Security Management trifft Identity Management – Teil 2

Identitäten alleine reichen nicht für den Zugangsschutz

Seite: 2/2

Firmen zum Thema

Viele Benutzer teilen sich eine Rolle

Aber auch das Gegenteil ist heute anzutreffen. Die Zusammenfassung mehrerer Benutzer in einer Rolle. Beispielhaft dafür stehen die Mitarbeiter von Call-Centern. Falls es bei den Beschäftigten eines Call-Centers nicht darauf ankommt, welcher Mitarbeiter welche Aktion ausgeführt hat, so lassen sich auch universelle Arbeitsplätze und Accounts dafür einrichten. Für ein reines Auskunftssystem, mit nur lesendem Zugriff auf die Daten mag es unerheblich sein, welcher Mitarbeiter auf die Daten zugegriffen hat. Da hierbei mehrere Mitarbeiter in einer Rolle zusammengefasst sind, ergibt sich damit eine n:1-Beziehung zwischen dem Mitarbeiter und den Rollen oder Rechten.

Rollen und Rechte für die Benutzer durch das Intelligent Access Gateway

Eine praktische Umsetzung für die Mehrfachbeziehungen der Rollen und Rechte findet sich bereits heute im Intelligent Access Gateway (IAG). Das IAG ist ein Modul aus der Forefront-Reihe von Microsoft. Das Intelligent Application Gateway (IAG) ermöglicht einen gesicherten aber sehr fein abgestuften Zugang zum Unternehmensnetz.

Ähnlich einem SSL-VPN-Gateway erfolgt dabei der Zugriff auf das Unternehmensnetz über einen gesicherten Kanal. Hierzu werden Zugangsportale eingerichtet. In Abhängigkeit von den Ergebnissen der Authentifizierung und Autorisierung erhält dabei der Benutzer eine Rolle zugewiesen. Diese regelt dann den Zugang zu den Applikationen oder Daten.

Die Entscheidung über den Zugang wird durch mehrere Kriterien gebildet. Dies sind beispielsweise der Benutzername, der Ort an dem sich der Anwender befindet, das Netzwerk und auch Sicherheitseinstellungen des Gerätes. Dabei wird geprüft, welche Bedingungen der Client erfüllen muss, damit er Zugang erhält. Im Hintergrund das IAG arbeitet der ISA (Internet Security und Acceleration Server). Er sorgt für den Schutz des Gateways vor Angriffen.

Fazit

Ein Benutzer kann viele Rollen haben, viele Benutzer können sich allerdings auch eine Rolle teilen. Die einfache Zuordnung einer Rolle zu einem Benutzer genügt daher nicht für die Rechtevergabe. Desweiteren können Rechte auch an Rechnersysteme gebunden werden. Dieses neue Rollenverständnis verändert aber auch die Anforderungen an die Benutzerverwaltung und die Sicherheitstoolsets. Es verlangt eine weitaus flexiblere Zuweisung von Rechten an die der Benutzer und ihren Möglichkeiten. Eine Umsetzung dafür bietet Microsoft in seinem Intelligent Access Gateway.

(ID:2022367)