Architektur- und Werkzeugkonzepte für föderiertes Identitäts-Management
Beschreibung
vor 17 Jahren
Als essentielle Komponente des IT-Security Managements umfasst das
Identity & Access Management (I&AM) saemtliche
organisatorischen und technischen Prozesse der Verwaltung von
Dienstnutzern einer Einrichtung und deren Berechtigungen; dabei
werden die Datenbestaende verschiedenster autoritativer
Datenquellen wie Personal- und Kundenverwaltungssysteme aggregiert,
korreliert und in aufbereiteter Form den IT-Services zur Verfuegung
gestellt. Das Federated Identity Management (FIM) hat zum Ziel, die
so geschaffenen integrierten Datenbestaende auch
organisationsuebergreifend nutzbar zu machen; diese Funktionalitaet
wird beispielsweise im Rahmen von
Business-to-Business-Kooperationen, Outsourcing-Szenarien und im
Grid-Computing zunehmend dringender benoetigt. Die Vermeidung von
Redundanz und Inkonsistenzen, aber auch die garantierte
Verfuegbarkeit der Daten und die Einhaltung von
Datenschutzbestimmungen stellen hierbei besonders kritische
Erfolgsfaktoren dar. Mit der Security Assertion Markup Language
(SAML), den Spezifikationen der Liberty Alliance und WS-Federation
als integralem Bestandteil des Web Services WS-*-Protokollstacks
haben sich industrielle und partiell standardisierte technische
Ansaetze fuer FIM herauskristallisiert, deren praktische Umsetzung
jedoch noch haeufig an der nur unzureichend geklaerten, komplexen
organisatorischen Einbettung und den technischen
Unzulaenglichkeiten hinsichtlich der Integration in bestehende
IT-Infrastrukturen scheitert. In dieser Arbeit wird zunaechst eine
tiefgehende und in diesem Umfang neue Anforderungsanalyse
durchgefuehrt, die neben I&AM und FIM auch die als User-Centric
Identity Management (UCIM) bezeichnete Benutzerperspektive
beruecksichtigt; die Schwerpunkte der mehr als 60 strukturierten
und gewichteten Anforderungen liegen dabei auf der Integration von
I&AM- und FIM-Systemen sowohl auf der Seite der organisation,
der die Benutzer angehoeren (Identity Provider), als auch beim
jeweiligen Dienstleister (Service Provider), und auf dem Einbezug
von organisatorischen Randbedingungen sowie ausgewaehlten
Sicherheits- und Datenschutzaspekten. Im Rahmen eines umfassenden,
gesamtheitlichen Architekturkonzepts wird anschliessend eine
Methodik zur systematischen Integration von FIM-Komponenten in
bestehende I&AM-Systeme erarbeitet. Neben der praezisen
Spezifikation der technischen Systemschnittstellen, die den
bestehenden Ansaetzen fehlt, fokussiert diese Arbeit auf die
organisatorische Eingliederung aus Sicht des IT Service
Managements, wobei insbesondere das Security Management und das
Change Management nach ITIL vertieft werden. Zur Kompensation
weiterer grundlegender Defizite bisheriger FIM-Ansaetze werden im
Rahmen eines Werkzeugkonzepts fuenf neue FIM-Komponenten
spezifiziert, die auf eine verbesserte Interoperabilitaet der
FIM-Systeme der an einer so genannten Identity Federation
beteiligten organisationen abzielen. Darueber hinaus wird auf Basis
der eXtensible Access Control Markup Language (XACML) eine
policy-basierte Privacy Management Architektur spezifiziert und
integriert, die eine dezentrale Steuerung und Kontrolle von
Datenfreigaben durch Administratoren und Benutzer ermoeglicht und
somit essentiell zur Einhaltung von Datenschutzauflagen beitraegt.
Eine Beschreibung der prototypischen Implementierung der
Werkzeugkonzepte mit einer Diskussion ihrer Performanz und die
methodische Anwendung des Architekturkonzepts auf ein komplexes,
realistisches Szenario runden die Arbeit ab.
Identity & Access Management (I&AM) saemtliche
organisatorischen und technischen Prozesse der Verwaltung von
Dienstnutzern einer Einrichtung und deren Berechtigungen; dabei
werden die Datenbestaende verschiedenster autoritativer
Datenquellen wie Personal- und Kundenverwaltungssysteme aggregiert,
korreliert und in aufbereiteter Form den IT-Services zur Verfuegung
gestellt. Das Federated Identity Management (FIM) hat zum Ziel, die
so geschaffenen integrierten Datenbestaende auch
organisationsuebergreifend nutzbar zu machen; diese Funktionalitaet
wird beispielsweise im Rahmen von
Business-to-Business-Kooperationen, Outsourcing-Szenarien und im
Grid-Computing zunehmend dringender benoetigt. Die Vermeidung von
Redundanz und Inkonsistenzen, aber auch die garantierte
Verfuegbarkeit der Daten und die Einhaltung von
Datenschutzbestimmungen stellen hierbei besonders kritische
Erfolgsfaktoren dar. Mit der Security Assertion Markup Language
(SAML), den Spezifikationen der Liberty Alliance und WS-Federation
als integralem Bestandteil des Web Services WS-*-Protokollstacks
haben sich industrielle und partiell standardisierte technische
Ansaetze fuer FIM herauskristallisiert, deren praktische Umsetzung
jedoch noch haeufig an der nur unzureichend geklaerten, komplexen
organisatorischen Einbettung und den technischen
Unzulaenglichkeiten hinsichtlich der Integration in bestehende
IT-Infrastrukturen scheitert. In dieser Arbeit wird zunaechst eine
tiefgehende und in diesem Umfang neue Anforderungsanalyse
durchgefuehrt, die neben I&AM und FIM auch die als User-Centric
Identity Management (UCIM) bezeichnete Benutzerperspektive
beruecksichtigt; die Schwerpunkte der mehr als 60 strukturierten
und gewichteten Anforderungen liegen dabei auf der Integration von
I&AM- und FIM-Systemen sowohl auf der Seite der organisation,
der die Benutzer angehoeren (Identity Provider), als auch beim
jeweiligen Dienstleister (Service Provider), und auf dem Einbezug
von organisatorischen Randbedingungen sowie ausgewaehlten
Sicherheits- und Datenschutzaspekten. Im Rahmen eines umfassenden,
gesamtheitlichen Architekturkonzepts wird anschliessend eine
Methodik zur systematischen Integration von FIM-Komponenten in
bestehende I&AM-Systeme erarbeitet. Neben der praezisen
Spezifikation der technischen Systemschnittstellen, die den
bestehenden Ansaetzen fehlt, fokussiert diese Arbeit auf die
organisatorische Eingliederung aus Sicht des IT Service
Managements, wobei insbesondere das Security Management und das
Change Management nach ITIL vertieft werden. Zur Kompensation
weiterer grundlegender Defizite bisheriger FIM-Ansaetze werden im
Rahmen eines Werkzeugkonzepts fuenf neue FIM-Komponenten
spezifiziert, die auf eine verbesserte Interoperabilitaet der
FIM-Systeme der an einer so genannten Identity Federation
beteiligten organisationen abzielen. Darueber hinaus wird auf Basis
der eXtensible Access Control Markup Language (XACML) eine
policy-basierte Privacy Management Architektur spezifiziert und
integriert, die eine dezentrale Steuerung und Kontrolle von
Datenfreigaben durch Administratoren und Benutzer ermoeglicht und
somit essentiell zur Einhaltung von Datenschutzauflagen beitraegt.
Eine Beschreibung der prototypischen Implementierung der
Werkzeugkonzepte mit einer Diskussion ihrer Performanz und die
methodische Anwendung des Architekturkonzepts auf ein komplexes,
realistisches Szenario runden die Arbeit ab.
Weitere Episoden
vor 11 Jahren
vor 11 Jahren
vor 11 Jahren
In Podcasts werben
Kommentare (0)