexität & Sicherheit Sparpotenzial Anzahl Benutzer / Grad der Vernetzung (SOA-Level) Ö. Tutkun, HT6-F50