Zentrale vs. dezentrale Rollenverwaltung und eXtreme Role ...• ~ 500 Einheiten (Fakultät,...

Zentrale vs. dezentrale Rollenverwaltung und eXtreme Role Engineering als alternatives

Verfahren zur Rechteverwaltung

Treffen des Arbeitskreis Verzeichnisdienste des ZKI

Dr.-Ing. Thomas HildmannIT Dienstleistungszentrum der TU Berlin

T. Hildmann - ZKI Verzeichnisdienste - Oktober 2010

Vorstellung von Person und Einrichtung


MotivationDas Fachgebiet


MotivationRollen


Die richtige Rollenzahl

Autorisierung

Motivation Einleitung

RBACTUB-spezifisch

3-teiligesModell

Erfahrungen

StatistikenTUBISAnwendung

zentral

Vorteile

Nachteile

dezentral

VorteileNachteile

eXtreme RoleEngineering

Was ist dasProblem?

Einsatzgebiet

Geschäftsrollen

Anwendungsrollen

Einsatzgebiet

Vorgehensmodell

Rollenähnlichkeit

Normalisierung

PrototypDemo

schmutzigeDetails

Usecases

KomplexitätZahlen undFakten


Klassisches RBAC

IDName

BenutzerRolle Rechtberechtigt zu


Verteilte Administration

Strukturtyp

NameStruktureinheit

*1

**

1

IDName

Benutzer

Rolle

*

*

Recht

berechtigt zu


Kapselung der Anwendungsschicht

NameStruktureinheit

*1

Name

Anwendungs-rolleverwaltet Zugriff auf

Strukturtyp

Anwendung

IDName

Benutzer **

Geschäftsrolle

1

* *

*

1

**

*

Rechtberechtigt zuNameStruktureinheit

*1

Name


Strukturtyp wird bereitgestellt

Anwendung

IDName

Benutzer **

Geschäftsrolle

1

* *

*

1

**

*

wird bereitgestellt

Rechtberechtigt zu


Eingangsbeispielim Rollenmodell

NameStruktureinheit

*1

Name


Strukturtyp

Anwendung

IDName

Benutzer **

Geschäftsrolle

1

* *

*

1

**

*

Rechtberechtigt zuNameStruktureinheit

*1

Name



Anwendung

IDName

Benutzer **

Geschäftsrolle

1

* *

*

1

**

*

wird bereitgestellt

Rechtberechtigt zu

Tabelle Studierende: lesen/schreibenTabelle Räume: lesen/schreiben (eigene)Tabelle Noten: lesen/schreiben


3-teiliges Modell mit Views

Identität Organisation Anwendung

NameStruktureinheit

*1

Name



Anwendung

IDName

Benutzer **

Geschäftsrolle

1

* *

*

1

**

*

wird bereitgestellt

Rechtberechtigt zu


Erfahrungen im Bereich rollenbasiertes IdM an der TUB

• AA-Gateway: Apache, Jetty/Servlet, PHP• IdM/RBAC: J2EE Eigenentwicklung

• ~ 50.000 Entitäten im IdM-System• ~ 30 Anwendungen im Portal• ~ 500 Einheiten (Fakultät, Institut, Referat...)• ~ 3000 Rollen / durchschnittl. ~ 6 pro Einheit

2001 Campuskarte2007 Webportal mit rollen-basierter

Autorisierung


Nutzungshäufigkeit von Diensten

im persönlichen Portal für 2009

25%

16%

13%

10%

7%

5%

5%

4%

3%

2%

2%

StudierendendatenSuper XTypo3 EditorbereichKonto und RollenSoftwareportalPersonaldatenRollenverwaltungMailingliste beantragenLinFRollenverwalter und IT-BetreuerlistePW-ÄnderungNoteneingabeModulverwaltung (POS)GastaccountsHardwareportal (Sofort-PC)Antrag Typo3-AuftrittIP-AdressenverwaltungExterneAntrag Web-Auftritt (konventionell)HardwareportalAntrag HostingAntrag Housing


Rollenverwaltung

Identifiziere und modelliere (neues)

Benutzungsszenario

Leite Zugriffsrechte

vom Szenario ab

Identifiziere Nebenbedingungen

Verfeinere das Szenario-

Modell

[Szenario-Modell unvollständig]

Definiere RBAC Model

Leite vorläufige Rollenhierarchie ab

Definiere Aufgaben und Arbeitsprofile

[Szenario-Modell vollständig]

[Änderungsfall]

1 2 3 4

7 6 5

Benutzer Rollen Rechte


Zentrale LösungWas verstehe ich darunter?


Vorteile einer zentralen Lösung

• Klassischer RBAC-Ansatz: Verteilung der Verantwortung• Es existieren Role-Engineering Methoden für eine zentrale

Lösung, die zu strukturierten Modellen führen• Know-How über Autorisierungsmodell gebündelt• Überblick über das gesamte System• IT-Dienstleister = Rollendienstleister (Service)• Klassischer Weg: Anforderung, Analyse, Implementierung• Rollenadministratoren können beraten und prüfen• flache Lernkurve als Einstieg für Nicht-Experten• Constraints können organisatorisch umgesetzt werden• Vertretungsregelungen bei Admins durch Dienstleister

Benutzer Rollen Rechte


Dezentrale LösungWas verstehe ich darunter?


Erfahrungen im Bereich rollenbasiertes IdM an der TUB

• Kein Bittstellergefühl• Reduzierung der

Bearbeitungszeit• Backuprollen in

übergeordneten Einheiten

• Rollenvertretungen von jedem verwaltbar

• Flexible selbst gestaltete Struktur

• Transparenz

• Verteilung der Verantwortlichkeiten

• Entlastung der Administratoren

• Fehlinterpretation durch dritte entfällt

• Fehler sind lokal beschränkt

• Sehr guter Überblick über die verwaltete Einheit


Nachteile einer dezentralen Lösung und Maßnahmen

Nachteil für lokalen Admin Maßnahmen

Fehlender Überblick über Rollenmodell

Mehrteiliges ModellAnwendungs-, dezentrale/zentrale Rollenadmins

Fehlendes Wissen um neue Anwendungen

InformationspolitikSupport

Folgenabschätzung und Konsequenzen

Schulungen, InformationenSupport

Abwesenheit des lokalen Rollenadministrators

Selbst definierte VertretungenBackuprollen, zentrale Rollenadmins

Fehlendes Anwendungswissen

InformationenAnwendungsrollen vordefiniert / Templates

Hohe Komplexität des Modells

Schulung und SupportWerkzeuge: GUIs, eXtreme Role Engineering


Story erstellen

Testfälle definieren

Sandbox- definition Release

[Story nicht umsetzbar] [Fehler im Testfall]

[Fehler im Wirkbetrieb]

Rollback

:Story :Testmatrix

:Snapshot:Testmodell

Verfeine-rung

Templatessuchen

Rollendruide

eXtreme Role Engineering


Ähnlichkeit von Rollen

P1 P2 P3 P4 C1 C2 C3

read 1 1 1 0 1 1 1write 1 0 1 0 0 1 0edit 1 0 0 0 0 1 0

delete 1 0 0 1 0 0 1

d(x, y) =def

n�

i=1

|xi − yi|

x / y P1 P2 P3 P4

C1 3 0 1 2C2 1 2 1 4C3 2 1 2 1


Normalisierung des Abstands

dn(x, y) =�n

i=1 |x1 − yi|n

gleich0.0 ... 0.5 ... 1.0

unterschiedlich

OxREprozess = O(max(O(no2), O(opn)))

⇒ O(opn) fur p ≥ o

begrußung() {O(1)}modellLaden() {O(p)}storyDefinieren() {O(1)}testmatrixErstellen() {OkandidatenErstellen+OvereinigeGleicheKandidaten = O(2no2)}verfeinerung() {Overfeinerung = O(opn)}sandboxTest() {O(1)}modellSpeichern() {O(p)}

Komplexität


• xRE: Prototyp, Tests mit „Echtdaten“, eine Testperson, Vergleich mit „Handarbeit“

• xRE ermöglicht „intelligentes“ Hinzufügen von Rollen für „kleine“ Organisationseinheiten

Erfolgreiche Tests

Autorisierung

Motivation Einleitung

RBACTUB-spezifisch

3-teiligesModell

Erfahrungen

StatistikenTUBISAnwendung

zentral

Vorteile

Nachteile

dezentral

VorteileNachteile

eXtreme RoleEngineering

Was ist dasProblem?

Einsatzgebiet

Geschäftsrollen

Anwendungsrollen

Einsatzgebiet

Vorgehensmodell

Rollenähnlichkeit

Normalisierung

PrototypDemo

schmutzigeDetails

Usecases

KomplexitätZahlen undFakten


Zusammenfassung

• Erfahrungen an der TU Berlin zeigen Eignung des dezentralen Identitätsmanagements.

• Anfänglich hoher Schulungsaufwand und Kritik. Inzwischen hohes Maß an Transparenz, Flexibilität und Selbstbestimmung.

• Fehler und Lücken sind auf Werkzeuge zurückzuführen. Daher Verbesserung und Erweiterung von Methoden und Werkzeugen.

• Nächster entscheidender Schritt: eXtreme Role Engineering


Quellen und Kontaktdaten

http://www.user.tu-berlin.de/hildcatf/

[email protected]

Zentrale vs. dezentrale Rollenverwaltung und eXtreme Role ...• ~ 500 Einheiten (Fakultät,...

Documents

Transcript of Zentrale vs. dezentrale Rollenverwaltung und eXtreme Role ...• ~ 500 Einheiten (Fakultät,...