Zentrale vs. dezentrale Rollenverwaltung und extreme Role Engineering als alternatives Verfahren zur Rechteverwaltung

Ähnliche Dokumente
Zentrale vs. dezentrale Rollenverwaltung und extreme Role Engineering als alternatives Verfahren zur Rechteverwaltung

Rollenbasierte Identitätsund. Autorisierungsverwaltung an der TU Berlin

TUBIS-Sphäre Identitätsmanagement an der TU Berlin

Wegweiser durch die TU Berlin Verzeichnisse (Update)

Erfahrungen mit der Campuskarte der TU Berlin

Ein Netzwerk-, User- und Systemmanagementwerkzeug zur Unterstützung der Administration in kleineren bis mittleren Unternehmensnetzen

Nutzergesteuerte Netzwerkverwaltung. C. Ritter, T. Hildmann, M. Flachsel tubit IT Service Center 8. DFN Forum 2015

DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit

das neue Webserverkonzept

TUBIS. Rollen-Delegation am Beispiel des Rechts der Bestellung von Software-Lizenzen für dienstliche Zwecke

Maßnahmen zum Schutz der Sicherheitspolitik bei der RBAC-Modellierung insbesondere bei der Verwendung von extreme Role-Engineering

catxmedia Succeess Story Liebherr-International AG in Bulle/Schweiz XML-Redaktionssystem Globaler Liebherr Internet-Auftritt mit RedDot-CMS und

Thomas Freitag achelos GmbH SmartCard-Workshop achelos GmbH

Content Managament mit TYPO3 Einführung und praktische Vorführung

Self-made IDM auf Basis von Drupal

tubit Aktivitäten 12/2008-2/2009 LOS, Februar 2009

Federated Identity Management

Das Content-Management-System OpenCms im Vergleich mit TYPO3 und Joomla. Seminarvortrag von Wolfgang Neuß

Status IDMone Sitzung BRZL AK MetaDir, Bamberg Dr. Peter Rygus

Sichere Web-Services in einem föderierten Umfeld

tubit Aktivitäten 4/2008-6/2008 LOS, Juni 2008

Migration von statischen HTML Seiten

OSC SmartShop Das Komplettpaket für Ihren Erfolg im Online-Handel in Zusammenarbeit mit H nd n l d ersho h p o Be B rga g mo m n o t n Gm G b m H

Rollenbasierte Identitäts-und Autorisierungsverwaltung an dertu Berlin

Electures-Portal. Vorstellung und Empfehlungen Christoph Hermann - Universität Freiburg - Institut für Informatik 1

Wegweiser durch die TUBVerzeichnisse

OU Verwaltung für CV's

Rollenbasierte Identitäts- und Autorisierungsverwaltung an der TU Berlin

OSIAM. Sichere Identitätsverwaltung auf Basis von SCIMv2 und OAuth2

Content-Management- Systeme (CMS) Inhaltsverwaltungssystem, Redaktionssystem

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management

Verwaltung von Java-2-Zugriffspolitiken. Rainer Falk Lehrstuhl für Datenverarbeitung TU München

Web Content Management Systeme

WeMaD. Präsentation von. Thomas Hühn WeMaD 1

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Erfolgreich arbeiten mit ArcGIS Online

Know How 2 Go! CONTRACT MANAGEMENT INHOUSE WORKSHOP. Know How to Go! freshly brewed by NetCo Consulting GmbH Seite 1

tubit Aktivitäten 9/2006-9/2007 IT Stammtisch

Wiki-basierte Dokumentation von Software-Entwicklungsprozessen

Die Entwicklung des Open-Source. Source-Tools. zum Datenbankabgleich von Karsten Panier. Inhalt

YAKINDU Requirements. Requirements Engineering, Management and Traceability with Eclipse. Lars Martin, itemis AG. itemis AG

Ressourcenmanagement in Forschung und Entwicklung Grünenthal integriert SAS in sein Berechtigungs- und Mandantenkonzept 7.

Ruby on Rails. Thomas Baustert Ralf Wirdemann Alternative zur Web-Entwicklung mit Java?

MS SharePoint stellt Ihnen ein Intranet Portal zur Verfügung. Sie können Ihre Inhalte weltweit verfügbar machen auch für mobile Endgeräte.

Einführung in das TYPO3 Content Management System. Jochen Weiland - jweiland.net

Uni-Online CampusSource. Prof. Dr.-Ing. Firoz Kaderali FernUniversität Hagen Fachgebiet Kommunikationssysteme

Einführung von Imperia an NRW Hochschulen

AAI in TextGrid. Peter Gietz, Martin Haase, Markus Widmer DAASI International GmbH. IVOM-Workshop Hannover,

Claus Quast Business Productivity Specialist Microsoft GmbH. Christian Fillies Geschäftsführer Semtation GmbH

Kommunikation im Team verbessern mit Mindjet MindManager. Ein Vortrag von Steven Greenhill MindBusiness GmbH

Systemen. Stand der Umsetzung von BSC-Systemen. 3/4 der Unternehmen setzen Balanced Scorecard als neues Instrument der Unternehmensführung ein.

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Herzlich Willkommen! Seminar Web Engineering: Vortrag Thema: Federated Identity Management Systems Von: Thomas Blasek Betreuer: Stefan Wild

Sind Cloud Apps der nächste Hype?

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes

Intelligente Updateverwaltung Inventarisierung von Softwareprodukten Remoteunterstützung, mobile Endgeräte u.v.m.

Seminar Bassem Ben Helal

+++ Bitte nutzen Sie die integrierte Audio-Funktion von WebEx (Menü Audio -> Integrated Voice Conference -> Start auswählen), um uns zu hören!!!.

Compliant Identity Management bei Daimler

Automatisierung von IT-Infrastruktur für

Identity-Management flexible und sichere Berechtigungsverwaltung

Einführung von. SAP Netweaver Identity Management. bei der. Öffentlichen Versicherung Braunschweig

5. Bayerisches Anwenderforum egovernment. SharePoint Berechtigungsstrukturen Mehr als nur ein Zugriffsschutz? Dienstag, 15.

Der Weg von BYOE zum GYSE. Christopher Ritter, Patrick Bittner, Odej Kao tubit IT Service Center 7. DFN-Forum Kommunikationstechnologien

CIRRUSCELLS. Probleme zu vermeiden?

SAP NetWeaver Gateway. 2013

«Es gibt bereits alle guten Vorsätze,

EXCHANGE Neuerungen und Praxis

Thema: Systemsoftware

> > > WebOffice ArcGIS Online

Flexibles Workflow-Management mit ADEPT2

Opencast und Opencast Matterhorn

Role Based Access Control und Identity Management

IdM-Lösungen in Hochschulen - aktueller Stand, zukünftige Herausforderungen

Apparo Fast Edit Standardprogramm für unternehmensweite Dateneingabe. IBM Cognos BI

Windows Server 2008 Virtualisierung. Referent: Marc Grote

tubcloud und DFN-Cloud der TU Berlin Thomas Hildmann tubit IT Dienstleistungszentrum ZKI AKe Web & CM 03/2015

Einführung eines Remote Desktop Systems am RRZE. Sebastian Welker Abschlussprojekt

RBAC Rollenbasierte Zugriffskontrolle

Office 365 Partner-Features

FULLSERVICE TYPO3 - B e r a t u n g & E n t w i c k l u n g - H o s t i n g & H o u s i n g - S u p p o r t

Informationen zur WCMS- Ablösung

Einführung in das Web Content Management System (CMS) Typo3

Joomla 1.5. Einführung in die Installation und Benützung

Architektur eines Identitätsmanagementsystems an einer Hochschule

Notfallmanagement in Zeiten des Cloud Computing

Spring Dynamic Modules for OSGi Service Platforms

FirstWare IDM Portal FreeEdition Quick Start Guide. Version

FirstWare FreeEdition Quick Start Guide. Version 1.3

Quick-Wins identifizieren!

Notfallmanagement in Zeiten des Cloud Computing

Aktuelle Schulhomepage mit Typo3. Marc Thoma, 1

Anforderungsgetriebene Webentwicklung mit Grails:

Azure und die Cloud. Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat. Institut für Informatik Software & Systems Engineering

Auf kürzestem Weg ans Ziel!

Identity Management an der Freien Universität Berlin

Transparenz optimieren durch Managed Services. Dr. Armin Metzger, sepp.med gmbh MID Insight, Nürnberg

MEHRWERK. Berechtigungsmanagement. für gängige ERP-Systeme Compliance & Authorizations

MTF Ihr Weg zum modernen Datacenter

Erste Schritte in der Benutzung von Microsoft SharePoint

Transkript:

Zentrale vs. dezentrale Rollenverwaltung und extreme Role Engineering als alternatives Verfahren zur Rechteverwaltung Treffen des Arbeitskreis Verzeichnisdienste des ZKI Dr.-Ing. Thomas Hildmann IT Dienstleistungszentrum der TU Berlin

Vorstellung von Person und Einrichtung

Motivation Das Fachgebiet

Motivation Rollen

Die richtige Rollenzahl

Geschäftsrollen Anwendungsrollen TUBIS Anwendung Statistiken 3-teiliges Modell Erfahrungen Was ist das Problem? Einsatzgebiet RBAC TUB-spezifisch Motivation Einleitung Normalisierung Rollenähnlichkeit Vorteile Autorisierung extreme Role Engineering Prototyp Demo Nachteile zentral Vorteile dezentral Nachteile Einsatzgebiet Vorgehensmodell Zahlen und Fakten schmutzige Details Usecases Komplexität

Klassisches RBAC Benutzer ID Name Rolle berechtigt zu Recht

Verteilte Administration Strukturtyp Benutzer ID Name Struktureinheit Name 1 1 Recht berechtigt zu Rolle

Kapselung der Anwendungsschicht Strukturtyp wird bereitgestellt wird bereitgestellt Benutzer ID Name Struktureinheit Name 1 1 verwaltet Zugriff auf Anwendungsrolle Name berechtigt zu Recht Geschäftsrolle 1 Anwendung

Eingangsbeispiel im Rollenmodell Strukturtyp wird bereitgestellt wird bereitgestellt Tabelle Studierende: lesen/schreiben Tabelle Räume: lesen/schreiben (eigene) Tabelle Noten: lesen/schreiben Benutzer ID Name Struktureinheit Name 1 1 verwaltet Zugriff auf Anwendungsrolle Name berechtigt zu Recht Geschäftsrolle 1 Anwendung

3-teiliges Modell mit Views Identität Organisation Anwendung Strukturtyp wird bereitgestellt wird bereitgestellt Benutzer ID Name Struktureinheit Name 1 1 verwaltet Zugriff auf Anwendungsrolle Name berechtigt zu Recht Geschäftsrolle 1 Anwendung

Erfahrungen im Bereich rollenbasiertes IdM an der TUB 2001 Campuskarte 2007 Webportal mit rollen-basierter Autorisierung AA-Gateway: Apache, Jetty/Servlet, PHP IdM/RBAC: J2EE Eigenentwicklung ~ 50.000 Entitäten im IdM-System ~ 30 Anwendungen im Portal ~ 500 Einheiten (Fakultät, Institut, Referat...) ~ 3000 Rollen / durchschnittl. ~ 6 pro Einheit

Nutzungshäufigkeit von Diensten im persönlichen Portal für 2009 25% 2% 2% 3% 4% 5% 5% 7% 16% 10% 13% Studierendendaten Super X Typo3 Editorbereich Konto und Rollen Softwareportal Personaldaten Rollenverwaltung Mailingliste beantragen LinF Rollenverwalter und IT-Betreuerliste PW-Änderung Noteneingabe Modulverwaltung (POS) Gastaccounts Hardwareportal (Sofort-PC) Antrag Typo3-Auftritt IP-Adressenverwaltung Externe Antrag Web-Auftritt (konventionell) Hardwareportal Antrag Hosting Antrag Housing

Rollenverwaltung

Rollenverwaltung

Zentrale Lösung Was verstehe ich darunter? [Szenario-Modell unvollständig] 1 2 3 4 Identifiziere und modelliere (neues) Benutzungsszenario Leite Zugriffsrechte vom Szenario ab Identifiziere Nebenbedingungen Verfeinere das Szenario- Modell [Änderungsfall] 7 6 5 Definiere RBAC Model Leite vorläufige Rollenhierarchie ab Definiere Aufgaben und Arbeitsprofile [Szenario-Modell vollständig] Benutzer Rollen Rechte

Vorteile einer zentralen Lösung Klassischer RBAC-Ansatz: Verteilung der Verantwortung Es existieren Role-Engineering Methoden für eine zentrale Lösung, die zu strukturierten Modellen führen Know-How über Autorisierungsmodell gebündelt Überblick über das gesamte System IT-Dienstleister = Rollendienstleister (Service) Klassischer Weg: Anforderung, Analyse, Implementierung Rollenadministratoren können beraten und prüfen flache Lernkurve als Einstieg für Nicht-Experten Constraints können organisatorisch umgesetzt werden Vertretungsregelungen bei Admins durch Dienstleister

Dezentrale Lösung Was verstehe ich darunter? Benutzer Rollen Rechte

Erfahrungen im Bereich rollenbasiertes IdM an der TUB Kein Bittstellergefühl Reduzierung der Bearbeitungszeit Backuprollen in übergeordneten Einheiten Rollenvertretungen von jedem verwaltbar Flexible selbst gestaltete Struktur Transparenz Verteilung der Verantwortlichkeiten Entlastung der Administratoren Fehlinterpretation durch dritte entfällt Fehler sind lokal beschränkt Sehr guter Überblick über die verwaltete Einheit

Nachteile einer dezentralen Lösung und Maßnahmen Nachteil für lokalen Admin Fehlender Überblick über Rollenmodell Fehlendes Wissen um neue Anwendungen Folgenabschätzung und Konsequenzen Abwesenheit des lokalen Rollenadministrators Fehlendes Anwendungswissen Hohe Komplexität des Modells Maßnahmen Mehrteiliges Modell Anwendungs-, dezentrale/zentrale Rollenadmins Informationspolitik Support Schulungen, Informationen Support Selbst definierte Vertretungen Backuprollen, zentrale Rollenadmins Informationen Anwendungsrollen vordefiniert / Templates Schulung und Support Werkzeuge: GUIs, extreme Role Engineering

extreme Role Engineering Rollendruide :Testmodell :Snapshot [Story nicht umsetzbar] [Fehler im Testfall] Story erstellen Testfälle definieren Verfeinerung Sandboxdefinition Release [Fehler im Wirkbetrieb] Rollback :Story :Testmatrix Templates suchen

Ähnlichkeit von Rollen P 1 P 2 P 3 P 4 C 1 C 2 C 3 read 1 1 1 0 1 1 1 write 1 0 1 0 0 1 0 edit 1 0 0 0 0 1 0 delete 1 0 0 1 0 0 1 d(x, y) = def n x i y i i=1 x/y P 1 P 2 P 3 P 4 C 1 3 0 1 2 C 2 1 2 1 4 C 3 2 1 2 1

Normalisierung des Abstands dn(x, y) = n i=1 x 1 y i n 0.0... 0.5... 1.0 gleich unterschiedlich

Komplexität begrüßung() {O(1)} modellladen() {O(p)} storydefinieren() {O(1)} testmatrixerstellen() {O kandidatenerstellen +O vereinigegleichekandidaten = O(2no 2 )} verfeinerung() {O verfeinerung = O(opn)} sandboxtest() {O(1)} modellspeichern() {O(p)} O xreprozess = O(max(O(no 2 ),O(opn))) O(opn) fürp o

Erfolgreiche Tests xre: Prototyp, Tests mit Echtdaten, eine Testperson, Vergleich mit Handarbeit xre ermöglicht intelligentes Hinzufügen von Rollen für kleine Organisationseinheiten

Geschäftsrollen Anwendungsrollen TUBIS Anwendung Statistiken 3-teiliges Modell Erfahrungen Was ist das Problem? Einsatzgebiet RBAC TUB-spezifisch Motivation Einleitung Normalisierung Rollenähnlichkeit Vorteile Autorisierung extreme Role Engineering Prototyp Demo Nachteile zentral Vorteile dezentral Nachteile Einsatzgebiet Vorgehensmodell Zahlen und Fakten schmutzige Details Usecases Komplexität

Zusammenfassung Erfahrungen an der TU Berlin zeigen Eignung des dezentralen Identitätsmanagements. Anfänglich hoher Schulungsaufwand und Kritik. Inzwischen hohes Maß an Transparenz, Flexibilität und Selbstbestimmung. Fehler und Lücken sind auf Werkzeuge zurückzuführen. Daher Verbesserung und Erweiterung von Methoden und Werkzeugen. Nächster entscheidender Schritt: extreme Role Engineering

Quellen und Kontaktdaten thomas.hildmann@tu-berlin.de http://www.user.tu-berlin.de/hildcatf/

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback