Claim Assertion Service CAS-Suisse Trust
|
|
- Laura Hofmeister
- vor 8 Jahren
- Abrufe
Transkript
1 Eidgenössisches Finanzdepartement EFD Infrmatikstrategiergan Bund ISB Architekturen, Standards, Technlgien AST Willy Müller, 28. April 2011 Claim Assertin Service CAS-Suisse Trust Grbknzept Prjektname: GvArchCH Prjektnummer: 8278 Versin: 1.0 Referenz/Aktenzeichen: Status: in Arbeit in Prüfung genehmigt zur Nutzung X Beteiligter Persnenkreis Autr: Jürgen Englert Siemens IT Slutins and Services GmbH (Kap. 5) Bearbeitung: Prüfung: Genehmigung: Verteiler: Michael Seeger Siemens IT Slutins and Services GmbH Enn Hffmann Siemens IT Slutins and Services AG Prjektteam Willy Müller Prjektteam und Interessierte Änderungskntrlle, Prüfung, Genehmigung Wann: Versin: Wer: Beschreibung: Siemens Arbeitsversin Siemens Versin zur Prüfung ISB Krrekturen gemäss Feedback
2 Claim Assertin Service CAS-Suisse Trust Inhaltsverzeichnis 1 Einführung Mtivatin Ausgangsszenarien AHV/IV Szenari ESTV Szenari Zielgruppe Begriffsdefinitinen Subjekt Ressurce Digitale Identität Identifikatr Digitales Zertifikat Attribute Claim, Claimset und Claim Assertin Claim Prvider, Claim Assertin Service Funktin, Rlle Credential IAM - Identity und Access Management User Centric Identity Management Register Imperium Trust (Vertrauen) Authentisierung, Authentifizierung Autrisierung Access Cntrl RBAC Rle based Access Cntrl ABAC Attribute Based Access Cntrl SAML Security Assertin Markup Language Zugriffsregel Przesse Beschreibung der Przesse Registrierung eines neuen Unternehmens im CAS-SuisseTrust Superuser Instanzierung Registrierung weiterer Subjekte Zuweisung vn Attribut-Werten zu Subjekten Eintrag Lösungsanbieter im CAS-SuisseTrust Rllen und Attribut Definítin Authentifizierung/Claim Vrlage Auditierung / Archivierung Reprting Technische Lösungs-Architektur Funktinalität Architektur Maschinenauthentifizerung als Snderfall Technische Realisierung /51
3 Claim Assertin Service CAS-Suisse Trust 4.3 Daten Mdell Technlgie Wirtschaftliche Faktren Nutzenaspekte Unternehmen SuisseTrust Lösungsanbieter Kstenaspekte Unternehmen SuisseTrust Lösungsanbieter Überlegungen zum Verrechnungsmdell Ptentielle Verrechnungsmdelle Vr- und Nachteile der einzelnen Verrechnungsmdelle Erste Bewertung für den geplanten Claim Assertin Service Abhängigkeiten und Rahmenbedingungen Ntwendige Interfaces Technische Aspekte Rechtliche Aspekte Kritische Erflgsfaktren Offene Punkte Ntwendige Schritte für einen Prf f Cncept /51
4 Claim Assertin Service CAS-Suisse Trust 1 Einführung 1.1 Mtivatin Mit der SuisseID wurde in der Schweiz eine Methde zur sicheren elektrnischen Identifikatin vn natürlichen und juristischen Persnen eingeführt. In der Praxis ist es aber ftmals nicht interessant direkt eine natürliche der juristische Persn zu identifizieren (und zu authentifizieren) da diese Infrmatin meist nicht ausreicht um eine Berechtigungssteuerung in einer Anwendung durchzuführen. Hier sind weitere Infrmatinen über die Persn ntwendig. Beispielsweise b die Persn aktuell im Auftrag einer bestimmten Firma der im Rahmen einer bestimmten Funktin auftritt. Diese Infrmatinen müssen aktuell, zur Laufzeit, Sessin-rientiert zuverlässig ermittelt und in einer vertrauenswürdigen Art und Weise der Applikatin zur Verfügung gestellt werden. Knkret werden die Anfrderungen im Flgenden an Hand vn zwei Szenarien diskutiert die im Wrkshp am in Bern vrgestellt wurden. Es handelt sich bei den beiden analysierten Nutzungsszenarien um die Eidg. Steuerverwaltung (ESTV) und um die Interessengemeinschaft AHV/IV. 1.2 Ausgangsszenarien AHV/IV Szenari Die AHV/IV besteht aus ca. 100 Ausgleichskassen die swhl untereinander als auch mit ihren Mitgliedern heute schn auf elektrnischen Wege Daten austauschen beziehungsweise auf elektrnischem Wege Dienste zur Verfügung stellen. Aktuell ist für den Zugriff eines Benutzers, als knkret für einen Mitarbeiter eines Mitgliedes der einer Partnerkasse ein Zugriff auf eine Applikatin nur nach einem aufwendigen, manuellen und papiergestützten Registrierungsprzess möglich. Innerhalb dieses Przesses wird geprüft b eine Persn tatsächlich im Auftrag einer bestimmten Organisatin tätig ist und anschliessend werden ihr hierfür eine Kennung swie entsprechende Credentials in der Benutzerverwaltung der Applikatin zur Verfügung gestellt. Zur Zeit können ca vn (entsprechend 75%) der Mitglieder ptenziell auf elektrnische Dienste der AHV/IV zugreifen. Dieses Vrgehen hat eine Reihe vn teils gravierenden Nachteilen Der Registrierungsprzess ist sehr Zeit- und Arbeitsaufwendig. Der Registrierungsprzess ist derzeit für jede Applikatin separat knfiguriert muss als für den Zugriff auf mehrere Applikatinen mehrmals durchlaufen werden. Die Kennung und ihre Credentials sind nur in der jeweiligen Applikatin bekannt. Smit muss ein Benutzer eine Vielzahl vn Kennungen verwalten. Es findet kein knsistenter User Life Cycle über alle Applikatinen hinweg statt. Der Status Qu sll durch Nutzung eines Authentifizierungsservice, im Flgenden als CAS-SuisseTrust bezeichnet, abgelöst werden. Dieser Service sll zum ei- 4/51
5 Claim Assertin Service CAS-Suisse Trust nen die interne Benutzerverwaltung teilweise ablösen, zum Anderen sll er flexibel und zur Laufzeit zur Berechtigungssteuerung benötigte Attribute vertrauenswürdig bereit stellen. Hierbei handelt es sich vr allem um flgende Daten Eindeutiger Identifier für das Subjekt UID des Unternehmens für das das Subjekt aktuell auftritt Rlle innerhalb des Unternehmens Authentifizierungsstärke -adresse Es stellen sich smit aus Sicht des AHV/IV Szenaris flgende Anfrderungen an den CAS-SuisseTrust: Firmen registrieren Ihre Nutzer selbstständig hne aktive Mitwirkung der Ausgleichskasse auf einem zentralen Prtal (CAS-SuisseTrust). Umständlicher Umgang mit Antragsfrmularen entfällt. Kleinstunternehmen erhalten einen Vllzugriff auf Daten ihrer Firma autmatisch und müssen sich nicht selbst registrieren Neben der SuisseID sind auch andere Authentifizierungsmethden einsetzbar Verfügbarkeit 7x24h mit 99,9% Zugriffsspitzen sllten durch HA-Lösungen abgesichert werden. CAS-SuisseTrust muss User-Supprt für die Superuser (Zur Funktin des Superusers siehe 3.1.2) der Unternehmen bereitstellen. Die Lösung muss eine CH-Lösung sein Die Lösung muss ein hhes Vertrauen beim ptientiellen Nutzer geniessen und adressieren. Beispiel: SuisseTrust eine Leistung vn E-Gvernment Schweiz ESTV Szenari Die eidgenössische Steuerverwaltung (ESTV) hat 2005 unter dem Namen INSIEME ein umfassendes Prgramm zur Ablösung der veralteten IT-Systeme in Angriff genmmen. Die ESTV benötigt für eine Prtallösung im Rahmen des Prjektes INSIEME die Möglichkeit unterschiedliche Gruppen vn Benutzern (z.b. Steuerpflichtige, kantnale Behörden, Treuhandunternehmen etc.) über dieses Prtal auf geschützte Infrmatinen zugreifen zu lassen. Hierzu müssen unterschiedliche Rllen und Autrisierungsprfile durch einen nch zu definierenden Przess unterstützt werden. Ziele des ESTV bezüglich der Identitäts- und Berechtigungsverwaltung für den Zugriff auf das Prtal: Einführung eines einheitlichen IAM und Prüfung der Auslagerung vn Teilen der benötigten Funktinalität an einen externen Service 5/51
6 Claim Assertin Service CAS-Suisse Trust Integratin dieses externen Services in die Prtalservices um eine für den Endbenutzer transparente Lösung zu erzielen Möglichkeiten zur Expnierung vn sensiblen Infrmatinen über definierte Web-Services evtl. durch die Nutzung vn CAS SuisseTrust verbessern und hierzu ntwendiges Sicherheits-Niveau auf effiziente Weise realisieren Es stellen sich smit aus Sicht des ESTV Szenaris flgende Anfrderungen an den CAS-SuisseTrust: Bemerkung Benutzer müssen sich auf dem Prtal registrieren. Dieser Registrierungsprzess findet mittels einer SuisseID-Authentisierung statt. CAS- SuisseTrust könnte ptentiell die Funktinalität dieses kmpletten Registierungsprzesses als Service bereitstellen Zeichnungsberechtigte Persnen des ESTV für die jeweils relevanten Steuersubjekte greifen ebenfalls über das Internetprtal auf das Prtal zu und gelangen durch eine SuisseID-Authentisierung in den geschützten Bereich der Services. Auch dieser Przess könnte teilweise der kmplett durch CAS-SuisseTrust übernmmen werden Nach einer erflgreichen Authentisierung und Registrierung kann ein bereits registrierter Benutzer z.b. Vllmachten beantragen die durch die.g. zeichnungsberechtigten Persnen bewilligt werden müssen. Dieser Przess wird kmplett innerhalb der geschützten Zne der Services hinter dem Prtal abgewickelt und wird NICHT an CAS SuisseTrust ausgelagert. Prtalnutzer sllten bei einer erstmaligen Anmeldung über einen Selbstregistrierungsprzess verfügen Definierte Persnen sllten die Möglichkeit einer Bevllmächtigung vn weiteren Persnen der gleichen Organisatin als Prtalnutzer haben (delegierte Administratin) Die Prtalnutzer müssen Unternehmen eindeutig zuzurdnen sein Kunden mit UID Neukunden hne UID Ausländische Persnen sllten (als Ausnahmefall) ebenfalls zugerdnet werden können Die Feinautrisierung im Prtal sllte durch die Lieferung vn Infrmatinen durch CAS-SuisseTrust unterstützt werden: Welche Rlle hat der Benutzer im Prtal Geplant ist die Definitin der jeweiligen Rllenausprägung zukünftig auf einem Dienstleistungskatalg aufzusetzen Services sllen bestimmten Unternehmen / Organisatinen zugerdnet werden können (z.b. geschützter Zugriff definierter Persnen auf dedizierte archivierte Dkumente) Da derzeit im Rahmen des Prjektes INSIEME für eine nächste Phase die Definitin der zu realisierenden Funktinalitäten stattfindet, könnte durch eine zeitnahe Entscheidung über die Auslagerung eines definierten Leistungsumfanges an SuisseTrust die Implementierung vn redundanten Funktinalitäten vermieden werden. 6/51
7 Claim Assertin Service CAS-Suisse Trust Gleichzeitig bestünde die Chance: 1. für andere Bundesbehörden und Organisatinen die im zentral und mandantenfähig implementierten CAS SuisseTrust verfügbaren Registrierungsprzesse ebenfalls zu nutzen 2. den nch zu realisierenden Leistungsumfang innerhalb des Prjektes zu reduzieren und smit das Prjekt-Team zu entlasten 1.3 Zielgruppe Dieses Grbknzept wendet sich vrrangig an die in Abbildung 1 gezeigten Parteien 1 Beteiligte Parteien Im Nutzungsprzess des CAS-Suisse Trust sind damit die flgenden Parteien invlviert: Lösungsanbieter wie AHV/IV und ESTV, swie andere nch zu definierende interessierte Lösungsanbieter Ptentielle Betreiber eines CAS-SuisseTrust Datenlieferanten, als öffentliche Register Behörden und IT-Gvernance Unternehmen die auf Lösungsanbieter zugreifen wllen der müssen. 7/51
8 Claim Assertin Service CAS-Suisse Trust 2 Begriffsdefinitinen Um ein gemeinsames Verständnis und eine einheitliche Sicht des Knzeptes zu erreichen ist es ntwendig, gewisse Begriffe im Kntext dieses Dkumentes eindeutig zu definieren. (Wenn Ihnen die entsprechenden Definitinen geläufig sind können Sie dieses Kapitel überspringen) W immer möglich rientieren sich diese Definitinen an den in der Literatur und internatinalen Standards, insbesndere der OASIS (Organizatin fr the Advancement f Structured Infrmatin Standards), gebräuchlichen Definitinen. Drt w hiervn explizit abgewichen wird rientieren wir uns an den Dkumenten. ech-0107 IAM Gestaltungsprinzipien SuisseID Specificatin Versin Subjekt Ein Subjekt ist ein Akteur, welcher auf eine Ressurce zugreift der zugreifen möchte. Es kann sich um eine natürliche der juristische Persn aber auch um eine Maschine handeln. Ein Subjekt wird durch eine digitale Identität beschrieben der ein der mehrere Credentials zugerdnet sind. Darüber hinaus kann ein Subjekt Attribute besitzen die es näher beschreiben. 2.2 Ressurce Eine Ressurce ist eine Anwendung, ein Service, eine Funktin, ein Przess der eine Datenmenge, auf welche ein Subjekt zugreifen möchte. 2.3 Digitale Identität Eine digitale Identität beschreibt ein Subjekt durch einen Identifikatr (eindeutiger Name), meist zusammen mit einer Menge vn zusätzlichen Attributen, welche innerhalb eines Namensraumes eindeutig einem Subjekt zugewiesen werden können Ein Subjekt kann mehrere digitale Identitäten haben. 2.4 Identifikatr Ein Identifikatr ist eine Zeichenkette, welche ein Subjekt innerhalb eines Namensraumes eindeutig bezeichnet. Der eindeutige Identifikatr eines Subjektes ist ft ein nicht selbsterklärender Name und kann beliebig kmplex sein. Dieser Identifikatr kann auch in einem digitalen Zertifikat enthalten sein. Der Identifikatr sll nur dazu dienen, ein Subjekt eindeutig und unmissverständlich zu identifizieren. Identifikatren werden auch CUID genannt (Cmmn Unique Identifier). 8/51
9 Claim Assertin Service CAS-Suisse Trust Anmerkung (Beispiel): Der Identifikatr eines Subjekts im Umfeld SuisseID ist die eindeutige SuisseID Nummer in der Frm Digitales Zertifikat Ein Digitales Zertifikat (auch Zertifikat der Public-Key-Zertifikat) sind strukturierte Daten, die den Eigentümer swie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Dazu enthält das Zertifikat üblicherweise: Den Namen des Ausstellers Infrmatinen zu den Regeln und Verfahren unter denen das Zertifikat ausgegeben wurde (z.b. Verschlüsselungsalgrithmus) Infrmatinen zur Gültigkeitsdauer des Zertifikates Den öffentlichen Schlüssel, zu dem das Zertifikat Angaben macht Den Namen (der eine andere identifizierende Bezeichnung) des Eigentümers des öffentlichen Schlüssels (d.h. des Subjektes) Weitere Infrmatinen zum Eigentümer des öffentlichen Schlüssels Angaben zum zulässigen Anwendungs- und Geltungsbereich des öffentlichen Schlüssels Eine digitale Signatur, mittels welcher die Echtheit der Angaben im Zertifikat überprüft werden kann Struktur und Inhalt vn digitalen Zertifikaten werden durch diverse Standards vrgegeben. Im Flgenden sprechen wir ausschliesslich vn Zertifikaten gemäss X.509v3. Anmerkungen: In diesem Dkument wird frtan nur nch vn Zertifikat gesprchen. Gemeint ist immer ein digitales Zertifikat. Die digitale Identität des Subjektes (der Identifikatr) ist nicht autmatisch mit dessen Zertifikat gleichzusetzen. Ein Subjekt der eine Ressurce kann mehrere Zertifikate besitzen. Ein Zertifikat bezieht sich immer auf ein einziges Subjekt / eine einzige Ressurce. 2.6 Attribute Ein Attribut ist eine einem Subjekt zugerdnete Eigenschaft, welche dieses näher beschreibt. Beispiele für Attribute eines Subjekts sind Name, Vrname, Telefnnummer der adresse. Attribute können für die Zugriffssteuerung im Rahmen des Access Cntrl Przesses herangezgen werden. Oft werden Attribute auch gruppiert (siehe Fehler! Verweisquelle knnte nicht gefunden werden.), um sie einfacher verwalten zu können, bzw. um die Zustän- 9/51
10 Claim Assertin Service CAS-Suisse Trust digkeit der Verwaltung klarer zu regeln. Nachflgend eine mögliche Gruppierung vn IAM Attributen am Beispiel Benutzerverwaltung: Verbindliche Attribute wie Name, Vrname, adresse, usw. Access Management Attribute Ein Attribut hat immer einen Namen, als einen eindeutigen Bezeichner, und einen Wert. 2.7 Claim, Claimset und Claim Assertin Ein Claim ist ein Attribut eines Subjekts, das bestätigt werden muss (z.b. das Geburtsdatum). Ein Claim Set ist eine Menge vn Attributen, die bestätigt werden müssen. Ein Claim Prvider liefert Claim Assertins, d.h. er bestätigt die Richtigkeit vn Claims der Claim Sets. Knkret wird vn einem Claim Prvider eine Aussage über eines der mehrere Attribute zu einem Subjekt bestätigt und zum Beweis, dass er für die Bestätigung gerade steht, signiert. Der Empfänger eines Claims kann dann an Hand der Signatur die Integrität (Unverändertheit) des Claims prüfen und, s er dem Claim Prvider vertraut (einen Trust zu diesem hat), den Claim verwenden, um dem zugreifenden Subjekt abhängig davn Zugriff auf seine Ressurcen geben. Claims können Attribute eines Subjekts der einer Ressurce sein, z.b. Subjekt ist Arzt. Claims können aber auch aus deren Attribute abgeleitet werden, z.b. Subjekt ist 18 Jahre alt. Ein Claimset ist eine Sammlung vn Claims, welche, wie ein einzelner Claim, vm Claim Aussteller als krrekt bestätigt wurde. Ein Security Tken entspricht einem signierten Claimset. 2.8 Claim Prvider, Claim Assertin Service Claim Assertin Service kmmt aus aus dem Umfeld der SuisseID und entspricht dem Begriff Security Tken Service STS vn OASIS. Als Security Tken Service STS bezeichnet man die Infrastruktur welche in der Lage ist, Security Tkens nach SAML 2.0 Standard 1 zu erzeugen, zu signieren und als Service zur Verfügung zu stellen. 2.9 Funktin, Rlle Eine Rlle ist eine Eigenschaft, welche einer digitale Identität (eines Subjekts) zugewiesen werden kann, im Sinn des RBAC 2 Mdells. Eine Funktin ist eine öffentlich beglaubigte Rlle, z.b. Arzt, Anwalt, Plizist, Geschäftsführer, Handlungsbevllmächtigter, etc. Die Funktin eines Subjekts kann für seine digitale Identität mittels einer entsprechenden Rlle abgebildet werden. Diese Rlle kann zur Erteilung vn Zugriffsberechtigungen verwendet werden. 1 OASIS 2 RBAC: Rle Based Access Cntrl 10/51
11 Claim Assertin Service CAS-Suisse Trust Funktinen und Rllen sind Attribute, die für die Nutzung im IAM vn einer vertrauenswürdigen Stelle bestätigt werden müssen. Im IAM-Kntext müssen sie daher als Claims behandelt werden Credential Ausweis, mit dessen Hilfe die behauptete digitale Identität eines zugreifenden Subjekts überprüft werden kann. Credentials können Ausweispapiere, Zeugnisse, Passwörter der digitale Zertifikate sein, welche es erlauben, ein Subjekt eindeutig zu authentifizieren IAM - Identity und Access Management Digitale Identitäten vn Subjekten werden durch das Identity Management verwaltet. Meistens werden zusätzlich auch deren Attribute und Zugriffsregeln verwaltet. Dies führt zum Namen IAM Identity und Access Management: Identity und Access Management befasst sich mit der Definitin und Ausgabe vn digitalen Identitäten, Credentials und Claims, der Definitin vn Zugriffsregeln und der Überwachung und Überprüfung der Zugriffe auf die zu schützenden Ressurcen. Ein IAM System besteht in der Regel aus zwei Teilen: Verwaltung: Digitale Identitäten und deren Attribute / Claims werden verwaltet (erzeugt, mdifiziert, gelesen, aktiviert, deaktiviert, freigegeben etc.). Directry: Ein Directry ist eine für die Identitätsverwaltung ptimierte Datenbank User Centric Identity Management Bei User Centric Identity Management sitzt der Benutzer (das Subjekt) in der Mitte einer Datentransaktin. Das bedeutet nicht, dass der Benutzer jede Transaktin nchmals explizit genehmigen muss, aber dass die Daten immer über den Identitätsagenten (typischerweise den Brwser) des Benutzers fliessen und direkt an seine digitale Identität gebunden sind Register Register sind Verzeichnisse in der Verwaltungssprache, wie z.b. die Einwhnerregister, Anwaltsregister, Zivilstandsregister, Handelsregister usw. Sie werden in der Regel vn ffiziellen Stellen (Behörden) geführt. Nebst diesen ffiziellen Behördenverzeichnissen gibt es eine Reihe vn weiteren Verzeichnissen, z.b. Verzeichnisse über Berufsabschlüsse an Universitäten, der ETH, der verschiedenen Fachhchschulen etc. Verzeichnisse enthalten spezifische Infrmatinen zu einer Persn der einer Organisatin. Diese Infrmatinen sind zum Teil vertraulich. 11/51
12 Claim Assertin Service CAS-Suisse Trust Die besndere Herausfrderung bei den Registern ist die grsse Anzahl unterschiedlicher Verzeichnisse. Diese Herausfrderung ist auch z.b. unter dem Titel Registerharmnisierung im Bundesamt für Statistik beschrieben (siehe: ). Register werden ft weiter unterteilt in: 2.14 Imperium Funktinsregister: Register, welche eine Funktin beschreiben, z.b. Arzt, Ntar, Anwalt Berechtigungsregister: Register, welche Berechtigungen enthalten, z.b. Unterschriftenregelung Ein Imperium bezeichnet hier knkret den Hheitsbereich eines Registers innerhalb dessen das Register die führende Autrität ist Trust (Vertrauen) Frmell definierte Vertrauensbeziehung zwischen verantwrtlichen Stellen, z.b. die frmelle Beschreibung der Kriterien, welche erfüllt sein müssen, damit sich zwei Dmänen gegenseitig vertrauen Authentisierung, Authentifizierung Im Unterschied zum englischen Sprachgebrauch, w t authenticate für authentisieren und authentifizieren steht, werden im Deutschen die Begriffe unterschieden. Sie bezeichnen eigentlich nur zwei Aspekte desselben Vrgangs. Authentisierung ist der Nachweis der digitalen Identität eines Subjekts. Authentifizierung ist der Vrgang der Überprüfung einer behaupteten digitalen Identität (Subjekt). Es gibt unterschiedliche Authentisierungsmethden: Schwache Authentisierung: Generell gilt die Authentisierung mittels Benutzernamen und Passwrt als schwach. Passwörter können relativ einfach abgehört der sgar mit entsprechender Rechenleistung ermittelt werden. Starke Authentisierung: Zwei- der Mehrfaktr Authentisierung. Darunter versteht man die Kmbinatin vn mehreren Kategrien vn Merkmalen, die als Beweismittel für eine erflgreiche Authentisierung vm Benutzer verlangt werden. Es werden in der Regel flgenden Merkmalkategrien unterschieden: Was der Benutzer hat (Bsp.: Smartcard, Streichliste, Security Tken) Was der Benutzer weiss (Bsp.: Passwrt der PIN-Cde) Was der Benutzer ist (körperliche Merkmale wie Fingerabdruck, Venenbild, Irisbild usw.) 2.17 Autrisierung Der Begriff Autrisierung wird in zwei unterschiedlichen Kntexten verwendet: Einerseits für den Vrgang, bei dem einer digitalen Identität die Zugriffsberechtigungen zugewiesen werden (eine administrative Tätigkeit, nach den Vrgaben der Legislative). Synnym: Access Management 12/51
13 Claim Assertin Service CAS-Suisse Trust andererseits für den Vrgang der Überprüfung der Zugriffsberechtigung zur Laufzeit (Runtime). Das Erteilen der Autrisierung (Administratin) wird ft auch Access Management genannt. Die Überprüfung der Zugriffsberechtigung zur Laufzeit wird auch Access Cntrl genannt Access Cntrl Access Cntrl ist der Przess, der die Einhaltung der Regeln für den Zugriff einer digitalen Identität auf eine Ressurce kntrlliert und garantiert. Synnym: Autrisierung (Laufzeit) 2.19 RBAC Rle based Access Cntrl Rle Based Access Cntrl (RBAC; deutsch: Rllenbasierte Zugriffskntrlle) ist in Mehrbenutzersystemen der Rechnernetzen ein Verfahren zur Zugriffssteuerung und -kntrlle auf Dateien der Dienste. Bei der rllenbasierten Zugriffskntrlle werden den Benutzern des Cmputers der des Netzwerks Rllen zugerdnet. Benutzer können dabei mehrere Benutzerrllen besitzen. An eine Rlle sind beispielsweise 1 bis n Gruppenzugehörigkeiten gebunden. Je nach Rllenzurdnung des Benutzers (und den damit verbundenen Gruppenzugehörigkeiten) erteilt der sperrt das System dann das Zugriffsrecht auf Ressurcen. Wegen der dreistufigen Gliederung in Benutzer, Rllen und Gruppen ist es möglich, Zugriffsrechte eines Benutzers über eine Rllenzurdnung und daran gebundene Gruppenzurdnungen zu kntrllieren. Für die Verwaltung dieser Zurdnungen werden in der Regel Identitätsmanagement-Systeme (IDM) implementiert. Diese ermöglichen die Zurdnung vn Benutzern zu jeweils 1 bis n Gruppen in 1 bis n Cmputersystemen lediglich über die Bindung an wenigstens eine Rlle. Vraussetzung hierfür ist unter anderem die Erstellung eines einheitlichen Nutzer-Rllenknzepts. Diese Systeme erlauben es auch, die Knfrmität mit IT-Sicherheitsvrgaben sicherzustellen. Die Verwendung vn RBAC in verschiedenen Bereichen wird durch internatinale Standards geregelt. Für eine Übersicht hierzu siehe auch ABAC Attribute Based Access Cntrl Attribute-Based Access Cntrl (ABAC) benutzt nicht wie RBAC Rllen als Abstraktinslayer für die Zugriffskntrlle sndern direkt Attribute als Bausteine innerhalb einer strukturierten Sprache (XACML) um die Access cntrl Regeln anhand vn Attributen zu definieren. Die Grundidee einer Attribut-basierten Zugriffskntrlle besteht darin, Zugriffsrechte zwischen den Subjekten und Objekten nicht statisch zu definieren, sndern ihre Eigenschaften der Attribute dynamisch als Grundlage der Autrisierung zu nutzen. Attribute können (im Gegensatz zu relativ statisch definierten Rllen) sehr dynamisch sein. Beispielsweise könnte man sich in einem mbilen 13/51
14 Claim Assertin Service CAS-Suisse Trust Umfeld die Verwendung des aktuellen Standrts eines Benutzers als Attribut vrstellen. Grundsätzlich lassen sich andere Access Cntrl Mdelle wie etwa RBAC in ABAC entsprechend abbilden. RBAC kann jedch nicht die vlle Funktinalität vn ABAC abbilden. Die höhere Flexibilität vn ABAC erkauft man sich mit einer deutlich gestiegenen Kmplexizität SAML Security Assertin Markup Language SAML (Security Assertin Markup Language) wurde spezifiziert um Hersteller unabhängig Single Sign-n zu ermöglichen. SAML ist ein XML Framewrk, mit dessen Hilfe Authentifizierungs- und Autrisierungsinfrmatinen ausgetauscht werden können. SAML wurde vn einem internatinalen Knsrtium und im Rahmen der OASIS standardisiert. ( SAML besteht aus zwei Teilen: 2.22 Zugriffsregel SAML Assertins: Eine SAML Assertin ist ein XML Tken, welches die digitale Identität plus ptinal zusätzliche Attribute eines Subjekts enthält. Dieses Tken wird nrmalerweise auf Anfrage eines vertrauensvllen Service Prviders vm Identity Prvider erstellt. SAML Bindings und Prfile Ressurcenverantwrtliche definieren die Zugriffsregeln für ihre Ressurcen. Die Regeln werden als Zugriffsprfil der Ressurce zugewiesen und können z.b. in einem Directry gespeichert sein. 14/51
15 Claim Assertin Service CAS-Suisse Trust 3 Przesse Die nachflgend beschriebenen Przesse bauen auf den unter Szenarien (vergleiche 1.2) beschriebenen Ausgangslagen auf. Das heisst, eine Persn, ein Mitarbeiter, greift auf eine Anwendung eines Service Prviders zu. Für den Service Prvider ist es nun nicht vrrangig interessant zu erfahren wer die Persn ist, sndern vielmehr b und im Auftrage welches Unternehmens sie arbeitet, swie gegebenenfalls b die zugreifende Persn in diesem Unternehmen eine bestimmte Funktin/Rlle ausübt. Die Unternehmen sllen hierbei in der Lage sein schnell und flexibel swhl Persnen aus ihrem Unternehmen in den Dienst aufzunehmen als auch autark die Zuweisung der jeweiligen Funktin der Rlle dieses Mitarbeiters im Dienst CAS-SuisseTrust vrzunehmen. Für den Zugriff eines Mitarbeiters auf einen Lösungsanbieter sllte der CAS-SuisseTrust als insbesndere flgende Infrmatinen zum Subjekt liefern Subjekt: UnternehmensID (UID), Recht A, Recht B, -Adresse Insbesndere im Falle vn Treuhändern, Steuerberatern etc, kann es vrkmmen, dass eine Persn für mehrere Unternehmen tätig ist und demzuflge im Namen und Auftrag vn mehreren Unternehmen beim Lösungsanbieter tätig werden möchte. Hierzu existieren zwei prinzipielle Varianten. 1. Die Persn ist beim CAS-SuisseTrust für verschiedene UIDS mit verschiedenen Subjekt-Bezeichnern hinterlegt und wählt über die Eingabe des geeigneten Benutzernamens das jeweils passende Rechteset aus. 2. Eine Persn ist über einen eineindeutigen Subjekt-Bezeichner identifiziert und der CAS-SuisseTrust liefert eine gerdnete Liste UID X, Recht A, Recht B,, -Adresse UID Y, Recht A, Recht B,, -Adresse Dabei ist die erste Variante deutlich einfacher zu implementieren. Wir werden im Kapitel Technische Lösungs-Architektur (4) die Auswirkungen auf das Datenmdell näher erläutern und empfehlen einen Prf f Cncept auf Basis der ersten Variante umzusetzen, da nur diese vn Cmmercial ff-the-shelf Prdukten derzeit beherrscht wird. Ergänzend zu diesem Persnen bezgenen Use Case existiert der Wunsch auch Maschinen in der Kmmunikatikn mit Service Prvidern zuverlässig zu authentifizieren und ihre jeweilige Funktinsberechtigung zu steuern. Wir werden auf diesen Aspekt in der Beschreibung der Przesse zunächst nicht näher eingehen. Im Kapitel 4 Technische Lösungs--Architektur (4) wird dieser Use Case kurz beschrieben. Um die technische Implementierung eines slchen Claim Assertin Service zu unterstützen braucht es eine Reihe vn Przessen, damit die Sicherheit und Zuverlässigkeit der Antwrt, als der Claim Assertin, gewährleistet ist. Im Einzelnen sind dies: auf Seiten des zugreifenden Unternehmens Registrierung eines neuen Unternehmens im CAS-SuisseTrust als initialen Ankerpunkt für die Vertrauenskette. Swie um die erstmalige Verknüpfung mit einer Persn 15/51
16 Claim Assertin Service CAS-Suisse Trust zu erreichen die Superuser Instanzierung. Registrierung weiterer Subjekte dient den Unternehmen dazu im Rahmen ihres Unternehmens Mitarbeitern die Nutzung des Dienstes für den Zugriff auf Service Prvider grundsätzlich zu ermöglichen Zuweisung vn Attributwerten zu Subjekten : Mit der Zuweisung vn Attribut-Werten zu im bigen Przessschritt generierten Benutzern ermöglicht es den Unternehmen autark eine granulare Berechtigungssteuerung für den Zugriff auf Service Prvider durchzuführen. Authentifizierung/Claim Vrlage schliesslich sind die entscheidenden Przessschritte in denen aktuell geprüft wird b der Mitarbeiter berechtigt ist für ein Unternehmen auf eine Lösung zuzugreifen und drt bestimmte Funktinalitäten zur Verfügung gestellt bekmmt. Auf Seiten des Service Prviders sind die wesentlichen Przesse: Eintrag Lösungsanbieter im CAS-SuisseTrust. Dieser Schritt ermöglicht es einem Service Prvider überhaupt erst für den Zugriff auf seine Lösung und die damit verbundene Berechtigungssteuerung den CAS-SuisseTrust Dienst zu benutzen. Um Missbrauch zu vermeiden muss auch hier eine geprüfte Vertrauensbeziehung aufgebaut werden. Rllen und Attribut Definitin ermöglichen es, die Anfrderungen einer Lösungsanwendung an die für die Durchsetzung der Berechtigungskntrlle ntwendigen Infrmatinen zu Benutzern zu definieren. Auditierung / Archivierung sind unverzichtbare Przesse um die Nachvllziehbarkeit im Sinne der gesetzlichen und vertraglichen Anfrderungen zu gewährleisten. Reprting dient neben der Generierung vn Daten im Rahmen der Business Intelligence (als der Ressurcenplanung im Unternehmen) der Nachvllziehbarkeit vn Rechnungslegung und Cntrlling. 3.1 Beschreibung der Przesse Im Flgenden wird für jeden Einzelprzess Funktin Vraussetzungen Ablauf Input Output Beteiligte Schnittstellen zu anderen Beteiligten Technische Realiserungsmöglichkeiten Requirements prinzipiell beschrieben. Dabei geht es immer um die Aspekte Anlegen eines Datensatzes / Zustandes / Vertrags Ändern eines Datensatzes / Zustandes / Vertrag 16/51
17 Claim Assertin Service CAS-Suisse Trust Löschen beziehungsweise Wegnehmen der Deaktivieren eines Datensatzes, Zustandes der Vertrages Registrierung eines neuen Unternehmens im CAS- SuisseTrust Funktin Dieser Przess dient dazu, es einem Unternehmen zu ermöglichen, den CAS-SuisseTrust zu nutzen um Mitarbeitern im Rahmen ihrer Rlle beziehungsweise Funktin im Unternehmen Zugriff auf Anwendungen vn Lösungsanbietern / Ressurcenprvidern zu geben. In seinem Rahmen werden swhl die technischen als auch die vertragsrechtlichen Rahmenbedingungen für die Zusammenarbeit zwischen nutzendem Unternehmen und den Claim Assertin Service bereitstellenden Prvider(n) fixiert. Vraussetzungen Das Unternehmen besitzt eine UID Ablauf Anlegen Ablauf Ändern Ein Unternehmen tritt durch einen vertretungsberechtigten Mitarbeiter in Kntakt mit dem CAS-SuisseTrust. Das Unternehmen benennt das zuständige Imperium, z.b. das Handelsregister. CAS-SuisseTrust prüft die Vertretungsberechtigung der Persn für das Unternehmen (manuell der elektrnisch) gegenüber ffiziellen Registern des jeweilig zuständigen Imperiums, z.b. mittels Handelsregisterauszug. Vertragsabschluss zwischen CAS-SuisseTrust und dem Unternehmen (beinhaltet auch SLA) Ein Unternehmen tritt durch einen vertretungsberechtigten Mitarbeiter in Kntakt mit dem CAS-SuisseTrust. CAS-SuisseTrust prüft die Vertretungsberechtigung der Persn für das Unternehmen (manuell der elektrnisch) gegenüber ffiziellen Registern Der Änderungswunsch wird rechtlich und technisch geprüft Vertragsänderung zwischen CAS-SuisseTrust und dem Unternehmen (beinhaltet auch SLA) Ablauf Löschen/Deaktivieren Hier sind mehrere Zweige möglich Variante 1: Ein Unternehmen tritt durch einen vertretungsberechtigten Mitarbeiter in Kntakt mit dem CAS-SuisseTrust. CAS-SuisseTrust prüft die Vertretungsberechtigung der Persn für das Unternehmen (manuell der elektrnisch) gegenüber ffiziellen Registern 17/51
18 Claim Assertin Service CAS-Suisse Trust Fristgemässes Vertragsende zwischen CAS-SuisseTrust und dem Unternehmen Löschen aller zum Unternehmen / UID gehörigen Datenbjekte. Variante 2: Ein Unternehmen erlischt und hat keine Vertretungsberechtigten mehr. Fristgemässes Vertragsende zwischen CAS-SuisseTrust und dem Unternehmen Löschen aller zum Unternehmen / UID gehörigen Datenbjekte. Erzwungene Löschung durch SuisseTrust-Betreiber. Input UID Output Anlegen Output Ändern Initiale Authentisierung Service Level Agreement Vertragsbeziehung Initial authentifiziertes Subjekt. Auditrecrd zur Archivierung Geändertes Service Level Agreement Geänderte Vertragsbeziehung Auditrecrd zur Archivierung Output Löschen/Deaktivieren Beteiligte Auditrecrd zur Archivierung Unternehmen Claim Assertin Service Prvider Technische Realisierungsmöglichkeiten Eine Realisierung sllte swhl als papiergestützter Przess erflgen, als auch in Frm eines autmatisierten Web-gestützten Registrierungsprzesses. Schnittstellen zu anderen Beteiligten Schnittstellen zu ffiziellen Registern, insbesndere zum Handelsregister und zum UID-Register Requirements Das Unternehmen muss bei einem Imperium eingetragen sein und diese Infrmatin dem CAS-SuisseTrust zur Verfügung stellen Das Unternehmen muss eine UID besitzen 18/51
19 Claim Assertin Service CAS-Suisse Trust Es muss eine eindeutige Vertretungsvllmacht für diese UID definiert sein CAS-SuisseTrust muss die Zurdnung Unternehmen UID Persn zuverlässig überprüfen CAS-SuisseTrust muss mehrere Imperien unterstützen und diese Auswahl kmmunizieren CAS-SuisseTrust stellt Standard AGB und SLA zur Verfügung Auf dieser Basis kmmt eine ffizielle vertragliche Bezieung zu Stande Der Przess muss Einfach Schnell Wahlweise autmatisiert der manuell ablauffähig Zuverlässig Transparent sein. Der Przess sllte für Kleinfirmen mit minimalem Aufwand umsetzbar sein CAS-SuisseTrust muss den Unternehmen ein revisinssicheres Reprting anbieten. Dem Unternehmen müssen Auditrechte eingeräumt werden Superuser Instanzierung Funktin Der CAS-SuisseTrust Service stellt einen User Centric (vergleiche Definitin) Identity Service zur Verfügung. Ein slcher Dienst ist immer an ein Subjekt gebunden. Für Ein-Persnenfirmen, Selbstständige und Kleinfirmen ist es in der Regel ausreichend genau ein Subjekt pr Unternehmen zu führen. Für grössere Unternehmen in denen eine Trennung vn Rllen und gegebenenfalls Funktinen rganisatrisch etabliert ist, werden aber mehrere Subjekte benötigt. Um nicht für jedes dieser Subjekte den initialen Registrierungsprzess durchlaufen zu müssen (was im Einzelfall u.u gar nicht möglich ist) muss einem Unternehmen die Möglichkeit gegeben werden die Subjekte und deren Attribute die im Namen des Unternehmens tätig werden (in einer Rlle der Funktin) selbst pflegen zu können. Die Rlle des Przesses Superuser Instanzierung ist es, das initiale Subjekt im Kntext eines Unternehmens anzulegen. Dieses Subjekt kann dann im Flgenden neue Subjekte im Unternehmenskntext erzeugen und pflegen. Die Instanzierung des Superusers erzeugt einen Trust-Anker dessen Vertrauenswürdigkeit entscheidend für die Sicherheit und Integrität entlang der Kette weiterer Subjekte ist. Vraussetzungen Der Przess Registrierung eines Unternehmens im CAS-SuisseTrust ist durchlaufen. Ablauf Anlegen 19/51
20 Claim Assertin Service CAS-Suisse Trust Ablauf Ändern CAS-SuisseTrust legt einen initialen Datensatz für den im bigen Przessschritt bereits authentifizierten Mitarbeiter als Superuser des Unternehmens an. Alternativ beziehungsweise ergänzend können auch autmatisiert - sfern diese Infrmatin in den Registern des Imperiums vrhanden ist - Zeichnungsberechtigte als Superuser übernmmen werden. Zuweisung der initialen Credentials für die Datenpflege durch den Superuser Der existierende Superuser authentisiert sich in der Datenpflege- Applikatin Über ein geeignetes Interface sichtet, erstellt er weitere Superuser im Unternehmenskntext Ablauf Löschen/Deaktivieren Der existierende Superuser authentifiziert sich in der Datenpflege- Applikatin Über ein geeignetes Interface löscht er weitere Superuser im Unternehmenskntext. Der letzte Superuser kann nicht über das Self Service Interface gelöscht werden, sndern nur über den Przesschritt Registrierung eines neuen Unternehmens im CAS-SuisseTrust / Löschen - Deaktivieren Input UID Output Anlegen Output Ändern Beteiligte Initiale Authentisierung Initiales Datenbjekt für das Unternehmen (zur UID) Initiale Credentials Auditrecrd zur Archivierung Neues Superuser-Datenbjekt für das Unternehmen (zur UID) Initiale Credentials Auditrecrd zur Archivierung Unternehmen Claim Assertin Service Prvider Technische Realisierungsmöglichkeiten Eine Realiserung sllte in Frm eines autmatisierten Wrkflws geschehen. Es muss eine Schnittstelle zur autmatisierten Registrierung eines Unternehmens im CAS-SuisseTrust vrhanden sein um eine nahtlse Integratin der beiden Przessschritte zu ermöglichen 20/51
21 Claim Assertin Service CAS-Suisse Trust Schnittstellen zu anderen Beteiligten Keine Requirements Der CAS-SuisseTrust Prvider stellt technischen Supprt für den Superuser zur Verfügung Es muss möglich sein, mehrere Superuser für ein Unternehmen anzulegen Es gibt einen Basis-Attribute-Satz, der immer angelegt wird, wenn ein neues Unternehmen bzw. dessen Superuser in CAS- SuisseTrust angelegt wird Mehrere Credentials müssen für die Authentifizierung unterstützt werden Registrierung weiterer Subjekte Funktin In grösseren Unternehmen ist es üblich, wie bereits erwähnt, eine Trennung vn Rllen und gegebenenfalls Funktinen rganisatrisch zu etablieren. Um dies im CAS-SuisseTrust adäquat wiedergeben zu können, werden über den Superuser hinaus weitere Subjekte benötigt. Ausgehend vm - über den Superuser gesetzten - Trust-Anker kann das Unternehmen in diesem Przess selbst die Pflege weiterer Subjekte im Rahmen des User Life Cycle übernehmen. Vraussetzungen Der Przess Superuser Instanzierung ist durchlaufen. Ablauf Anlegen / Ändern / Löschen-Deaktivieren Input Output Beteiligte Der Superuser authentifiziert sich in der Datenpflege-Applikatin Über ein geeignetes Interface sichtet, erstellt und löscht er weitere Subjekte im Unternehmenskntext Superuser Lgin und Authentisierung mit SuisseID Weitere Subjekte im Unternehmens-Kntext Initiale Credentials für diese Subjekte Auditrecrd zur Archivierung Unternehmen Technische Realisierungsmöglichkeiten CAS-SuisseTrust stellt für die Datenpflege mehrere Interfaces bereit: Ein Web-basiertes Interface das dem Superuser die Sichtung, Erzeugung und Löschung vn weiteren Subjekten ermöglicht. 21/51
22 Claim Assertin Service CAS-Suisse Trust Optinal: Web-basierte Self-Services die es einer Persn ermöglichen sich geeignet zu authentifizieren (SuisseID) und einen Apprval-Wrkflw anzustssen als dessen Resultat die Persn als Subjekt im Unternehmenskntext unterhalb des Superusers angelegt wird. Optinal: Prvisinierungsinterfaces zum Unternehmens-IAM Schnittstellen zu anderen Beteiligten Requirements Der CAS-SuisseTrust Prvider stellt technischen Supprt für den Superuser zur Verfügung Es muss möglich sein, mehrere Superuser für ein Unternehmen anzulegen Es gibt einen Basis-Attribute-Satz, der für neue Subjekte angelegt wird. Mehrere Credentials müssen für die Authentifizierung unterstützt werden Zuweisung vn Attribut-Werten zu Subjekten Funktin Um die im vrherigen Przessschritt geschaffenen Subjekte im User Life Cycle zu unterstützen, müssen im Datenbjekt zu dem Subjekt die entsprechenden Attribute mit Werten befüllt werden. Vraussetzungen Der Przess Registrierung weiterer Subjekte ist durchlaufen. Es existiert ein definiertes Vkabular mit festgelegter Syntax und Sematik für die Anwendungsdmäne. Ablauf Anlegen / Ändern / Löschen-Deaktivieren Input Output Beteiligte Der Superuser authentisiert sich in der Datenpflege-Applikatin Über ein geeignetes Interface sichtet und pflegt er die Attribute der dem Unternehmen zugerdneten Subjekte. Superuser Lgin und Authentisierung mit SuisseID Attributwerte Auditrecrd zur Archivierung Unternehmen Technische Realisierungsmöglichkeiten CAS-SuisseTrust stellt für die Datenpflege mehrere Interfaces bereit: Ein Web-basiertes Interface das dem Superuser die Sichtung, Erzeugung und Löschung vn weiteren Subjekten ermöglicht. 22/51
23 Claim Assertin Service CAS-Suisse Trust Optinal: Web-basierte Self-Services die es einer Persn ermöglichen, sich geeignet zu authentifizieren (SuisseID) und einen Apprval-Wrkflw anzustssen. Resultat dieses Apprval- Wrkflws: Zusätzliche Attribute werden über dieses Apprval der Persn zugewiesen. Optinal: Prvisinierungsinterfaces zum Unternehmens-IAM Schnittstellen zu anderen Beteiligten Requirements Der CAS-SuisseTrust Prvider stellt technischen Supprt für den Superuser zur Verfügung Eintrag Lösungsanbieter im CAS-SuisseTrust Funktin Um die Authentifizierungsfunktinalität des CAS-SuisseTrust Services nutzen zu können, müssen zwischen der Organisatin/Firma (dem Anbieter der gelieferten Infrmatinen zu einem Subjekt) und dem CAS-SuisseTrust eine Reihe vn rganisatrischen, technischen und rechtlichen Vraussetzungen geschaffen werden. Darüber hinaus muss der CAS-SuisseTrust alle - seinen Dienst nutzenden - Unternehmen darüber infrmieren können, dass nunmehr ein weiterer Lösungsanbieter via CAS-SuisseTrust genutzt werden kann. Vraussetzungen Der Lösungsanbieter verfügt über eine geeignete Anwendung. Ablauf Anlegen Ein Lösungsanbieter tritt in Kntakt mit dem CAS-SuisseTrust. CAS-SuisseTrust und Lösungsanbieter legen die ntwendige Authentifizierungsstärke fest. Die initialen Attribute - welche die Lösung im Claimset benötigt - werden definiert. CAS-SuisseTrust prüft die Gültigkeit und die krrekte Zurdnung des Zertifikates zum Lösungsanbieter Der CAS-SuisseTrust übergibt seinen für die Authentifizierung und Integritätsprüfung des Claimsets ntwendigen öffentlichen Schlüssel, bzw das entsprechende Zertifikat an den Lösungsanbieter Der Lösungsanbieter prüft die Gültigkeit und die krrekte Zurdnung des Zertifikates zum CAS-SuisseTrust. Gegenseitige Supprtschnittstellen werden definiert Vertragsabschluss zwischen CAS-SuisseTrust und dem Lösungsanbieter (beinhaltet auch SLA) CAS-SuisseTrust knfiguriert den neuen Lösungsanbieter im Dienst. Der Lösungsanbieter knfiguriert seine Anwendung s, dass sie den CAS-SuisseTrust Service nutzen kann. Dies beinhaltet insbesndere auch, dass der Lösungsanbieter ein geeignetes Knzept für die Steuerung der Zugriffsrechte unterhält. 23/51
24 Claim Assertin Service CAS-Suisse Trust Ablauf Ändern Der CAS-SuisseTrust infrmiert nutzende Unternehmen darüber dass ein neuer Lösungsanbieter verfügbar ist. Der Lösungsanbieter infrmiert die Nutzer seiner Applikatin, dass die Applikatin über CAS-SuisseTrust nutzbar ist. Optinal kann der CAS-SuisseTrust den Lösungsanbieter mit einem Sftware-Develpment Kit SDK und technischem Prjekt- Supprt unterstützen. Zu bedenken: Der CAS-SuisseTrust sllte Mindestanfrderungen an die Sicherheit und das Datenschutzniveau beim Lösungsanbieter stellen und dies gegebenenfalls auch prüfen, da eine Kmprmittierung der Sicherheit und insbesndere des Datenschutzes beim Lösungsanbieter auch auf das Sicherheits-Image des CAS-SuisseTrust zurückfällt. Ein Lösungsanbieter tritt in Kntakt mit dem CAS-SuisseTrust. Optinal: Vertrags- und der SLA-Änderung Optinal CAS-SuisseTrust ändert die Knfiguratin für den Lösungsanbieter im Dienst. Der Lösungsanbieter ändert die Knfiguratin seiner Anwendung Der CAS-SuisseTrust infrmiert nutzende Unternehmen sweit ntwendig und rechtlich zulässig über die durchgeführten Änderungen. Ablauf Löschen/Deaktivieren Input Output Beteiligte Ein Lösungsanbieter tritt in Kntakt mit dem CAS-SuisseTrust. Fristgerechtes Vertragsende zwischen CAS-SuisseTrust und dem Lösungsanbieter (beinhaltet auch SLA) CAS-SuisseTrust deaktiviert den Lösungsanbieter im Dienst. Der CAS-SuisseTrust infrmiert nutzende Unternehmen darüber, dass der Lösungsanbieter nicht mehr verfügbar ist. Initiales Attribut Set Zertifikat des Lösungsanbieters Service Level Agreement Vertragsbeziehung Definiertes Attribut-Set Auditrecrd zur Archivierung Infrmatin an Unternehmen über neuen Lösungsanbieter. Lösungsanbieter Claim Assertin Service Prvider 24/51
25 Claim Assertin Service CAS-Suisse Trust Unternehmen Technische Realisierungsmöglichkeiten Administratins-Schnittstelle der beim CAS-SuisseTrust verwendeten Sftware Schnittstellen zu anderen Beteiligten Geeignete Kmmunikatinskanäle zu den Unternehmen Requirements Authentifizierungsstärke kann festgelegt werden Gegenseitiger Secnd Level Supprt Es gibt SLA Vereinbarungen Möglichkeit die eigene Lösung beim CAS sichtbar zu machen Zurdnungsmanagement sll ausgelagert werden können Es muss günstig und einfach sein Abgrenzung 1. Level Supprt Integratin der Applikatinen auf Seiten des Lösungsanbieters CAS bietet Sftware-Develpment Kit Lösungsanbieter muss bei sich die entsprechenden Rllen / Berechtigungen definieren und einrichten Gegenseitige Authentisierung Autrisierung des Lösungsanbieters CAS muss zertifiziert sein (nach ISO 27001) CAS-SuisseTrust stellt Standard AGB und SLA zur Verfügung Auf dieser Basis kmmt eine ffizielle vertragliche Beziehung zu Stande Der Przess muss Einfach Schnell Wahlweise autmatisiert der manuell ablauffähig Zuverlässig Transparent sein Rllen und Attribut Definítin Funktin CAS-SuisseTrust muss dem Lösungsanbieter ein revisinssicheres Reprting bieten. Damit die Applikatin eines Lösungsanbieters eine Access Cntrl Plicy implementieren und durchsetzen kann, muss sie vm CAS-SuisseTrust entsprechend abgestimmte Infrmatinen, als Claims, zum jeweiligen Subjekt erhalten. Dazu müssen Lösungsanbieter und CAS-SuisseTrust sich auf einen 25/51
26 Claim Assertin Service CAS-Suisse Trust Satz vn Attributen und zulässigen Wertbereichen einigen. Die Unternehmen müssen diese Infrmatinen dann für ihre Subjekte entsprechend pflegen.. Vraussetzungen Der Przess Eintrag Lösungsanbieter im CAS-SuisseTrust ist bereits durchlaufen und der Lösungsanbieter hat eine Access Cntrl Plicy auf der Basis vn ABAC der RBAC definiert. Ablauf Anlegen Der Lösungsanbieter definiert ein Set vn Rllen und Attributen Der Lösungsanbieter kmmuniziert dies CAS-SuisseTrust CAS-SuisseTrust knfiguriert den Service entsprechend s, dass an den Lösungsanbieter passende Claimsets geliefert werden können. Der Lösungsanbieter infrmiert Unternehmen die auf seine Anwendung zugreifen über neue der geänderte Rllen und Attribute. Die Unternehmen pflegen die entsprechenden Rllen und Attribute zu ihren Subjekten im CAS-SuisseTrust. Ablauf Ändern / Löschen-Deaktivieren Input Output Beteiligte Der Lösungsanbieter definiert ein geändertes Set vn Rllen und Attributen Der Lösungsanbieter kmmuniziert dies CAS-SuisseTrust CAS-SuisseTrust knfiguriert den Service entsprechend s, dass an den Lösungsanbieter passende Claimsets geliefert werden können. Der Lösungsanbieter infrmiert Unternehmen die auf seine Anwendung zugreifen über neue der geänderte Rllen und Attribute. Die Unternehmen pflegen die entsprechenden Rllen und Attribute zu ihren Subjekten im CAS-SuisseTrust. Rllen und Attribut Set des Lösungsanbieters Angepasstes Claimset Angepasste Datenbjekte in SuisseTrust Auditrecrd zur Archivierung Infrmatin über geänderte Rllen und Attribute an Unternehmen. Lösungsanbieter Claim Assertin Service Prvider Unternehmen 26/51
27 Claim Assertin Service CAS-Suisse Trust Technische Realisierungsmöglichkeiten Elektrnische Kmmunikatin der gewünschten Rllen und Attribute über einen gesicherten Kanal vm Lösungsanbieter an den CAS-SuisseTrust Prvider. Dies kann sein: signierte SSL/TLS geschütztes prprietäres Frntend beim CAS-SuisseTrust Anschliessend werden die Rllen und Attribute über die Administratins- Schnittstelle der beim CAS-SuisseTrust verwendeten Sftware gepflegt. Schnittstellen zu anderen Beteiligten Geeignete Kmmunikatinskanäle zu den Unternehmen Requirements Gegenseitiger Secnd Level Supprt Przess muss schnell, flexibel und auditierbar sein Rllen und Attribut Set Änderungen müssen authentifizierbar und verifizierbar sein. Autrisierung des Lösungsanbieters CAS-SuisseTrust muss dem Lösungsanbieter ein revisinssicheres Reprting bieten Authentifizierung/Claim Vrlage Funktin Um auf die Anwendung eines Lösungsanbieters zugreifen zu können und die richtigen Rechte im passenden Unternehmenskntext zu erhalten muss sich ein Subjekt gegenüber der Anwendung authentifizieren. Dazu wird über das Subjekt, user centric, die Authentifizierungsauffrderung durch die Applikatin an den CAS-SuisseTrust Service weitergeleitet (via Redirect). Die direkte Authentifizierung mit Hilfe der vereinbarten Credentials geschieht nun gegenüber dem CAS-SuisseTrust. Der CAS-SuisseTrust stellt nun entsprechend der Anfrage der Lösung ein entsprechendes Claimset zusammen. Das bedeutet: zu den angefragten Attributen werden für das entsprechende Subjekt (den aktuellen User) die Attribut Wert Paare signiert und als sgenanntes cmbined Attribute-Statement in Frm einer SAML 2.0 frmatierten Assertin geliefert. Wichtig ist hierbei festzuhalten, dass das entsprechende Claimset jeweils nur im aktuellen Sessin Kntext gültig ist. Das bedeutet insbesndere, dass keine persistenten (als längere Zeit gültige, speicherbare, ausdruckbare) Bestätigungen generiert werden. Darüber hinaus ist durch das Prinzip der user centric Identity ein Claimset immer direkt an ein anfragendes Subjekt gebunden. Das bedeutet nicht zwingend, dass das Subjekt, der User, explizit Attribute abwählen der einsehen kann, aber dass die Abfrage der entsprechenden Attribute nur durch ihn direkt (durch seinen expliziten Zugriff auf die Applikatin und seine Authentifizierung) ausgelöst werden können. Dies ist klar vn der Funktinalität eines Registers der Directries zu unterscheiden.. Vraussetzungen 27/51
Service Level Agreement (SLA) für OS4X Suite der c-works GmbH
Seite 1 vn 6 Service Level Agreement (SLA) für OS4X Suite der Datum des Inkrafttretens: 19-10-2011 Dkument-Eigentümer: Versin Versin Datum Beschreibung Autr 1.0 10.10.2011 Service Level Agreement H. Latzk
MehrIPM- Prozessmanagement. Manuelle Anträge
Manuelle Anträge Allgemeines In jedem der nachflgend dargestellten Przesse, in denen manuelle Aktinen enthalten sind (z.b. Genehmigung des Leiters zu einem Rllen-Antrag), können zu diesen Aktinen über
MehrÖsterreichs erster Online-Shop zur Bestellung von Katalogen für Reisebüros
Österreichs erster Online-Shp zur Bestellung vn Katalgen für Reisebürs www.schengrundner.at einfach und sicher bestellen mehr als 500 Artikel Inhaltsbeschreibung der Artikel über 70 Anbieter Katalgvrschau
MehrThe Cable Guy: Dynamische DNS-Aktualisierung in Windows 2000
The Cable Guy: Dynamische DNS-Aktualisierung in Windws 2000 (Engl. Originaltitel: The Cable Guy: DNS Dynamic Update in Windws 2000) DNS (Dmain Name System) unterstützt einen Mechanismus zum Auflösen vn
MehrTactonWorks EPDM Integration. Lino EPDM pro. Whitepaper. unter Nutzung des TactonWorks Add-in EPDM von Tacton Systems AB
Lin EPDM pr Whitepaper unter Nutzung des TactnWrks Add-in EPDM vn Tactn Systems AB Ausgabedatum: 04.09.2013 - Dkumentversin: 1.1 Autr: Clemens Ambrsius / Rüdiger Dehn Cpyright Lin GmbH 2013 Alle Rechte
MehrFrequently Asked Questions zu UMS
UMS [UMS] Sind der Accunt und die E-Mail-Adresse identisch? Accunt und E-Mail-Adresse sind in der Regel nicht identisch. Ein Accunt ist ein Benutzerknt (engl. user accunt). Mit einer Accunt ID und dem
Mehrrmdata GeoProject Release Notes Version 2.4 Organisation und Verwaltung von rmdata Projekten Copyright rmdata GmbH, 2015 Alle Rechte vorbehalten
Release Ntes rmdata GePrject Versin 2.4 Organisatin und Verwaltung vn rmdata Prjekten Cpyright rmdata GmbH, 2015 Alle Rechte vrbehalten rmdata Vermessung Österreich rmdata Vermessung Deutschland Industriestraße
MehrImplementierung von Manufacturing Execution Systemen (MES) Zusammenfassung
Implementierung vn Manufacturing Executin Systemen (MES) Zusammenfassung Das Management der Fertigungs- und Mntageprzesse mit allen unmittelbar prduktinsbeeinflussenden Przessen wird zunehmend zu einer
MehrNeuer Web-Shop. oder wenn noch kein ISP Login vorhanden start2013 (bitte nach erstmaligen Login ändern).
Neuer Web-Shp Aufruf Für die Zentrale Beschaffung (ZB) und der Spitalaptheke (ISP) gibt es weiterhin zwei getrennte Web- Shps. Der Aufruf des Web-Shps kann über die Verknüpfungen im Intranet erflgen der
MehrCATIA Richtlinien. Es wird zuerst ein quadratischer Tank (geschlossene Form) konstruiert, dieser wird zu:
CATIA Richtlinien Inhalt: 1. Benennung vn Bauteile 2. Benennung vn Baugruppen 3. Strukturierung vn CATIA-Dateien 4. Uplad auf Agra Um die Benennung und die Struktur in CATIA zu vereinheitlichen bitten
MehrAuthega Weiterentwicklungen als Ergänzung zum npa
Bayerisches Landesamt für Steuern Authega Weiterentwicklungen als Ergänzung zum npa Le.Fleiner@lfst.bayern.de Die Herausfrderung: Authentifizierung? Die Prblemstellungen: 1.Sichere Identifizierung für
MehrInstallationsanleitung. zum Anschluss an Telefonanlagen (Mehrplatzversion)
zum Anschluss an Telefnanlagen () CPTel () besteht aus zwei unterschiedlichen Prgrammen: CPTel Server und CPTel Client. Installatinsvarianten: eigenständiger CPTel-Server CPTel-Server und CPTel-Client
MehrIII.2.3) Technische und berufliche Leistungsfähigkeit
1. Anfrderungen an das Unternehmen 1.1 Sicherheitsanfrderungen Gegenstand des vrliegenden Auftrags sind Lieferungen und Leistungen, die entweder ganz der teilweise der Geheimhaltung nach dem Sicherheitsüberprüfungsgesetz
MehrDie Situation: mit ClassLive synchron kommunizieren. Die Voraussetzungen:
Quickstart.NRWir - Ein leicht verständliches Tutrial für Frnter Y11. Ihr schneller Helfer bei Alltagsfragen rund um die Lernplattfrm NRWir-Frnter. Sie finden unter www.nrwir.de/lvr/quickstarts weitere
MehrNewsletter e-rechnung an die öffentliche Verwaltung
Vn: E-Rechnung an den Bund Gesendet: Dnnerstag, 16. Oktber 201413:16 Betreff: ERB-Newsle)er: Deutsch Newsletter e-rechnung an die öffentliche Verwaltung Sehr geehrte Abnnentin, sehr
MehrAbschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh
Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh 1 Welche Verträge können über dieses Portal abgeschlossen werden? Lieferantenrahmenvertrag Strom Zuordnungsvereinbarung
MehrAllgemeine Informationen zur Registrierung für die GRAPHISOFT Studentenversionen
Allgemeine Infrmatinen zur Registrierung für die GRAPHISOFT Studentenversinen Die GRAPHISOFT Studentenversinen sind für bezugsberechtigte* Studierende, Auszubildende und Schüler kstenls** und stehen Ihnen
MehrOrdner Berechtigung vergeben Zugriffsrechte unter Windows einrichten
Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten Was sind Berechtigungen? Unter Berechtigungen werden ganz allgemein die Zugriffsrechte auf Dateien und Verzeichnisse (Ordner) verstanden.
MehrSehr wichtige Information
1 Sehr wichtige Infrmatin vn Mensch zuerst Netzwerk Peple First Deutschland e.v. Es gibt eine sehr wichtige Änderung für die Bilder aus 'Das neue Wörterbuch für Leichte Sprache'. Es geht um die bunten
MehrSPLIT-PAYMENT BUCHHALTUNG
SPLIT-PAYMENT BUCHHALTUNG Laut dem Stabilitätsgesetzt 2015 wurden einige wesentlich Neuerungen eingeführt. Ein Teil davn ist Artikel 17-ter DPR 733/72: Dieser Artikel 17-ter betrifft die Rechnungen an
MehrKurzübersicht. Grundeinstellungen. 1) Im Rakuten Shop
Kurzübersicht Die Anbindung an Rakuten ermöglicht es Ihnen Bestellungen aus Ihrem Rakuten Shp zu imprtieren und hieraus Lieferscheine und Rechnungen zu erstellen. Prdukte lassen sich aus dem Rakuten Shp
MehrWDB Brandenburg: Online-Erfassung und -Pflege Schritt für Schritt
Für die Nutzung der Online-Erfassung und Pflege benötigen Sie Ihre Institutinsnummer und ein Passwrt. Sie sind nch nicht als Nutzer für die Online-Erfassung registriert? Betätigen Sie den Buttn Neu registrieren.
MehrERSTELLEN VON INCENTIVES IM ZANOX NETZWERK
ERSTELLEN VON INCENTIVES IM ZANOX NETZWERK USER GUIDE FÜR ADVERTISER INHALTSVERZEICHNIS 1. Einführung...3 2. Incentives veröffentlichen...4 3. Weitere Funktionen...9 ZANOX.de AG Erstellen von Incentives
MehrAllgemeine Informationen zur Registrierung für die GRAPHISOFT Studentenversionen
Allgemeine Infrmatinen zur Registrierung für die GRAPHISOFT Studentenversinen Die GRAPHISOFT Studentenversinen sind für bezugsberechtigte* Studierende, Auszubildende und Schüler kstenls** und stehen ihnen
MehrBenutzerverwaltung Business- & Company-Paket
Benutzerverwaltung Business- & Company-Paket Gemeinsames Arbeiten mit der easyfeedback Umfragesoftware. Inhaltsübersicht Freischaltung des Business- oder Company-Paketes... 3 Benutzerverwaltung Business-Paket...
MehrKonto einrichten in 10 Minuten! Nach der Registrierung helfen Ihnen folgende 4 Schritte, absence.io schnell und einfach einzuführen.
Konto einrichten in 10 Minuten! Nach der Registrierung helfen Ihnen folgende 4 Schritte, absence.io schnell und einfach einzuführen. absence.io bietet Ihnen eine unkomplizierte und effiziente Urlaubverwaltung,
MehrKlausur Advanced Programming Techniques
Advanced Prgramming Techniques Autr: Prf. Dr. Bernhard Humm, FB Infrmatik, Hchschule Darmstadt Datum: 8. Juli 2008 Klausur Advanced Prgramming Techniques 1 Spielregeln zur Klausur Allgemeines Die Bearbeitungszeit
MehrAnmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC
Anmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC Starten Sie in den Browsern Chrome oder Safari die Seite: www.mymeep.de Erstellen Sie Ihren persönlichen Account unter Eltern Login neu,
MehrBenutzeranleitung Superadmin Tool
Benutzeranleitung Inhalt 1 Einleitung & Voraussetzungen... 2 2 Aufruf des... 3 3 Konto für neuen Benutzer erstellen... 3 4 Services einem Konto hinzufügen... 5 5 Benutzer über neues Konto informieren...
MehrInterne Kommunikation als strategisches Instrument
Interne Kmmunikatin als strategisches Instrument Wrkshpleitung: Swantje-Angelika Küpper, Bnn Kinderunfallkmmissin www.kuepper-nline.rg 1 Was ist interne Kmmunikatin? Interne Kmmunikatin ist keine Presse-
MehrHow to do? Projekte - Zeiterfassung
How to do? Projekte - Zeiterfassung Stand: Version 4.0.1, 18.03.2009 1. EINLEITUNG...3 2. PROJEKTE UND STAMMDATEN...4 2.1 Projekte... 4 2.2 Projektmitarbeiter... 5 2.3 Tätigkeiten... 6 2.4 Unterprojekte...
MehrSchritt 1 - Registrierung und Anmeldung
Schritt 1 - Registrierung und Anmeldung Anmeldung: Ihre Zugangsdaten haben Sie per EMail erhalten, bitte melden Sie sich mit diesen auf www.inthega-datenbank.de an. Bitte merken Sie sich die Zugangsdaten
MehrSage Office Line und cobra: die ideale Kombination. Sage und cobra
Sage Office Line und cbra: die ideale Kmbinatin Sage und cbra 1 Die Kmbinatin und ihre Synergieeffekte Unternehmen brauchen eine ERP-Lösung zur Verwaltung und Abwicklung ihrer Geschäftsprzesse. cbra hingegen
MehrInxmail Professional 4.4
E-Mail-Marketing Hw-t Inxmail Prfessinal 4.4 Neue Funktinen Im ersten Quartal 2014 wird Inxmail Prfessinal 4.4 veröffentlicht. In dieser Versin steht der Split-Test in völlig überarbeiteter Frm innerhalb
MehrGEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT
Seite 1/7 GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT ZENTRAL LOKALE MANAGEMENT-PLATTFORM FÜR EINE W ELTWEIT SICHERE INDUSTRIELLE KOMMUNIKATION. Seite 2/7 Auf den folgenden Seiten
MehrNewsletter e-rechnung an die öffentliche Verwaltung
Vn: E-Rechnung an den Bund Gesendet: Miwch, 05. Nvember 201414:43 Betreff: ERB-Newsleer: Deutsch Newsletter e-rechnung an die öffentliche Verwaltung Sehr geehrte Abnnentin, sehr geehrter
MehrÜbersicht... 2 Dateiupload... 3 Administratorfunktionen... 4
Inhalt Übersicht... 2 Dateiupload... 3 Administratorfunktionen... 4 Benutzer hinzufügen... 4 Benutzerverwaltung... 5 Ordner anlegen... 6 Rechteverwaltung... 7 Verlag für neue Medien Seite 1 Übersicht Mit
MehrBeschaffung mit. Auszug aus dem Schulungshandbuch: Erste Schritte im UniKat-System
Beschaffung mit Auszug aus dem Schulungshandbuch: Erste Schritte im UniKat-System Stand: 31. Oktober 2014 Inhaltsverzeichnis 1 Erste Schritte im UniKat-System... 2 1.1 Aufruf des Systems... 2 1.2 Personalisierung...
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrHSR git und subversion HowTo
HSR git und subversion HowTo An der HSR steht den Studierenden ein git Server für die Versionskontrolle zur Verfügung. Dieses HowTo fasst die notwendigen Informationen zur Verwendung dieses Dienstes zusammen.
MehrMORE Profile. Pass- und Lizenzverwaltungssystem. Stand: 19.02.2014 MORE Projects GmbH
MORE Profile Pass- und Lizenzverwaltungssystem erstellt von: Thorsten Schumann erreichbar unter: thorsten.schumann@more-projects.de Stand: MORE Projects GmbH Einführung Die in More Profile integrierte
MehrSSZ Policy und IAM Strategie BIT
SSZ Policy und IAM Strategie BIT Thierry Perroud Unternehmensarchitekt BIT Agenda Geschäftstreiber SSZ Abgrenzung Access Management / Identity Management IAM Strategien Zugriffsmuster Stand der Arbeiten
MehrLOPS Monitor 2012. Zusammenfassende Ergebnisse einer Befragung bei Leitungen im OP im April 2012. 6. September 2012
LOPS Mnitr 2012 Zusammenfassende Ergebnisse einer Befragung bei Leitungen im OP im April 2012 6. September 2012 Belares AG Flrastrasse 34a 8610 Uster Telefn +41 (0) 44 363 35 36 cntact@belares.ch www.belares.ch
MehrAuf unserer Homepage (ASSA ABLOY Schweiz) können Sie die aktuelle Dokumentation und Software downloaden.
FAQ K-Entry - W finde ich aktuelle KESO Sftware zum Dwnlad? Auf unserer Hmepage (ASSA ABLOY Schweiz) können Sie die aktuelle Dkumentatin und Sftware dwnladen. Unter http://www.kes.cm/de/site/keso/dwnlads/sftware/
MehrInstallation der Webakte Rechtsschutz
Installatin der Webakte Rechtsschutz Kstenfreie zusätzliche Funktin für WinMACS Sankt-Salvatr-Weg 7 91207 Lauf Tel. 09123/18 30-0 Fax 09123/18 30-183 inf@rummel-ag.de www.rummel-ag.de Inhaltsverzeichnis
MehrBedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof
Bedienungsanleitung für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof Matthias Haasler Version 0.4 Webadministrator, email: webadmin@rundkirche.de Inhaltsverzeichnis 1 Einführung
MehrLeitfaden zur Anlage einer Nachforderung. Nachforderung. 04.04.2013 Seite 1 von 11 RWE IT GmbH
Leitfaden zur Anlage einer 04.04.2013 Seite 1 von 11 Inhaltsverzeichnis 1 Aufruf des RWE smanagements...3 2 Eingabe der Benutzerdaten...4 3 Erfassen der...5 4 Neue...6 4.1 Allgemeine Daten...7 4.2 Beschreibung...7
MehrHandbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen
Handbuch timecard Connector 1.0.0 Version: 1.0.0 REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Furtwangen, den 18.11.2011 Inhaltsverzeichnis Seite 1 Einführung... 3 2 Systemvoraussetzungen...
MehrAUTOMATISCHE E-MAIL-ARCHIVIERUNG. 10/07/28 BMD Systemhaus GmbH, Steyr Vervielfältigung bedarf der ausdrücklichen Genehmigung durch BMD!
AUTOMATISCHE E-MAIL-ARCHIVIERUNG 10/07/28 BMD Systemhaus GmbH, Steyr Vervielfältigung bedarf der ausdrücklichen Genehmigung durch BMD! INHALT AUTOMATISCHE E-MAIL-ARCHIVIERUNG... 4 Eingehende E-Mails können
MehrISAP Kundencenter. Alles. Einfach. Online. Das Handbuch zum neuen ISAP Kundencenter. 1992 2014 ISAP AG. All rights reserved.
ISAP Kundencenter Alles. Einfach. Online. Das Handbuch zum neuen ISAP Kundencenter. 1992 2014 ISAP AG. All rights reserved. ISAP Kundencenter Im Rahmen unseres Supports möchten wir Ihnen über unterschiedliche
MehrPartnerWeb. Anleitung. Personaladministration online erledigen. Telefon: 062 837 71 71 info@gastrosocial.ch
PartnerWeb Personaladministration online erledigen Anleitung Telefon: 062 837 71 71 E-Mail: info@gastrosocial.ch Inhaltsverzeichnis Anleitung PartnerWeb Hinweise 3 Registrieren 4 Anmelden 6 Mitarbeitende
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrRegistrierung im Datenraum
Brainloop Secure Dataroom Version 8.20 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Sämtliche verwendeten Markennamen und Markenzeichen sind Eigentum der jeweiligen Markeninhaber. Inhaltsverzeichnis
MehrAGORA DIRECT Börsenhandel Online Das Tor zu den Weltmärkten T e l. (+49) 030-781 7093
VVV T e l. (+49) 030 781 7093 Kurzanleitung Kurzanleitung Installatin der Handelssftware für den PC mit WindwsBetriebssystemen. Wir glauben die Kurzanleitung s gestaltet zu haben, dass auch weniger geübte
MehrAnleitung für Selbsteinträge für Vereine auf der städtischen Homepage.
Anleitung für Selbsteinträge für Vereine auf der städtischen Homepage. 21.11.2011 14.11.2011 IT-Abteilung Klaus Schill Tel. 07031 669-1278 Email schill@boeblingen.de Inhaltsverzeichnis: Grundsätzliche
MehrBerechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender 2010. FHNW, Services, ICT
Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender 2010 FHNW, Services, ICT Windisch, März 2013 Berechtigungen im Kalender 1 1 Gruppen 3 1.1 Die Gruppe/der Benutzer Standard
MehrAbgestimmte Kennwortrichtlinien
Abgestimmte Kennwrtrichtlinien Maik Görlich In Active Directry Dmänen unter Windws 2000 Server und Windws Server 2003 knnte jeweils nur eine einheitliche Kennwrtrichtlinie und eine Kntsperrungsrichtlinie
MehrBrainloop Dox Häufig gestellte Fragen
Brainloop Dox Häufig gestellte Fragen 1. Wie kann ich ein Unternehmenskonto für Brainloop Dox erstellen? Zum Erstellen eines Unternehmenskontos für Brainloop Dox, besuchen Sie unsere Webseite www.brainloop.com/de/dox.
MehrIhr Benutzerhandbuch für das IntelliWebs - Redaktionssystem
Ihr Benutzerhandbuch für das IntelliWebs - Redaktionssystem Der IntelliWebs-Mailadministrator ermöglicht Ihnen Mailadressen ihrer Domain selbst zu verwalten. Haben Sie noch Fragen zum IntelliWebs Redaktionssystem?
MehrLeitfaden Meine Daten ändern
Finanzdirektion des Kantons Bern Einleitung BE-Login ist die elektronische Plattform des Kantons Bern. Nach erfolgter Registrierung und anschliessender Anmeldung können Sie diverse Behördengänge zentral
MehrM-net E-Mail-Adressen einrichten - Apple iphone
M-net E-Mail-Adressen einrichten - Apple iphone M-net Telekommunikations GmbH Emmy-Noether-Str. 2 80992 München Kostenlose Infoline: 0800 / 7 08 08 10 M-net E-Mail-Adresse einrichten - iphone 05.03.2013
MehrAutorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente
Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung
Mehr1. Loggen Sie sich mit Ihrem Benutzernamen in den Hosting-Manager (Confixx) auf Ihrer entsprechenden AREA ein.
Page 1 of 7 Mailing Listen verwenden Vorwort Mailing-Listen (Mailing Lists) dienen der E-Mail Konversation zwischen mehreren Mitgliedern einer Liste. Man kann sich das wie ein Online-Forum vorstellen,
MehrBenutzeranleitung Kontoverwaltung
Benutzeranleitung Kontoverwaltung Die Provisionierungs-Plattform http://cp.solution.ch dient der Verwaltung von Hosted Exchange 2010 und SharePoint Benutzern. Provisionierungs-Zustände Bei der Provisionierung
MehrKleines Handbuch zur Fotogalerie der Pixel AG
1 1. Anmelden an der Galerie Um mit der Galerie arbeiten zu können muss man sich zuerst anmelden. Aufrufen der Galerie entweder über die Homepage (www.pixel-ag-bottwartal.de) oder über den direkten Link
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrLabel-Guide Stand: 10 2014
Label-Guide Stand: 10 2014 Der ClimatePartner Label-Guide 2 Über ClimatePartner ClimatePartner ist ein führender Business Slutin Prvider für Klimaschutz und unterstützt Unternehmen aller Branchen dabei,
MehrStelle Vorgelegt am Angenommen am Abgelehnt am Bund 04.12.2006 02.01.2007 Land Salzburg 04.12.2006 19.12.2006 Alle übrigen Länder
Betrieb vn E-Gvernment- Kmpnenten Knventin egv-betr 1.0.0 Empfehlung mehrheitlich Kurzbeschreibung Eine wesentliche Vraussetzung für die Akzeptanz vn E- Gvernment-unterstützten Dienstleistungen ist die
MehrINDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline
Öffentliche Ordner Offline INDEX Öffentliche Ordner erstellen Seite 2 Offline verfügbar einrichten Seite 3 Berechtigungen setzen Seite 7 Erstelldatum 12.08.05 Version 1.1 Öffentliche Ordner Im Microsoft
MehrMicrosoft Visual Studio 2005 Team System
Micrsft Visual Studi 2005 Team System Eine Einschätzung der Einsatzmöglichkeiten im Gebiet des Sftware Offshring. Sebastian Geiger [geiger@fzi.de] Inhaltsverzeichnis Beschreibung des Szenaris... 2 Eingesetzte
MehrSystemvoraussetzungen zur Teilnahme an HeiTel Webinaren. HeiTel Webinaren. Datum Januar 2012 Thema
HeiTel Webinare Datum Januar 2012 Thema Systemvraussetzungen zur Teilnahme an Kurzfassung Systemvraussetzungen und Systemvrbereitungen zur Teilnahme an Inhalt: 1. Einführung... 2 2. Vraussetzungen... 2
MehrSkript Pilotphase em@w für Arbeitsgelegenheiten
Die Pilotphase erstreckte sich über sechs Meilensteine im Zeitraum August 2011 bis zur EMAW- Folgeversion 2.06 im August 2013. Zunächst einmal musste ein grundsätzliches Verständnis für das Verfahren geschaffen
MehrTHUNDERBIRD. 1 Was ist sigmail.de? 2 Warum sigmail.de? UP.10.016.ESUTB.8-1-2
Seite 1 1 Was ist sigmail.de? Sigmail ist der E Mail Server auf www.signaturportal.de. Eine E Mail Adresse auf signaturportal.de lautet deshalb @sigmail.de. 2 Warum sigmail.de? Der einfachste Weg, elektronische
MehrOnline-Prüfungs-ABC. ABC Vertriebsberatung GmbH Bahnhofstraße 94 69151 Neckargemünd
Online-Prüfungs-ABC ABC Vertriebsberatung GmbH Bahnhofstraße 94 69151 Neckargemünd Telefon Support: 0 62 23 / 86 55 55 Telefon Vertrieb: 0 62 23 / 86 55 00 Fax: 0 62 23 / 80 55 45 (c) 2003 ABC Vertriebsberatung
MehrUMSETZUNGSHILFE Exta Einladung zur Durchführung eines betrieblichen Eingliederungsmanagement nach 84 Abs. 2 SGB IX
UMSETZUNGSHILFE Exta Einladung zur Durchführung eines betrieblichen Eingliederungsmanagement nach 84 Abs. 2 SGB IX Mai 2015 & Thmas Hchgeschurtz 1. Anschreiben an Mitarbeiter zur Verfahrenseinleitung Einladung
MehrKostenstellen verwalten. Tipps & Tricks
Tipps & Tricks INHALT SEITE 1.1 Kostenstellen erstellen 3 13 1.3 Zugriffsberechtigungen überprüfen 30 2 1.1 Kostenstellen erstellen Mein Profil 3 1.1 Kostenstellen erstellen Kostenstelle(n) verwalten 4
Mehr1 Allgemeines. 2 Vergabeportal Vergabemarktplatz Rheinland
Infrmatinen zur Angebtsabgabe beim Erftverband Infrmatinen zur Angebtsabgabe beim Erftverband 1 Allgemeines Der Erftverband ist als Körperschaft des öffentlichen Rechts im Zuge vn Beschaffungen vn Liefer-
MehrZur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:
K U R Z A N L E I T U N G D A S R Z L WE B - P O R T A L D E R R Z L N E W S L E T T E R ( I N F O - M A I L ) RZL Software GmbH Riedauer Straße 15 4910 Ried im Innkreis Version: 11. Juni 2012 / mw Bitte
MehrAnleitung zum Login. über die Mediteam- Homepage und zur Pflege von Praxisnachrichten
Anleitung zum Login über die Mediteam- Homepage und zur Pflege von Praxisnachrichten Stand: 18.Dezember 2013 1. Was ist der Mediteam-Login? Alle Mediteam-Mitglieder können kostenfrei einen Login beantragen.
MehrInstallationsanleitung Webhost Windows Flex
Installationsanleitung Webhost Windows Flex Stand März 2014 Inhaltsverzeichnis 1. Zugangsdaten & Login... 3 2. Passwort ändern... 4 3. Leistungen hinzufügen / entfernen... 6 4. Datenbanken anlegen / entfernen...
MehrSupplyWEB Supplier Training Registration
Lieferanten Administration Die SupplyWeb Anwendung ist ein webbasiertes System zur Übermittlung von Lieferinformationen zwischen Ihnen und den Magna-Werken. Bereitgestellt werden Informationen bezüglich
MehrEinrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000
Folgende Anleitung beschreibt, wie Sie ein bestehendes Postfach in Outlook Express, bzw. Microsoft Outlook bis Version 2000 einrichten können. 1. Öffnen Sie im Menü die Punkte Extras und anschließend Konten
MehrVorbereitung der Abiturzeugnisse mit CUBE-SVS
Vrbereitung der Abiturzeugnisse mit CUBE-SVS Zur Schreibweise: Menüpunkt im Hauptmenü (waagerecht) Menüpunkt im Untermenü (klappt senkrecht herunter) Bearbeitungsvrgang / ntwendige Einstellungen Die ntwendigen
MehrNetzwerkeinstellungen unter Mac OS X
Netzwerkeinstellungen unter Mac OS X Dieses Dokument bezieht sich auf das D-Link Dokument Apple Kompatibilität und Problemlösungen und erklärt, wie Sie schnell und einfach ein Netzwerkprofil unter Mac
MehrDigitaler Semesterapparat
Inhaltsverzeichnis - Was enthält dieses Dokument? 1. Allgemeine Informationen Seite 2 2. Verwendung des digitalen Semesterapparates für Studenten Seite 3 3. Anleitung für Lehrende: Bereitstellen von Daten
Mehr.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage
.htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess
MehrVIDA ADMIN KURZANLEITUNG
INHALT 1 VIDA ADMIN... 3 1.1 Checkliste... 3 1.2 Benutzer hinzufügen... 3 1.3 VIDA All-in-one registrieren... 4 1.4 Abonnement aktivieren und Benutzer und Computer an ein Abonnement knüpfen... 5 1.5 Benutzername
MehrErlä uterungen zu Meldungen IP Losses Art. 101 CRR
Erlä uterungen zu Meldungen IP Lsses Art. 101 CRR Rechtlicher Hintergrund Die Verlustdaten, welche in Art. 101 CRR gemeldet werden, werden vn der FMA herangezgen, um zu beurteilen, b die (begünstigten)
MehrEinleitung: Frontend Backend
Die Internetseite des LSW Deutschland e.v. hat ein neues Gesicht bekommen. Ab dem 01.01.2012 ist sie in Form eines Content Management Systems (CMS) im Netz. Einleitung: Die Grundlage für die Neuprogrammierung
MehrEr musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt
Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen
MehrEin weiteres an gleicher Stelle auffindbares Formular in Open Office Vorlage deckt den gesamten Bereich der Rechtshilfe ab.
BUNDESMINISTERIUM FÜR JUSTIZ Erlass vm 28. Nvember 2011 über die Einführung eines elektrnischen Wrkflws betreffend Berichte der Staatsanwaltschaften/Oberstaatsanwaltschaften und Einzelerlässe der Oberstaatsanwaltschaften/des
MehrAnleitung Administrationsbereich www.pastoraler-raum-biedenkopf.de
Anleitung Administratinsbereich www.pastraler-raum-biedenkpf.de Anmeldung unter www.pastraler-raum-biedenkpf.de Für Eingabe vn neuen Beiträgen, Hchladen des Pfarrbriefs, Veränderungen an bestehenden Inhalten.ä.
MehrDepartement Bau, Verkehr und Umwelt Abteilung Tiefbau
Departement Bau, Verkehr und Umwelt Abteilung Tiefbau Anleitung "Neue IMS-Version 2012" Dokumenttyp: Anleitung Autor: ZD/sf, Version: 1.2 Gültig ab: 08.03.2012 Änderungskontrolle Version Datum Erstellt
Mehrestos UCServer Multiline TAPI Driver 5.1.30.33611
estos UCServer Multiline TAPI Driver 5.1.30.33611 1 estos UCServer Multiline TAPI Driver... 4 1.1 Verbindung zum Server... 4 1.2 Anmeldung... 4 1.3 Leitungskonfiguration... 5 1.4 Abschluss... 5 1.5 Verbindung...
MehrHandbuch Groupware - Mailserver
Handbuch Inhaltsverzeichnis 1. Einführung...3 2. Ordnerliste...3 2.1 E-Mail...3 2.2 Kalender...3 2.3 Kontakte...3 2.4 Dokumente...3 2.5 Aufgaben...3 2.6 Notizen...3 2.7 Gelöschte Objekte...3 3. Menüleiste...4
MehrUPC Digital TV Business Entgeltbestimmungen und Leistungsbeschreibung
UPC Digital TV Business Entgeltbestimmungen und Leistungsbeschreibung Stand: Juni 2014 UPC Business Austria GmbH Wlfganggasse 58-60, 1120 Wien 1 Inhaltsverzeichnis 1 EINLEITUNG... 3 2 MONATSENTGELTE UPC
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
Mehr