â€‍ Identity Management Technology â€‌

download â€‍ Identity Management Technology â€‌

of 28

  • date post

    02-Jan-2016
  • Category

    Documents

  • view

    30
  • download

    1

Embed Size (px)

description

„ Identity Management Technology ”. Version 1.0. Dr. Horst Walther, SiG Software Integration GmbH: 16:15 – 17:00. Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach. Technologie. Evolution des Identity Managements Eine Identity Management Architektur Der Integrationsbedarf - PowerPoint PPT Presentation

Transcript of â€‍ Identity Management Technology â€‌

  • Identity Management Technology

    Version 1.0Dienstag, 04.10.2005, Achat Plaza Hotel in Offenbach Dr. Horst Walther, SiG Software Integration GmbH: 16:15 17:00

  • TechnologieEvolution des Identity ManagementsEine Identity Management ArchitekturDer IntegrationsbedarfSpezialisierungen der DatenbanksystemeIntegration ber VerzeichnisdiensteEntwicklung der VerzeichnisdiensteX.500 vs. LDAPEntwicklung der X.500-StandardsDaten und Verzeichnis-IntegrationMeta-VerzeichnisdiensteVirtuelle VerzeichnisdiensteProvisioning was ist das?Architektur eines Identity Management SystemsIntegration ber FederationFederated Identity

  • Evolution des Identity ManagementsUnabhngige Quellen Historisch 3 unabhngige Strmungen ...Die Idee der public key infrastructure (PKI) fr eine zertifikatsbasierte starke Authentisierung kann bis in das Jahr 1976 zurck verfolgt werden,Die CCITT[1] heute ITU-T[2] hat ihre 1. Spezifikation eines X.500- Verzeichnis- dienstes 1988 verffentlicht.Die heute blichen Verzeichnisdienste sind durch diese Entwicklung beeinflusst.5 Jahre spter startete das NIST[3] seine Arbeiten am role based access control (RBAC)[4]. [1] Comite Consultatif Internationale de Tlgraphie et Tlphonie[2] International Telecommunications Union-Telecommunication[3] National Institute of Standards & Technology[4] RABC: Role Based Access Control

    Die verfgbaren Komponenten zeigen eine deutliche funktionale berlappung und ergnzen sich nicht problemlos zu einer Identity Management Infrastruktur.1996 PKI1988 X.5001993 RBAC2001 IDM

  • Eine Identity Management Architektur

  • Der IntegrationsbedarfDas typische Fortune 500 Unternehmen wartet ber 180 Verzeichnisse, wie Adressverzeichnisse, Telephonbcher ... (Quelle: Forrester Research).

    Viele Anwendungen und Systeme verwalten ihre eigenen Identittsspeicher...Betriebssysteme: Windows NT, 2003, XP, ...Datenbanksysteme: ORACLE, DB2, ..Mail-Systeme: Outlook, Lotus NOTES, ...Service-Systeme: RACF, Firewalls, ...E-business-Systeme: Internet-Portale, e-Banking-Systeme, ...Eigenentwickelte Geschftsanwendungen.

  • Spezialisierungen der DatenbanksystemeOLTP- DatenbanksystemeTransaction processinghufige Updates,Kurze Datenstze, OLAP- DatenbanksystemeAnalyse von vorverdichteten, redundant Massendaten Verzeichnisdienste,Hufiger Lesezugriff,Spezial-DBMS auf den Einzelzugriff auf (kurze) Einzeldatenstze optimiert.Ungeachtet aller Verwirrungen ber die Natur von Verzeichnisdiensten Es sind schlicht spezialisierte Datenbanksysteme.

  • Integration ber VerzeichnisdiensteEin Verzeichnisdienst bietet eine einheitliche Sicht auf die Identity Informationen ...

    Er ...wird von jeder Anwendung genutzt.ermglicht die Pflege von Informationen an einer einzigen Stelle.bietet eine universelle, einfach zu bedienende Oberflche fr den Zugriff.ist im Intranet unverzichtbar.Fast jede Anwendung und jedes System verwalten heute noch ein eigenes Verzeichnis. Z.B.:SAP: Personalwesen, Benutzerverwaltung, Kreditoren, Debitoren, etc.RACF: Verwaltung der Zugriffsrechte von Personen und Rollen auf geschftliche und technische ObjekteWindows NT: Active Directory auch fr MS ExchangeLotus Notes: Notes Namens- und Adressbuch, Zugriffs-kontrollisten der Datenbanken, etc.

  • Entwicklung der VerzeichnisdiensteVerzeichnisdienste gehen auf X.500-Standards zurck. Einflsse fr die weitere Entwicklung ...Anfangs war die Implementierung fr die Hardware zu anspruchsvoll. Ergebnis: Lightweight-DAP (X.500-Zugangsprotokoll), LDAP.Spter war Hardwareleistung weniger der Engpass. Ein groer Teil der Identity Information war bereits in Nicht-LDAP-Repositories gespeichert.Chance fr die Virtuellen Verzeichnisdienste ...bewusster Verzicht auf die Leseoptimierung.Verzeichniszugriff wird nur simuliertstatt dessen wird auf die Original Datenquellen zugegriffenDie Steigerung der Leistungsfhigkeit der Netze lie die Bedeutung der X.500-Protokolle DSP und DISP sinken.Heute ist mit XML (und Dialekten) sogar LDAP ein veritabler Konkurrent erwachsen.Die meisten Verzeichnisdienste basieren auf X.500-Standards.

  • X.500 vs. LDAPX.500 ...

    Der erste Standard wurde 1993 verffentlicht. ist ein ISO- (International Standards Organisation) und ITU- (International Telecommunications Union) Standard.beschreibt, wie globale Verzeichnisse strukturiert werden sollten.sieht eine hierarchische Organisation mit Levels fr jede Informations-kategorie ( z.B. Land, Stadt, Organisation, ... ) vor.untersttzt X.400 Systeme. ist das Ergebnis von Gremien-Arbeit der Telekommunikationsgesell-schaften. (Top-Down-Prinzip) LDAP ...

    Der pragmatische Zugang der Internet-Gemeinde zu X.500. steht fr Lightweight Directory Access Protocol und soll X.500/DAP ersetzen.entstand aus dem Bedarf, schlanken Clients Zugriff auf X.500 zu ermglichen.nutzt nicht das X.500 zugrundeliegende (mchtige) OSI-Protokoll, sondern das weit verbreitete TCP/IP.wird betreut durch die Internet Engineering Task Force (IETF). Interessierte knnen ihre Lsungen zur Standardisierung einreichen. (Bottom-Up-Ansatz )Der allumfassende Standard-- vs. --der schnelle Zugriff

  • X.500 und LDAP - Wie kam es dazu?LDAP stellt 90% der DAP-Funktionalitt bei10% der Kosten zur Verfgung LDAP besitzt Vorteile gegenber dem X.500-DAP durch:Transport ber TCP -> stark reduzierter OverheadVerzicht auf selten benutzte Funktionen, die Verwendung einfacherer zu verarbeitender Zeichenkettenformate als die hochstrukturierten X.500-Formate sowieeine einfachere Codierung der Daten fr den Transport. LDAP bietet damit einen einheitlichen Zugriff undeine einheitliche Kommunikation mit Verzeichnisdiensten

  • X.500 - Die Standard-SerieX.500 11/93berblick ber Konzepte, Modelle und DiensteX.501 11/93ModelleX.509 11/93Authentisierungs-FrameworkX.511 11/93Abstrakte Dienste DefinitionX.518 11/93Verfahren fr verteilte VerarbeitungX.519 11/93Protokoll SpezifikationenX.520 11/93Ausgewhlte Attribut Typen X.521 11/93Ausgewhlte Objekt Klassen X.525 11/93ReplizierungX.581 11/95Verzeichnis-Zugriffs Protokoll X.582 11/95Verzeichnis-System Protokoll Quelle: http://www.itu.ch/itudoc/itu-t/rec/x/x500up.htmlAuch auerhalb von Auch auerhalb von X.500 gebruchlich

  • X.500 - StandardobjekteObjekt-Klassen:AliasCountryLocalityOrganizationOrganizational UnitPerson

    Gemeinsame Attribute:Common Name (CU)Organization Name (O)Organizational Unit Name (OU)Locality Name (L)Street Address (SA)State or Province Name (S)Country (C)Der X.500-Standard definiert bereits 17 Basis-Objekt-Klassen Weitere Objektklassen und Attribute lassen sich hinzufgen.

  • Normen vordefinierte X.500-AttributeWelche Attributtypen sind nach X.520 bereits formuliert?Systemattribute: Knowledge InformationBezeichnungsattribute: Name, Vorname, Nachname, Initialien, Generation Qualifier, Unique Identifier, DN Qualifier, SeriennummerGeographische Attribute: Land, Lokalitt, Staat, Strae, HausnummerOrganisationsattribute: Organisationseinheit, TitelBeschreibende Attribute: Beschreibung, Suchhilfe, Erweiterte Suchhilfe, GeschftskategoriePost-Adress-Attribute: Post-Adresse, Postleitzahl, Postfach, Physical Delivery Office NameTelephon-Adress-Attribute: Telephonnummer, Telexnummer, Teletext-Terminal, Faxnummer, X.121-Adressen, ISDN-Nummer, Registered Adress, Desination IndicatorPreferences Attribute: Bevorzugte VersandmethodeOSI-Anwendungs-Attribute: Prsentationsadresse, Untersttzter Anwendungskontext, ProtokollinformationRelationale Attribute: Distinguished Name, Unique Member, Besitzer, Role Occupant, Siehe_AuchDomain Attribute: DMD Name

  • Normen vordefinierte X.500-ObjekteWelche Objektklassen sind nach X.521 bereits formuliert?Land: Name, Beschreibung, SuchhilfeLokalitt: Beschreibung, lokale Attribute, Siehe_AuchOrganisation: Name, OrganisationsattributeOrganisationseinheit: Name, OrganisationsattributePerson: Name, Vorname, Telephonnummer, Pawort, Siehe_AuchUnterklassen: Person organisatorisch, Residential PersonRolle: Name, Beschreibung, lokale Attribute, Name Organisationseinheit, Post-Attribute, Bevorzugte Versandmethode, Role Occupant, Siehe_Auch, TelekommunikationsattributeGruppe: Name, Mitglied, Name Organisation, Name Organisationseinheit, Besitzer, Siehe_Auch, GeschftskategorieGroup of Unique Names: Name, Unique Member, Beschreibung, Name Organisation, Name Organisdationseinheit, Besitzer, Siehe_Auch, Geschftskategorie Anwendungsprozess: Name, Beschreibung, Name Lokalitt, Name Organisationseinheit, Siehe_AuchApplication Entity: Name, Prsentationsadresse, Beschreibung, Name Lokalitt, Name Organisation, Name Organisationseinheit, Siehe_Auch, Untersttzter AnwendungskontextGert: Name, Beschreibung, Name Lokalitt, Name Organisation, Name Organisationseinheit, Besitzer, Siehe Auch, SeriennummerStrong User Authentification: BenutzerzertifikatUser Security Information: untersttzte AlgorithmenCertification Authority: CA-Zertifikat, Zertifikat-Sperrliste, Authority-Sperrliste, Cross Certificate Pair

  • Entwicklung der Standards19951996199719981994199319992000X.500 Konzepte, Modelle und Dienste X.501 Modelle X.509 Authentifizierungs-Framework X.511 Dienste Definition X.518 Verteilte Verarbeitung X.519 Protokoll Spezifikationen X.520 Attribut Typen X.521 Objekt Klassen X.525 ReplizierungWorking GroupLDAPextWorking GroupLDUPRFC1487X.500 LDAP v1 RFC1488String RepresentationRFC1777LDAP v2 RFC1788String Representation for Attributes RFC 1779String Representation for DNRFC1823LDAP APIRFC1959LDAP URL RFC1960String Representation for Search FiltersRFC2164X.500/LDAP MIXER address mapping RFC2247Domains in X.500/LDAP DNRFC2251LDAPv3 RFC2252Attribute Syntax Definition RFC2253UTF-8 String Representation of DN RFC2254String Representation for Search Filters RFC2255URL Format RFC2256X.500 User Schema for use with LDAPv3RFC2307LDAP as Network Information ServiceRFC2559X.509 - LDAPv2DRAFTLD