Funktionen

Print[PRINT]
.  Home  .  Publikationen  .  Diplom/Master  .  eber06

Ebert, M. (2006):

Konzeption und Implementierung einer policy-basierten Privacy Management Architektur für föderierte Identitätsmanagementsysteme am Beispiel Shibboleth


Aufgabe des Identitätsmanagements ist die organisationsinterne und zentrale Verwaltung von Daten über Mitarbeiter, Kunden, Partner und Gäste (kurz Benutzer) sowie deren Zugriff auf lokale Dienstleisungen und Ressourcen. Diese herkömmliche Lösung des Identitätsmanagements deckt jedoch weder die steigende Notwendigkeit des Zugriffs auf organisationsexterne Dienstleistungen und Ressourcen noch eine immer wichtiger werdende effiziente Benutzerverwaltung von Partnerunternehmen (z.B. im B2B-Bereich) ab. Die Frage ist also, wie organisationsinterne sowie -externe Informationssysteme und deren Benutzer in Domänengrenzen überschreitenden Netzwerken integriert bzw. verwaltet werden können. Genau hiermit beschäftigt sich das föderierte Identitätsmanagement (FIM).

In föderierten Identitätsmanagementsystemen müssen zur Authentifizierung und Autorisierung benötigte Benutzerdaten zwischen verschiedenen Instanzen (z.B. zwischen zwei Organisationen, wenn Benutzer einer Organisation Dienste einer anderen Organisation nutzen möchten) ausgetauscht werden. Um den Austausch von Benutzerinformationen in kontrolliertem Rahmen ablaufen zu lassen, werden Attribute Release Policies (ARPs) eingesetzt. Mit Hilfe der ARPs lassen sich Richtlinien erstellen, in denen die zu übertragenden Daten eingeschränkt werden können. Indem Benutzer bzw. Administratoren durch ARPs regeln können, welche Informationen, z.B. zum Zweck der Autorisierung, freigegeben werden dürfen und welche nicht, wird der wichtige Aspekt des Datenschutzes gewährleistet. Für das Konzept der ARPs gibt es jedoch noch keine Standardisierungsansätze.

Eine vom Konsortium Internet2 entwickelte, relativ weit verbreitete und schon im praktischen Einsatz befindliche Open Source Software für föderiertes Identitätsmanagement ist Shibboleth. Shibboleth implementiert jedoch nur proprietäre ARPs, deren Ausdrucksfähigkeit nur für einfache Szenarien ausreicht.

In dieser Diplomarbeit werden, nach einer Einführung und Beschreibung von Shibboleth, Szenarien im Bereich des föderierten Identitätsmanagements betrachtet. Aus den Szenarien werden in einer Anforderungsanalyse Kriterien, welche ein ARP-System unterstützen muss, abgeleitet. Mit dem daraus entwickelten Kriterienkatalog werden bekannte Policysprachen auf ihre Eignung für ARPs hin untersucht. Die am besten passende Policysprache wird für die zu entwickelnde Architektur ausgewählt und deren Verwendung im Detail beschrieben. Auf Basis der Policysprache wird eine neue policy-basierte Privacy Management Architektur für Shibboleth entwickelt und anschließend prototypisch in Java implementiert. Bei der Implementierung wird auf einen bereits vorhandenen Policy Decision Point von Sun zurückgegriffen. Des Weiteren wird mit Beispielen beschrieben, wie das neue System konfiguriert und angewandt wird. Zum Schluss wird dargestellt, welche Zielsetzungen erreicht wurden und welche Ansatzpunkte für weiterführende Arbeiten vorhanden sind.