Suchen

Identitäts- und Zugangsmanagement Schritt für Schritt - Teil 5 Identity Federation – auch ein Service benötigt Zugriffsrechte

Autor / Redakteur: Ralf Fabian, Senior Consultant Technical Sales, CA Deutschland GmbH / Stephan Augsten

Monolithische Anwendungen haben spätestens mit Ansätzen wie SOA & Co. ausgedient. Lose gekoppelte Lösungsszenarien stellen neue Anforderungen an die Sicherheitsarchitektur, die ihrerseits End-to-End-Sicherheit über Anwendungen und Services verschiedener Bereiche (Domänen) hinweg bieten muss. Ein durchgängiges Identitätsmanagement inklusive Federation-Techniken ist dabei unerlässlich.

Firmen zum Thema

Automatisierte Prozesse erfordern, dass die zugrunde liegenden Services selbst Zugriffsrechte auf bestimmte Ressourcen erhalten.
Automatisierte Prozesse erfordern, dass die zugrunde liegenden Services selbst Zugriffsrechte auf bestimmte Ressourcen erhalten.
( Archiv: Vogel Business Media )

„Unbefugten ist der Zutritt verboten. Eltern haften für ihre Kinder“ – dieses Schild kennt wohl jeder. Und die Mehrzahl der Leser wird sich sicherlich erinnern, sich als Kind über das Verbot hinwegsetzt und beispielsweise einen Bauaun überwunden zu haben.

Eine weitaus größere Wirkung entwickelt da schon die Aussage eines muskelbepackten Türstehers vor einer Clubtür: „Nur für Mitglieder“. Wer jetzt den richtigen Ausweis zücken kann, erhält sein Armband und darf endlich abhängig von der Farbe die unterschiedlichen Club-Services nutzen.

Die Feststellung „Nur für Mitglieder“ möchten Unternehmen im Rahmen ihrer IT ebenso beachtet wissen. Das gilt insbesondere für Service-orientierte Lösungen im Allgemeinen und den Web Services im Speziellen, die neue Anwendungen prägen.

Im Vergleich zu konventionellen IT-Lösungen erlauben Services den Unternehmen, die eigenen Systeme dynamisch mit den Anwendungsservices der Partner zu koppeln. Die Öffnung der Organisationsgrenzen führt aber zwangsläufig zu neuen Schutzbedürfnissen, die die traditionelle Perimeter-Sicherheit – quasi die Mauer mit Verbotsschild in der IT – überfordert.

Zwar gelten die grundlegenden Aspekte Vertraulichkeit, Integrität (Vertrauenswürdigkeit), Verbindlichkeit sowie Verfügbarkeit und Ausfallschutz weiterhin. Im Unterschied zum bisherigen Vorgehen gelten diese Anforderungen aber nicht mehr allein für die internen Systeme oder die Integration externer Nutzer. Vielmehr gilt es, End-to-End-Sicherheit über komplexe Prozessketten hinweg zu garantieren, deren Anwendungen und Services aus unterschiedlichen Bereichen (Domänen) stammen.

Inhalt

  • Seite 1: Veränderte Zugriffsbedingungen
  • Seite 2: Prozess-orientierter Sicherheitsansatz
  • Seite 3: Komplexe Prozessketten erfordern Identity Federation

Prozess-orientierter Sicherheitsansatz

Das folgende, kleine Prozessketten-Szenario verdeutlicht die anfallenden Aufgaben: Das Bestellmanagement des Unternehmens A erhält über das Web eine Bestellung des Geschäftspartners B. Automatisiert wird nun zunächst der Service „Verfügbarkeit prüfen“ angestoßen.

Mitunter müssen hierzu Informationen von Dritten (Zulieferern) abgefragt werden und fließen unter Einbezug der eigenen Stammdatenverwaltung zu Rabattstaffeln o.ä in die Angebotserstellung ein. Über einen externen Bonitäts-Rating-Service wird die Kreditwürdigkeit aktualisiert. Im Anschluss erfolgen Auftragsbestätigung und die Fertigstellung zum Versand. Wäre nun der Service „Verfügbarkeit prüfen“ nicht erreichbar, kann keine Bestellung erfolgen.

Da die Bearbeitungsschritte mit einem hohen Automatisierungsgrad erfolgen, sind die Integrität und Authentizität der Nachrichten unerlässlich, um keinen „gefakten“ Auftrag anzunehmen. Die Angebotserstellung und -erteilung muss vertraulich und verbindlich sein, auch wenn es sich hier bei den „handelnden Personen“ der Geschäftspartner zum Teil um Anwendungen bzw. Services handelt.

Eckstein eines entsprechenden Sicherheitsrahmens ist deshalb der Aufbau eines durchgängigen Identitätsmanagements, um die Authentifizierung des Benutzers – des aufrufenden Web Anwendungsdienstes oder Web Services – sowie dessen Zugriffsrechte und Autorisierung für weitere Systeme und Web Services zu koordinieren. Denn die anfallenden Aufgaben lassen sich mit traditionellen Schutzkonzepten nur unzureichend erfüllen.

So stellen TSL/SSL oder HTTPS nur einen sicheren Transport-Weg (Tunnel) dar, schützen jedoch nicht die zu übertragenden Inhalte. Über die Identität des anfordernden Systems ist wenig bekannt. Einfache Lösungsszenarien sehen daher vor, dass der Link zwischen der Web-Schnittstelle einer berechtigten Anwendung und dem aufgerufenen Service einfach auf den zweiten Service oder eine andere Web-Site umgeleitet wird.

Inhalt

  • Seite 1: Veränderte Zugriffsbedingungen
  • Seite 2: Prozess-orientierter Sicherheitsansatz
  • Seite 3: Komplexe Prozessketten erfordern Identity Federation

Komplexe Prozessketten erfordern Identity Federation

Für komplexere Prozessketten mit teilweise unterschiedlichen Identitätsinformationen sind jedoch leistungsstärkere Autorisierung und Authentifizierungstechniken gefragt. Diese Aufgabe fällt idealerweise Federation-Standards wie WS-Security oder SAML – Security Assertion Markup Language zu (vgl.: Identity Federation: SAML-Federation-Techniken für externe Nutzer).

Mit ihnen sind zwei Grundprinzipien verbunden: Zum einen findet konsequent eine Entkoppelung des Sicherheits- bzw. Identitätsmanagements und Anwendungsservices statt. Zum anderen findet die Absicherung nicht mehr auf Transportebene statt, sondern wird hauptsächlich auf der Nachrichtenebene umgesetzt. Gemeinsam mit der Anfrage werden quasi Informationen zur Authentifizierung und Autorisierung als XML-Dokument mit versendet.

Beide Standards „verstehen“ sich. Beispielsweise kann WS-Security die Authentifizierung- und Autorisierungsinformationen von SAML als Berechtigungs-„Token“ nutzen. Ansonsten muss der Web-Service-orientierte Standard noch um weitere Standardspezifikationen (siehe Tabelle) ergänzt werden, da WS Security im Unterschied zu SAML nicht die Rolle des Identity-Providers (IdP) übernimmt. Die Aufgabe der Herausgabe, Erneuerung und Validierung von Security Tokens übernimmt die WS Security-Erweiterung WS-Trust.

Beide Federation-Standards eignen sich hervorragend als Basis zum Austausch identitätsbezogener Sicherheitsinformationen wie Autorisierungsrichtlinien, Benutzerattribute oder Zugriffsrechte. Sie dienen – um unser Anfangsszenario noch einmal aufzugreifen – quasi als Ausweis für den Clubzugang. Was fehlt, ist die Beschreibung, wie die Farben der unterschiedlichen Dienste festzulegen sind und nach welchen Regeln der Türsteher das Band vergibt. Es fehlt die übergeordnete Richtlinien- und Koordinierungsinstanz.

Diese Aufgabe fällt der eXtensible Access Control Markup Language (XACML) zu, mit deren Hilfe sich sowohl Autorisierungsinformationen und Policies als Regeln zur Auswertung definieren lassen. Zugleich kann XACML zum Abgleich von Sicherheitsrichtlinien aus unterschiedlichen Domänen verwendet werden.

Federation-Standards in der Praxis

Umfassende IAM- und WebSSO-Lösungen wie Siteminder von CA Technologies stützen sich u.a. auf diese Standards, um eine umfassende Sicherheitsarchitektur einschließlich eines übergreifenden Identitätsmanagements in die Wege zu leiten. Will ein externer Service beispielsweise eine Ressource aus einer anderen Sicherheitsdomäne nutzen, leitet der vorgeschaltete Policy Enforcemente Point (PEP) erst einmal die Anfrage an den Identity-Provider und den Policy Decision Point (PDP) um.

Die vom IdP erhalten Informationen zu Autorisierung und Authentifizierung werden vom PDP mit den Unternehmensrichtlinien abgeglichen. Nachdem der PDP seine Entscheidung zur Vertrauenswürdigkeit der Anfrage getroffen hat, setzt der PEP den Entschluss um. Der PEP übernimmt also die Rolle des Türstehers und gewährt oder verwehrt den Zugriff.

Inhalt

  • Seite 1: Veränderte Zugriffsbedingungen
  • Seite 2: Prozess-orientierter Sicherheitsansatz
  • Seite 3: Komplexe Prozessketten erfordern Identity Federation

(ID:2047939)