Rollen und Berechtigungskonzepte - Ansätze für das Identity- und Access Management im Unternehmen

Vorwort

Inhaltsverzeichnis

1 Elemente zur Berechtigungssteuerung

1.1 Berechtigung

1.2 Rolle

1.2.1 Business-Rolle

1.2.2 Technische Rolle

1.3 Attribut

1.4 Gruppe

1.5 Arbeitsplatzprofil

1.6 Workset

1.7 Profil

1.8 Sammelprofil

2 Identitätsmanagement

2.1 Der Identitätsbegriff

2.2 Identitätsarten

2.3 Identitätsträger

2.4 Identifizierung einer Identität

2.4.1 Identifizierung über Namen

2.4.2 Identifizierung mit abstrakten Bezeichnern

2.4.3 Fazit

2.5 Schutz der Privatheit

2.5.1 Identitätsgefahren

3 Rollenkonzept

3.1 Motivation für die Verwendung von Rollen

3.2 Rollenfindung und Rollenbildung

3.2.1 Auswertung von Dokumentationen

3.2.2 Aufnahme der Tätigkeiten

3.3 Rollenhierarchie

3.3.1 Rollenbeziehungen

3.3.2 Vererbung von Rollen

3.4 Anwendungsbeispiel der Rollenhierarchie

3.5 Rollenmodelle

3.5.1 Multiple Role Model

3.5.2 Single Role Model

4 Role Based Access Control

4.1 Core RBAC

4.1.1 Referenzmodell

4.1.2 Funktionale Spezifikation

4.2 Hierarchical RBAC

4.2.1 Referenzmodell

4.2.2 Funktionale Spezifikation für das General Hierarchical RBAC

4.3 Constrained RBAC

5 Berechtigungssteuerung

5.1 Die zwei seiten der Berechtigungsthematik

5.1.1 Seite der Identitäten

5.1.2 Seite der Ressourcen

5.2 Quelldaten

5.2.1 Personaldaten

5.2.2 Organisationsdaten

5.2.3 Systemdaten

5.2.4 Applikationsdaten

5.3 Rollenbasierte Berechtigungssteuerung

5.4 Attributsbasierte Berechtigungssteuerung

5.5 Gruppenbasierte Berechtigungssteuerung

5.6 Kombinierte Berechtigungssteuerung

5.7 Granularität der Berechtigungssteuerung

5.8 Berechtigungsmodelle

6 Provisioning

6.1 User und Ressource Provisioning

6.1.1 User Provisioning

6.1.2 Ressource-Provisioning

6.2 Server Provisioning

6.3 Service Provisioning

6.4 Mobile Subscriber Provisioning

6.5 Mobile Content Provisioning

7 Zugriffskontrolle über Authentifizierung

7.1 UserlD und Passwort

7.2 Splitted Password

7.3 Challenge Response

7.4 Ticket-Systeme

7.5 Authentifiziefung nach Needham und Schfoedef

7.5.1 Kerberos

7.5.2 SESAME

7.5.3 DCE - Distributed Computer Environment

7.6 Authentifizierung über Token

7.6.1 Synchrone laken-Erstellung

7.6.2 Asynchrone Token-Erstellung

7.6.3 Duale Authentifizierung

7.7 Digitale Zertifikate und Signaturen

7.7.1 Digitale Zertifikate

7.7.2 Digitale Signatur

7.8 Biometrie

7.8.1 Biometrie in der praktischen Anwendung

7.9 PKI- Public Key Infrastructure

7.10 Anforderungen an Authentifizierungsdienste

8 Zugriffskontrolle über Autorisierung

8.1 Identitätsbezogene Zugriffskontrolle

8.2 Ressourcenorientierte Zugriffskontrolle

8.3 Klassifizierungsorientiert am Objekt und Subjekt (Macintosh)- Sensi'tivity Labels

8.4 Rollenbasierte Zugriffskontrolle

8.5 Zugriffskontrolltechnologien

8.5.1 Rollenbasierte Zugriffskontrolle

8.5.2 Regelbasierte Zugriffskontrolle

8.5.3 Schnittstellen mit eingeschränkten Rechten

8.5.4 Zugriffskontrollmatrix

8.5.5 Autorisierungstabellen

8.5.6 Zugriffskontrolllisten - ACL - Access Control List

8.5.7 Inhaltsabhängige Zugriffskontrolle

8.6 Verwaltung der Zugriffskontrolle

8.6.1 Zentralisierte Verwaltung

8.6.2 RADIUS

8.6.3 TACACS

8.6.4 Dezentralisierte Verwaltung

8.6.5 Hybride Verwaltung

8.7 Methoden der Zugriffskontrolle

8.8 Zugriffskontrollstufen

8.8.1 Physische Kontrolle

8.8.2 Technische Kontrolle

8.8.3 Adminstrative Kontrollen

9 Single Sign On

9.1 Problematik multipler Zugänge

9.1.1 Erhöhter Helpdesk-Aufwand

9.1.2 Produktivitätsverlust durch Mehrfachanwendungen

9.1.3 Steigende Kompromittierungsgefahren

9.1.4 Sinkende Anwenderakzeptanz und sinkende Transparenz

9.2 Entwicklung von 550

9.2.1 Passwortsynchronisierung durch den Benutzer

9.2.2 Passwortzentralisierung über die Plattform-Anmeldung

9.2.3 Passwortsynchronisierung im Backend

9.2.4 Erste echte SSQ-Ansätze

9.2.5 Grenzen von SSO bei Legacy-Systemen

9.3 Au'fbau eines Single Sign On-Systems

9.3.1 Repository der Zugangsdaten

9.3.2 Verwaltungssystem für die Zugangsdaten

9.3.4 Strenge Authentifizierung der zentralen Anmeldung

9.3.5 Verwaltung der strengen Authentifizierung

9.4 Single-Sign-On - Die Realisierungsvarianten

9.4.1 Multifunktionale Smartcards

9.4.2 SSO über Kerberos

9.4.3 SSO über Portallösungen

9.4.4 SSO über Ticketsysteme

9.4.5 SSO über lokale Systeme

9.4.6 SSO mittels PKI

9.4.7 SSO über Firewall-Erweiterungen

9.4.8 SSO über IdM-Systeme

9.4.9 SSO über RAS-Zugänge

9.4.10 SSO für Webanwendungen mit Authentication Tokens

9.5 Technologie und Herstelleransätze für die Realisierung von550

9.5.1 Microsoft Passport

9.5.2 Das Liberty Alliance Project

9.5.3 Shibboleth

9.5.4 OpenlD

9.5.5 Der Central Authentication Server (CAS)

9.6 Realisierung von SSO im Unternehmen

9.6.1 Vor- und Nachteile SSO

9.6.2 Kosten und Nutzen SSO

9.6.3 Auswahl eines SSO Systems

9.6.4 Wie kann man schnell SSO einführen

10 Systemnahes Berechtigungskonzept

10.1 Der Aufbau von ACF2

10.1.1 BenutzerID-Record

10.1.2 Der UID- User Identification String

10.1.3 Die Data Set Rule

10.1.4 Die Resource Rule

10.1.5 Resume

11 Meta Directory

11.1 Die neue Zentralität

11.2 zentrales Repository

11.3 Au'fbau eines Berechtigungssystems

11.3.1 Datenablage (Repository)

11.3.2 Zugangsschnittstelle für die Administration

11.3.3 Rule Engine

11.3.4 Provisioning-Komponente

11.3.5 Verwaltungssystem

11.3.6 Kommunikationskomponente

11.4 Grundkonzept Verzeichnisdienst

11.5 Verzeichnisstandards

11.6 Meta-Funktionalität

11.7 Meta Directory im Berechtigungsmanagement

12 Förderierte Identitäten - Identity Federation

12.1 Problem der Identitätsgrenze

12.2 Unternehmensübergreifende Kommunikation

12.2.1 Klassische Kommunikationsmittel

12.2.2 Übertragung elektronischer Informationen

12.2.3 Übertragung strukturierter elektronischer Informationen

12.3 Konzept des Service-Netzes

12.3.1 Webservices

12.3.2 Anwendungsszenarien

12.3.3 Zugriff auf externe Anwendungen

12.4 Aufbau des Protokollstacks

12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language

12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language

12.4.2 SOAP - Simple Object Access Protocol

12.4.3 WSDL - Web Services Description Services

12.4.4 SAML - Security Assertion Markup Language

12.4.5 SPML - Service Provisioning Markup Language

12A.6 DSML - DIrectory Service Markup Languge

12.4.7 XACML - eXtensible Access Control Markup Language

12.4.8 WS-Security

12.4.9 ID-FF -Identity Federation Framework

12.4.10 ADFS· Active Directory Federation Services

12.4.11 FIDIS - Future of Identity in the Information Society

12.4.12 Zukunftsausblick Quantenverschlüsselung

13 Rechtliche Rahmenbedingungen

13.1 SOX

13.2 KonTraG

13.3 GoBS

13.4 Datenschutzrechtliche Einflüsse

13.5 Weitere Vorschriften und Richtlinien

13.5.1 Das Internet und die GEZ

13.5.2 Neue Gesetze

13.5.3 Informations- und Risikomanagement

13.5.4 Baselll

13.5.5 MaRisk

13.5.6 Die Rechtsfolgen von Non-Compliance

13.5.7 Strafverfolgung der Emittlungsbehörden

13.5.8 Vorratsdatenspeicherung

13.5.9 Haftungsfragen

13.5.10 Identitätsdiebstahl

13.5.11 Archivierungspflichten und digitale Betriebsprüfung

13.5.12 Elektronische Rechnungen

13.5.13 Mitarbeiterkontrolle

13.5.14 Einsatz rechtssicherer Spam und Contentfilter

13.5.15 Gestaltung von Betriebsvereinbarungen

13.5.16 Abwesentheit von Mitarbeitern

Sachwortverzeichnis