Zugriffsmanagement

  • Folgen unkontrollierter Verteilung: Inkonsistenzen, Pflegeaufwand, "password fatigue"

  • Identitäþsspeicher

    • Vorhaltung digitaler Identitäten / Nutzerkennung (Identifikator, Attribute, Berechtigungsnachweise)

    • Bsp: HR-Systeme, relatione DB, Verzeichnisdienste (Vd)

  • Vd: spezieller Namensdienst, Anfragen basierend auf Eigenschaften (vgl. mit "Gelbe Seiten")

    • X.500: komplexes Directory Access Protocol (DAP)

    • Namensraum: Basiselement Eintrag (Attribut, Wert), nutzbar als Container → Verzeichnis referenzierbar → hierarchisch → "Delegation of Management"

    • Distinguished Name (DN): ,-getrennte Aneinanderreihung der RelativeDN (besitzen jeweils differenzierbares Attribut)

    • typische Attribute für Container: c(ountry), l(ocale), o(rganization), …​

    • " für Einträge: c(ommon) n(ame), st(ate), u(ser) id(entity), …​

    • Sammlung aller Einträge: Directory Information Base, Namensbaum: DI Tree

  • LDAP: Client-Server Architektur

    • Schema: Def von Klassen + Regeln, Attributtypen, Syntax, 'matching'

    • Operationen: Sitzung (bind, abandon), Anfrage (search), Modifizieren (add, modify)

Organisationsinterne Integration

  • Fragestellungen

    • Daten: -quellenidentifikation, -autorität, -aggregation, -aktualität, -konsumenten, -schutz

    • (de)zentral? Homo/Heterogen? Richtlinen (Auflagen, Organisation, Anforderungen)?

  • Zentral

    • +: keine Redundanz, Synchronisation, Inkonsistenz, Sicherheitsmaßnahmen an einer Stelle

    • -: SpoF, legacy Systeme inkompatibel, Autarkieverlust, einziges Datenschema für alle Dienste

  • Virtual: 'Middleware' zur dynamischen Aggragtion verteilter Identitätsdaten

    • +: keine Redundanz (einzige Datenquelle pro Attribut einer Identität), lokale Authentifikationsmechanismen

    • -: keine Synchronisierung, keine Verfügbarkeitsgarantie

  • Meta: Zusammenfassung von Identitätsdaten anderer Vd an zentraler Stelle

    • +: Suchperformance, Nachverfolgbarkeit von Datenflüssen (Auditing)

    • -: Synchronisationsverzögerungen, zusätzliches zentraler Berechtigungsmanagement, Daten zentral → Datenschutz?

  • Provisioning-System: synchronisiert Attributwerte angebundener Ressourcen nach Regeln

    • +: Datenschutz (nicht zentral gespeichert), Datenflüsse nachverfolgbar, Legacy Systeme-Support

    • -: keine zentrale, aggregierte Sicht

results matching ""

    No results matching ""