Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick Dr. Joachim Gerber INFORA-Kompetenzteam Informationssicherheit & Id-Management München, 14.06.2010
Agenda 1. Identität Begriff und Zweck 2. Anforderungen an Id-Management 3. Service- bzw. nutzerzentriertes Id-Management 4. Systeme für nutzerzentriertes Id-Management 5. Föderiertes Id-Management 6. Fazit 2
Digitale Identität Digitale Identitäten sind Datensätze, die Objekten in IT-Netzen eindeutig zugeordnet sind und diese repräsentieren. Solche Objekte können sein: natürliche oder juristische Personen, Systemkomponenten (Geräte, HW-Module), Anwendungen oder Services Eine digitale Identität besteht aus einer Sammlung allgemein verfügbarer objektbezogener Attribute, die zentral oder dezentral gespeichert sind. 3
Attribute Eindeutige Identifikation: Name oder die Nummer eines Objekts Beschreibende Attribute: Rollenunabhängige Attribute, wie etwa die Adressinformationen oder weitere charakteristische Merkmale Kontext: von der Rolle des Inhabers abhängige Berechtigungen Zertifikate: Bestätigungen einer (dritten) Instanz über die Zusammengehörigkeit zu einer Person oder Sache. 4
Zweck digitaler Identitäten Zugriff auf Ressourcen und Dienste 5
Digitale Teilidentität Eine digitale Teilidentität ist eine bestimmte, zu einer Identität gehörende, Datenmenge, die beispielsweise für Interaktionen und Transaktionen verwendet wird. In einem konkreten Kontext ist die digitale Identität einer Person stets eine digitale Teilidentität: email-adresse User Account Kontonummer Biometrisches Merkmal 6
ID-Management umfasst die Speicherung, Verwaltung und Nutzung von digitalen Identitätsinformationen. Speicherung erfolgt in Verzeichnissen auf Datenbanken auf Smartcards Verwaltung mittels manueller und automatisierter Prozesse Nutzung für Authentifizierung, Autorisierung und Accounting 7
Treiber für Id-Management Organisationsintern: Konsoliderungsdruck in der IT komplexere und stärker vernetzte IT-Anwendungen/-Systeme Service-Orientierung Cloud Computing Organisationsextern: E-Government / E-Business gesetzliche Anforderungen neue Bedrohungsszenarien (z.b. Bot-Netze) 8
Aktuelle Herausforderungen E-Card-Strategie des Bundes Elektronischer Personalausweis (epa) Elektronische Gesundheitskarte (egk) Elektronische Steuererklärung (ELSTER) Elektronischer Einkommensnachweis (ELENA) SAFE (Secure Access to Federated e-justice/ egovernment) einheitliche Verfahren für den elektronischen Rechtsverkehr Elektronisches Personenstandsregister 9
IdM-Kontexte in der ÖV Servicezentriertes IdM zentralisierte Verwaltung der internen Nutzer Rollen Rechte Meta-Directories / SSO Definition digitaler Teilidentitäten anhand von Fach-/Betriebsfunktionen eingeschränkte Verfügung des Nutzers über seinen Teilidentitäten Nutzerzentriertes IdM Zugriff auf Id- Informationen zur Bereitstellung von E- Government-Diensten Id-Informationen bei einem Id-Provider: privater Dienstleister (OpenID, CardSpace) Staat (epa) Verfügung des Nutzers über seine Teilidentitäten Datenschutz / 7 Laws 10
Servicezentriertes IdM Provisionierung Erteilung individueller Berechtigungen aufgrund von Rollen innerhalb der Organisation Access Management Verwaltung von Zugriffsrechten, Sicherheitsrichtlinien etc. Role Based Access Control Meta-Directory zentrale Verzeichnisstrukturen, die Informationen von verteilten Verzeichnisdiensten sammeln und bereitstellen Identity-und Access-Management (IAM) 11
Organisationsinternes IAM 12
Nutzerzentriertes IdM stellt dem Benutzer verschiedene Werkzeuge zur Verfügung, mit deren Hilfe er Teilidentitäten anlegen, zwischen seinen Teilidentitäten wechseln, Teilidentitäten verwalten und modifizieren kann. unterstützt ihn bei der Kontrolle seiner Privatheit gewährleistet ihm die Sicherheit seiner Daten 13
Elemente eines nutzerzentrierten IdM 14
Anforderungen Weitgehende Benutzerkontrolle und Benutzerzustimmung: IdM-Systeme dürfen Informationen zur Identifikation eines Benutzers nur mit dessen Zustimmung weitergeben Minimale Informationspreisgabe für einen eingeschränkten Verwendungszweck: IdM sollen so wenig benutzerbezogenen Informationen wie möglich weitergeben Berechtigte Parteien: IdM-Systeme dürfen Informationen über identifizierte Benutzer nur an die Parteien weitergeben, die einen notwendigen und berechtigten Platz in einer definierten Identitätsbeziehung einnehmen. Laws of Identity: www.identityblog.com eid-kodex: www.teletrust.de 15
IdM im E-Government Kein E-Government ohne IdM E-Government muss auf nutzerzentriertem IdM basieren Es darf nur erforderliche Teilidentitäten verwenden Es muss Ansätze von Vorratsdatenspeicherung vermeiden Herausforderung epa: Staat ist Service Provider und Id-Provider 16
Service Provider und Id-Provider Id-Provider stellt digitale Identitäten aus Token bestätigt gegenüber einem Service Provider (Dienstanbieter) die Identität eines Nutzers oder Service Requesters Service Provider stellt Ressourcen (Dienste, Content etc.) bereit Nutzer müssen sich authentisieren Authentisierung durch Anfrage an Id-Provider Rechteverwaltung durch SP SP muss IdP vertrauen (umgekehrt auch) Trust Domain 17
Szenario servicezentriertes IdM 18
Scenario nutzerzentriertes IdM 19
Id-Selector Systeme OpenID: geeignet für Web-Sites oder Web-Service-Requester http://myid.myopenidprovider.com/ z.b. http://maxmustermann@gmail.com Windows Cardspace Id-Selector selbsterstellte und selbstverwalte oder managed Cards ID-Provider: Microsoft Higgins Id-Selector (i-card) nutzerzentriertes Identitätssystem Open-Source http://www.eclipse.org/higgins 20
Cardspace Quelle Microsoft 21
Federation Quelle: BOS/Dataport 22
Federation ggf. auch intern 23
Austausch von Id-Informationen SAML Security Assertion Markup Language XML-Framework für den Austausch von sicherheitsrelevanten Informationen in vertrauten Domänen WS-Security Web Services Security Spezifikation von Mechanismen zur Übermittlung von Security-Tokens zwischen Services in SOAP- Nachrichten Token-Profile z.b. für Username/Password, X.509-Zertifikate, SAML oder Kerberos Liberty Alliance Framework für den Austausch von ID-Informationen zwischen Domänen Konzentration auf Single Sign-On nutzt WS-Security und SAML 24
Fazit Es gibt keine Identity-Management-Lösung, die alle Ansprüche erfüllt. IT-Betrieb der ÖV braucht servicezentriertes Id-Management und IAM E-Government braucht nutzerzentriertes IdM und Federation Beim Identity Management geht es erst an zweiter Stelle um Technologie. Im Vordergrund steht die Lösung von E-Businessoder E-Government-Problemen. 25
Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen oder Anmerkungen?
Laws of Identity Die sieben Gesetze der Identity nach Kim Cameron beschreiben die Anforderungen im Umgang mit digitalen Identitäten und die Herausforderungen an ein Metasystem der Identitätsverwaltung.Benutzerkontrolle und Benutzerzustimmung: 1. Identitätssysteme dürfen Informationen, die den Benutzer identifizieren, nur mit dessen Zustimmung weitergeben. 2. Minimale Informationspreisgabe für einen eingeschränkten Verwendungszweck: Das Identitätssystem muss möglichst wenig identifizierende Informationen preisgeben. 3. Berechtigte Parteien: Identitätssysteme müssen so entworfen sein, dass die Preisgabe identifizierender Informationen nur an solche Parteien erfolgt, die einen notwendigen und berechtigten Platz in einer gegebenen Identitätsbeziehung einnehmen. 4. Gerichtete Identität: Ein weltweites Identitätssystem muss sowohl omnidirektionale Bezeichner zur Nutzung durch öffentliche Instanzen als auch unidirektionale Bezeichner zur Nutzung durch private Instanzen unterstützen. Damit wird das Auffinden (Discovery) erleichtert, während die unnötige Preisgabe von sogenannten Correlation Handles vermieden wird. 5. Pluralismus von Betreibern und Technologien: Ein universelles Identitätssystem muss mit vielfältigen Identitätstechnologien und verschiedenen Identitäts-Providern interoperabel sein. 6. Benutzerintegration: Identitätssysteme müssen den menschlichen Benutzer als Teil des verteilten Systems definieren. Dabei müssen eindeutige, unmissverständliche Mensch-Maschine-Kommunikationsmechanismen verwendet werden, bei denen gleichzeitig Schutz gegen Attacken auf Identitäten gewährleistet wird. 7. Einheitliche Benutzererfahrung über Kontexte hinweg: Das vereinigende Identitäts-Metasystem muss seinen Benutzern eine einfache, konsistente Benutzererfahrung bieten, die sich über die verschiedenen Kontexte verschiedener Betreiber und Technologien erstreckt. 27
SAML-Assertion Wer ist der Besitzer des Tokens? Wann, wie und wo hat sich der Benutzer authentifiziert? Rollen und Eigenschaften des Besitzers Zugriffsrechte des Besitzers 28
SAML Secure Access Markup Language Assertion = Bescheinigung, ausgestellt von einer SAML-Autorität wird vom ID-Provider auf Anfrage des Service Providers oder des Service Requesters erzeugt (z.b. STS mit WS-Trust) besteht aus den Elementen: Authentisierung Subjekt (Person/Organisation oder Computer/Programm) wurde zu einem bestimmten Zeitpunkt authentisiert Autorisierung Subjekt wurde der Zugriff zu einer bestimmten Ressource gewährt oder verweigert Attributierung Subjekt ist mit zusätzlichen Attributen verknüpft worden Assertions können mittels XML Signature signiert werden 29