Rubrik: Produkte/Hintergrund

secaron: Sichere und komfortable Geschäftstätigkeit mit Web-Access

Authentisierung und Autorisierung kostengünstig, sicher und skalierbar realisieren

(07.04.03) - Bei der Konzeption einer Access-Lösung für ein Web-Angebot stellt sich schnell die Frage: Wie kann Authentifizierung (Authentisierung) und Autorisierung kostengünstig, sicher und skalierbar realisiert werden? Da die Benutzer der Anwendungen meist schon bekannt und in einem System erfasst sind, vereinfacht die Nutzung bestehender Datenquellen (z. B. LDAP, Datenbanken) die spätere Inbetriebnahme der Web-Access-Lösung. Durch eine komfortable Managementsoftware mit integrierter Benutzerverwaltung soll der Return on Investment (ROI) durch geringe Betriebskosten schnell erreicht werden.

Der Informationsaustausch und die Kommunikation von Firmen mit Kunden, Geschäftspartnern und Mitarbeitern wird heutzutage in zunehmendem Maße über Internet, Extranet und Intranet abgewickelt. Dabei kommen meist heterogene technische Plattformen, d. h. die unterschiedlichsten Web- bzw. Applikations-Server auch innerhalb einer Firmeninfrastruktur, zum Einsatz. Eine verlässliche Absicherung der Applikationen und komfortable und integrierte Administration der Benutzer und Benutzergruppen für die einzelnen Anwendungen ist geschäftskritisch. Mitarbeiter und Partnerunternehmen dürfen natürlich nur auf Daten mit spezifischen Berechtigungen zugreifen. Die schnelle Einrichtung von Benutzern und Berechtigungen ist ein entscheidendes Kriterium für die Akzeptanz bei den Benutzern und nicht zuletzt für die Betriebskosten der gesamten Lösung.

Diese Art der Absicherung geht über den Grundschutz, der heute Standard ist und zu dem z. B. Firewalls und Intrustion Detection-Systeme (IDS) zählen, hinaus. Gerade bei der Verwendung von Extranet-Umgebungen ist die Zugriffskontrolle nicht zu unterschätzen, da hierbei den Geschäftspartnern meist die Möglichkeit geboten wird auf sensible Daten des internen Netzes zuzugreifen. Der Missbrauch dieser Schnittstelle kann für das Unternehmen großen Schaden bedeuten.

Für die eigentliche Authentifizierung (Authentisierung) der Benutzer stehen heutzutage drei grundlegende Verfahren zur Verfügung:

·         Die Nutzung von Benutzernamen und Passwort ist am weitesten verbreitet. Das Passwort kann hierbei in der Datenbank bzw. im LDAP-Verzeichnis hinterlegt sein oder wird als Einmalpasswort berechnet.

·         Die zweite Variante ist die Verwendung von Zertifikaten für die Authentifizierung der Benutzer. Anwendung finden Zertifikate z. B. bei SSL-Client-Authentifizierung. Die Zertifikate selbst können beim Anwender als Softtoken oder auf Smart Card bzw. USB-Token vorliegen. Im Vergleich zu statischen Passwörtern sind Zertifikate als eine der sichersten Methoden zur Authentifizierung (Authentisierung) einzustufen. Sie bieten durch Ihre mittlerweile weitverbreitete Unterstützung in Standardkomponenten, wie z. B. Web- und Applikations-Servern, auch die Möglichkeit zum sicheren und komfortablen Single Sign-On.

·         Eine weitere Art der Authentifizierung, die allerdings eher selten verwendet wird, ist die Nutzung von Challenge-Response-Verfahren.

Ähnlich der Authentisierung gibt es auch für die Autorisierung verschiedene Methoden. Die Möglichkeiten des Zugriffschutzes sind dabei sehr weitreichend. Das Portfolio der Hersteller reicht vom Schutz auf Verzeichnis- und Dateiebene des Web-Servers bis hin zum Schutz einzelner Geschäftsobjekte (z. B. Enterprise Java Beans, COM-Objekte) oder sogar deren Methoden auf dem Applikations-Server.

Als Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen den einzelnen Systemen bildet sich zurzeit SAML (Security Assertion Markup Language) heraus.

Auf dem Markt werden derzeit sehr viele Produkte für Web-Access angeboten. Viele dieser Programme bieten auch Funktionen aus dem Bereich E-Provisioning an. Die grundsätzliche Architektur dieser Systeme ist bei allen Herstellern ähnlich. Über Plug-ins klinken sich die Tools in die gängigen Web- bzw. Applikations-Server ein. Das Herz des Gesamtsystems ist eine Art Policy-Server, der die Verbindung zwischen Server-Plug-in und Authentifizierungs- bzw. Autorisierungsdaten herstellt. Auf dem Policy-Server erfolgt auch die gesamte Administration. Bei großen Umgebungen ist in diesem Zusammenhang die Delegation der Administration für bestimmte Anwendungen bzw. Nutzergruppen, z. B. an Partner, vorteilhaft.

Alle Produkthersteller von Web-Access-Systemen werben mit Single Sign-On. Dahinter verbirgt sich die einmalige Anmeldung am Gesamtsystem und dem damit verbundenen Zugriff auf alle Ressourcen. Um den Komfort für die Benutzer von komplexen und dezentralen Systemen zu vereinfachen ist dieses Feature empfehlenswert.

Vor der Auswahl eines Produktes ist eine Bestandsaufnahme sämtlicher zu integrierender Applikationen und die Erstellung eines umfassenden und konsistenten Benutzer- und Benutzergruppenkonzeptes unabdingbar. Auf dieser Basis kann eine Evaluierung der Produkte erfolgen und nach Auswahl schließlich eine erfolgreiche und zeitnahe Implementierung einer passenden Web-Access-Lösung aufgesetzt werden. (Christian Koch/ma)

Autoren-Info:

Christian Koch ist Consultant bei der Secaron AG. Die Secaron AG  bietet umfassende IT-Sicherheitslösungen in Umgebungen mit höchsten Sicherheitsforderungen an. Das Portfolio reicht von der "sicheren Netzkonfiguration in komplexen und globalen Unternehmensstrukturen" bis zur "Konzeption und Implementierung von PKI".

Secaron AG

Kontakt: Sabine Ziegler

Tel. (0811) 9594-140, Fax (0811) 9594-220

E-Mail: ziegler@secaron.de 

Web: www.secaron.de