Einbettung einer lokalen Software eines Föderationsmitgliedes zur Bereitstellung in einem Föderationsumfeld (DFN-AAI)

Diese Ausarbeitung beschäftigt sich mit dem vielschichtigen Themenkomplex Identitätsmanagement (IdM) und einem Ansatz, wie Ressourcen bzw. Anwendungen für NutzerInnen in einem Föderationsumfeld bereitgestellt werden können, für die lokale Benutzerkonten notwendig sind. Innerhalb der eigenen Domäne ist diese Bereitstellung ohne weitere Maßnahmen möglich. Grundsätzlich erfolgt der Zugriff auf geteilte Anwendungen von Diensteanbietern (SPs) im Kontext einer Föderation anhand übermittelter Attribute einer zugehörigen Entität. Für domänenfremde NutzerInnen, deren digitale Identität in einem unbekannten IdM verwaltet wird, reicht eine Übermittlung der Attribute für die hier betrachtete Bereitstellung nicht aus, daher wird die Erstellung eines lokalen Benutzerkontos erforderlich. Die Mitgliedschaft der beteiligten Einrichtungen in einer AAI und die Konzepte der Authentifizierung und Autorisierung stellen hier die wichtige Grundlage. Um die benötigten Attribute der Entitäten und die Metadaten der verschiedenen Einrichtungen (Identitätsanbieter, IdPs) auszutauschen, kommt das XML-Framework SAML zum Einsatz. Ein sogenannter SP-IdP-Proxy agiert in diesem Szenario als Zwischenakteur, der fremde Entitäten authentifiziert und autorisiert sowie ein lokales Benutzerkonto im eigenen dafür vorgesehenen Identitätsspeicher in Ausprägung eines OpenLDAP-Verzeichnisdienstes anlegt. Bei Vorhandensein eines zuvor erzeugten Benutzerkontos durch den SP-IdP-Proxy (Unity IdM) kann anschließend auf die am Alfred-Wegener-Institut zur Verfügung gestellte Anwendung (VMware vRealize Automation) innerhalb der Föderation zugegriffen werden. Damit dieser Zugriff allerdings funktionieren kann, muss zuvor eine automatisierte Benutzer-Entitätensynchronisation mit einem selbst entwickelten Bash-Skript durchgeführt werden. Bei diesem Vorhaben kann der Ansatz des Single Sign-on (SSO) nicht verwirklicht werden, für den die Software Shibboleth mit SAML in der DFN-AAI ursprünglich eingesetzt wird; die in diesem Szenario notwendige Erzeugung einer lokalen Referenz (Benutzerkonto) zu einer föderativen digitalen Identität bleibt vorhanden

Attributbasierte Autorisierung im Grid Computing : vertrauenswürdige Architekturen und sichere Implementierung

[no abstract

Architektur- und Werkzeugkonzepte für föderiertes Identitäts-Management

Als essentielle Komponente des IT-Security Managements umfasst das Identity & Access Management (I&AM) saemtliche organisatorischen und technischen Prozesse der Verwaltung von Dienstnutzern einer Einrichtung und deren Berechtigungen; dabei werden die Datenbestaende verschiedenster autoritativer Datenquellen wie Personal- und Kundenverwaltungssysteme aggregiert, korreliert und in aufbereiteter Form den IT-Services zur Verfuegung gestellt. Das Federated Identity Management (FIM) hat zum Ziel, die so geschaffenen integrierten Datenbestaende auch organisationsuebergreifend nutzbar zu machen; diese Funktionalitaet wird beispielsweise im Rahmen von Business-to-Business-Kooperationen, Outsourcing-Szenarien und im Grid-Computing zunehmend dringender benoetigt. Die Vermeidung von Redundanz und Inkonsistenzen, aber auch die garantierte Verfuegbarkeit der Daten und die Einhaltung von Datenschutzbestimmungen stellen hierbei besonders kritische Erfolgsfaktoren dar. Mit der Security Assertion Markup Language (SAML), den Spezifikationen der Liberty Alliance und WS-Federation als integralem Bestandteil des Web Services WS-*-Protokollstacks haben sich industrielle und partiell standardisierte technische Ansaetze fuer FIM herauskristallisiert, deren praktische Umsetzung jedoch noch haeufig an der nur unzureichend geklaerten, komplexen organisatorischen Einbettung und den technischen Unzulaenglichkeiten hinsichtlich der Integration in bestehende IT-Infrastrukturen scheitert. In dieser Arbeit wird zunaechst eine tiefgehende und in diesem Umfang neue Anforderungsanalyse durchgefuehrt, die neben I&AM und FIM auch die als User-Centric Identity Management (UCIM) bezeichnete Benutzerperspektive beruecksichtigt; die Schwerpunkte der mehr als 60 strukturierten und gewichteten Anforderungen liegen dabei auf der Integration von I&AM- und FIM-Systemen sowohl auf der Seite der organisation, der die Benutzer angehoeren (Identity Provider), als auch beim jeweiligen Dienstleister (Service Provider), und auf dem Einbezug von organisatorischen Randbedingungen sowie ausgewaehlten Sicherheits- und Datenschutzaspekten. Im Rahmen eines umfassenden, gesamtheitlichen Architekturkonzepts wird anschliessend eine Methodik zur systematischen Integration von FIM-Komponenten in bestehende I&AM-Systeme erarbeitet. Neben der praezisen Spezifikation der technischen Systemschnittstellen, die den bestehenden Ansaetzen fehlt, fokussiert diese Arbeit auf die organisatorische Eingliederung aus Sicht des IT Service Managements, wobei insbesondere das Security Management und das Change Management nach ITIL vertieft werden. Zur Kompensation weiterer grundlegender Defizite bisheriger FIM-Ansaetze werden im Rahmen eines Werkzeugkonzepts fuenf neue FIM-Komponenten spezifiziert, die auf eine verbesserte Interoperabilitaet der FIM-Systeme der an einer so genannten Identity Federation beteiligten organisationen abzielen. Darueber hinaus wird auf Basis der eXtensible Access Control Markup Language (XACML) eine policy-basierte Privacy Management Architektur spezifiziert und integriert, die eine dezentrale Steuerung und Kontrolle von Datenfreigaben durch Administratoren und Benutzer ermoeglicht und somit essentiell zur Einhaltung von Datenschutzauflagen beitraegt. Eine Beschreibung der prototypischen Implementierung der Werkzeugkonzepte mit einer Diskussion ihrer Performanz und die methodische Anwendung des Architekturkonzepts auf ein komplexes, realistisches Szenario runden die Arbeit ab

Eine wissenschaftliche Informations-, Kommunikations- und Publikationsplattform für die Forschung (eSciDoc) : Schlussbericht

[no abstract available

Service-oriented IT-Systems for Highly Flexible Business Processes

Der vorliegende Band „Dienstorientierte IT-Systeme für hochflexible Geschäftsprozesse“ enthält ausgewählte Ergebnisse des Forschungsverbundes forFLEX aus den Jahren 2008 - 2011. Ausgehend von einer Charakterisierung des Forschungsfeldes und zwei fallstudienbasierten Anwendungsszenarien werden Fragen der Analyse, der Modellierung und Gestaltung sowie der Infrastruktur, Sicherheit und Werkzeugunterstützung von hochflexiblen Geschäftsprozessen und ihrer Unterstützung durch dienstorientierte IT-Systeme untersucht. Das Buch wendet sich an IT-Fach- und Führungskräfte in Wirtschaft und Verwaltung sowie an Wissenschaftler, die an der Analyse und Gestaltung von Flexibilitätspotenzialen (teil-) automatisierter Geschäftsprozesse interessiert sind

Ein Konzept zur Überwachung und Mißbrauchserkennung bei Grid-Proxy-Credentials

[no abstract