Suchen und Finden
Mehr zum Inhalt
Rollen und Berechtigungskonzepte - Ansätze für das Identity- und Access Management im Unternehmen
Vorwort
7
Inhaltsverzeichnis
10
1 Elemente zur Berechtigungssteuerung
18
1.1 Berechtigung
18
1.2 Rolle
27
1.2.1 Business-Rolle
27
1.2.2 Technische Rolle
29
1.3 Attribut
29
1.4 Gruppe
31
1.5 Arbeitsplatzprofil
32
1.6 Workset
32
1.7 Profil
33
1.8 Sammelprofil
36
2 Identitätsmanagement
38
2.1 Der Identitätsbegriff
38
2.2 Identitätsarten
40
2.3 Identitätsträger
42
2.4 Identifizierung einer Identität
46
2.4.1 Identifizierung über Namen
46
2.4.2 Identifizierung mit abstrakten Bezeichnern
48
2.4.3 Fazit
50
2.5 Schutz der Privatheit
50
2.5.1 Identitätsgefahren
51
3 Rollenkonzept
58
3.1 Motivation für die Verwendung von Rollen
58
3.2 Rollenfindung und Rollenbildung
62
3.2.1 Auswertung von Dokumentationen
62
3.2.2 Aufnahme der Tätigkeiten
64
3.3 Rollenhierarchie
72
3.3.1 Rollenbeziehungen
72
3.3.2 Vererbung von Rollen
76
3.4 Anwendungsbeispiel der Rollenhierarchie
77
3.5 Rollenmodelle
84
3.5.1 Multiple Role Model
84
3.5.2 Single Role Model
85
4 Role Based Access Control
86
4.1 Core RBAC
87
4.1.1 Referenzmodell
87
4.1.2 Funktionale Spezifikation
88
4.2 Hierarchical RBAC
92
4.2.1 Referenzmodell
92
4.2.2 Funktionale Spezifikation für das General Hierarchical RBAC
93
4.3 Constrained RBAC
94
5 Berechtigungssteuerung
97
5.1 Die zwei seiten der Berechtigungsthematik
97
5.1.1 Seite der Identitäten
97
5.1.2 Seite der Ressourcen
98
5.2 Quelldaten
100
5.2.1 Personaldaten
101
5.2.2 Organisationsdaten
103
5.2.3 Systemdaten
103
5.2.4 Applikationsdaten
104
5.3 Rollenbasierte Berechtigungssteuerung
104
5.4 Attributsbasierte Berechtigungssteuerung
109
5.5 Gruppenbasierte Berechtigungssteuerung
111
5.6 Kombinierte Berechtigungssteuerung
112
5.7 Granularität der Berechtigungssteuerung
120
5.8 Berechtigungsmodelle
125
6 Provisioning
131
6.1 User und Ressource Provisioning
132
6.1.1 User Provisioning
132
6.1.2 Ressource-Provisioning
136
6.2 Server Provisioning
139
6.3 Service Provisioning
140
6.4 Mobile Subscriber Provisioning
142
6.5 Mobile Content Provisioning
142
7 Zugriffskontrolle über Authentifizierung
143
7.1 UserlD und Passwort
144
7.2 Splitted Password
148
7.3 Challenge Response
149
7.4 Ticket-Systeme
152
7.5 Authentifiziefung nach Needham und Schfoedef
152
7.5.1 Kerberos
153
7.5.2 SESAME
156
7.5.3 DCE - Distributed Computer Environment
157
7.6 Authentifizierung über Token
157
7.6.1 Synchrone laken-Erstellung
158
7.6.2 Asynchrone Token-Erstellung
159
7.6.3 Duale Authentifizierung
159
7.7 Digitale Zertifikate und Signaturen
160
7.7.1 Digitale Zertifikate
160
7.7.2 Digitale Signatur
162
7.8 Biometrie
164
7.8.1 Biometrie in der praktischen Anwendung
165
7.9 PKI- Public Key Infrastructure
168
7.10 Anforderungen an Authentifizierungsdienste
170
8 Zugriffskontrolle über Autorisierung
174
8.1 Identitätsbezogene Zugriffskontrolle
177
8.2 Ressourcenorientierte Zugriffskontrolle
177
8.3 Klassifizierungsorientiert am Objekt und Subjekt (Macintosh)- Sensi'tivity Labels
179
8.4 Rollenbasierte Zugriffskontrolle
179
8.5 Zugriffskontrolltechnologien
180
8.5.1 Rollenbasierte Zugriffskontrolle
180
8.5.2 Regelbasierte Zugriffskontrolle
181
8.5.3 Schnittstellen mit eingeschränkten Rechten
181
8.5.4 Zugriffskontrollmatrix
182
8.5.5 Autorisierungstabellen
182
8.5.6 Zugriffskontrolllisten - ACL - Access Control List
183
8.5.7 Inhaltsabhängige Zugriffskontrolle
183
8.6 Verwaltung der Zugriffskontrolle
183
8.6.1 Zentralisierte Verwaltung
184
8.6.2 RADIUS
185
8.6.3 TACACS
185
8.6.4 Dezentralisierte Verwaltung
186
8.6.5 Hybride Verwaltung
187
8.7 Methoden der Zugriffskontrolle
188
8.8 Zugriffskontrollstufen
188
8.8.1 Physische Kontrolle
188
8.8.2 Technische Kontrolle
189
8.8.3 Adminstrative Kontrollen
191
9 Single Sign On
195
9.1 Problematik multipler Zugänge
195
9.1.1 Erhöhter Helpdesk-Aufwand
195
9.1.2 Produktivitätsverlust durch Mehrfachanwendungen
196
9.1.3 Steigende Kompromittierungsgefahren
197
9.1.4 Sinkende Anwenderakzeptanz und sinkende Transparenz
197
9.2 Entwicklung von 550
199
9.2.1 Passwortsynchronisierung durch den Benutzer
199
9.2.2 Passwortzentralisierung über die Plattform-Anmeldung
200
9.2.3 Passwortsynchronisierung im Backend
202
9.2.4 Erste echte SSQ-Ansätze
203
9.2.5 Grenzen von SSO bei Legacy-Systemen
204
9.3 Au'fbau eines Single Sign On-Systems
205
9.3.1 Repository der Zugangsdaten
207
9.3.2 Verwaltungssystem für die Zugangsdaten
209
9.3.4 Strenge Authentifizierung der zentralen Anmeldung
213
9.3.5 Verwaltung der strengen Authentifizierung
214
9.4 Single-Sign-On - Die Realisierungsvarianten
215
9.4.1 Multifunktionale Smartcards
215
9.4.2 SSO über Kerberos
216
9.4.3 SSO über Portallösungen
217
9.4.4 SSO über Ticketsysteme
218
9.4.5 SSO über lokale Systeme
219
9.4.6 SSO mittels PKI
219
9.4.7 SSO über Firewall-Erweiterungen
219
9.4.8 SSO über IdM-Systeme
220
9.4.9 SSO über RAS-Zugänge
220
9.4.10 SSO für Webanwendungen mit Authentication Tokens
221
9.5 Technologie und Herstelleransätze für die Realisierung von550
221
9.5.1 Microsoft Passport
221
9.5.2 Das Liberty Alliance Project
222
9.5.3 Shibboleth
223
9.5.4 OpenlD
223
9.5.5 Der Central Authentication Server (CAS)
224
9.6 Realisierung von SSO im Unternehmen
225
9.6.1 Vor- und Nachteile SSO
225
9.6.2 Kosten und Nutzen SSO
226
9.6.3 Auswahl eines SSO Systems
227
9.6.4 Wie kann man schnell SSO einführen
227
10 Systemnahes Berechtigungskonzept
229
10.1 Der Aufbau von ACF2
229
10.1.1 BenutzerID-Record
230
10.1.2 Der UID- User Identification String
233
10.1.3 Die Data Set Rule
234
10.1.4 Die Resource Rule
238
10.1.5 Resume
239
11 Meta Directory
242
11.1 Die neue Zentralität
242
11.2 zentrales Repository
249
11.3 Au'fbau eines Berechtigungssystems
252
11.3.1 Datenablage (Repository)
252
11.3.2 Zugangsschnittstelle für die Administration
253
11.3.3 Rule Engine
253
11.3.4 Provisioning-Komponente
253
11.3.5 Verwaltungssystem
256
11.3.6 Kommunikationskomponente
256
11.4 Grundkonzept Verzeichnisdienst
257
11.5 Verzeichnisstandards
263
11.6 Meta-Funktionalität
265
11.7 Meta Directory im Berechtigungsmanagement
267
12 Förderierte Identitäten - Identity Federation
271
12.1 Problem der Identitätsgrenze
272
12.2 Unternehmensübergreifende Kommunikation
273
12.2.1 Klassische Kommunikationsmittel
273
12.2.2 Übertragung elektronischer Informationen
274
12.2.3 Übertragung strukturierter elektronischer Informationen
274
12.3 Konzept des Service-Netzes
275
12.3.1 Webservices
275
12.3.2 Anwendungsszenarien
275
12.3.3 Zugriff auf externe Anwendungen
275
12.4 Aufbau des Protokollstacks
277
12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language
277
12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language
277
12.4.2 SOAP - Simple Object Access Protocol
277
12.4.3 WSDL - Web Services Description Services
278
12.4.4 SAML - Security Assertion Markup Language
280
12.4.5 SPML - Service Provisioning Markup Language
282
12A.6 DSML - DIrectory Service Markup Languge
284
12.4.7 XACML - eXtensible Access Control Markup Language
287
12.4.8 WS-Security
288
12.4.9 ID-FF -Identity Federation Framework
288
12.4.10 ADFS· Active Directory Federation Services
289
12.4.11 FIDIS - Future of Identity in the Information Society
290
12.4.12 Zukunftsausblick Quantenverschlüsselung
290
13 Rechtliche Rahmenbedingungen
292
13.1 SOX
294
13.2 KonTraG
296
13.3 GoBS
298
13.4 Datenschutzrechtliche Einflüsse
298
13.5 Weitere Vorschriften und Richtlinien
302
13.5.1 Das Internet und die GEZ
302
13.5.2 Neue Gesetze
303
13.5.3 Informations- und Risikomanagement
304
13.5.4 Baselll
305
13.5.5 MaRisk
306
13.5.6 Die Rechtsfolgen von Non-Compliance
307
13.5.7 Strafverfolgung der Emittlungsbehörden
308
13.5.8 Vorratsdatenspeicherung
308
13.5.9 Haftungsfragen
308
13.5.10 Identitätsdiebstahl
311
13.5.11 Archivierungspflichten und digitale Betriebsprüfung
311
13.5.12 Elektronische Rechnungen
312
13.5.13 Mitarbeiterkontrolle
313
13.5.14 Einsatz rechtssicherer Spam und Contentfilter
314
13.5.15 Gestaltung von Betriebsvereinbarungen
315
13.5.16 Abwesentheit von Mitarbeitern
316
Sachwortverzeichnis
317
Alle Preise verstehen sich inklusive der gesetzlichen MwSt.