250 likes | 490 Views
„ Identity Management Technology ”. Version 1.0. Dr. Horst Walther, SiG Software Integration GmbH: 16:15 – 17:00. Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach. Technologie. Evolution des Identity Managements Eine Identity Management Architektur Der Integrationsbedarf
E N D
„Identity Management Technology” Version 1.0 Dr. Horst Walther, SiG Software Integration GmbH: 16:15 – 17:00 Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach
Technologie • Evolution des Identity Managements • EineIdentity Management Architektur • Der Integrationsbedarf • Spezialisierungen der Datenbanksysteme • Integration über Verzeichnisdienste • Entwicklung der Verzeichnisdienste • X.500 vs. LDAP • Entwicklung der X.500-Standards • Daten und Verzeichnis-Integration • Meta-Verzeichnisdienste • Virtuelle Verzeichnisdienste • Provisioning – was ist das? • Architektur eines Identity Management Systems • Integration über Federation • Federated Identity
Unabhängige Quellen … Historisch 3 unabhängige Strömungen ... Die Idee der public key infrastructure (PKI) für eine zertifikatsbasierte starke Authentisierung kann bis in das Jahr 1976 zurück verfolgt werden, Die CCITT[1] heute ITU-T[2] hat ihre 1. Spezifikation eines X.500- Verzeichnis- dienstes 1988 veröffentlicht. Die heute üblichen Verzeichnisdienste sind durch diese Entwicklung beeinflusst. 5 Jahre später startete das NIST[3] seine Arbeiten am role based access control (RBAC)[4]. [1] Comite Consultatif Internationale de Télégraphie et Téléphonie [2] International Telecommunications Union-Telecommunication [3] National Institute of Standards & Technology [4] RABC: Role Based Access Control Evolution des Identity Managements 1988 X.500 1993 RBAC 1996 PKI 2001 IDM • Die verfügbaren Komponenten zeigen eine deutliche funktionale Überlappung und ergänzen sich nicht problemlos zu einer Identity Management Infrastruktur.
Der Integrationsbedarf Das typische Fortune 500 Unternehmen wartet über 180 Verzeichnisse, wie Adressverzeichnisse, Telephonbücher ...(Quelle: Forrester Research). • Viele Anwendungen und Systeme verwalten ihre eigenen Identitätsspeicher... • Betriebssysteme: Windows NT, 2003, XP, ... • Datenbanksysteme: ORACLE, DB2, .. • Mail-Systeme: Outlook, Lotus NOTES, ... • Service-Systeme: RACF, Firewalls, ... • E-business-Systeme: Internet-Portale, e-Banking-Systeme, ... • Eigenentwickelte Geschäftsanwendungen.
Spezialisierungen der Datenbanksysteme • OLTP- Datenbanksysteme • Transaction processing • häufige Updates, • Kurze Datensätze, • OLAP- Datenbanksysteme • Analyse von vorverdichteten, redundant Massendaten • Verzeichnisdienste, • Häufiger Lesezugriff, • Spezial-DBMS auf den Einzelzugriff auf (kurze) Einzeldatensätze optimiert. • Ungeachtet aller Verwirrungen über die Natur von Verzeichnisdiensten – Es sind schlicht spezialisierte Datenbanksysteme.
Electronic Mail Telefon Multimedia WWW Workflow Video Conference Termin- kalender Verzeichnis- dienste Application Sharing Groupware Netzwerk- Administration Security Certification Authority Integration über Verzeichnisdienste • Ein Verzeichnisdienst bietet eine einheitliche Sicht auf die Identity Informationen ... Er ... • wird von jeder Anwendung genutzt. • ermöglicht die Pflege von Informationen an einer einzigen Stelle. • bietet eine universelle, einfach zu bedienendeOberfläche für den Zugriff. • ist im Intranet unverzichtbar. Fast jede Anwendung undjedes System verwalten heute noch ein eigenes Verzeichnis. Z.B.: • SAP: Personalwesen, Benutzerverwaltung, Kreditoren, Debitoren, etc. • RACF: Verwaltung der Zugriffsrechte von Personen und Rollen auf geschäftliche und technische Objekte • Windows NT: Active Directory auch für MS Exchange • Lotus Notes: Notes Namens- und Adressbuch, Zugriffs-kontrollisten der Datenbanken, etc.
Entwicklung der Verzeichnisdienste • Verzeichnisdienste gehen auf X.500-Standards zurück. • Einflüsse für die weitere Entwicklung ... • Anfangs war die Implementierung für die Hardware zu anspruchsvoll. • Ergebnis: Lightweight-DAP (X.500-Zugangsprotokoll), LDAP. • Später war Hardwareleistung weniger der Engpass. • Ein großer Teil der Identity Information war bereits in Nicht-LDAP-Repositories gespeichert. • Chance für die Virtuellen Verzeichnisdienste ... • bewusster Verzicht auf die Leseoptimierung. • Verzeichniszugriff wird nur simuliert • statt dessen wird auf die Original Datenquellen zugegriffen • Die Steigerung der Leistungsfähigkeit der Netze ließ die Bedeutung der X.500-Protokolle DSP und DISP sinken. • Heute ist mit XML (und Dialekten) sogar LDAP ein veritabler Konkurrent erwachsen. • Die meisten Verzeichnisdienste basieren auf X.500-Standards.
X.500 ... Der erste Standard – wurde 1993 veröffentlicht. ist ein ISO- (International Standards Organisation) und ITU- (International Telecommunications Union) Standard. beschreibt, wie globale Verzeichnisse strukturiert werden sollten. sieht eine hierarchische Organisation mit Levels für jede Informations-kategorie ( z.B. Land, Stadt, Organisation, ... ) vor. unterstützt X.400 Systeme. ist das Ergebnis von Gremien-Arbeit der Telekommunikationsgesell-schaften.(Top-Down-Prinzip) LDAP ... Der pragmatische Zugang der Internet-Gemeinde zu X.500. steht für Lightweight Directory Access Protocol und soll X.500/DAP ersetzen. entstand aus dem Bedarf, „schlanken“ Clients Zugriff auf X.500 zu ermöglichen. nutzt nicht das X.500 zugrundeliegende (mächtige) OSI-Protokoll, sondern das weit verbreitete TCP/IP. wird betreut durch die Internet Engineering Task Force (IETF). Interessierte können ihre Lösungen zur Standardisierung einreichen.(Bottom-Up-Ansatz ) X.500 vs. LDAP • Der allumfassende Standard -- vs. -- der schnelle Zugriff
LDAP DAP FunktionalitätKosten noch Standardisierungs-bedarf X.500 und LDAP - Wie kam es dazu? • LDAP stellt • 90% der DAP-Funktionalität bei • 10% der Kosten zur Verfügung • LDAP besitzt Vorteile gegenüber dem X.500-DAP durch: • Transport über TCP -> stark reduzierter Overhead • Verzicht auf selten benutzte Funktionen, • die Verwendung einfacherer zu verarbeitender Zeichenkettenformate als die hochstrukturierten X.500-Formate sowie • eine einfachere Codierung der Daten für den Transport. • LDAP bietet damit • einen einheitlichen Zugriff und • eine einheitliche Kommunikation mit Verzeichnisdiensten
X.500 - Die Standard-Serie • X.500 11/93 Überblick über Konzepte, Modelle und Dienste • X.501 11/93 Modelle • X.509 11/93 Authentisierungs-Framework • X.511 11/93 Abstrakte Dienste Definition • X.518 11/93 Verfahren für verteilte Verarbeitung • X.519 11/93 Protokoll Spezifikationen • X.520 11/93 Ausgewählte Attribut Typen • X.521 11/93 Ausgewählte Objekt Klassen • X.525 11/93 Replizierung • X.581 11/95 Verzeichnis-Zugriffs Protokoll • X.582 11/95 Verzeichnis-System Protokoll Quelle: http://www.itu.ch/itudoc/itu-t/rec/x/x500up.html Auch außerhalb von X.500 gebräuchlich Auch außerhalb von
Objekt-Klassen: Alias Country Locality Organization Organizational Unit Person Gemeinsame Attribute: Common Name (CU) Organization Name (O) Organizational Unit Name (OU) Locality Name (L) Street Address (SA) State or Province Name (S) Country (C) X.500 - Standardobjekte Der X.500-Standard definiert bereits 17 Basis-Objekt-Klassen … Weitere Objektklassen und Attribute lassen sich hinzufügen.
X.581 Zugriffs Protokoll (DAP) X.582 System Protokoll (DSP) Entwicklung der Standards RFC2251 LDAPv3RFC2252 Attribute Syntax DefinitionRFC2253 UTF-8 String Representation of DNRFC2254 String Representation for Search FiltersRFC2255 URL FormatRFC2256 X.500 User Schema for use with LDAPv3 X.500 Konzepte, Modelle und DiensteX.501 ModelleX.509 Authentifizierungs-FrameworkX.511 Dienste DefinitionX.518 Verteilte VerarbeitungX.519 Protokoll SpezifikationenX.520 Attribut TypenX.521 Objekt KlassenX.525 Replizierung RFC2164 X.500/LDAP MIXER address mappingRFC2247 Domains in X.500/LDAP DN RFC2307 LDAP as Network Information Service RFC2559 X.509 - LDAPv2 DRAFT LDIF inetOrgPerson X.530 Zugriffs Protokoll RFC1487 X.500 LDAP v1RFC1488 String Representation Working Group LDUP RFC1777 LDAP v2RFC1788 String Representation for AttributesRFC 1779 String Representation for DN Working Group LDAPext RFC1823 LDAP API RFC1959 LDAP URLRFC1960 String Representation for Search Filters 1993 1994 1995 1996 1997 1998 1999 2000
Daten und Verzeichnis-Integration • Die Daten- und Verzeichnisintegrationslösung dient auch als Fundament für Sicherheitsanwendungen wie: • Single Sign-On • Password Management • PKI Digitale Zertifikatsdienste • User Provisioning “Die Konsolidierung der Benutzerdatenbestände könnte zu einer Verbesserung der Datenkonsistenz um 44%, Güte um 36% und Sicherheit um 33% führen.”—META Group
Synchronisierung von Verzeichnisdiensten (1) HorizontaleKoordination Kein automatisierter Abgleich zwischenVerzeichnissen(Aufwand steigt unkalkulierbar) UnkoordinierteSchemata z.B.SunOne Tivoli,TME10 LotusNotes IBMRACFSec.Way SAPR/3 MSADS C/S Host Unix Netw./SystemManagement
Synchronisierung von Verzeichnisdiensten (2) HorizontaleKoordination Paarweiser Abgleich zwischenVerzeichnissen (Aufwand steigt quadratisch) GemeinsamesSchema . . . GemeinsamesSchema zzgl.systemspez.Erweiterungen z.B.SunOne Tivoli,TME10 LotusNotes IBMRACFSec.Way SAPR/3 MSADS C/S Host Unix Netw./SystemManagement
Synchronisierung von Verzeichnisdiensten (3) HorizontaleKoordination Abgleich überMeta-Verzeichnis GemeinsamesSchema GemeinsamesSchema zzgl.systemspez.Erweiterungen z.B.SunOne Tivoli,TME10 LotusNotes IBMRACFSec.Way SAPR/3 MSADS C/S Host Unix Netw./SystemManagement
Virtuelle Verzeichnisdienste • Virtuelle Verzeichnisdienste sind eine Untermenge von Metaverzeichnisdiensten ... • Sie synchronisieren nicht, sondern sie bieten eine vereinheitlichte Sicht der Informationen. • Sie ... • wandeln die LDAP-Anfragen in Anfragen an die originalen Datenquellen um, • nehmen die Ergebnismengen in Empfang und • stellen sie als vereinheitlichte Sicht dem Anfrager zur Verfügung. • Da sie auf die originalen Datenquellen zugreifen, sind die zu lesenden Informationen auch nicht leseoptimiert gespeichert. • Das Zeitverhalten wird also durch das der langsamsten Datenquelle bestimmt. • Sie ermöglichen den Verbleib der Daten-Kontrolle in den Abteilungen (keine politischen Grabenkämpfe) • Zuverlässigkeit: Das schwächste System bestimmt die Zuverlässigkeit des gesamten Systems.
Provisioning • Benutzer können so über verschiedene Systeme hinweg angelegt und verwaltet werden. • Ressourcen können für sie in über Workflows mit Genehmigungs-prozessen bereit gestellt werden. • Veränderungen bei den Benutzern lassen sich automatisch umsetzen. • Verlässt ein Benutzer das Unternehmen, werden die Benutzerkonten automatisch gelöscht oder gesperrt. • Die Administrationsprozesse durch Provisioning-Lösungen sind auch unter dem Aspekt von Sicherheit und Risiko-Management wichtig. • Auch bei mittelständischen Unter-nehmen ergibt ein deutlicher Mehrwert solcher Lösungen. • Provisioning-Lösungen bieten ein erhebliches Potenzial bei der effizienteren Gestaltung von Administrationsprozessen..
Web-Access • Sie regeln zentral den Zugriff auf vorhandene Anwendungen mit Web-Schnittstellen. • Gerade bei älteren Anwendungen ist das „Web Enablement“ ein Mittel, sie in neue Infrastrukturen zu integrieren. • Web Access Management ist für die Sicherheit dann unverzichtbar. • Zusätzlich sind in der Automobilindustrie auch SOAs (Service Oriented Architectures) nötig, um Geschäftsprozesse flexibel abbilden zu können. • Damit können Funktionen vorhandener Anwendungen als „Dienste“ in neue Anwendungen integriert werden. • Wegen der zentralen Rolle von Portalen sind Web Access Management-Lösungen auch für den internen Einsatz wichtig.
Verzeichnisdienst Architektur eines Identity Management Systems Human Resource Vorgesetzter Angestellter Antragsteller Antrags-Workflow Rollenverwaltung Zentraler Speicher für Identitäten, Rollen, Gruppen und Policies. ID Verwaltung Provisioning workflow Audit &Abstimmung Zielsysteme
Zentral-Modell Netz-Identity und Benutzerinfor-mation in einer einzigen Ablage, Zentralisierte Steuerung, Single point of failure, Verbindet gleichartige Systeme. Federated Modell Netz-Identity und Benutzerinfor-mation in verschiedenen Ablagen Keine zentrale Steuerung Kein Single point of failure Verbindet gleichartige und unterschiedliche Systeme Integration über Federation
Federated Identity • Das Verwalten und Aushandeln der Vertrauensbeziehungen über Organisationsgrenzen hinweg mittels sogenannter föderierte Identitäten. • Föderierte Szenarios: • Benutzerbequemlichkeit • Verwandte industry Gruppierungen • Geschlossene, hoch-verteilte Organisationen • Strategische B-to-B Beziehungen. • Über opt-in zum heterogenen Single Sign on – Federation liefert die Verbindung.
Achtung Anhang Hier kommen die berüchtigten back-up-Folien ...