ebook img

Rollen und Berechtigungskonzepte: Identity- und Access-Management im Unternehmen PDF

340 Pages·2017·11.65 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Rollen und Berechtigungskonzepte: Identity- und Access-Management im Unternehmen

Edition <kes> Alexander Tsolkas Klaus Schmidt Rollen und Berechtigungskonzepte Identity- und Access- Management im Unternehmen 2. Auflage Edition <kes> Mit der allgegenwärtigen IT ist auch die Bedeutung der Sicherheit von Informationen und IT-Systemen immens gestiegen. Angesichts der komplexen Materie und des schnellen Fortschritts der Informationstechnik benötigen IT-Profis dazu fundiertes und gut aufbereitetes Wissen. Die Buchreihe Edition <kes> liefert das notwendige Know-how, fördert das Risikobe- wusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Die <kes> – Zeitschrift für Informations-Sicherheit – wird von der DATAKONTEXT GmbH im zweimonatigen Rhythmus veröffentlicht und behandelt alle sicherheitsrele- vanten Themen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Software sowie die einschlägige Gesetzgebung zu Multimedia und Datenschutz. Nähere Informationen rund um die Fachzeitschrift finden Sie unter www.kes.info. Die Autoren der Zeitschrift und der Buchreihe Edition <kes> helfen den Anwendern in Basic- und Expert-Seminaren bei einer praxisnahen Umsetzung der Informations- Sicherheit: www.itsecuritycircles.de Weitere Bände in dieser Reihe http://www.springer.com/series/12374 Alexander Tsolkas • Klaus Schmidt Rollen und Berechtigungskonzepte Identity- und Access-Management im Unternehmen 2. Auflage Alexander Tsolkas Klaus Schmidt Riedstadt, Deutschland Neuhof, Deutschland Edition <kes> ISBN 978-3-658-17986-1 ISBN 978-3-658-17987-8 (eBook) DOI 10.1007/978-3-658-17987-8 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillier- te bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Vieweg © Springer Fachmedien Wiesbaden GmbH 2010, 2017 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verar- beitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröf- fentlichten Karten und Institutionsadressen neutral. Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Vieweg ist Teil von Springer Nature Die eingetragene Gesellschaft ist Springer Fachmedien Wiesbaden GmbH Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany Dieses Buch widme ich Susanne Slater, die eine große Bedeutung in meinem Leben hat. Dieses Buch widme ich meiner lieben Familie, Olivia, Helen und Franzi. ☺ Vorwort Berechtigungen begegnen uns täglich in unserem Leben und jeder von uns besitzt eine Menge davon. Es sind Berechtigungen Türen zu öffnen, Fahrzeuge zu führen oder in ein Land einzureisen. Auch im Unternehmen1 und am Arbeitsplatz finden sich viele Berechtigungen für Dinge, die nur bestimmte Mitarbeiter2 tun oder sehen dürfen. In die- sem Buch konzentrieren wir uns auf IT-gestützte Berechtigungen im Unternehmen und deren unternehmensweite Organisation, Verwaltung und Steuerung. Es wird zu sehen sein, dass das Thema Rollen- und Berechtigungskonzepte kein vor- wiegend technisches Thema ist, obwohl es um IT-Berechtigungen geht und die Verwaltung und Steuerung natürlich mit Hilfe der IT erfolgt. Es sind vor allem die organisatorischen und konzeptionellen Teile, die über Erfolg und Misserfolg der Berechtigungsverwaltung entscheiden. Daher kommt der Planung der Berechtigungsorganisation eine besondere Bedeutung zu. Eine besondere Bedeutung nimmt dabei heute die Berechtigungssteuerung in der Cloud ein. Welches Modell nutzt man am besten zur Berechtigungssteuerung in der Cloud? Nutzt man ein IAM oder Federation Services? In Kap. 1 stellen wir zunächst die Grundelemente der Berechtigungsthematik vor, be- ginnend mit der Klärung, was eine Berechtigung ist und aus was sie besteht. Auch das Wesen von Rollen, Attributen oder Gruppen wird hier erläutert. Einsteiger lernen hier die Elemente kennen, mit denen später gearbeitet wird, aber auch für Profis ist vielleicht der eine oder andere interessante Aspekt dabei. Kap. 2 widmet sich dem Management von Identitäten und es wird erklärt, warum man nicht von Benutzern, sondern von Identitäten spricht. Dort wird auch klar, dass der Begriff Identity Management nicht eindeutig verwendet wird. Ein wichtiges Element in der Berechtigungsthematik ist die Rolle. Aus diesem Grund behandelt Kap. 3 das Thema Rollenkonzept, darin geht es um die Fragen warum Rollen sinnvoll sind und wie Rollen gefunden, organisiert und eingesetzt werden können. Für 1 Wenn in diesem Buch von Unternehmen die Rede ist, sind damit gleichermaßen auch andere Organisationen, Behörden usw. gemeint. 2 Wenn in diesem Buch die männliche Form der Bezeichnung einer Person gewählt wurde, so sind damit in gleicher Weise Frauen und Männer gemeint. vII vIII vorwort Fortgeschrittene werden auch komplexere Dinge wie Rollenhierarchien, Rollenebenen und Vererbung angesprochen. Kap. 4 stellt mit dem Standard der rollenbasierten Zugriffskontrolle (Role Based Access Control, RBAC) den eher theoretischen Überbau der Berechtigungssteuerung vor. Zugriffsbedingungen und -elemente lassen sich mathematisch beschreiben und über Regeln können auf diese Weise vollständige Zugriffspolicies definiert werden. In Kap. 5 geht es zur Sache und der Weg von der Identität zu den Ressourcen wird mit Hilfe der in Kap. 1 vorgestellten Elemente gestaltet. Schnell wird hier klar, dass es dazu ganz verschiedene Möglichkeiten gibt und dass es auf die Situation und die Strategie im jeweiligen Unternehmen ankommt, welche der bestehenden Möglichkeiten als passend zu betrachten ist. Den Prozess des Berechtigens, also die Frage, wie kommt eine Identität zu den Berech- tigungen, wird in Kap. 6 betrachtet, in dem sich alles um das Thema Provisioning dreht. Die einzelnen Arten von Provisioning, sei es das User-, Resource-, Server- oder Service- Provisioning werden besprochen und die Anwendung von Regeln und Policies im Provisioning werden gezeigt. Ein besonderer Teil ist hier dem Cloud Computing gewidmet. Vor der Nutzung eines Systems bzw. einer Anwendung tritt oftmals mit dem Login eine erste, relativ globale Berechtigung auf, nämlich das System bzw. die Anwendung über- haupt „betreten“ zu dürfen. Kap. 7 zeigt, welche Möglichkeiten für diese Authentifizierung zu finden sind, bevor in Kap. 8 die Autorisierung thematisiert wird, d. h. die Zugriffskontrolle im System bzw. der Anwendung. Eine für viele Unternehmen spannende Sache ist das Thema Single Sign On, bei dem eine Identität mit dem Login Zugang zu allen Ressourcen bekommt, für die sie berechtigt ist. Kap. 9 beleuchtet die Ansätze zu diesem Konzept. Mit Kap. 10 wird ein systemnahes Berechtigungskonzept mittels des Großrech- nersicherheitssystem CA-ACF2 unter die Lupe genommen. Es wird beschrieben, wie man die Sicherheit mittels des von ACF2 bereitgestellten User Identification Strings – UID einer ganzen Organisation einfach abbilden kann. Weiterhin wurde ein Client-server- basierendes systemnahes Berechtigungskonzept dargestellt. Eine weitere, spannende Technologie im Bezug auf Berechtigungssysteme sind Meta Directories, denen Kap. 11 gewidmet ist. Dazu wird das Konzept von Verzeichnisdiensten erklärt und gezeigt, wie ein Meta Directory für die Berechtigungsverwaltung eingesetzt werden kann. Den Trend, Berechtigungen nicht nur innerhalb des Unternehmens, sondern unterneh- mensübergreifend zu verwalten, greift Kap. 12 auf, in dem das Thema Identity Federation besprochen wird. Neben dem allgemeinen Konzept finden sich auch die technischen Protokolle wie SAML, SPML oder DSML, so dass verständlich wird, wie mit Hilfe von XML-basierter Kommunikation Berechtigungen systemunabhängig formuliert und ver- waltet werden können. Kap. 13 schließt das Buch mit Betrachtungen zu den rechtlichen Rahmenbedingungen ab. Dabei werden wichtige und aktuelle rechtliche Grundlagen aufgezeigt, die nicht nur im Hinblick auf die Berechtigungsthematik Relevanz besitzen. vorwort Ix Neben den Autoren haben noch viele andere Personen Anteil an der Entstehung eines Buches und so ist es auch bei diesem Buch. Das Seminar „Rollen- und Berechtigungs- konzepte“ des Management Circle, geleitet vom Autor Klaus Schmidt, gab ihm den Anstoß zu diesem Buch, daher seien an dieser Stelle auch die Referenten Wolfgang Scholz von der FinanzIT und Christian Himmer von der Bayerischen Landesbank erwähnt. Alexander Tsolkas hatte den Antrieb dieses Buch zu veröffentlichen aus der betriebli- chen Praxis, da er in vielen Firmen, die er beraten hat und berät zum Teil unstrukturierte Zustände im Identitätsmanagement vorfand. Erwähnt sei Michael Louis Smith, ehemals EDS Xerox Account in Rochester, N.Y., USA, mit dem der Autor 1994 in 2 Monaten vor Ort ein Rollen- und Autorisierungskonzept für ganz Xerox USA/Mexiko für die Mainframes unter ACF2 erstellen durfte. Hilfreich für dieses Buch war auch die Planung des Rollen- und Berechtigungskonzept im Rahmen des Sicherheits- und Betriebskonzeptes für das Outsourcing der Bürokommunikationssysteme Land Baden-Württemberg, er- wähnt sei Herr Grell von der Stabsstelle für Verwaltungsreform BaWü, von dem ich viel gelernt habe. Weiterhin möchte ich gerne erinnern an Otto Schell von General Motors Europe und Dr. alias Doc. Hildebrandt, damals Opel Revision, mit denen der Autor das Berechtigungskonzept der damals größten SAP-Installation in Europa für GME korrigie- ren durfte. Auch der Job meiner letzten Festanstellung als CSO der Schenker AG, der es mir damals möglich machte, 5 ganze Jahre weltweit einen Einblick in die Sicherheit von Unternehmen zu gewinnen, trug zu diesem Buch bei. Seit 10 Jahren berät Alexander Tsolkas viele Firmen und Großkunden in diesem und anderen Bereichen und Belangen der Sicherheit, des Datenschutzes und des Risikomanagements. Die Autoren möchten sich bei allen bedanken, die in Gesprächen und Diskussionen ei- nen Beitrag zu diesem Buch geleistet haben. Allen, die Ratschläge erteilt, konstruktive Kritik geübt und Hinweise gegeben haben: Ein herzliches Dankeschön dafür. Lieber Johannes, ein spezielles Dankeschön an den „Rechtsgelehrten“ für den Review von Kap. 13. Unser Dank geht herzlichst an die Damen Fr. Dr. Kathke und Fr. Dr. Roß (1. Aufl.) von Springer Vieweg für die Betreuung dieses Buchprojekts. Neuhof und Riedstadt im Frühjahr 2017 Alexander Tsolkas Klaus Schmidt Inhaltsverzeichnis 1 Elemente zur Berechtigungssteuerung............................................................... 1 1.1 Ressource ...................................................................................................... 1 1.1.1 Globalität und Atomarität von Ressourcen ....................................... 2 1.1.2 Outsourcing von IT-Ressourcen ........................................................ 2 1.2 Berechtigung ................................................................................................. 3 1.2.1 Aufbau einer Berechtigung ............................................................... 3 1.2.2 Operationen bei Funktionsressourcen ............................................... 5 1.2.3 Operationen bei Inhaltsressourcen .................................................... 5 1.2.4 Praxisbeispiele für Berechtigungen .................................................. 7 1.2.5 Arten von Berechtigungen ................................................................ 9 1.2.6 Scope von Berechtigungen ............................................................... 10 1.2.7 Berechtigungsstufen .......................................................................... 10 1.2.8 Berechtigungsgrad und Berechtigungskette ..................................... 11 1.3 Rolle .............................................................................................................. 12 1.3.1 Business-Rolle .................................................................................. 12 1.3.2 Technische Rolle ............................................................................... 14 1.4 Attribut .......................................................................................................... 15 1.5 Gruppe ........................................................................................................... 16 1.6 Arbeitsplatzprofil .......................................................................................... 17 1.7 Workset ......................................................................................................... 17 1.8 Profil .............................................................................................................. 18 1.9 Sammelprofil ................................................................................................. 21 2 Identitätsmanagement ......................................................................................... 23 2.1 Der Identitätsbegriff ...................................................................................... 23 2.2 Identitätsarten ................................................................................................ 25 2.3 Identitätsträger .............................................................................................. 27 2.4 Identifizierung einer Identität ........................................................................ 30 2.4.1 Identifizierung über Namen .............................................................. 31 2.4.2 Identifizierung mit abstrakten Bezeichnern ...................................... 33 2.4.3 Fazit ................................................................................................... 34 xI

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.