Identity Management zur Unterstüzung rollenbasierter Berechtigungskonzepte und Prozesse in Unternehmen mit komplexer heterogener IT-Landschaft Murat Firat Master of Science in CS
Treiber für Identity Management Umfeld eines Identity Managements Zugriffskontrollstrategien, Fazit und Erfahrungen Murat Firat Seite 2
Identity (Management) Interpretation stark abhängig von der Sichtweise Privat-Person Bezieht sich auf die Eigenschaft eines Menschen in verschiedenen Situationen unterschiedliche Verhaltensweise auszuüben Mutter, Ehefrau, Vorgesetzte, Vereinsmitglied etc. Jeder tut es (Offline) Durch Internet mehr Möglichkeiten Staat Bürger identifizieren Vorraussetzung zur Erfüllung verschiedenster Verwaltungsaufgaben Unterscheidung zwischen privaten und juristischen Personen Murat Firat Seite 3
Identity (Management) (2) Unternehmen Alle Informationen und Entitäten die in Beziehung zum Unternehmen stehen Kunden, Lieferanten, Mitarbeiter, IT-Systeme Digitale Identität: Z.B. Benutzer (-profile) in den IT- Systemen Authentisierung und Autorisierung Schwerpunkt des Vortrages Identity Management umfasst alle Maßnahmen für den sicheren Zugang von Personen und Computern zum Netz und zu Applikationen. Im Identity Management spiegeln sich die verschiedenen Verfahren für das Zugriffsmanagement, die Authentifizierung, das Passwort-Mangement, Provisioning sowie für die Directory Services wider. [IT-Wissen, 2006] Murat Firat Seite 4
Berechtigungskonzept Mit Berechtigungen kann der kontrollierte Zugriff auf Daten flexibel gesteuert werden. Eine Berechtigung beschreibt das spezielle Zugriffsrecht eines Subjekts auf ein Objekt. Subjekte sind die aktiven Elemente (z.b. Prozesse), die den Zugriff auf ein Objekt als passives Element (z.b. Datei) suchen. [Schneider, 1997] Berechtigungsprozesse in diesem Kontext, regeln somit den Aufbau und die Funktion der Berechtigungsvergabe, -pflege und -entzug bei technischen Systemen Murat Firat Seite 5
Erste Ideen durch die Vorlesung Sicherheit in Netzen NetID 2005 Köln : Anforderungen an Identity Management Systeme bezüglich der Unterstützung rollenbasierter Berechtigungskonzepte und Prozesse in Unternehmen mit komplexer heterogener IT-Landschaft Murat Firat Seite 6
Treiber für Identity Management Quelle: [Witty et al., 2006] Murat Firat Seite 7
Treiber für Identity Management Regularien, Gesetze oder Auflagen (Basel II, Sarbanex Oxley Act, KonTraG ) Kostenreduktion und Produktivitätssteigerung (Help Desk Entlastung, User Self-Service,...) von Service oriented Architecture (SOA) Erhöhung der Zugangs- und Zugriffssicherheit Murat Firat Seite 8
Quelle: [Computacenter, 2006] Quelle: http://www.ca.com/de Murat Firat Seite 9
Verzeichnisdienst MS Passport Liberty Alliance Role Based Access Control Metaverzeichnisdienst Meta-Directory Service User Management Identity Management? SAML / DSML / PSML / XCAML User Provisioning Rollen Engineering Trust Management Directory Service Authentifizierung Public Key Infrastructure Single Sign On Digital Identity Autorisierung Federated Identity Management Murat Firat Seite 10
Zugriffskontrollstrategien Benutzerbestimmbare Strategien Discretionary Access Control (DAC) Klassische Eingentümerprinzip Vergabe der Zugriffsrechte objektbezogen Gefahr: Inkonstitenz bei steigender Anzahl von Objekten Systembestimmte Strategien Mandatory Access Control (MAC) System bzw. regelbasierte Festlegungen Systemglobale Eigenschaften Rollenbasierte Strategien Role Based Access Control () Im Gegensatz zu MAC und DAC stehen hier nicht die Subjekte sondern die durchzuführenden Aufgaben im Vordergrund Murat Firat Seite 11
Role Based Access Control Prinzip: Rechte werden Rollen zugeordnet Benutzer erhalten abhängig von ihrer Funktion Rollen Einzigster Standard: ANSI vom NIST-Institut Murat Firat Seite 12
0 Users Roles Permissions Legende Permission Role User Rollenmitgliedschaft assigned_users Session mit aktiven Rollen Berechtigungsvergabe assigned_permissions session Murat Firat Seite 13
1 Hierarchies Users Roles Permissions Legende Permission Role User Rollenmitgliedschaft assigned_users Session mit aktiven Rollen Berechtigungsvergabe assigned_permissions session Murat Firat Seite 14
1 System test engineer Test lead Tester Functional test lead Project director Engineering project Development Engineer 2 Development lead Developer Development Engineer 1 Murat Firat Seite 15
2 bzw. Einschränkungen Wechselseitiger Ausschluß / Aufgabentrennung (Separation of Duties, SoD) Zahlenmässige Beschränkung Vorbedingungen zu Rollen Murat Firat Seite 16
Inhalte der Erstellung und Anwendung eines Vorgehensmodells Hauptphasen: Strategie/ Konzept Technische Umsetzung Strategie/Konzept Problemstellung, Zielstellung, Scope Technische Umsetzung Migration Ausbau Reifung Ist-Analyse, Soll-Konzept, Produktauswahl, Design, Implementierung Murat Firat Seite 17
Scope Schnellster Nutzen: Sinkende Kosten Bessere Übersicht & Kontrolle der Berechtigungen Mitarbeiter erhalten schneller Berechtigungen Größter Nutzen: Erfüllung von Compliance Erhöhung der Sicherheit und sinkende Kosten Kleinste Risiken: unvollständige Abdeckung der System-Landschaft ( unwichtige Systeme) Größte Risiken: Rollenmodell kann sehr komplex werden Role-Mining (Bottom-Up) kann erfolglos sein Master-Administration des IdM-Systems (zuviel Macht) Murat Firat Seite 18
Rollen nicht nur ein technisches Thema Berechtigungskonzept Eigentümerprinzip Sämtliche Aspekte von -Standard Standard-Berechtigung/ Sonderberechtigung Berechtigungsorganisation Prozesse Organisatorische Vorraussetzungen Einstellung, Versetzung, Austritt Technik Software Technische Einschränkungen Murat Firat Seite 19
Ist-Analyse: Berechtigungsprozesse HR MA/Externer wechselt Stelle Die Führungskraft wird informiert 1 IT-Koordinator Standardberechtigung der neuen Aufgabe wird über Auftrags-Tool beantragt. Mit Angabe sämtlicher benötigten Daten (Name, OE, ID, Referenz ID, Wechseldatum 2 Evtl. Info an den User 6 Berechtigung i.o.? N Reklamation per Auftrags- Tool 7 J Ende IT-Dienstleister Manuelle Vergabe der neuen Standardberechtigung und Löschen der alten Standard-berechtigung. Manuelles Löschen der alten Sonderberechtigungen. 3 Im ADS wird das User-Objekt verschoben. Anpassung der Laufwerke 4 Meldung der Erledigung mittels Auftrags- Tool +Mail) 5 Korrektur der Berechtigungen 8 Murat Firat Seite 20
Ist-Analyse: Berechtigungskonzept HR-System Identity Management System Zielsysteme Ressourcen User A Policy A Gruppe A User B User C Policy B Policy C Gruppe B Gruppe C Gruppe D F-Rolle A Gruppe E F-Rolle..... Murat Firat Seite 21
Defizite Berechtigungskonzept Nr. B.1 B.2 B.3 B.4 B.5 B.6 B.7 Defizit Rechte über Standardberechtigung hinaus, nur als Sonderberechtigungen Keine Unterscheidung ob Sonderber. wg. OE oder persönlichen Gründen Keine Verknüpfung zwischen Policy und F-Rollen Bei Austritt/Wechsel der OE manuelles Löschen von Sonderberechtigungen Keine Hierarchie unter F-Rollen Einrichtung von Rechten aufgrund Referenz-Benutzern (Sicherheitsrisiko) Bei Standardber. keine Unterscheidung zwischen Internen u. Externen MA s Murat Firat Seite 22
Soll-Konzept: Berechtigungskonzept HR-System Identity Management System Zielsysteme Ressourcen User A User B User C... StB StB StB OE-Rolle A OE-Rolle B SoB F-Rolle B F-Rolle D F-Rolle A F-Rolle C F-Rolle F Gruppe A Gruppe B Gruppe C Gruppe D Gruppe E... OE-Rolle C F-Rolle E Policy wird durch OE-Rolle ersetzt Mehrere OE-Rollen können zugeordnet werden Hierarchie Mehrere F-Rollen zu OE-Rollen Murat Firat Seite 23
Role-Engineering Business Processes Layer BP Analysis TOP-DOWN Role Layer Rollen Access Control Layer Groups Authorizations Resources Role Miner BOTTOM-UP Quelle: www.betasystems.de Murat Firat Seite 24
Marktsichtung und Evaluierung 3,0 2,5 2,0 1,5 1,0 0,5 Durchschnittsbewertungen der einzelnen Kategorien SAM Jupiter CA Identity Manager Java Identity Manager 0,0 Rollenumsetzung Provisioning Konsistenz Workflow Verarbeitungsmerkmale Reports Security Customization Architektur Murat Firat Seite 25
Federated Identity Management Quelle: [NetID, 2005] Murat Firat Seite 26
Federated Identity Management (2) Höhere Bedienerfreundlichkeit Geringere Kosten für Anwendungsentwicklung, Wartung und Support Ermöglicht Benutzern eine domänenübergreifendes SSO Ermöglicht Unternehmen Resourcen für eine größere Anzahl an Benutzern zur Verfügung zu stellen, welche nicht direkt von diesen Unternehmen administriert werden müssen Circle of Trust Standards: SAML (Liberty Alliance), WS-Security (IBM/MS) Murat Firat Seite 27
(SSO) Benutzer müssen sich nur einmal anmelden, können dann aber andere Netzwerkdienste nutzen ohne erneut ein Passwort einzugeben Microsoft Passport (zentralisierte Lösung) Liberty Alliance Project (dezentralisierte Lösung) Shibboleth (dezentralisierte Lösung) Kerberos Murat Firat Seite 28
Identity Management ist ein breitgefächertes Thema Business und IT Viele Technologien Hat viele Treiber => eine solide Perspektive Murat Firat Seite 29
[Firat, 2006] Murat Firat an der FH Bonn- Rhein-Sieg, Anforderungen an IdM-Systeme bezüglich der Unterstützung rollenbasierter Berechtigungskonzepte und Prozesse in Unternehmen mit komplexer heterogener IT-Landschaft, 2006 [IT-Wissen, 2006] IT-Wissen, das große Online-Lexikon für Informationstechnologie. http://www.itwissen.info/ Zugriff: 8.9.2006 [Schneider, 1997] Hans-Jochen Schneider. Lexikon Informatik und Datenverarbeitung. Oldenbourg Verlag, 1997 [Witty et al., 2006] Roberta J. Witty, Ant Alllan, Ray Wagner, Magic Quadrant for User Provisioning, Gartner RAS Core Research Note G00138621, 2006 Murat Firat Seite 30
Vielen Dank für Ihre Aufmerksamkeit
Fragen?