Identity Management - eine Einfiihrung

Transkript

1 Christian Mezler-Andelberg Identity Management - eine Einfiihrung Grundlagen, Technik, wirtschaftlicher Nutzen dpunkt.verlag

2 Inhaltsverzeichnis Einleitung 1 Teil 1 Grundlagen 5 1 Warum Identity Management? 7 2 Ein Ebenenmodell fiir das Identity Management Die Ebenen im Uberblick Abbildungen des Modells 17 3 Die Prozesse im Modell Prozessgruppen Einflussfaktoren auf die Prozesse Operative Prozesse Gestaltende Prozesse Administrative Prozesse 25 4 Die Basisebenen im Detail Ebene 1 - Personendaten Prozesse der Ebene El (Personendaten) Ebene 2 - Ressourcen Prozesse von E2 (Ressourcen) Datenklassifizierung Berechtigungssysteme in Applikationen Ebene 3 - Autorisierung Die Prozesse von E3 (Autorisierung) Datenzugriffsmodelle Role-Based Access Control (RBAC) 45

3 4.3.4 Die Nachfolger: ABAC, RB RBAC, PBAC und Co Ein passendes Rollenmodell entwickeln Ebene 4 - Authentisierung Prozesse von E4 (Authentisierung) Die Verbindungsschichten User Provisioning Single Sign On (SSO) 63 5 Das gesamte Modell im Uberblick Die Prozesse im Modell Aufgabentrennung im Modell 68 6 Federation Federation im Schichtenmodell 78 7 Anwendungsmoglichkeiten des Modells Das Modell als Vorgehensweise im Projekt Rechtetrennung im Betrieb Abbilden von Begriffen und Produkt-Suiten Schnittstelle zu ITIL 85 8 Andere Darstellungsvarianten Darstellung nach dem Modell der Burton Group Darstellung nach Generic IAM Darstellung nach Produktmerkmalen 94 Teil 2 Technik 95 9 Technische Aspekte der Ebene 1 (Personendaten) Directories DSML Virtuelle Directories Alternativen zu Directories Relational Datenbank als Repository Repository im Zielsystem Technische Aspekte der Ebene 2 (Ressourcen) Anbinden von Applikationen Wie viele Accounts braucht ein Service?

4 11 Technische Aspekte der Ebene 3 (Autorisierung) XACML Rollen und Datenfluss in XACML Beispiel: XACML Policy Beispiel: XACML-Anfrage Beispiel: XACML-Antwort RBAC mit XACML Transportprotokolle fur XACML Technische Aspekte der Ebene 4 (Authentisierung) SASL TSL Single-Sign-On-Systeme Die Technik hinter Federation SAML Profile SAML Assertions and Protocols Bindings Der Weg zur weltweiten digitalen Identitat i-names XRI Passel MaBgebliche Organisationen fur IdM-Standards Liberty Alliance WS-I OASIS Wer steht hinter den Standardisierungsgremien? SHIBBOLETH 165 Teil 3 Wirtschaftlicher Nutzen Sicherheit gewahrleisten Sicherheit der Kunden Bewertung der Sicherheit: OSSTMM Berechnen der Risk Assessment Values (RAVs) Wie viel ist ein geringeres Risiko Wert? 177

5 18 Neue Moglichkeiten schaffen The Adaptive Enterprise 18.2 Kundenzufriedenheit 18.3 Neue Geschaftsmodelle Collaboration 18.5 Serviceorientierte Architektur (SOA) Compliance 19.1 Sarbanes-Oxley Act (SOX) EU-Richtlinie (EuroSOX) European Data Protection Directive Basel II 19.5 Solvency II 19.6 KonTraG 19.7 Health Information Portability and 19.8 FISMA Accountability Act (HIPAA) 19.9 Customer Identification Program (U.S. Patriot Act) Gramm-Leach Blily Act (GLBA) Food and Drug Administration Rule 21 CFR11 (FDA) Was haben alle gemeinsam? 20 Werkzeuge zur Umsetzung der Compliance COSO Kontrolltatigkeit Information und Kommunikation COBIT Acquire and implement Deliver and support Monitor and evaluate Aufbau der Prozesse 20.3 ISO 17799, und ISO IT-Grundschutz-Kataloge des BSI Bausteinkataloge Gefahrdungskataloge Mafinahmenkataloge % "

6 21 Kosten reduzieren Betriebskosten Investitionskosten Prozesskosten Business-Case-Berechnung Methoden zur Business-Case-Berechnung Payback Period Return On Investment (ROI) Aufbau eines Business Case 256 Anhang A Relevante Dokumente aus den BSI-Grundschutz-Katalogen 263 A.I Bausteine 263 A.2 Gefahrdungskataloge 263 A.3 Mafsnahmenkataloge 265 Dank geht an Quellenverzeichnis 269 Stichwortverzeichnis 271