Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 4

Identity Federation: SAML-Federation-Techniken für externe Nutzer

27.08.2010 | Autor / Redakteur: Ralf Fabian, Senior Consultant Technical Sales , CA Deutschland GmbH / Peter Schmitz

Mitarbeiter und Partner erwarten jederzeit und überall auf Unternehmensdaten und Services zugreifen können. Federation-Techniken sind dafür ein sicherer Weg.
Mitarbeiter und Partner erwarten jederzeit und überall auf Unternehmensdaten und Services zugreifen können. Federation-Techniken sind dafür ein sicherer Weg.

Angesichts der wachsenden IT-Durchdringung der heutigen Geschäftswelt ist die Öffnung gegenüber Externen beinahe schon Normalität. Kunden, Partner und Mitarbeiter erwarten, dass sie jederzeit und überall auf wichtige Anwendungen, Informationen und Services zugreifen können. Die Öffnung nach außen zieht zugleich erhebliche Sicherheits-, Management- und Compliance-Herausforderungen nach sich. Welche Gefahr in einem unautorisierten Zugriff oder im Erschleichen einer Identität lauern, lässt sich leicht ausmalen.

Haben Sie schon einmal ein KFZ ge- oder verliehen? Dann sind Ihnen die grundlegenden Prinzipien der Federation wohl vertraut. Mit der Schlüsselübergabe wird einer fremden Person Zugang und Nutzungsmöglichkeit interner Ressourcen eingeräumt. Im Unternehmensumfeld ist dieser Prozeß allerdings weitaus komplexer und problemanfälliger.

Sicherheitsarchitekten sind gefordert, die Aspekte Vertraulichkeit, Integrität, Autorisierung und Authentizität bzw. Authentifizierung intern und extern zu realisieren. Sie müssen mit Hilfe entsprechender Sicherheitstechniken die Vertrauensbeziehungen dynamisch aufbauen und wieder lösen – sowohl innerhalb der Unternehmensorganisation als auch mit Partnern und Lieferanten.

Identity Federation als zuverlässiges Verfahren zur Kontolle der Identitäten

Identity Federation (Identitätsverbund), wie es CA Technologies mit den föderalen Sicherheitsdiensten des CA Federation Manager unterstützt, stellt hierzu die Techniken und Verfahren bereit, um eine zuverlässige Authentifizierung, Vergabe und Kontrolle der Zugriffsrechte zwischen den Systemen und Ressourcen über verschiedene Sicherheitsbereiche (Domänen) hinweg zu koordinieren. Der anfordernde Benutzer muss nur einmal seine Identität belegen.

Wird die Autorisierung bestätigt, hält sie automatisch den Berechtigungsnachweis – quasi den „Schlüssel“ – in der Hand, die „fremden“ Ressourcen nutzen zu dürfen. Dabei muss die Federation-Lösung alle Kooperationsformen abbilden können, die im realen Wirtschaftsleben geschlossen werden. Zu guter Letzt muss gewährleistet sein, dass die User-Sitzung nach Transaktionsende auf allen beteiligten internen und externen Systemen ordnungsgemäß terminiert wird.

Um im Bild zu bleiben: Es darf nicht der Schlüssel im Zündschloss vergessen werden, wenn der Fahrer am Ziel angekommen ist. Ansonsten könnte ja ein Unberechtigter die Gelegenheit zur Spritztour nutzen.

Inhalt

 

SSO-Szenario ohne lokalen Nutzer-Account

 

Die Schritte zum SSO nach SAML

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2046795 / Zugangs- und Zutrittskontrolle)