Claim Assertion Service CAS-Suisse Trust

Transkript

1 Eidgenössisches Finanzdepartement EFD Infrmatikstrategiergan Bund ISB Architekturen, Standards, Technlgien AST Willy Müller, 28. April 2011 Claim Assertin Service CAS-Suisse Trust Grbknzept Prjektname: GvArchCH Prjektnummer: 8278 Versin: 1.0 Referenz/Aktenzeichen: Status: in Arbeit in Prüfung genehmigt zur Nutzung X Beteiligter Persnenkreis Autr: Jürgen Englert Siemens IT Slutins and Services GmbH (Kap. 5) Bearbeitung: Prüfung: Genehmigung: Verteiler: Michael Seeger Siemens IT Slutins and Services GmbH Enn Hffmann Siemens IT Slutins and Services AG Prjektteam Willy Müller Prjektteam und Interessierte Änderungskntrlle, Prüfung, Genehmigung Wann: Versin: Wer: Beschreibung: Siemens Arbeitsversin Siemens Versin zur Prüfung ISB Krrekturen gemäss Feedback

2 Claim Assertin Service CAS-Suisse Trust Inhaltsverzeichnis 1 Einführung Mtivatin Ausgangsszenarien AHV/IV Szenari ESTV Szenari Zielgruppe Begriffsdefinitinen Subjekt Ressurce Digitale Identität Identifikatr Digitales Zertifikat Attribute Claim, Claimset und Claim Assertin Claim Prvider, Claim Assertin Service Funktin, Rlle Credential IAM - Identity und Access Management User Centric Identity Management Register Imperium Trust (Vertrauen) Authentisierung, Authentifizierung Autrisierung Access Cntrl RBAC Rle based Access Cntrl ABAC Attribute Based Access Cntrl SAML Security Assertin Markup Language Zugriffsregel Przesse Beschreibung der Przesse Registrierung eines neuen Unternehmens im CAS-SuisseTrust Superuser Instanzierung Registrierung weiterer Subjekte Zuweisung vn Attribut-Werten zu Subjekten Eintrag Lösungsanbieter im CAS-SuisseTrust Rllen und Attribut Definítin Authentifizierung/Claim Vrlage Auditierung / Archivierung Reprting Technische Lösungs-Architektur Funktinalität Architektur Maschinenauthentifizerung als Snderfall Technische Realisierung /51

3 Claim Assertin Service CAS-Suisse Trust 4.3 Daten Mdell Technlgie Wirtschaftliche Faktren Nutzenaspekte Unternehmen SuisseTrust Lösungsanbieter Kstenaspekte Unternehmen SuisseTrust Lösungsanbieter Überlegungen zum Verrechnungsmdell Ptentielle Verrechnungsmdelle Vr- und Nachteile der einzelnen Verrechnungsmdelle Erste Bewertung für den geplanten Claim Assertin Service Abhängigkeiten und Rahmenbedingungen Ntwendige Interfaces Technische Aspekte Rechtliche Aspekte Kritische Erflgsfaktren Offene Punkte Ntwendige Schritte für einen Prf f Cncept /51

4 Claim Assertin Service CAS-Suisse Trust 1 Einführung 1.1 Mtivatin Mit der SuisseID wurde in der Schweiz eine Methde zur sicheren elektrnischen Identifikatin vn natürlichen und juristischen Persnen eingeführt. In der Praxis ist es aber ftmals nicht interessant direkt eine natürliche der juristische Persn zu identifizieren (und zu authentifizieren) da diese Infrmatin meist nicht ausreicht um eine Berechtigungssteuerung in einer Anwendung durchzuführen. Hier sind weitere Infrmatinen über die Persn ntwendig. Beispielsweise b die Persn aktuell im Auftrag einer bestimmten Firma der im Rahmen einer bestimmten Funktin auftritt. Diese Infrmatinen müssen aktuell, zur Laufzeit, Sessin-rientiert zuverlässig ermittelt und in einer vertrauenswürdigen Art und Weise der Applikatin zur Verfügung gestellt werden. Knkret werden die Anfrderungen im Flgenden an Hand vn zwei Szenarien diskutiert die im Wrkshp am in Bern vrgestellt wurden. Es handelt sich bei den beiden analysierten Nutzungsszenarien um die Eidg. Steuerverwaltung (ESTV) und um die Interessengemeinschaft AHV/IV. 1.2 Ausgangsszenarien AHV/IV Szenari Die AHV/IV besteht aus ca. 100 Ausgleichskassen die swhl untereinander als auch mit ihren Mitgliedern heute schn auf elektrnischen Wege Daten austauschen beziehungsweise auf elektrnischem Wege Dienste zur Verfügung stellen. Aktuell ist für den Zugriff eines Benutzers, als knkret für einen Mitarbeiter eines Mitgliedes der einer Partnerkasse ein Zugriff auf eine Applikatin nur nach einem aufwendigen, manuellen und papiergestützten Registrierungsprzess möglich. Innerhalb dieses Przesses wird geprüft b eine Persn tatsächlich im Auftrag einer bestimmten Organisatin tätig ist und anschliessend werden ihr hierfür eine Kennung swie entsprechende Credentials in der Benutzerverwaltung der Applikatin zur Verfügung gestellt. Zur Zeit können ca vn (entsprechend 75%) der Mitglieder ptenziell auf elektrnische Dienste der AHV/IV zugreifen. Dieses Vrgehen hat eine Reihe vn teils gravierenden Nachteilen Der Registrierungsprzess ist sehr Zeit- und Arbeitsaufwendig. Der Registrierungsprzess ist derzeit für jede Applikatin separat knfiguriert muss als für den Zugriff auf mehrere Applikatinen mehrmals durchlaufen werden. Die Kennung und ihre Credentials sind nur in der jeweiligen Applikatin bekannt. Smit muss ein Benutzer eine Vielzahl vn Kennungen verwalten. Es findet kein knsistenter User Life Cycle über alle Applikatinen hinweg statt. Der Status Qu sll durch Nutzung eines Authentifizierungsservice, im Flgenden als CAS-SuisseTrust bezeichnet, abgelöst werden. Dieser Service sll zum ei- 4/51

5 Claim Assertin Service CAS-Suisse Trust nen die interne Benutzerverwaltung teilweise ablösen, zum Anderen sll er flexibel und zur Laufzeit zur Berechtigungssteuerung benötigte Attribute vertrauenswürdig bereit stellen. Hierbei handelt es sich vr allem um flgende Daten Eindeutiger Identifier für das Subjekt UID des Unternehmens für das das Subjekt aktuell auftritt Rlle innerhalb des Unternehmens Authentifizierungsstärke -adresse Es stellen sich smit aus Sicht des AHV/IV Szenaris flgende Anfrderungen an den CAS-SuisseTrust: Firmen registrieren Ihre Nutzer selbstständig hne aktive Mitwirkung der Ausgleichskasse auf einem zentralen Prtal (CAS-SuisseTrust). Umständlicher Umgang mit Antragsfrmularen entfällt. Kleinstunternehmen erhalten einen Vllzugriff auf Daten ihrer Firma autmatisch und müssen sich nicht selbst registrieren Neben der SuisseID sind auch andere Authentifizierungsmethden einsetzbar Verfügbarkeit 7x24h mit 99,9% Zugriffsspitzen sllten durch HA-Lösungen abgesichert werden. CAS-SuisseTrust muss User-Supprt für die Superuser (Zur Funktin des Superusers siehe 3.1.2) der Unternehmen bereitstellen. Die Lösung muss eine CH-Lösung sein Die Lösung muss ein hhes Vertrauen beim ptientiellen Nutzer geniessen und adressieren. Beispiel: SuisseTrust eine Leistung vn E-Gvernment Schweiz ESTV Szenari Die eidgenössische Steuerverwaltung (ESTV) hat 2005 unter dem Namen INSIEME ein umfassendes Prgramm zur Ablösung der veralteten IT-Systeme in Angriff genmmen. Die ESTV benötigt für eine Prtallösung im Rahmen des Prjektes INSIEME die Möglichkeit unterschiedliche Gruppen vn Benutzern (z.b. Steuerpflichtige, kantnale Behörden, Treuhandunternehmen etc.) über dieses Prtal auf geschützte Infrmatinen zugreifen zu lassen. Hierzu müssen unterschiedliche Rllen und Autrisierungsprfile durch einen nch zu definierenden Przess unterstützt werden. Ziele des ESTV bezüglich der Identitäts- und Berechtigungsverwaltung für den Zugriff auf das Prtal: Einführung eines einheitlichen IAM und Prüfung der Auslagerung vn Teilen der benötigten Funktinalität an einen externen Service 5/51

6 Claim Assertin Service CAS-Suisse Trust Integratin dieses externen Services in die Prtalservices um eine für den Endbenutzer transparente Lösung zu erzielen Möglichkeiten zur Expnierung vn sensiblen Infrmatinen über definierte Web-Services evtl. durch die Nutzung vn CAS SuisseTrust verbessern und hierzu ntwendiges Sicherheits-Niveau auf effiziente Weise realisieren Es stellen sich smit aus Sicht des ESTV Szenaris flgende Anfrderungen an den CAS-SuisseTrust: Bemerkung Benutzer müssen sich auf dem Prtal registrieren. Dieser Registrierungsprzess findet mittels einer SuisseID-Authentisierung statt. CAS- SuisseTrust könnte ptentiell die Funktinalität dieses kmpletten Registierungsprzesses als Service bereitstellen Zeichnungsberechtigte Persnen des ESTV für die jeweils relevanten Steuersubjekte greifen ebenfalls über das Internetprtal auf das Prtal zu und gelangen durch eine SuisseID-Authentisierung in den geschützten Bereich der Services. Auch dieser Przess könnte teilweise der kmplett durch CAS-SuisseTrust übernmmen werden Nach einer erflgreichen Authentisierung und Registrierung kann ein bereits registrierter Benutzer z.b. Vllmachten beantragen die durch die.g. zeichnungsberechtigten Persnen bewilligt werden müssen. Dieser Przess wird kmplett innerhalb der geschützten Zne der Services hinter dem Prtal abgewickelt und wird NICHT an CAS SuisseTrust ausgelagert. Prtalnutzer sllten bei einer erstmaligen Anmeldung über einen Selbstregistrierungsprzess verfügen Definierte Persnen sllten die Möglichkeit einer Bevllmächtigung vn weiteren Persnen der gleichen Organisatin als Prtalnutzer haben (delegierte Administratin) Die Prtalnutzer müssen Unternehmen eindeutig zuzurdnen sein Kunden mit UID Neukunden hne UID Ausländische Persnen sllten (als Ausnahmefall) ebenfalls zugerdnet werden können Die Feinautrisierung im Prtal sllte durch die Lieferung vn Infrmatinen durch CAS-SuisseTrust unterstützt werden: Welche Rlle hat der Benutzer im Prtal Geplant ist die Definitin der jeweiligen Rllenausprägung zukünftig auf einem Dienstleistungskatalg aufzusetzen Services sllen bestimmten Unternehmen / Organisatinen zugerdnet werden können (z.b. geschützter Zugriff definierter Persnen auf dedizierte archivierte Dkumente) Da derzeit im Rahmen des Prjektes INSIEME für eine nächste Phase die Definitin der zu realisierenden Funktinalitäten stattfindet, könnte durch eine zeitnahe Entscheidung über die Auslagerung eines definierten Leistungsumfanges an SuisseTrust die Implementierung vn redundanten Funktinalitäten vermieden werden. 6/51

7 Claim Assertin Service CAS-Suisse Trust Gleichzeitig bestünde die Chance: 1. für andere Bundesbehörden und Organisatinen die im zentral und mandantenfähig implementierten CAS SuisseTrust verfügbaren Registrierungsprzesse ebenfalls zu nutzen 2. den nch zu realisierenden Leistungsumfang innerhalb des Prjektes zu reduzieren und smit das Prjekt-Team zu entlasten 1.3 Zielgruppe Dieses Grbknzept wendet sich vrrangig an die in Abbildung 1 gezeigten Parteien 1 Beteiligte Parteien Im Nutzungsprzess des CAS-Suisse Trust sind damit die flgenden Parteien invlviert: Lösungsanbieter wie AHV/IV und ESTV, swie andere nch zu definierende interessierte Lösungsanbieter Ptentielle Betreiber eines CAS-SuisseTrust Datenlieferanten, als öffentliche Register Behörden und IT-Gvernance Unternehmen die auf Lösungsanbieter zugreifen wllen der müssen. 7/51

8 Claim Assertin Service CAS-Suisse Trust 2 Begriffsdefinitinen Um ein gemeinsames Verständnis und eine einheitliche Sicht des Knzeptes zu erreichen ist es ntwendig, gewisse Begriffe im Kntext dieses Dkumentes eindeutig zu definieren. (Wenn Ihnen die entsprechenden Definitinen geläufig sind können Sie dieses Kapitel überspringen) W immer möglich rientieren sich diese Definitinen an den in der Literatur und internatinalen Standards, insbesndere der OASIS (Organizatin fr the Advancement f Structured Infrmatin Standards), gebräuchlichen Definitinen. Drt w hiervn explizit abgewichen wird rientieren wir uns an den Dkumenten. ech-0107 IAM Gestaltungsprinzipien SuisseID Specificatin Versin Subjekt Ein Subjekt ist ein Akteur, welcher auf eine Ressurce zugreift der zugreifen möchte. Es kann sich um eine natürliche der juristische Persn aber auch um eine Maschine handeln. Ein Subjekt wird durch eine digitale Identität beschrieben der ein der mehrere Credentials zugerdnet sind. Darüber hinaus kann ein Subjekt Attribute besitzen die es näher beschreiben. 2.2 Ressurce Eine Ressurce ist eine Anwendung, ein Service, eine Funktin, ein Przess der eine Datenmenge, auf welche ein Subjekt zugreifen möchte. 2.3 Digitale Identität Eine digitale Identität beschreibt ein Subjekt durch einen Identifikatr (eindeutiger Name), meist zusammen mit einer Menge vn zusätzlichen Attributen, welche innerhalb eines Namensraumes eindeutig einem Subjekt zugewiesen werden können Ein Subjekt kann mehrere digitale Identitäten haben. 2.4 Identifikatr Ein Identifikatr ist eine Zeichenkette, welche ein Subjekt innerhalb eines Namensraumes eindeutig bezeichnet. Der eindeutige Identifikatr eines Subjektes ist ft ein nicht selbsterklärender Name und kann beliebig kmplex sein. Dieser Identifikatr kann auch in einem digitalen Zertifikat enthalten sein. Der Identifikatr sll nur dazu dienen, ein Subjekt eindeutig und unmissverständlich zu identifizieren. Identifikatren werden auch CUID genannt (Cmmn Unique Identifier). 8/51

9 Claim Assertin Service CAS-Suisse Trust Anmerkung (Beispiel): Der Identifikatr eines Subjekts im Umfeld SuisseID ist die eindeutige SuisseID Nummer in der Frm Digitales Zertifikat Ein Digitales Zertifikat (auch Zertifikat der Public-Key-Zertifikat) sind strukturierte Daten, die den Eigentümer swie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Dazu enthält das Zertifikat üblicherweise: Den Namen des Ausstellers Infrmatinen zu den Regeln und Verfahren unter denen das Zertifikat ausgegeben wurde (z.b. Verschlüsselungsalgrithmus) Infrmatinen zur Gültigkeitsdauer des Zertifikates Den öffentlichen Schlüssel, zu dem das Zertifikat Angaben macht Den Namen (der eine andere identifizierende Bezeichnung) des Eigentümers des öffentlichen Schlüssels (d.h. des Subjektes) Weitere Infrmatinen zum Eigentümer des öffentlichen Schlüssels Angaben zum zulässigen Anwendungs- und Geltungsbereich des öffentlichen Schlüssels Eine digitale Signatur, mittels welcher die Echtheit der Angaben im Zertifikat überprüft werden kann Struktur und Inhalt vn digitalen Zertifikaten werden durch diverse Standards vrgegeben. Im Flgenden sprechen wir ausschliesslich vn Zertifikaten gemäss X.509v3. Anmerkungen: In diesem Dkument wird frtan nur nch vn Zertifikat gesprchen. Gemeint ist immer ein digitales Zertifikat. Die digitale Identität des Subjektes (der Identifikatr) ist nicht autmatisch mit dessen Zertifikat gleichzusetzen. Ein Subjekt der eine Ressurce kann mehrere Zertifikate besitzen. Ein Zertifikat bezieht sich immer auf ein einziges Subjekt / eine einzige Ressurce. 2.6 Attribute Ein Attribut ist eine einem Subjekt zugerdnete Eigenschaft, welche dieses näher beschreibt. Beispiele für Attribute eines Subjekts sind Name, Vrname, Telefnnummer der adresse. Attribute können für die Zugriffssteuerung im Rahmen des Access Cntrl Przesses herangezgen werden. Oft werden Attribute auch gruppiert (siehe Fehler! Verweisquelle knnte nicht gefunden werden.), um sie einfacher verwalten zu können, bzw. um die Zustän- 9/51

10 Claim Assertin Service CAS-Suisse Trust digkeit der Verwaltung klarer zu regeln. Nachflgend eine mögliche Gruppierung vn IAM Attributen am Beispiel Benutzerverwaltung: Verbindliche Attribute wie Name, Vrname, adresse, usw. Access Management Attribute Ein Attribut hat immer einen Namen, als einen eindeutigen Bezeichner, und einen Wert. 2.7 Claim, Claimset und Claim Assertin Ein Claim ist ein Attribut eines Subjekts, das bestätigt werden muss (z.b. das Geburtsdatum). Ein Claim Set ist eine Menge vn Attributen, die bestätigt werden müssen. Ein Claim Prvider liefert Claim Assertins, d.h. er bestätigt die Richtigkeit vn Claims der Claim Sets. Knkret wird vn einem Claim Prvider eine Aussage über eines der mehrere Attribute zu einem Subjekt bestätigt und zum Beweis, dass er für die Bestätigung gerade steht, signiert. Der Empfänger eines Claims kann dann an Hand der Signatur die Integrität (Unverändertheit) des Claims prüfen und, s er dem Claim Prvider vertraut (einen Trust zu diesem hat), den Claim verwenden, um dem zugreifenden Subjekt abhängig davn Zugriff auf seine Ressurcen geben. Claims können Attribute eines Subjekts der einer Ressurce sein, z.b. Subjekt ist Arzt. Claims können aber auch aus deren Attribute abgeleitet werden, z.b. Subjekt ist 18 Jahre alt. Ein Claimset ist eine Sammlung vn Claims, welche, wie ein einzelner Claim, vm Claim Aussteller als krrekt bestätigt wurde. Ein Security Tken entspricht einem signierten Claimset. 2.8 Claim Prvider, Claim Assertin Service Claim Assertin Service kmmt aus aus dem Umfeld der SuisseID und entspricht dem Begriff Security Tken Service STS vn OASIS. Als Security Tken Service STS bezeichnet man die Infrastruktur welche in der Lage ist, Security Tkens nach SAML 2.0 Standard 1 zu erzeugen, zu signieren und als Service zur Verfügung zu stellen. 2.9 Funktin, Rlle Eine Rlle ist eine Eigenschaft, welche einer digitale Identität (eines Subjekts) zugewiesen werden kann, im Sinn des RBAC 2 Mdells. Eine Funktin ist eine öffentlich beglaubigte Rlle, z.b. Arzt, Anwalt, Plizist, Geschäftsführer, Handlungsbevllmächtigter, etc. Die Funktin eines Subjekts kann für seine digitale Identität mittels einer entsprechenden Rlle abgebildet werden. Diese Rlle kann zur Erteilung vn Zugriffsberechtigungen verwendet werden. 1 OASIS 2 RBAC: Rle Based Access Cntrl 10/51

11 Claim Assertin Service CAS-Suisse Trust Funktinen und Rllen sind Attribute, die für die Nutzung im IAM vn einer vertrauenswürdigen Stelle bestätigt werden müssen. Im IAM-Kntext müssen sie daher als Claims behandelt werden Credential Ausweis, mit dessen Hilfe die behauptete digitale Identität eines zugreifenden Subjekts überprüft werden kann. Credentials können Ausweispapiere, Zeugnisse, Passwörter der digitale Zertifikate sein, welche es erlauben, ein Subjekt eindeutig zu authentifizieren IAM - Identity und Access Management Digitale Identitäten vn Subjekten werden durch das Identity Management verwaltet. Meistens werden zusätzlich auch deren Attribute und Zugriffsregeln verwaltet. Dies führt zum Namen IAM Identity und Access Management: Identity und Access Management befasst sich mit der Definitin und Ausgabe vn digitalen Identitäten, Credentials und Claims, der Definitin vn Zugriffsregeln und der Überwachung und Überprüfung der Zugriffe auf die zu schützenden Ressurcen. Ein IAM System besteht in der Regel aus zwei Teilen: Verwaltung: Digitale Identitäten und deren Attribute / Claims werden verwaltet (erzeugt, mdifiziert, gelesen, aktiviert, deaktiviert, freigegeben etc.). Directry: Ein Directry ist eine für die Identitätsverwaltung ptimierte Datenbank User Centric Identity Management Bei User Centric Identity Management sitzt der Benutzer (das Subjekt) in der Mitte einer Datentransaktin. Das bedeutet nicht, dass der Benutzer jede Transaktin nchmals explizit genehmigen muss, aber dass die Daten immer über den Identitätsagenten (typischerweise den Brwser) des Benutzers fliessen und direkt an seine digitale Identität gebunden sind Register Register sind Verzeichnisse in der Verwaltungssprache, wie z.b. die Einwhnerregister, Anwaltsregister, Zivilstandsregister, Handelsregister usw. Sie werden in der Regel vn ffiziellen Stellen (Behörden) geführt. Nebst diesen ffiziellen Behördenverzeichnissen gibt es eine Reihe vn weiteren Verzeichnissen, z.b. Verzeichnisse über Berufsabschlüsse an Universitäten, der ETH, der verschiedenen Fachhchschulen etc. Verzeichnisse enthalten spezifische Infrmatinen zu einer Persn der einer Organisatin. Diese Infrmatinen sind zum Teil vertraulich. 11/51

12 Claim Assertin Service CAS-Suisse Trust Die besndere Herausfrderung bei den Registern ist die grsse Anzahl unterschiedlicher Verzeichnisse. Diese Herausfrderung ist auch z.b. unter dem Titel Registerharmnisierung im Bundesamt für Statistik beschrieben (siehe: ). Register werden ft weiter unterteilt in: 2.14 Imperium Funktinsregister: Register, welche eine Funktin beschreiben, z.b. Arzt, Ntar, Anwalt Berechtigungsregister: Register, welche Berechtigungen enthalten, z.b. Unterschriftenregelung Ein Imperium bezeichnet hier knkret den Hheitsbereich eines Registers innerhalb dessen das Register die führende Autrität ist Trust (Vertrauen) Frmell definierte Vertrauensbeziehung zwischen verantwrtlichen Stellen, z.b. die frmelle Beschreibung der Kriterien, welche erfüllt sein müssen, damit sich zwei Dmänen gegenseitig vertrauen Authentisierung, Authentifizierung Im Unterschied zum englischen Sprachgebrauch, w t authenticate für authentisieren und authentifizieren steht, werden im Deutschen die Begriffe unterschieden. Sie bezeichnen eigentlich nur zwei Aspekte desselben Vrgangs. Authentisierung ist der Nachweis der digitalen Identität eines Subjekts. Authentifizierung ist der Vrgang der Überprüfung einer behaupteten digitalen Identität (Subjekt). Es gibt unterschiedliche Authentisierungsmethden: Schwache Authentisierung: Generell gilt die Authentisierung mittels Benutzernamen und Passwrt als schwach. Passwörter können relativ einfach abgehört der sgar mit entsprechender Rechenleistung ermittelt werden. Starke Authentisierung: Zwei- der Mehrfaktr Authentisierung. Darunter versteht man die Kmbinatin vn mehreren Kategrien vn Merkmalen, die als Beweismittel für eine erflgreiche Authentisierung vm Benutzer verlangt werden. Es werden in der Regel flgenden Merkmalkategrien unterschieden: Was der Benutzer hat (Bsp.: Smartcard, Streichliste, Security Tken) Was der Benutzer weiss (Bsp.: Passwrt der PIN-Cde) Was der Benutzer ist (körperliche Merkmale wie Fingerabdruck, Venenbild, Irisbild usw.) 2.17 Autrisierung Der Begriff Autrisierung wird in zwei unterschiedlichen Kntexten verwendet: Einerseits für den Vrgang, bei dem einer digitalen Identität die Zugriffsberechtigungen zugewiesen werden (eine administrative Tätigkeit, nach den Vrgaben der Legislative). Synnym: Access Management 12/51

13 Claim Assertin Service CAS-Suisse Trust andererseits für den Vrgang der Überprüfung der Zugriffsberechtigung zur Laufzeit (Runtime). Das Erteilen der Autrisierung (Administratin) wird ft auch Access Management genannt. Die Überprüfung der Zugriffsberechtigung zur Laufzeit wird auch Access Cntrl genannt Access Cntrl Access Cntrl ist der Przess, der die Einhaltung der Regeln für den Zugriff einer digitalen Identität auf eine Ressurce kntrlliert und garantiert. Synnym: Autrisierung (Laufzeit) 2.19 RBAC Rle based Access Cntrl Rle Based Access Cntrl (RBAC; deutsch: Rllenbasierte Zugriffskntrlle) ist in Mehrbenutzersystemen der Rechnernetzen ein Verfahren zur Zugriffssteuerung und -kntrlle auf Dateien der Dienste. Bei der rllenbasierten Zugriffskntrlle werden den Benutzern des Cmputers der des Netzwerks Rllen zugerdnet. Benutzer können dabei mehrere Benutzerrllen besitzen. An eine Rlle sind beispielsweise 1 bis n Gruppenzugehörigkeiten gebunden. Je nach Rllenzurdnung des Benutzers (und den damit verbundenen Gruppenzugehörigkeiten) erteilt der sperrt das System dann das Zugriffsrecht auf Ressurcen. Wegen der dreistufigen Gliederung in Benutzer, Rllen und Gruppen ist es möglich, Zugriffsrechte eines Benutzers über eine Rllenzurdnung und daran gebundene Gruppenzurdnungen zu kntrllieren. Für die Verwaltung dieser Zurdnungen werden in der Regel Identitätsmanagement-Systeme (IDM) implementiert. Diese ermöglichen die Zurdnung vn Benutzern zu jeweils 1 bis n Gruppen in 1 bis n Cmputersystemen lediglich über die Bindung an wenigstens eine Rlle. Vraussetzung hierfür ist unter anderem die Erstellung eines einheitlichen Nutzer-Rllenknzepts. Diese Systeme erlauben es auch, die Knfrmität mit IT-Sicherheitsvrgaben sicherzustellen. Die Verwendung vn RBAC in verschiedenen Bereichen wird durch internatinale Standards geregelt. Für eine Übersicht hierzu siehe auch ABAC Attribute Based Access Cntrl Attribute-Based Access Cntrl (ABAC) benutzt nicht wie RBAC Rllen als Abstraktinslayer für die Zugriffskntrlle sndern direkt Attribute als Bausteine innerhalb einer strukturierten Sprache (XACML) um die Access cntrl Regeln anhand vn Attributen zu definieren. Die Grundidee einer Attribut-basierten Zugriffskntrlle besteht darin, Zugriffsrechte zwischen den Subjekten und Objekten nicht statisch zu definieren, sndern ihre Eigenschaften der Attribute dynamisch als Grundlage der Autrisierung zu nutzen. Attribute können (im Gegensatz zu relativ statisch definierten Rllen) sehr dynamisch sein. Beispielsweise könnte man sich in einem mbilen 13/51

14 Claim Assertin Service CAS-Suisse Trust Umfeld die Verwendung des aktuellen Standrts eines Benutzers als Attribut vrstellen. Grundsätzlich lassen sich andere Access Cntrl Mdelle wie etwa RBAC in ABAC entsprechend abbilden. RBAC kann jedch nicht die vlle Funktinalität vn ABAC abbilden. Die höhere Flexibilität vn ABAC erkauft man sich mit einer deutlich gestiegenen Kmplexizität SAML Security Assertin Markup Language SAML (Security Assertin Markup Language) wurde spezifiziert um Hersteller unabhängig Single Sign-n zu ermöglichen. SAML ist ein XML Framewrk, mit dessen Hilfe Authentifizierungs- und Autrisierungsinfrmatinen ausgetauscht werden können. SAML wurde vn einem internatinalen Knsrtium und im Rahmen der OASIS standardisiert. ( SAML besteht aus zwei Teilen: 2.22 Zugriffsregel SAML Assertins: Eine SAML Assertin ist ein XML Tken, welches die digitale Identität plus ptinal zusätzliche Attribute eines Subjekts enthält. Dieses Tken wird nrmalerweise auf Anfrage eines vertrauensvllen Service Prviders vm Identity Prvider erstellt. SAML Bindings und Prfile Ressurcenverantwrtliche definieren die Zugriffsregeln für ihre Ressurcen. Die Regeln werden als Zugriffsprfil der Ressurce zugewiesen und können z.b. in einem Directry gespeichert sein. 14/51

15 Claim Assertin Service CAS-Suisse Trust 3 Przesse Die nachflgend beschriebenen Przesse bauen auf den unter Szenarien (vergleiche 1.2) beschriebenen Ausgangslagen auf. Das heisst, eine Persn, ein Mitarbeiter, greift auf eine Anwendung eines Service Prviders zu. Für den Service Prvider ist es nun nicht vrrangig interessant zu erfahren wer die Persn ist, sndern vielmehr b und im Auftrage welches Unternehmens sie arbeitet, swie gegebenenfalls b die zugreifende Persn in diesem Unternehmen eine bestimmte Funktin/Rlle ausübt. Die Unternehmen sllen hierbei in der Lage sein schnell und flexibel swhl Persnen aus ihrem Unternehmen in den Dienst aufzunehmen als auch autark die Zuweisung der jeweiligen Funktin der Rlle dieses Mitarbeiters im Dienst CAS-SuisseTrust vrzunehmen. Für den Zugriff eines Mitarbeiters auf einen Lösungsanbieter sllte der CAS-SuisseTrust als insbesndere flgende Infrmatinen zum Subjekt liefern Subjekt: UnternehmensID (UID), Recht A, Recht B, -Adresse Insbesndere im Falle vn Treuhändern, Steuerberatern etc, kann es vrkmmen, dass eine Persn für mehrere Unternehmen tätig ist und demzuflge im Namen und Auftrag vn mehreren Unternehmen beim Lösungsanbieter tätig werden möchte. Hierzu existieren zwei prinzipielle Varianten. 1. Die Persn ist beim CAS-SuisseTrust für verschiedene UIDS mit verschiedenen Subjekt-Bezeichnern hinterlegt und wählt über die Eingabe des geeigneten Benutzernamens das jeweils passende Rechteset aus. 2. Eine Persn ist über einen eineindeutigen Subjekt-Bezeichner identifiziert und der CAS-SuisseTrust liefert eine gerdnete Liste UID X, Recht A, Recht B,, -Adresse UID Y, Recht A, Recht B,, -Adresse Dabei ist die erste Variante deutlich einfacher zu implementieren. Wir werden im Kapitel Technische Lösungs-Architektur (4) die Auswirkungen auf das Datenmdell näher erläutern und empfehlen einen Prf f Cncept auf Basis der ersten Variante umzusetzen, da nur diese vn Cmmercial ff-the-shelf Prdukten derzeit beherrscht wird. Ergänzend zu diesem Persnen bezgenen Use Case existiert der Wunsch auch Maschinen in der Kmmunikatikn mit Service Prvidern zuverlässig zu authentifizieren und ihre jeweilige Funktinsberechtigung zu steuern. Wir werden auf diesen Aspekt in der Beschreibung der Przesse zunächst nicht näher eingehen. Im Kapitel 4 Technische Lösungs--Architektur (4) wird dieser Use Case kurz beschrieben. Um die technische Implementierung eines slchen Claim Assertin Service zu unterstützen braucht es eine Reihe vn Przessen, damit die Sicherheit und Zuverlässigkeit der Antwrt, als der Claim Assertin, gewährleistet ist. Im Einzelnen sind dies: auf Seiten des zugreifenden Unternehmens Registrierung eines neuen Unternehmens im CAS-SuisseTrust als initialen Ankerpunkt für die Vertrauenskette. Swie um die erstmalige Verknüpfung mit einer Persn 15/51

16 Claim Assertin Service CAS-Suisse Trust zu erreichen die Superuser Instanzierung. Registrierung weiterer Subjekte dient den Unternehmen dazu im Rahmen ihres Unternehmens Mitarbeitern die Nutzung des Dienstes für den Zugriff auf Service Prvider grundsätzlich zu ermöglichen Zuweisung vn Attributwerten zu Subjekten : Mit der Zuweisung vn Attribut-Werten zu im bigen Przessschritt generierten Benutzern ermöglicht es den Unternehmen autark eine granulare Berechtigungssteuerung für den Zugriff auf Service Prvider durchzuführen. Authentifizierung/Claim Vrlage schliesslich sind die entscheidenden Przessschritte in denen aktuell geprüft wird b der Mitarbeiter berechtigt ist für ein Unternehmen auf eine Lösung zuzugreifen und drt bestimmte Funktinalitäten zur Verfügung gestellt bekmmt. Auf Seiten des Service Prviders sind die wesentlichen Przesse: Eintrag Lösungsanbieter im CAS-SuisseTrust. Dieser Schritt ermöglicht es einem Service Prvider überhaupt erst für den Zugriff auf seine Lösung und die damit verbundene Berechtigungssteuerung den CAS-SuisseTrust Dienst zu benutzen. Um Missbrauch zu vermeiden muss auch hier eine geprüfte Vertrauensbeziehung aufgebaut werden. Rllen und Attribut Definitin ermöglichen es, die Anfrderungen einer Lösungsanwendung an die für die Durchsetzung der Berechtigungskntrlle ntwendigen Infrmatinen zu Benutzern zu definieren. Auditierung / Archivierung sind unverzichtbare Przesse um die Nachvllziehbarkeit im Sinne der gesetzlichen und vertraglichen Anfrderungen zu gewährleisten. Reprting dient neben der Generierung vn Daten im Rahmen der Business Intelligence (als der Ressurcenplanung im Unternehmen) der Nachvllziehbarkeit vn Rechnungslegung und Cntrlling. 3.1 Beschreibung der Przesse Im Flgenden wird für jeden Einzelprzess Funktin Vraussetzungen Ablauf Input Output Beteiligte Schnittstellen zu anderen Beteiligten Technische Realiserungsmöglichkeiten Requirements prinzipiell beschrieben. Dabei geht es immer um die Aspekte Anlegen eines Datensatzes / Zustandes / Vertrags Ändern eines Datensatzes / Zustandes / Vertrag 16/51

17 Claim Assertin Service CAS-Suisse Trust Löschen beziehungsweise Wegnehmen der Deaktivieren eines Datensatzes, Zustandes der Vertrages Registrierung eines neuen Unternehmens im CAS- SuisseTrust Funktin Dieser Przess dient dazu, es einem Unternehmen zu ermöglichen, den CAS-SuisseTrust zu nutzen um Mitarbeitern im Rahmen ihrer Rlle beziehungsweise Funktin im Unternehmen Zugriff auf Anwendungen vn Lösungsanbietern / Ressurcenprvidern zu geben. In seinem Rahmen werden swhl die technischen als auch die vertragsrechtlichen Rahmenbedingungen für die Zusammenarbeit zwischen nutzendem Unternehmen und den Claim Assertin Service bereitstellenden Prvider(n) fixiert. Vraussetzungen Das Unternehmen besitzt eine UID Ablauf Anlegen Ablauf Ändern Ein Unternehmen tritt durch einen vertretungsberechtigten Mitarbeiter in Kntakt mit dem CAS-SuisseTrust. Das Unternehmen benennt das zuständige Imperium, z.b. das Handelsregister. CAS-SuisseTrust prüft die Vertretungsberechtigung der Persn für das Unternehmen (manuell der elektrnisch) gegenüber ffiziellen Registern des jeweilig zuständigen Imperiums, z.b. mittels Handelsregisterauszug. Vertragsabschluss zwischen CAS-SuisseTrust und dem Unternehmen (beinhaltet auch SLA) Ein Unternehmen tritt durch einen vertretungsberechtigten Mitarbeiter in Kntakt mit dem CAS-SuisseTrust. CAS-SuisseTrust prüft die Vertretungsberechtigung der Persn für das Unternehmen (manuell der elektrnisch) gegenüber ffiziellen Registern Der Änderungswunsch wird rechtlich und technisch geprüft Vertragsänderung zwischen CAS-SuisseTrust und dem Unternehmen (beinhaltet auch SLA) Ablauf Löschen/Deaktivieren Hier sind mehrere Zweige möglich Variante 1: Ein Unternehmen tritt durch einen vertretungsberechtigten Mitarbeiter in Kntakt mit dem CAS-SuisseTrust. CAS-SuisseTrust prüft die Vertretungsberechtigung der Persn für das Unternehmen (manuell der elektrnisch) gegenüber ffiziellen Registern 17/51

18 Claim Assertin Service CAS-Suisse Trust Fristgemässes Vertragsende zwischen CAS-SuisseTrust und dem Unternehmen Löschen aller zum Unternehmen / UID gehörigen Datenbjekte. Variante 2: Ein Unternehmen erlischt und hat keine Vertretungsberechtigten mehr. Fristgemässes Vertragsende zwischen CAS-SuisseTrust und dem Unternehmen Löschen aller zum Unternehmen / UID gehörigen Datenbjekte. Erzwungene Löschung durch SuisseTrust-Betreiber. Input UID Output Anlegen Output Ändern Initiale Authentisierung Service Level Agreement Vertragsbeziehung Initial authentifiziertes Subjekt. Auditrecrd zur Archivierung Geändertes Service Level Agreement Geänderte Vertragsbeziehung Auditrecrd zur Archivierung Output Löschen/Deaktivieren Beteiligte Auditrecrd zur Archivierung Unternehmen Claim Assertin Service Prvider Technische Realisierungsmöglichkeiten Eine Realisierung sllte swhl als papiergestützter Przess erflgen, als auch in Frm eines autmatisierten Web-gestützten Registrierungsprzesses. Schnittstellen zu anderen Beteiligten Schnittstellen zu ffiziellen Registern, insbesndere zum Handelsregister und zum UID-Register Requirements Das Unternehmen muss bei einem Imperium eingetragen sein und diese Infrmatin dem CAS-SuisseTrust zur Verfügung stellen Das Unternehmen muss eine UID besitzen 18/51

19 Claim Assertin Service CAS-Suisse Trust Es muss eine eindeutige Vertretungsvllmacht für diese UID definiert sein CAS-SuisseTrust muss die Zurdnung Unternehmen UID Persn zuverlässig überprüfen CAS-SuisseTrust muss mehrere Imperien unterstützen und diese Auswahl kmmunizieren CAS-SuisseTrust stellt Standard AGB und SLA zur Verfügung Auf dieser Basis kmmt eine ffizielle vertragliche Bezieung zu Stande Der Przess muss Einfach Schnell Wahlweise autmatisiert der manuell ablauffähig Zuverlässig Transparent sein. Der Przess sllte für Kleinfirmen mit minimalem Aufwand umsetzbar sein CAS-SuisseTrust muss den Unternehmen ein revisinssicheres Reprting anbieten. Dem Unternehmen müssen Auditrechte eingeräumt werden Superuser Instanzierung Funktin Der CAS-SuisseTrust Service stellt einen User Centric (vergleiche Definitin) Identity Service zur Verfügung. Ein slcher Dienst ist immer an ein Subjekt gebunden. Für Ein-Persnenfirmen, Selbstständige und Kleinfirmen ist es in der Regel ausreichend genau ein Subjekt pr Unternehmen zu führen. Für grössere Unternehmen in denen eine Trennung vn Rllen und gegebenenfalls Funktinen rganisatrisch etabliert ist, werden aber mehrere Subjekte benötigt. Um nicht für jedes dieser Subjekte den initialen Registrierungsprzess durchlaufen zu müssen (was im Einzelfall u.u gar nicht möglich ist) muss einem Unternehmen die Möglichkeit gegeben werden die Subjekte und deren Attribute die im Namen des Unternehmens tätig werden (in einer Rlle der Funktin) selbst pflegen zu können. Die Rlle des Przesses Superuser Instanzierung ist es, das initiale Subjekt im Kntext eines Unternehmens anzulegen. Dieses Subjekt kann dann im Flgenden neue Subjekte im Unternehmenskntext erzeugen und pflegen. Die Instanzierung des Superusers erzeugt einen Trust-Anker dessen Vertrauenswürdigkeit entscheidend für die Sicherheit und Integrität entlang der Kette weiterer Subjekte ist. Vraussetzungen Der Przess Registrierung eines Unternehmens im CAS-SuisseTrust ist durchlaufen. Ablauf Anlegen 19/51

20 Claim Assertin Service CAS-Suisse Trust Ablauf Ändern CAS-SuisseTrust legt einen initialen Datensatz für den im bigen Przessschritt bereits authentifizierten Mitarbeiter als Superuser des Unternehmens an. Alternativ beziehungsweise ergänzend können auch autmatisiert - sfern diese Infrmatin in den Registern des Imperiums vrhanden ist - Zeichnungsberechtigte als Superuser übernmmen werden. Zuweisung der initialen Credentials für die Datenpflege durch den Superuser Der existierende Superuser authentisiert sich in der Datenpflege- Applikatin Über ein geeignetes Interface sichtet, erstellt er weitere Superuser im Unternehmenskntext Ablauf Löschen/Deaktivieren Der existierende Superuser authentifiziert sich in der Datenpflege- Applikatin Über ein geeignetes Interface löscht er weitere Superuser im Unternehmenskntext. Der letzte Superuser kann nicht über das Self Service Interface gelöscht werden, sndern nur über den Przesschritt Registrierung eines neuen Unternehmens im CAS-SuisseTrust / Löschen - Deaktivieren Input UID Output Anlegen Output Ändern Beteiligte Initiale Authentisierung Initiales Datenbjekt für das Unternehmen (zur UID) Initiale Credentials Auditrecrd zur Archivierung Neues Superuser-Datenbjekt für das Unternehmen (zur UID) Initiale Credentials Auditrecrd zur Archivierung Unternehmen Claim Assertin Service Prvider Technische Realisierungsmöglichkeiten Eine Realiserung sllte in Frm eines autmatisierten Wrkflws geschehen. Es muss eine Schnittstelle zur autmatisierten Registrierung eines Unternehmens im CAS-SuisseTrust vrhanden sein um eine nahtlse Integratin der beiden Przessschritte zu ermöglichen 20/51

21 Claim Assertin Service CAS-Suisse Trust Schnittstellen zu anderen Beteiligten Keine Requirements Der CAS-SuisseTrust Prvider stellt technischen Supprt für den Superuser zur Verfügung Es muss möglich sein, mehrere Superuser für ein Unternehmen anzulegen Es gibt einen Basis-Attribute-Satz, der immer angelegt wird, wenn ein neues Unternehmen bzw. dessen Superuser in CAS- SuisseTrust angelegt wird Mehrere Credentials müssen für die Authentifizierung unterstützt werden Registrierung weiterer Subjekte Funktin In grösseren Unternehmen ist es üblich, wie bereits erwähnt, eine Trennung vn Rllen und gegebenenfalls Funktinen rganisatrisch zu etablieren. Um dies im CAS-SuisseTrust adäquat wiedergeben zu können, werden über den Superuser hinaus weitere Subjekte benötigt. Ausgehend vm - über den Superuser gesetzten - Trust-Anker kann das Unternehmen in diesem Przess selbst die Pflege weiterer Subjekte im Rahmen des User Life Cycle übernehmen. Vraussetzungen Der Przess Superuser Instanzierung ist durchlaufen. Ablauf Anlegen / Ändern / Löschen-Deaktivieren Input Output Beteiligte Der Superuser authentifiziert sich in der Datenpflege-Applikatin Über ein geeignetes Interface sichtet, erstellt und löscht er weitere Subjekte im Unternehmenskntext Superuser Lgin und Authentisierung mit SuisseID Weitere Subjekte im Unternehmens-Kntext Initiale Credentials für diese Subjekte Auditrecrd zur Archivierung Unternehmen Technische Realisierungsmöglichkeiten CAS-SuisseTrust stellt für die Datenpflege mehrere Interfaces bereit: Ein Web-basiertes Interface das dem Superuser die Sichtung, Erzeugung und Löschung vn weiteren Subjekten ermöglicht. 21/51

22 Claim Assertin Service CAS-Suisse Trust Optinal: Web-basierte Self-Services die es einer Persn ermöglichen sich geeignet zu authentifizieren (SuisseID) und einen Apprval-Wrkflw anzustssen als dessen Resultat die Persn als Subjekt im Unternehmenskntext unterhalb des Superusers angelegt wird. Optinal: Prvisinierungsinterfaces zum Unternehmens-IAM Schnittstellen zu anderen Beteiligten Requirements Der CAS-SuisseTrust Prvider stellt technischen Supprt für den Superuser zur Verfügung Es muss möglich sein, mehrere Superuser für ein Unternehmen anzulegen Es gibt einen Basis-Attribute-Satz, der für neue Subjekte angelegt wird. Mehrere Credentials müssen für die Authentifizierung unterstützt werden Zuweisung vn Attribut-Werten zu Subjekten Funktin Um die im vrherigen Przessschritt geschaffenen Subjekte im User Life Cycle zu unterstützen, müssen im Datenbjekt zu dem Subjekt die entsprechenden Attribute mit Werten befüllt werden. Vraussetzungen Der Przess Registrierung weiterer Subjekte ist durchlaufen. Es existiert ein definiertes Vkabular mit festgelegter Syntax und Sematik für die Anwendungsdmäne. Ablauf Anlegen / Ändern / Löschen-Deaktivieren Input Output Beteiligte Der Superuser authentisiert sich in der Datenpflege-Applikatin Über ein geeignetes Interface sichtet und pflegt er die Attribute der dem Unternehmen zugerdneten Subjekte. Superuser Lgin und Authentisierung mit SuisseID Attributwerte Auditrecrd zur Archivierung Unternehmen Technische Realisierungsmöglichkeiten CAS-SuisseTrust stellt für die Datenpflege mehrere Interfaces bereit: Ein Web-basiertes Interface das dem Superuser die Sichtung, Erzeugung und Löschung vn weiteren Subjekten ermöglicht. 22/51

23 Claim Assertin Service CAS-Suisse Trust Optinal: Web-basierte Self-Services die es einer Persn ermöglichen, sich geeignet zu authentifizieren (SuisseID) und einen Apprval-Wrkflw anzustssen. Resultat dieses Apprval- Wrkflws: Zusätzliche Attribute werden über dieses Apprval der Persn zugewiesen. Optinal: Prvisinierungsinterfaces zum Unternehmens-IAM Schnittstellen zu anderen Beteiligten Requirements Der CAS-SuisseTrust Prvider stellt technischen Supprt für den Superuser zur Verfügung Eintrag Lösungsanbieter im CAS-SuisseTrust Funktin Um die Authentifizierungsfunktinalität des CAS-SuisseTrust Services nutzen zu können, müssen zwischen der Organisatin/Firma (dem Anbieter der gelieferten Infrmatinen zu einem Subjekt) und dem CAS-SuisseTrust eine Reihe vn rganisatrischen, technischen und rechtlichen Vraussetzungen geschaffen werden. Darüber hinaus muss der CAS-SuisseTrust alle - seinen Dienst nutzenden - Unternehmen darüber infrmieren können, dass nunmehr ein weiterer Lösungsanbieter via CAS-SuisseTrust genutzt werden kann. Vraussetzungen Der Lösungsanbieter verfügt über eine geeignete Anwendung. Ablauf Anlegen Ein Lösungsanbieter tritt in Kntakt mit dem CAS-SuisseTrust. CAS-SuisseTrust und Lösungsanbieter legen die ntwendige Authentifizierungsstärke fest. Die initialen Attribute - welche die Lösung im Claimset benötigt - werden definiert. CAS-SuisseTrust prüft die Gültigkeit und die krrekte Zurdnung des Zertifikates zum Lösungsanbieter Der CAS-SuisseTrust übergibt seinen für die Authentifizierung und Integritätsprüfung des Claimsets ntwendigen öffentlichen Schlüssel, bzw das entsprechende Zertifikat an den Lösungsanbieter Der Lösungsanbieter prüft die Gültigkeit und die krrekte Zurdnung des Zertifikates zum CAS-SuisseTrust. Gegenseitige Supprtschnittstellen werden definiert Vertragsabschluss zwischen CAS-SuisseTrust und dem Lösungsanbieter (beinhaltet auch SLA) CAS-SuisseTrust knfiguriert den neuen Lösungsanbieter im Dienst. Der Lösungsanbieter knfiguriert seine Anwendung s, dass sie den CAS-SuisseTrust Service nutzen kann. Dies beinhaltet insbesndere auch, dass der Lösungsanbieter ein geeignetes Knzept für die Steuerung der Zugriffsrechte unterhält. 23/51

24 Claim Assertin Service CAS-Suisse Trust Ablauf Ändern Der CAS-SuisseTrust infrmiert nutzende Unternehmen darüber dass ein neuer Lösungsanbieter verfügbar ist. Der Lösungsanbieter infrmiert die Nutzer seiner Applikatin, dass die Applikatin über CAS-SuisseTrust nutzbar ist. Optinal kann der CAS-SuisseTrust den Lösungsanbieter mit einem Sftware-Develpment Kit SDK und technischem Prjekt- Supprt unterstützen. Zu bedenken: Der CAS-SuisseTrust sllte Mindestanfrderungen an die Sicherheit und das Datenschutzniveau beim Lösungsanbieter stellen und dies gegebenenfalls auch prüfen, da eine Kmprmittierung der Sicherheit und insbesndere des Datenschutzes beim Lösungsanbieter auch auf das Sicherheits-Image des CAS-SuisseTrust zurückfällt. Ein Lösungsanbieter tritt in Kntakt mit dem CAS-SuisseTrust. Optinal: Vertrags- und der SLA-Änderung Optinal CAS-SuisseTrust ändert die Knfiguratin für den Lösungsanbieter im Dienst. Der Lösungsanbieter ändert die Knfiguratin seiner Anwendung Der CAS-SuisseTrust infrmiert nutzende Unternehmen sweit ntwendig und rechtlich zulässig über die durchgeführten Änderungen. Ablauf Löschen/Deaktivieren Input Output Beteiligte Ein Lösungsanbieter tritt in Kntakt mit dem CAS-SuisseTrust. Fristgerechtes Vertragsende zwischen CAS-SuisseTrust und dem Lösungsanbieter (beinhaltet auch SLA) CAS-SuisseTrust deaktiviert den Lösungsanbieter im Dienst. Der CAS-SuisseTrust infrmiert nutzende Unternehmen darüber, dass der Lösungsanbieter nicht mehr verfügbar ist. Initiales Attribut Set Zertifikat des Lösungsanbieters Service Level Agreement Vertragsbeziehung Definiertes Attribut-Set Auditrecrd zur Archivierung Infrmatin an Unternehmen über neuen Lösungsanbieter. Lösungsanbieter Claim Assertin Service Prvider 24/51

25 Claim Assertin Service CAS-Suisse Trust Unternehmen Technische Realisierungsmöglichkeiten Administratins-Schnittstelle der beim CAS-SuisseTrust verwendeten Sftware Schnittstellen zu anderen Beteiligten Geeignete Kmmunikatinskanäle zu den Unternehmen Requirements Authentifizierungsstärke kann festgelegt werden Gegenseitiger Secnd Level Supprt Es gibt SLA Vereinbarungen Möglichkeit die eigene Lösung beim CAS sichtbar zu machen Zurdnungsmanagement sll ausgelagert werden können Es muss günstig und einfach sein Abgrenzung 1. Level Supprt Integratin der Applikatinen auf Seiten des Lösungsanbieters CAS bietet Sftware-Develpment Kit Lösungsanbieter muss bei sich die entsprechenden Rllen / Berechtigungen definieren und einrichten Gegenseitige Authentisierung Autrisierung des Lösungsanbieters CAS muss zertifiziert sein (nach ISO 27001) CAS-SuisseTrust stellt Standard AGB und SLA zur Verfügung Auf dieser Basis kmmt eine ffizielle vertragliche Beziehung zu Stande Der Przess muss Einfach Schnell Wahlweise autmatisiert der manuell ablauffähig Zuverlässig Transparent sein Rllen und Attribut Definítin Funktin CAS-SuisseTrust muss dem Lösungsanbieter ein revisinssicheres Reprting bieten. Damit die Applikatin eines Lösungsanbieters eine Access Cntrl Plicy implementieren und durchsetzen kann, muss sie vm CAS-SuisseTrust entsprechend abgestimmte Infrmatinen, als Claims, zum jeweiligen Subjekt erhalten. Dazu müssen Lösungsanbieter und CAS-SuisseTrust sich auf einen 25/51

26 Claim Assertin Service CAS-Suisse Trust Satz vn Attributen und zulässigen Wertbereichen einigen. Die Unternehmen müssen diese Infrmatinen dann für ihre Subjekte entsprechend pflegen.. Vraussetzungen Der Przess Eintrag Lösungsanbieter im CAS-SuisseTrust ist bereits durchlaufen und der Lösungsanbieter hat eine Access Cntrl Plicy auf der Basis vn ABAC der RBAC definiert. Ablauf Anlegen Der Lösungsanbieter definiert ein Set vn Rllen und Attributen Der Lösungsanbieter kmmuniziert dies CAS-SuisseTrust CAS-SuisseTrust knfiguriert den Service entsprechend s, dass an den Lösungsanbieter passende Claimsets geliefert werden können. Der Lösungsanbieter infrmiert Unternehmen die auf seine Anwendung zugreifen über neue der geänderte Rllen und Attribute. Die Unternehmen pflegen die entsprechenden Rllen und Attribute zu ihren Subjekten im CAS-SuisseTrust. Ablauf Ändern / Löschen-Deaktivieren Input Output Beteiligte Der Lösungsanbieter definiert ein geändertes Set vn Rllen und Attributen Der Lösungsanbieter kmmuniziert dies CAS-SuisseTrust CAS-SuisseTrust knfiguriert den Service entsprechend s, dass an den Lösungsanbieter passende Claimsets geliefert werden können. Der Lösungsanbieter infrmiert Unternehmen die auf seine Anwendung zugreifen über neue der geänderte Rllen und Attribute. Die Unternehmen pflegen die entsprechenden Rllen und Attribute zu ihren Subjekten im CAS-SuisseTrust. Rllen und Attribut Set des Lösungsanbieters Angepasstes Claimset Angepasste Datenbjekte in SuisseTrust Auditrecrd zur Archivierung Infrmatin über geänderte Rllen und Attribute an Unternehmen. Lösungsanbieter Claim Assertin Service Prvider Unternehmen 26/51

27 Claim Assertin Service CAS-Suisse Trust Technische Realisierungsmöglichkeiten Elektrnische Kmmunikatin der gewünschten Rllen und Attribute über einen gesicherten Kanal vm Lösungsanbieter an den CAS-SuisseTrust Prvider. Dies kann sein: signierte SSL/TLS geschütztes prprietäres Frntend beim CAS-SuisseTrust Anschliessend werden die Rllen und Attribute über die Administratins- Schnittstelle der beim CAS-SuisseTrust verwendeten Sftware gepflegt. Schnittstellen zu anderen Beteiligten Geeignete Kmmunikatinskanäle zu den Unternehmen Requirements Gegenseitiger Secnd Level Supprt Przess muss schnell, flexibel und auditierbar sein Rllen und Attribut Set Änderungen müssen authentifizierbar und verifizierbar sein. Autrisierung des Lösungsanbieters CAS-SuisseTrust muss dem Lösungsanbieter ein revisinssicheres Reprting bieten Authentifizierung/Claim Vrlage Funktin Um auf die Anwendung eines Lösungsanbieters zugreifen zu können und die richtigen Rechte im passenden Unternehmenskntext zu erhalten muss sich ein Subjekt gegenüber der Anwendung authentifizieren. Dazu wird über das Subjekt, user centric, die Authentifizierungsauffrderung durch die Applikatin an den CAS-SuisseTrust Service weitergeleitet (via Redirect). Die direkte Authentifizierung mit Hilfe der vereinbarten Credentials geschieht nun gegenüber dem CAS-SuisseTrust. Der CAS-SuisseTrust stellt nun entsprechend der Anfrage der Lösung ein entsprechendes Claimset zusammen. Das bedeutet: zu den angefragten Attributen werden für das entsprechende Subjekt (den aktuellen User) die Attribut Wert Paare signiert und als sgenanntes cmbined Attribute-Statement in Frm einer SAML 2.0 frmatierten Assertin geliefert. Wichtig ist hierbei festzuhalten, dass das entsprechende Claimset jeweils nur im aktuellen Sessin Kntext gültig ist. Das bedeutet insbesndere, dass keine persistenten (als längere Zeit gültige, speicherbare, ausdruckbare) Bestätigungen generiert werden. Darüber hinaus ist durch das Prinzip der user centric Identity ein Claimset immer direkt an ein anfragendes Subjekt gebunden. Das bedeutet nicht zwingend, dass das Subjekt, der User, explizit Attribute abwählen der einsehen kann, aber dass die Abfrage der entsprechenden Attribute nur durch ihn direkt (durch seinen expliziten Zugriff auf die Applikatin und seine Authentifizierung) ausgelöst werden können. Dies ist klar vn der Funktinalität eines Registers der Directries zu unterscheiden.. Vraussetzungen 27/51