Suchen

Identitäts- und Zugangsmanagement Schritt für Schritt - Teil 5

Identity Federation – auch ein Service benötigt Zugriffsrechte

Seite: 3/3

Firmen zum Thema

Komplexe Prozessketten erfordern Identity Federation

Für komplexere Prozessketten mit teilweise unterschiedlichen Identitätsinformationen sind jedoch leistungsstärkere Autorisierung und Authentifizierungstechniken gefragt. Diese Aufgabe fällt idealerweise Federation-Standards wie WS-Security oder SAML – Security Assertion Markup Language zu (vgl.: Identity Federation: SAML-Federation-Techniken für externe Nutzer).

Mit ihnen sind zwei Grundprinzipien verbunden: Zum einen findet konsequent eine Entkoppelung des Sicherheits- bzw. Identitätsmanagements und Anwendungsservices statt. Zum anderen findet die Absicherung nicht mehr auf Transportebene statt, sondern wird hauptsächlich auf der Nachrichtenebene umgesetzt. Gemeinsam mit der Anfrage werden quasi Informationen zur Authentifizierung und Autorisierung als XML-Dokument mit versendet.

Beide Standards „verstehen“ sich. Beispielsweise kann WS-Security die Authentifizierung- und Autorisierungsinformationen von SAML als Berechtigungs-„Token“ nutzen. Ansonsten muss der Web-Service-orientierte Standard noch um weitere Standardspezifikationen (siehe Tabelle) ergänzt werden, da WS Security im Unterschied zu SAML nicht die Rolle des Identity-Providers (IdP) übernimmt. Die Aufgabe der Herausgabe, Erneuerung und Validierung von Security Tokens übernimmt die WS Security-Erweiterung WS-Trust.

Beide Federation-Standards eignen sich hervorragend als Basis zum Austausch identitätsbezogener Sicherheitsinformationen wie Autorisierungsrichtlinien, Benutzerattribute oder Zugriffsrechte. Sie dienen – um unser Anfangsszenario noch einmal aufzugreifen – quasi als Ausweis für den Clubzugang. Was fehlt, ist die Beschreibung, wie die Farben der unterschiedlichen Dienste festzulegen sind und nach welchen Regeln der Türsteher das Band vergibt. Es fehlt die übergeordnete Richtlinien- und Koordinierungsinstanz.

Diese Aufgabe fällt der eXtensible Access Control Markup Language (XACML) zu, mit deren Hilfe sich sowohl Autorisierungsinformationen und Policies als Regeln zur Auswertung definieren lassen. Zugleich kann XACML zum Abgleich von Sicherheitsrichtlinien aus unterschiedlichen Domänen verwendet werden.

Federation-Standards in der Praxis

Umfassende IAM- und WebSSO-Lösungen wie Siteminder von CA Technologies stützen sich u.a. auf diese Standards, um eine umfassende Sicherheitsarchitektur einschließlich eines übergreifenden Identitätsmanagements in die Wege zu leiten. Will ein externer Service beispielsweise eine Ressource aus einer anderen Sicherheitsdomäne nutzen, leitet der vorgeschaltete Policy Enforcemente Point (PEP) erst einmal die Anfrage an den Identity-Provider und den Policy Decision Point (PDP) um.

Die vom IdP erhalten Informationen zu Autorisierung und Authentifizierung werden vom PDP mit den Unternehmensrichtlinien abgeglichen. Nachdem der PDP seine Entscheidung zur Vertrauenswürdigkeit der Anfrage getroffen hat, setzt der PEP den Entschluss um. Der PEP übernimmt also die Rolle des Türstehers und gewährt oder verwehrt den Zugriff.

Inhalt

  • Seite 1: Veränderte Zugriffsbedingungen
  • Seite 2: Prozess-orientierter Sicherheitsansatz
  • Seite 3: Komplexe Prozessketten erfordern Identity Federation

(ID:2047939)