E-Book, Deutsch, 312 Seiten, eBook
Reihe: Edition
Tsolkas / Schmidt Rollen und Berechtigungskonzepte
2010
ISBN: 978-3-8348-9745-9
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
Ansätze für das Identity- und Access Management im Unternehmen
E-Book, Deutsch, 312 Seiten, eBook
Reihe: Edition
ISBN: 978-3-8348-9745-9
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
Die integrativen Trends, die sich seit Jahren in Unternehmen bezüglich der IT abzeichnen, z. B. Single Point of Administration, erfordern neue Konzepte für Autorisierung und Authentisierung.
Dieses Buch bietet eine ganzheitliche Darstellung von rollenbasierenden Zugriffskonzepten. Ausgehend von der bestehenden Situation in Unternehmen und der historischen Herleitung wird ein Überblick über die Berechtigungsproblematik gegeben. Die Autoren stellen praktische und handhabbare Konzepte vor und geben konzeptionelle, sowie generisch technologische Lösungsansätze und bewerten diese. Ein Buch für alle, die sich beruflich oder im Studium mit Berechtigungsverfahren und Zugriffsmanagement beschäftigen.
Alexander Tsolkas ist selbstständiger Berater für Informationssicherheit, Risikomanagement und Datenschutz. Er ist zertifiziert für Informationssicherheit, Datenschutz, Barracuda Firewalls und bildet ISO 27001:2005 Auditoren-Trainer aus. Er publizierte in 5 Jahren über 300 Artikel in der Computerwoche und auf seinem aktuellen Blog 'SecTank'. Er war 5 Jahre CSO der Schenker AG, 3 Jahre Leiter Informationssicherheit der Adam Opel AG und 9 Jahre Senior Information Security Analyst bei EDS (HP).Klaus Schmidt ist zertifizierter Information Security Manager und Geschäftsführer der Innomenta GmbH & Co. KG. Er bildet in Zusammenarbeit mit der AdT Information Security Manager aus und hat einen Lehrauftrag an der Hochschule Fulda.
Zielgruppe
Professional/practitioner
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;7
2;Inhaltsverzeichnis;10
3;1 Elemente zur Berechtigungssteuerung;18
3.1;1.1 Berechtigung;18
3.2;1.2 Rolle;27
3.2.1;1.2.1 Business-Rolle;27
3.2.2;1.2.2 Technische Rolle;29
3.3;1.3 Attribut;29
3.4;1.4 Gruppe;31
3.5;1.5 Arbeitsplatzprofil;32
3.6;1.6 Workset;32
3.7;1.7 Profil;33
3.8;1.8 Sammelprofil;36
4;2 Identitätsmanagement;38
4.1;2.1 Der Identitätsbegriff;38
4.2;2.2 Identitätsarten;40
4.3;2.3 Identitätsträger;42
4.4;2.4 Identifizierung einer Identität;46
4.4.1;2.4.1 Identifizierung über Namen;46
4.4.2;2.4.2 Identifizierung mit abstrakten Bezeichnern;48
4.4.3;2.4.3 Fazit;50
4.5;2.5 Schutz der Privatheit;50
4.5.1;2.5.1 Identitätsgefahren;51
5;3 Rollenkonzept;58
5.1;3.1 Motivation für die Verwendung von Rollen;58
5.2;3.2 Rollenfindung und Rollenbildung;62
5.2.1;3.2.1 Auswertung von Dokumentationen;62
5.2.2;3.2.2 Aufnahme der Tätigkeiten;64
5.3;3.3 Rollenhierarchie;72
5.3.1;3.3.1 Rollenbeziehungen;72
5.3.2;3.3.2 Vererbung von Rollen;76
5.4;3.4 Anwendungsbeispiel der Rollenhierarchie;77
5.5;3.5 Rollenmodelle;84
5.5.1;3.5.1 Multiple Role Model;84
5.5.2;3.5.2 Single Role Model;85
6;4 Role Based Access Control;86
6.1;4.1 Core RBAC;87
6.1.1;4.1.1 Referenzmodell;87
6.1.2;4.1.2 Funktionale Spezifikation;88
6.2;4.2 Hierarchical RBAC;92
6.2.1;4.2.1 Referenzmodell;92
6.2.2;4.2.2 Funktionale Spezifikation für das General Hierarchical RBAC;93
6.3;4.3 Constrained RBAC;94
7;5 Berechtigungssteuerung;97
7.1;5.1 Die zwei seiten der Berechtigungsthematik;97
7.1.1;5.1.1 Seite der Identitäten;97
7.1.2;5.1.2 Seite der Ressourcen;98
7.2;5.2 Quelldaten;100
7.2.1;5.2.1 Personaldaten;101
7.2.2;5.2.2 Organisationsdaten;103
7.2.3;5.2.3 Systemdaten;103
7.2.4;5.2.4 Applikationsdaten;104
7.3;5.3 Rollenbasierte Berechtigungssteuerung;104
7.4;5.4 Attributsbasierte Berechtigungssteuerung;109
7.5;5.5 Gruppenbasierte Berechtigungssteuerung;111
7.6;5.6 Kombinierte Berechtigungssteuerung;112
7.7;5.7 Granularität der Berechtigungssteuerung;120
7.8;5.8 Berechtigungsmodelle;125
8;6 Provisioning;131
8.1;6.1 User und Ressource Provisioning;132
8.1.1;6.1.1 User Provisioning;132
8.1.2;6.1.2 Ressource-Provisioning;136
8.2;6.2 Server Provisioning;139
8.3;6.3 Service Provisioning;140
8.4;6.4 Mobile Subscriber Provisioning;142
8.5;6.5 Mobile Content Provisioning;142
9;7 Zugriffskontrolle über Authentifizierung;143
9.1;7.1 UserlD und Passwort;144
9.2;7.2 Splitted Password;148
9.3;7.3 Challenge Response;149
9.4;7.4 Ticket-Systeme;152
9.5;7.5 Authentifiziefung nach Needham und Schfoedef;152
9.5.1;7.5.1 Kerberos;153
9.5.2;7.5.2 SESAME;156
9.5.3;7.5.3 DCE - Distributed Computer Environment;157
9.6;7.6 Authentifizierung über Token;157
9.6.1;7.6.1 Synchrone laken-Erstellung;158
9.6.2;7.6.2 Asynchrone Token-Erstellung;159
9.6.3;7.6.3 Duale Authentifizierung;159
9.7;7.7 Digitale Zertifikate und Signaturen;160
9.7.1;7.7.1 Digitale Zertifikate;160
9.7.2;7.7.2 Digitale Signatur;162
9.8;7.8 Biometrie;164
9.8.1;7.8.1 Biometrie in der praktischen Anwendung;165
9.9;7.9 PKI- Public Key Infrastructure;168
9.10;7.10 Anforderungen an Authentifizierungsdienste;170
10;8 Zugriffskontrolle über Autorisierung;174
10.1;8.1 Identitätsbezogene Zugriffskontrolle;177
10.2;8.2 Ressourcenorientierte Zugriffskontrolle;177
10.3;8.3 Klassifizierungsorientiert am Objekt und Subjekt (Macintosh)- Sensi'tivity Labels;179
10.4;8.4 Rollenbasierte Zugriffskontrolle;179
10.5;8.5 Zugriffskontrolltechnologien;180
10.5.1;8.5.1 Rollenbasierte Zugriffskontrolle;180
10.5.2;8.5.2 Regelbasierte Zugriffskontrolle;181
10.5.3;8.5.3 Schnittstellen mit eingeschränkten Rechten;181
10.5.4;8.5.4 Zugriffskontrollmatrix;182
10.5.5;8.5.5 Autorisierungstabellen;182
10.5.6;8.5.6 Zugriffskontrolllisten - ACL - Access Control List;183
10.5.7;8.5.7 Inhaltsabhängige Zugriffskontrolle;183
10.6;8.6 Verwaltung der Zugriffskontrolle;183
10.6.1;8.6.1 Zentralisierte Verwaltung;184
10.6.2;8.6.2 RADIUS;185
10.6.3;8.6.3 TACACS;185
10.6.4;8.6.4 Dezentralisierte Verwaltung;186
10.6.5;8.6.5 Hybride Verwaltung;187
10.7;8.7 Methoden der Zugriffskontrolle;188
10.8;8.8 Zugriffskontrollstufen;188
10.8.1;8.8.1 Physische Kontrolle;188
10.8.2;8.8.2 Technische Kontrolle;189
10.8.3;8.8.3 Adminstrative Kontrollen;191
11;9 Single Sign On;195
11.1;9.1 Problematik multipler Zugänge;195
11.1.1;9.1.1 Erhöhter Helpdesk-Aufwand;195
11.1.2;9.1.2 Produktivitätsverlust durch Mehrfachanwendungen;196
11.1.3;9.1.3 Steigende Kompromittierungsgefahren;197
11.1.4;9.1.4 Sinkende Anwenderakzeptanz und sinkende Transparenz;197
11.2;9.2 Entwicklung von 550;199
11.2.1;9.2.1 Passwortsynchronisierung durch den Benutzer;199
11.2.2;9.2.2 Passwortzentralisierung über die Plattform-Anmeldung;200
11.2.3;9.2.3 Passwortsynchronisierung im Backend;202
11.2.4;9.2.4 Erste echte SSQ-Ansätze;203
11.2.5;9.2.5 Grenzen von SSO bei Legacy-Systemen;204
11.3;9.3 Au'fbau eines Single Sign On-Systems;205
11.3.1;9.3.1 Repository der Zugangsdaten;207
11.3.2;9.3.2 Verwaltungssystem für die Zugangsdaten;209
11.3.3;9.3.4 Strenge Authentifizierung der zentralen Anmeldung;213
11.3.4;9.3.5 Verwaltung der strengen Authentifizierung;214
11.4;9.4 Single-Sign-On - Die Realisierungsvarianten;215
11.4.1;9.4.1 Multifunktionale Smartcards;215
11.4.2;9.4.2 SSO über Kerberos;216
11.4.3;9.4.3 SSO über Portallösungen;217
11.4.4;9.4.4 SSO über Ticketsysteme;218
11.4.5;9.4.5 SSO über lokale Systeme;219
11.4.6;9.4.6 SSO mittels PKI;219
11.4.7;9.4.7 SSO über Firewall-Erweiterungen;219
11.4.8;9.4.8 SSO über IdM-Systeme;220
11.4.9;9.4.9 SSO über RAS-Zugänge;220
11.4.10;9.4.10 SSO für Webanwendungen mit Authentication Tokens;221
11.5;9.5 Technologie und Herstelleransätze für die Realisierung von550;221
11.5.1;9.5.1 Microsoft Passport;221
11.5.2;9.5.2 Das Liberty Alliance Project;222
11.5.3;9.5.3 Shibboleth;223
11.5.4;9.5.4 OpenlD;223
11.5.5;9.5.5 Der Central Authentication Server (CAS);224
11.5.6;9.6 Realisierung von SSO im Unternehmen;225
11.5.7;9.6.1 Vor- und Nachteile SSO;225
11.5.8;9.6.2 Kosten und Nutzen SSO;226
11.5.9;9.6.3 Auswahl eines SSO Systems;227
11.5.10;9.6.4 Wie kann man schnell SSO einführen;227
12;10 Systemnahes Berechtigungskonzept;229
12.1;10.1 Der Aufbau von ACF2;229
12.1.1;10.1.1 BenutzerID-Record;230
12.1.2;10.1.2 Der UID- User Identification String;233
12.1.3;10.1.3 Die Data Set Rule;234
12.1.4;10.1.4 Die Resource Rule;238
12.1.5;10.1.5 Resume;239
13;11 Meta Directory;242
13.1;11.1 Die neue Zentralität;242
13.2;11.2 zentrales Repository;249
13.3;11.3 Au'fbau eines Berechtigungssystems;252
13.3.1;11.3.1 Datenablage (Repository);252
13.3.2;11.3.2 Zugangsschnittstelle für die Administration;253
13.3.3;11.3.3 Rule Engine;253
13.3.4;11.3.4 Provisioning-Komponente;253
13.3.5;11.3.5 Verwaltungssystem;256
13.3.6;11.3.6 Kommunikationskomponente;256
13.4;11.4 Grundkonzept Verzeichnisdienst;257
13.5;11.5 Verzeichnisstandards;263
13.6;11.6 Meta-Funktionalität;265
13.7;11.7 Meta Directory im Berechtigungsmanagement;267
14;12 Förderierte Identitäten - Identity Federation;271
14.1;12.1 Problem der Identitätsgrenze;272
14.2;12.2 Unternehmensübergreifende Kommunikation;273
14.2.1;12.2.1 Klassische Kommunikationsmittel;273
14.2.2;12.2.2 Übertragung elektronischer Informationen;274
14.2.3;12.2.3 Übertragung strukturierter elektronischer Informationen;274
14.3;12.3 Konzept des Service-Netzes;275
14.3.1;12.3.1 Webservices;275
14.3.2;12.3.2 Anwendungsszenarien;275
14.3.3;12.3.3 Zugriff auf externe Anwendungen;275
14.4;12.4 Aufbau des Protokollstacks;277
14.4.1;12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language;277
14.4.2;12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language;277
14.4.3;12.4.2 SOAP - Simple Object Access Protocol;277
14.4.4;12.4.3 WSDL - Web Services Description Services;278
14.4.5;12.4.4 SAML - Security Assertion Markup Language;280
14.4.6;12.4.5 SPML - Service Provisioning Markup Language;282
14.4.7;12A.6 DSML - DIrectory Service Markup Languge;284
14.4.8;12.4.7 XACML - eXtensible Access Control Markup Language;287
14.4.9;12.4.8 WS-Security;288
14.4.10;12.4.9 ID-FF -Identity Federation Framework;288
14.4.11;12.4.10 ADFS· Active Directory Federation Services;289
14.4.12;12.4.11 FIDIS - Future of Identity in the Information Society;290
14.4.13;12.4.12 Zukunftsausblick Quantenverschlüsselung;290
15;13 Rechtliche Rahmenbedingungen;292
15.1;13.1 SOX;294
15.2;13.2 KonTraG;296
15.3;13.3 GoBS;298
15.4;13.4 Datenschutzrechtliche Einflüsse;298
15.5;13.5 Weitere Vorschriften und Richtlinien;302
15.5.1;13.5.1 Das Internet und die GEZ;302
15.5.2;13.5.2 Neue Gesetze;303
15.5.3;13.5.3 Informations- und Risikomanagement;304
15.5.4;13.5.4 Baselll;305
15.5.5;13.5.5 MaRisk;306
15.5.6;13.5.6 Die Rechtsfolgen von Non-Compliance;307
15.5.7;13.5.7 Strafverfolgung der Emittlungsbehörden;308
15.5.8;13.5.8 Vorratsdatenspeicherung;308
15.5.9;13.5.9 Haftungsfragen;308
15.5.10;13.5.10 Identitätsdiebstahl;311
15.5.11;13.5.11 Archivierungspflichten und digitale Betriebsprüfung;311
15.5.12;13.5.12 Elektronische Rechnungen;312
15.5.13;13.5.13 Mitarbeiterkontrolle;313
15.5.14;13.5.14 Einsatz rechtssicherer Spam und Contentfilter;314
15.5.15;13.5.15 Gestaltung von Betriebsvereinbarungen;315
15.5.16;13.5.16 Abwesentheit von Mitarbeitern;316
16;Sachwortverzeichnis;317
Elemente zur Berechtigungssteuerung.- Identitätsmanagement.- Rollenkonzept.- Role Based Access Control.- Berechtigungssteuerung.- Provisioning.- Zugriffskontrolle über Authentifizierung.- Zugriffskontrolle über Autorisierung.- Single Sign On.- Systemnahes Berechtigungskonzept.- Meta Directory.- Förderierte Identitäten – Identity Federation.- Rechtliche Rahmenbedingungen.
