Zentrale vs. dezentrale Rollenverwaltung und eXtreme Role ...• ~ 500 Einheiten (Fakultät,...
Transcript of Zentrale vs. dezentrale Rollenverwaltung und eXtreme Role ...• ~ 500 Einheiten (Fakultät,...
Zentrale vs. dezentrale Rollenverwaltung und eXtreme Role Engineering als alternatives
Verfahren zur Rechteverwaltung
Treffen des Arbeitskreis Verzeichnisdienste des ZKI
Dr.-Ing. Thomas HildmannIT Dienstleistungszentrum der TU Berlin
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Vorstellung von Person und Einrichtung
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
MotivationDas Fachgebiet
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
MotivationRollen
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Die richtige Rollenzahl
Autorisierung
Motivation Einleitung
RBACTUB-spezifisch
3-teiligesModell
Erfahrungen
StatistikenTUBISAnwendung
zentral
Vorteile
Nachteile
dezentral
VorteileNachteile
eXtreme RoleEngineering
Was ist dasProblem?
Einsatzgebiet
Geschäftsrollen
Anwendungsrollen
Einsatzgebiet
Vorgehensmodell
Rollenähnlichkeit
Normalisierung
PrototypDemo
schmutzigeDetails
Usecases
KomplexitätZahlen undFakten
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Klassisches RBAC
IDName
BenutzerRolle Rechtberechtigt zu
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Verteilte Administration
Strukturtyp
NameStruktureinheit
*1
**
1
IDName
Benutzer
Rolle
*
*
Recht
berechtigt zu
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Kapselung der Anwendungsschicht
NameStruktureinheit
*1
Name
Anwendungs-rolleverwaltet Zugriff auf
Strukturtyp
Anwendung
IDName
Benutzer **
Geschäftsrolle
1
* *
*
1
**
*
Rechtberechtigt zuNameStruktureinheit
*1
Name
Anwendungs-rolleverwaltet Zugriff auf
Strukturtyp wird bereitgestellt
Anwendung
IDName
Benutzer **
Geschäftsrolle
1
* *
*
1
**
*
wird bereitgestellt
Rechtberechtigt zu
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Eingangsbeispielim Rollenmodell
NameStruktureinheit
*1
Name
Anwendungs-rolleverwaltet Zugriff auf
Strukturtyp
Anwendung
IDName
Benutzer **
Geschäftsrolle
1
* *
*
1
**
*
Rechtberechtigt zuNameStruktureinheit
*1
Name
Anwendungs-rolleverwaltet Zugriff auf
Strukturtyp wird bereitgestellt
Anwendung
IDName
Benutzer **
Geschäftsrolle
1
* *
*
1
**
*
wird bereitgestellt
Rechtberechtigt zu
Tabelle Studierende: lesen/schreibenTabelle Räume: lesen/schreiben (eigene)Tabelle Noten: lesen/schreiben
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
3-teiliges Modell mit Views
Identität Organisation Anwendung
NameStruktureinheit
*1
Name
Anwendungs-rolleverwaltet Zugriff auf
Strukturtyp wird bereitgestellt
Anwendung
IDName
Benutzer **
Geschäftsrolle
1
* *
*
1
**
*
wird bereitgestellt
Rechtberechtigt zu
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Erfahrungen im Bereich rollenbasiertes IdM an der TUB
• AA-Gateway: Apache, Jetty/Servlet, PHP• IdM/RBAC: J2EE Eigenentwicklung
• ~ 50.000 Entitäten im IdM-System• ~ 30 Anwendungen im Portal• ~ 500 Einheiten (Fakultät, Institut, Referat...)• ~ 3000 Rollen / durchschnittl. ~ 6 pro Einheit
2001 Campuskarte2007 Webportal mit rollen-basierter
Autorisierung
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Nutzungshäufigkeit von Diensten
im persönlichen Portal für 2009
25%
16%
13%
10%
7%
5%
5%
4%
3%
2%
2%
StudierendendatenSuper XTypo3 EditorbereichKonto und RollenSoftwareportalPersonaldatenRollenverwaltungMailingliste beantragenLinFRollenverwalter und IT-BetreuerlistePW-ÄnderungNoteneingabeModulverwaltung (POS)GastaccountsHardwareportal (Sofort-PC)Antrag Typo3-AuftrittIP-AdressenverwaltungExterneAntrag Web-Auftritt (konventionell)HardwareportalAntrag HostingAntrag Housing
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Rollenverwaltung
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Rollenverwaltung
Identifiziere und modelliere (neues)
Benutzungsszenario
Leite Zugriffsrechte
vom Szenario ab
Identifiziere Nebenbedingungen
Verfeinere das Szenario-
Modell
[Szenario-Modell unvollständig]
Definiere RBAC Model
Leite vorläufige Rollenhierarchie ab
Definiere Aufgaben und Arbeitsprofile
[Szenario-Modell vollständig]
[Änderungsfall]
1 2 3 4
7 6 5
Benutzer Rollen Rechte
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Zentrale LösungWas verstehe ich darunter?
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Vorteile einer zentralen Lösung
• Klassischer RBAC-Ansatz: Verteilung der Verantwortung• Es existieren Role-Engineering Methoden für eine zentrale
Lösung, die zu strukturierten Modellen führen• Know-How über Autorisierungsmodell gebündelt• Überblick über das gesamte System• IT-Dienstleister = Rollendienstleister (Service)• Klassischer Weg: Anforderung, Analyse, Implementierung• Rollenadministratoren können beraten und prüfen• flache Lernkurve als Einstieg für Nicht-Experten• Constraints können organisatorisch umgesetzt werden• Vertretungsregelungen bei Admins durch Dienstleister
Benutzer Rollen Rechte
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Dezentrale LösungWas verstehe ich darunter?
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Erfahrungen im Bereich rollenbasiertes IdM an der TUB
• Kein Bittstellergefühl• Reduzierung der
Bearbeitungszeit• Backuprollen in
übergeordneten Einheiten
• Rollenvertretungen von jedem verwaltbar
• Flexible selbst gestaltete Struktur
• Transparenz
• Verteilung der Verantwortlichkeiten
• Entlastung der Administratoren
• Fehlinterpretation durch dritte entfällt
• Fehler sind lokal beschränkt
• Sehr guter Überblick über die verwaltete Einheit
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Nachteile einer dezentralen Lösung und Maßnahmen
Nachteil für lokalen Admin Maßnahmen
Fehlender Überblick über Rollenmodell
Mehrteiliges ModellAnwendungs-, dezentrale/zentrale Rollenadmins
Fehlendes Wissen um neue Anwendungen
InformationspolitikSupport
Folgenabschätzung und Konsequenzen
Schulungen, InformationenSupport
Abwesenheit des lokalen Rollenadministrators
Selbst definierte VertretungenBackuprollen, zentrale Rollenadmins
Fehlendes Anwendungswissen
InformationenAnwendungsrollen vordefiniert / Templates
Hohe Komplexität des Modells
Schulung und SupportWerkzeuge: GUIs, eXtreme Role Engineering
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Story erstellen
Testfälle definieren
Sandbox- definition Release
[Story nicht umsetzbar] [Fehler im Testfall]
[Fehler im Wirkbetrieb]
Rollback
:Story :Testmatrix
:Snapshot:Testmodell
Verfeine-rung
Templatessuchen
Rollendruide
eXtreme Role Engineering
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Ähnlichkeit von Rollen
P1 P2 P3 P4 C1 C2 C3
read 1 1 1 0 1 1 1write 1 0 1 0 0 1 0edit 1 0 0 0 0 1 0
delete 1 0 0 1 0 0 1
d(x, y) =def
n�
i=1
|xi − yi|
x / y P1 P2 P3 P4
C1 3 0 1 2C2 1 2 1 4C3 2 1 2 1
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Normalisierung des Abstands
dn(x, y) =�n
i=1 |x1 − yi|n
gleich0.0 ... 0.5 ... 1.0
unterschiedlich
OxREprozess = O(max(O(no2), O(opn)))
⇒ O(opn) fur p ≥ o
begrußung() {O(1)}modellLaden() {O(p)}storyDefinieren() {O(1)}testmatrixErstellen() {OkandidatenErstellen+OvereinigeGleicheKandidaten = O(2no2)}verfeinerung() {Overfeinerung = O(opn)}sandboxTest() {O(1)}modellSpeichern() {O(p)}
Komplexität
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
• xRE: Prototyp, Tests mit „Echtdaten“, eine Testperson, Vergleich mit „Handarbeit“
• xRE ermöglicht „intelligentes“ Hinzufügen von Rollen für „kleine“ Organisationseinheiten
Erfolgreiche Tests
Autorisierung
Motivation Einleitung
RBACTUB-spezifisch
3-teiligesModell
Erfahrungen
StatistikenTUBISAnwendung
zentral
Vorteile
Nachteile
dezentral
VorteileNachteile
eXtreme RoleEngineering
Was ist dasProblem?
Einsatzgebiet
Geschäftsrollen
Anwendungsrollen
Einsatzgebiet
Vorgehensmodell
Rollenähnlichkeit
Normalisierung
PrototypDemo
schmutzigeDetails
Usecases
KomplexitätZahlen undFakten
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Zusammenfassung
• Erfahrungen an der TU Berlin zeigen Eignung des dezentralen Identitätsmanagements.
• Anfänglich hoher Schulungsaufwand und Kritik. Inzwischen hohes Maß an Transparenz, Flexibilität und Selbstbestimmung.
• Fehler und Lücken sind auf Werkzeuge zurückzuführen. Daher Verbesserung und Erweiterung von Methoden und Werkzeugen.
• Nächster entscheidender Schritt: eXtreme Role Engineering
T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010
Quellen und Kontaktdaten
http://www.user.tu-berlin.de/hildcatf/