Embed Size (px)
DESCRIPTION
„ Identity Management Technology ”. Version 1.0. Dr. Horst Walther, SiG Software Integration GmbH: 16:15 – 17:00. Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach. Technologie. Evolution des Identity Managements Eine Identity Management Architektur Der Integrationsbedarf - PowerPoint PPT Presentation
Citation preview
SiG
„Identity Management Technology ”Version 1.0
Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach
Dr. Horst Walther, SiG Software Integration GmbH:
16:15 – 17:00
SiG
Technologie
Evolution des Identity Managements
Eine Identity Management Architektur
Der Integrationsbedarf Spezialisierungen der
Datenbanksysteme Integration über Verzeichnisdienste Entwicklung der Verzeichnisdienste X.500 vs. LDAP Entwicklung der X.500-Standards Daten und Verzeichnis-Integration Meta-Verzeichnisdienste Virtuelle Verzeichnisdienste Provisioning – was ist das? Architektur eines Identity
Management Systems Integration über Federation Federated Identity
SiG
Unabhängige Quellen …Unabhängige Quellen …
Evolution des Identity Managements
Historisch 3 unabhängige Strömungen ...
Die Idee der public key infrastructure (PKI) für eine zertifikatsbasierte starke Authentisierung kann bis in das Jahr 1976 zurück verfolgt werden,
Die CCITT[1] heute ITU-T[2] hat ihre 1. Spezifikation eines X.500- Verzeichnis- dienstes 1988 veröffentlicht.
Die heute üblichen Verzeichnisdienste sind durch diese Entwicklung beeinflusst.
5 Jahre später startete das NIST[3] seine Arbeiten am role based access control (RBAC)[4].
[1] Comite Consultatif Internationale de Télégraphie et Téléphonie
[2] International Telecommunications Union-Telecommunication
[3] National Institute of Standards & Technology [4] RABC: Role Based Access Control
Die verfügbaren Komponenten zeigen eine deutliche funktionale Überlappung und ergänzen sich nicht problemlos zu einer Identity Management Infrastruktur.
1996 PKI
1988 X.500
1993 RBAC
2001 IDM
SiG
Eine Identity Management Architektur
SiG
Der Integrationsbedarf
Das typische Fortune 500 Unternehmen wartet über 180 Verzeichnisse, wie
Adressverzeichnisse, Telephonbücher ... (Quelle: Forrester Research).
Viele Anwendungen und Systeme verwalten ihre eigenen Identitätsspeicher... Betriebssysteme: Windows NT, 2003, XP, ... Datenbanksysteme: ORACLE, DB2, .. Mail-Systeme: Outlook, Lotus NOTES, ... Service-Systeme: RACF, Firewalls, ... E-business-Systeme: Internet-Portale, e-Banking-
Systeme, ... Eigenentwickelte Geschäftsanwendungen.
SiG
Spezialisierungen der Datenbanksysteme
OLTP- Datenbanksysteme Transaction processing häufige Updates, Kurze Datensätze,
OLAP- Datenbanksysteme Analyse von
vorverdichteten, redundant Massendaten
Verzeichnisdienste, Häufiger Lesezugriff, Spezial-DBMS auf den
Einzelzugriff auf (kurze) Einzeldatensätze optimiert.
Ungeachtet aller Verwirrungen über die Natur von Verzeichnisdiensten – Es sind schlicht spezialisierte Datenbanksysteme.
SiG
Integration über Verzeichnisdienste
Ein Verzeichnisdienst bietet eine einheitliche Sicht auf die Identity Informationen ...
TelefonTelefon
VideoConference
VideoConference
ApplicationSharing
ApplicationSharing
Electronic Mail
Electronic Mail
MultimediaWWW
MultimediaWWW
GroupwareGroupware
Netzwerk-Administration
Netzwerk-Administration
WorkflowWorkflow
Termin-kalenderTermin-kalender
SecuritySecurityCertification
AuthorityCertification
Authority
Verzeichnis-dienste
Verzeichnis-dienste
Er ...
wird von jeder Anwendung genutzt.
ermöglicht die Pflege von Informationen an einer einzigen Stelle.
bietet eine universelle, einfach zu bedienendeOberfläche für den Zugriff.
ist im Intranet unverzichtbar.
Fast jede Anwendung undjedes System verwalten heute noch ein eigenes Verzeichnis. Z.B.:
SAP: Personalwesen, Benutzerverwaltung, Kreditoren, Debitoren, etc.
RACF: Verwaltung der Zugriffsrechte von Personen und Rollen auf geschäftliche und technische Objekte
Windows NT: Active Directory auch für MS Exchange
Lotus Notes: Notes Namens- und Adressbuch, Zugriffs-kontrollisten der Datenbanken, etc.
SiG
Entwicklung der Verzeichnisdienste
Verzeichnisdienste gehen auf X.500-Standards zurück. Einflüsse für die weitere Entwicklung ...
Anfangs war die Implementierung für die Hardware zu anspruchsvoll.
Ergebnis: Lightweight-DAP (X.500-Zugangsprotokoll), LDAP.
Später war Hardwareleistung weniger der Engpass. Ein großer Teil der Identity Information war bereits in
Nicht-LDAP-Repositories gespeichert. Chance für die Virtuellen Verzeichnisdienste ...
bewusster Verzicht auf die Leseoptimierung. Verzeichniszugriff wird nur simuliert statt dessen wird auf die Original Datenquellen zugegriffen
Die Steigerung der Leistungsfähigkeit der Netze ließ die Bedeutung der X.500-Protokolle DSP und DISP sinken.
Heute ist mit XML (und Dialekten) sogar LDAP ein veritabler Konkurrent erwachsen.
Die meisten Verzeichnisdienste basieren auf X.500-Standards.
SiG
X.500 vs. LDAP
X.500 ...
Der erste Standard – wurde 1993 veröffentlicht.
ist ein ISO- (International Standards Organisation) und ITU- (International Telecommunications Union) Standard.
beschreibt, wie globale Verzeichnisse strukturiert werden sollten.
sieht eine hierarchische Organisation mit Levels für jede Informations-kategorie ( z.B. Land, Stadt, Organisation, ... ) vor.
unterstützt X.400 Systeme. ist das Ergebnis von Gremien-Arbeit
der Telekommunikationsgesell-schaften.(Top-Down-Prinzip)
LDAP ...
Der pragmatische Zugang der Internet-Gemeinde zu X.500.
steht für Lightweight Directory Access Protocol und soll X.500/DAP ersetzen.
entstand aus dem Bedarf, „schlanken“ Clients Zugriff auf X.500 zu ermöglichen.
nutzt nicht das X.500 zugrundeliegende (mächtige) OSI-Protokoll, sondern das weit verbreitete TCP/IP.
wird betreut durch die Internet Engineering Task Force (IETF). Interessierte können ihre Lösungen zur Standardisierung einreichen.(Bottom-Up-Ansatz )
Der allumfassende Standard -- vs. -- der schnelle Zugriff
SiG
X.500 und LDAP - Wie kam es dazu?
LDAP stellt 90% der DAP-Funktionalität bei 10% der Kosten zur Verfügung
LDAP besitzt Vorteile gegenüber dem X.500-DAP durch: Transport über TCP -> stark reduzierter Overhead Verzicht auf selten benutzte Funktionen, die Verwendung einfacherer zu verarbeitender
Zeichenkettenformate als die hochstrukturierten X.500-Formate sowie
eine einfachere Codierung der Daten für den Transport.
LDAP bietet damit einen einheitlichen Zugriff und eine einheitliche Kommunikation mit Verzeichnisdiensten
LDAP
DAP
Funktionalität Kosten
nochStandardisierungs-
bedarf
SiG
X.500 11/93 Überblick über Konzepte, Modelle und Dienste X.501 11/93 Modelle X.509 11/93 Authentisierungs-Framework X.511 11/93 Abstrakte Dienste Definition X.518 11/93 Verfahren für verteilte Verarbeitung X.519 11/93 Protokoll Spezifikationen X.520 11/93 Ausgewählte Attribut Typen X.521 11/93 Ausgewählte Objekt Klassen X.525 11/93 Replizierung X.581 11/95 Verzeichnis-Zugriffs Protokoll X.582 11/95 Verzeichnis-System Protokoll
Quelle: http://www.itu.ch/itudoc/itu-t/rec/x/x500up.html
X.500 - Die Standard-Serie
Auch außerhalb von Auch außerhalb von X.500 gebräuchlich
SiG
Der X.500-Standard definiert bereits 17 Basis-Objekt-Klassen …
X.500 - Standardobjekte
Objekt-Klassen: Alias Country Locality Organization Organizational Unit Person
Gemeinsame Attribute: Common Name (CU) Organization Name (O) Organizational Unit Name
(OU) Locality Name (L) Street Address (SA) State or Province Name (S) Country (C)
Weitere Objektklassen und Attribute lassen sich hinzufügen.
SiG
1995 1996 1997 199819941993 1999 2000
X.500 Konzepte, Modelle und DiensteX.501 ModelleX.509 Authentifizierungs-FrameworkX.511 Dienste DefinitionX.518 Verteilte VerarbeitungX.519 Protokoll SpezifikationenX.520 Attribut TypenX.521 Objekt KlassenX.525 Replizierung
X.581 Zugriffs Protokoll (DAP)
X.582 System Protokoll (DSP)
Working Group LDAPext
Working Group LDUP
RFC1487 X.500 LDAP v1RFC1488 String Representation
RFC1777 LDAP v2RFC1788 String Representation for AttributesRFC 1779 String Representation for DN
RFC1823 LDAP API
RFC1959 LDAP URLRFC1960 String Representation for Search Filters
RFC2164 X.500/LDAP MIXER address mappingRFC2247 Domains in X.500/LDAP DN
RFC2251 LDAPv3RFC2252 Attribute Syntax DefinitionRFC2253 UTF-8 String Representation of DNRFC2254 String Representation for Search FiltersRFC2255 URL FormatRFC2256 X.500 User Schema for use with LDAPv3
RFC2307 LDAP as Network Information Service
RFC2559 X.509 - LDAPv2
DRAFT LDIFinetOrgPerson
X.530 Zugriffs Protokoll
Entwicklung der Standards
SiG
Daten und Verzeichnis-Integration
Die Daten- und Verzeichnisintegrationslösung dient auch als Fundament für Sicherheitsanwendungen wie: Single Sign-On Password Management PKI Digitale Zertifikatsdienste User Provisioning
“Die Konsolidierung der Benutzerdatenbestände könnte zu einer Verbesserung der Datenkonsistenz um 44%, Güte um 36% und Sicherheit um 33% führen.”—META Group
SiG
Synchronisierung von Verzeichnisdiensten (1)
IBMRACF
Sec.WaySAPR/3
LotusNotes
MSADS
z.B.SunOne
C/S UnixHost
UnkoordinierteSchemata
Kein automatisierter Abgleich zwischenVerzeichnissen
(Aufwand steigt unkalkulierbar)
Horizontale
Koordination
Tivoli,TME10
Netw./SystemManagement
SiG
Synchronisierung von Verzeichnisdiensten (2)
IBMRACF
Sec.WaySAPR/3
LotusNotes
MSADS
z.B.SunOne
C/S UnixHost
GemeinsamesSchema
GemeinsamesSchema zzgl.systemspez.Erweiterungen
. . .
Paarweiser Abgleich zwischenVerzeichnissen
(Aufwand steigt quadratisch)
Horizontale
Koordination
Tivoli,TME10
Netw./SystemManagement
SiG
Synchronisierung von Verzeichnisdiensten (3)
IBMRACF
Sec.WaySAPR/3
LotusNotes
MSADS
z.B.SunOne
Abgleich überMeta-
Verzeichnis
C/S UnixHost
GemeinsamesSchema
GemeinsamesSchema zzgl.systemspez.Erweiterungen
Horizontale
Koordination
Tivoli,TME10
Netw./SystemManagement
SiG
Virtuelle Verzeichnisdienste
Virtuelle Verzeichnisdienste sind eine Untermenge von Metaverzeichnisdiensten ... Sie synchronisieren nicht, sondern sie bieten eine
vereinheitlichte Sicht der Informationen. Sie ...
wandeln die LDAP-Anfragen in Anfragen an die originalen Datenquellen um,
nehmen die Ergebnismengen in Empfang und stellen sie als vereinheitlichte Sicht dem Anfrager zur
Verfügung. Da sie auf die originalen Datenquellen zugreifen, sind die zu
lesenden Informationen auch nicht leseoptimiert gespeichert.
Das Zeitverhalten wird also durch das der langsamsten Datenquelle bestimmt.
Sie ermöglichen den Verbleib der Daten-Kontrolle in den Abteilungen (keine politischen Grabenkämpfe)
Zuverlässigkeit: Das schwächste System bestimmt die Zuverlässigkeit des gesamten Systems.
SiG
Provisioning
Benutzer können so über verschiedene Systeme hinweg angelegt und verwaltet werden.
Ressourcen können für sie in über Workflows mit Genehmigungs-prozessen bereit gestellt werden.
Veränderungen bei den Benutzern lassen sich automatisch umsetzen.
Verlässt ein Benutzer das Unternehmen, werden die Benutzerkonten automatisch gelöscht oder gesperrt.
Die Administrationsprozesse durch Provisioning-Lösungen sind auch unter dem Aspekt von Sicherheit und Risiko-Management wichtig.
Auch bei mittelständischen Unter-nehmen ergibt ein deutlicher Mehrwert solcher Lösungen.
Provisioning-Lösungen bieten ein erhebliches Potenzial bei der effizienteren Gestaltung von Administrationsprozessen..
SiG
Web-Access
Sie regeln zentral den Zugriff auf vorhandene Anwendungen mit Web-Schnittstellen.
Gerade bei älteren Anwendungen ist das „Web Enablement“ ein Mittel, sie in neue Infrastrukturen zu integrieren.
Web Access Management ist für die Sicherheit dann unverzichtbar.
Zusätzlich sind in der Automobilindustrie auch SOAs (Service Oriented Architectures) nötig, um Geschäftsprozesse flexibel abbilden zu können.
Damit können Funktionen vorhandener Anwendungen als „Dienste“ in neue Anwendungen integriert werden.
Wegen der zentralen Rolle von Portalen sind Web Access Management-Lösungen auch für den internen Einsatz wichtig.
SiG
Provisioning workflowProvisioning workflow
Architektur eines Identity Management Systems
Verzeichnisdienst
Audit &Abstimmung
Audit &Abstimmung
Antrags-WorkflowAntrags-Workflow
Human ResourceHuman Resource VorgesetzterVorgesetzter AngestellterAngestellter
Zentraler Speicher für Identitäten,
Rollen, Gruppen und
Policies.
Zielsysteme
Antragsteller
RollenverwaltungRollenverwaltung
ID VerwaltungID Verwaltung
SiG
Integration über Federation
Zentral-Modell Netz-Identity und
Benutzerinfor-mation in einer einzigen Ablage,
Zentralisierte Steuerung, Single point of failure, Verbindet gleichartige
Systeme.
Federated Modell Netz-Identity und
Benutzerinfor-mation in verschiedenen Ablagen
Keine zentrale Steuerung Kein Single point of failure Verbindet gleichartige und
unterschiedliche Systeme
SiG
Federated Identity
Das Verwalten und Aushandeln der Vertrauensbeziehungen über Organisationsgrenzen hinweg mittels sogenannter föderierte Identitäten.
Föderierte Szenarios: Benutzerbequemlichkeit Verwandte industry
Gruppierungen Geschlossene, hoch-
verteilte Organisationen
Strategische B-to-B Beziehungen.
Über opt-in zum heterogenen Single Sign on – Federation liefert die Verbindung.
SiG
Fragen, Vorschläge, Hinweise?
Danke
SiG
Achtung
Anhang
Hier kommen die berüchtigten back-up-Folien ...
