Rollen und Berechtigungskonzepte

Transkript

1 Alexander Tsolkas Klaus Schmidt Rollen und Berechtigungskonzepte Ansätze für das Identity- und Access Management im Unternehmen Mit 121 Abbildungen PRAXIS VIEWEG+ TEUBNER

2 Vorwort VII 1 Elemente zur Berechtigungssteuerung Berechtigung Rolle Business-Rolle : Technische Rolle Attribut Gruppe Arbeitsplatzprofil : Workset Profil Sammelprofil 19 2 Identitätsmanagement Der Identitätsbegriff Identitätsarten Identitätsträger Identifizierung einer Identität Identifizierung über Namen Identifizierung mit abstrakten Bezeichnern Fazit Schutz der Privatheit Identitätsgefahren Identitätsmanagement 35 XI

3 3 Rollenkonzept Motivation für die Verwendung von Rollen Rollenfindung und Rollenbildung Auswertung von Dokumentationen Aufnahme der Tätigkeiten Rollenhierarchie Rollenbeziehungen Vererbung von Rollen Anwendungsbeispiel der Rollenhierarchie Rollenmodelle Multiple Role Model Single Role Model 68 4 Role Based Access Control GoreRBAC Referenzmodell Funktionale Spezifikation HierarchicalRBAC Referenzmodell Funktionale Spezifikation für das General Hierarchical RBAC ConstrainedRBAC 77 5 Berechtigungssteuerung Die zwei Seiten der Berechtigungsthematik Seite der Identitäten " Seite der Ressourcen Quelldaten Personaldaten Organisationsdaten Systemdaten Applikationsdaten 88 xn

4 5.3 Rollenbasierte Berechtigungssteuerung Attributsbasierte Berechtigungssteuerung Gruppenbasierte Berechtigungssteuerung Kombinierte Berechtigungssteuening Granularität der Berechtigungssteuerung Berechtigungsmodelle Provisionine User und Ressource Provisioning User Provisioning Ressource-Provisioning Server Provisioning Service Provisioning Mobile Subsaiber Provisioning Mobile Content Provisioning Zugriffskontrolle über Authentifizierung UserlD und Passwort Splitted Password ChallengeResponse Ticket-Systeme -L t Authentifizierung nach Needham und Schroeder.' Kerberos SESAME DCE - Distributed Computer Environment Authentifizierung über Token Synchrone Token-Erstellung Asynchrone Token-Erstellung Duale Authentifizierung 143 xm

5 77 Digitale Zertifikate und Signaturen Digitale Zertifikate Digitale Signatur 146 Z8 Biometrie Biometrie in der praktischen Anwendung PKI-Public Key Infrastructure Anforderungen an Authentifizierungsdienste Zugriffskontrolle über Autorisierung Identitätsbezogene Zugriffskontrolle Ressourcenorientierte Zugriffskontrolle Kkssifizderungsorientiert am Objekt und Subjekt (Macintosh) - Sensitivity Labels Rollenbasierte Zugriffskontrolle Zugriffskontrolltechnologien Rollenbasierte Zugriffskontrolle...: Regelbasierte Zugriffskontrolle Schnittstellen mit eingeschränkten Rechten Zugriffskontrollmatrix Autorisierungstabellen Zugriffskontrolllisten - ACL - Access Control List Inhaltsabhängige Zugriffskontrolle Verwaltung der Zugriffskontrolle Zentralisierte Verwaltung RADIUS.' TACACS Dezentralisierte Verwaltung Hybride Verwaltung Methoden der Zugriffskontrolle 173 XIV

6 8.8 Zugriffskontrollstufen Physische Kontrolle Technische Kontrolle Adminstrative Kontrollen Single SignOn Problematik multipler Zugänge Erhöhter Helpdesk-Aufwand Produktivitätsverlust durch Mehrfachanwendungen Steigende Kompromittierungsgefahren Sinkende Anwenderakzeptanz und sinkende Transparenz Entwicklung von SSO Passwortsynchronisierung durch den Benutzer Passwortzentralisierung über die Plattform-Anmeldung Passwortsynchronisierung im Backend Erste echte SSO-Ansätze ' Grenzen von SSO bei Legacy-Systemen Aufbau eines Single Sign On-Systems Repository der Zugangsdaten Verwaltungssystem für die Zugangsdaten Schnittstellen (APIs, Logon-Oients, Scripting Engines) Strenge Authentifizierung der zentralen Anmeldung Verwaltung der strengen Authentifizierung Single-Sign-On-Die Realisierungsvarianten Multifunktionale Smartcards SSO über Kerberos SSO über Portallösungen ' SSO über Ticketsysteme SSO über lokale Systeme SSO mittels PKI SSO über Firewall-Erweiterungen 205 XV

7 9.4.8 SSO über IdM-Systeme SSO über RAS-Zugänge SSO für Webanwendungen mit Authentication Tokens Technologie und Herstelleransätze für die Realisierung von SSO Microsoft Passport Das Liberty Alliance Project Shibboleth ' OpenID Der Central Authentication Server (CAS) Realisierung von SSO im Unternehmen Vor- und Nachteile SSO : Kosten und Nutzen SSO Auswahl eines SSO Systems Wie kann man schnell SSO einführen Systemnahes Berechtigungskonzept Der Aufbau von ACF BenutzerlD-Record Der LUD- User Identification String Die Data Set Rule :..: Die Ressource Rule Resume Meta Directory Die neue Zentralität Zentrales Repository Aufbau eines Berechtigungssystems Datenablage (Repository) Zugangsschnittstelle für die Administration Rule Engine Provisioning-Komponente 240 XVI

8 Verwaltungssystem Kommunikationskomponente Grundkonzept Verzeichnisdienst Verzeichnisstandards Meta-Funktionalität Meta Directory im Berechtigungsmanagement Förderierte Identitäten Identity Federation Problem der Identitätsgrenze Unternehmensübergreifende Kommunikation Klassische Kommunikationsmittel Übertragung elektronischer Informationen Übertragung strukturierter elektronischer Informationen Konzept des Service-Netzes Webservices : Anwendungsszenarien Zugriff auf externe Anwendungen Aufbau des Protokollstacks Hypertext Transfer Prorrocol und Extensible Markup Language SOAP - Simple Object Access Protocol WSDL - Web ServicesDescription Services SAML - Security Assertion Markup Language SPML - Service Provisioning Markup Language DSML - Directory Service Markup Languge XACML - extensible Access Control Markup Language WS-Security : ID-FF - Identity Federation Framework ADFS - Active Directory Federation Services FIDIS - Future of Identity in the Information Society Zukunftsausblick Quantenverschlüsselung 278 xvn

9 13 Rechtliche Rahmenbedingungen SOX KonTraG GoBS Datenschutzrechtliche Einflüsse Weitere Vorschriften und Richtlinien Das Internet und die GEZ NeueGesetze rnformations- und Risikomanagement Basein MaRisk Die Rechtsfolgen von Non-Compliance Strafverfolgung der EmitÜungsbehörden Vorratsdatenspeicherung Haftungsfragen Identitätsdiebstahl Archivierungspflichten und digitale Betriebsprüfung Elektronische Rechnungen Mitarbeiterkontrolle Einsatz rechtssicherer Spam und Contentfilter Gestaltung von Betriebsvereinbarungen Abwesentheit von Mitarbeitern : 305 xvm