No full-text available
To read the full-text of this research,
you can request a copy directly from the authors.
Rollenbasierte Identitäts- und Autorisierungsverwaltung an der TU Berlin.
... An der TU Berlin arbeitet man an einer dezentralen Rollenadministration [12]. Für die Benutzer in den Fakultäten, Verwaltungs-und Forschungseinrichtungen müssen jedoch Werkzeuge geschaffen werden, die leichter zu handhaben sind, als das klassische Role-Engineering, jedoch über eine Systematik zu einer konsistenten Modellierung führen. ...
Berlin thomas.hildmann@tu-berlin.de Zusammenfassung Das Prinzip der Delegation von Aufgaben wird in großen Organisationen angewandt, um der Tatsache Rechnung zu tragen, dass es nicht möglich ist, alle Aufgaben von einer Person bewältigen oder alle Personen alle Aufgaben in gleichem Maße durchführen zu lassen. Der Einsatz einer verteilten Rechteverwaltung für die IT-Infrastruktur ist hierbei ein logischer Schritt, der eine flexible, schnelle und transparente Anpassung der Prozesse innerhalb einer Organisation von der Basis her ermöglicht. Aus den Erfahrungen her-aus, die die TU Berlin mit ihrem rollenbasierten IDM-System mit über 4.000 Mitarbei-terinnen und Mitarbeitern sowie mit ca. 30.000 Studierenden als Nutzer eines webbasier-ten Portalsystems und einigen weiteren Anwendungen gewinnen konnte, wurde eXtreme Role-Engineering entworfen. Das eXtreme Role-Engineering Verfahren bringt Methoden der agilen Softwareentwicklung mit dem Role-based Access Control (RBAC) zusammen, um so eine schnelle, unkomplizierte Rollendefinition zu ermöglichen. Dabei besteht die Gefahr, dass bei der dezentralen Rollendefinition Fehler unterlaufen. Im RBAC-Umfeld sind zahlreiche Maßnahmen zum Schutz bei der Modellierung bekannt. Diese werden im Folgenden zusammengestellt und insbesondere auf ihre Anwendbarkeit auf das eXtreme Role-Engineering Verfahren betrachtet. Dieser Beitrag kann aber auch als Überblick über Schutzmechanismen in RBAC allgemein gelesen werden. "Man fällt nicht über seine Fehler. Man fällt immer über seine Feinde, die diese Fehler aus-nutzen.
Rollenbasierte Zugriffskontrollsysteme (RBAC) sind als Basis fü̈r ein effizientes Autorisierungssystem weit verbreitet. Diese Arbeit beschreibt einen Modellierungsansatz, der eine Identitä̈ts-, eine Struktur-, eine Anwendungs- und eine Organisationssicht voneinander trennt, um so zu einer Verteilung von Verantwortlichkeiten zu kommen. Ferner wird ein Entwurfsverfahren fü̈r die Rollenmodellierung entwickelt, das fü̈r eine verteilte Administration geeignet ist und den Qualifizierungsaufwand sowie die Fehleranfälligkeit bei der Rollenmodellierung minimiert. Der Entwurfsprozess kombiniert Ansätze der agilen Softwareentwicklung mit Role-Engineering-Methoden und kann komplett EDV-gestützt implementiert werden. Ein Rollenmodell dient der Strukturierung von Rollen und kann wie ein Softwaremodell behandelt werden kann. So wird beleuchtet, wie Erkenntnisse aus der Softwareentwicklung auf den Entwurf von Rollenmodellen übertragbar sind. Das vom eXtreme Programming (XP) abgeleitete Rollenentwurfsverfahren eXtreme Role-Engineering (xRE) wird ebenso wie die Anwendung von Mustern und die Modellierung über verschiedene Sichten (Views) in dieser Arbeit erö̈rtert. Das in der Software-Entwicklung weit verbreitete Konzept der Entkopplung wird auf die Organisationsstruktur und auf die Anwendungs- und Geschä̈ftslogik angewandt. Die durch eine Zentralisierung entstehenden Nachteile, wie Verfolgbarkeit aller Benutzeraktionen und zentrale Datensammlungen kö̈nnen durch konsequente Anwendung von Methoden der mehrseitigen Sicherheit reduziert werden. Die Anwendung dieser Methodik wird am Beispiel der Authentisierung mit Smartcards, einem Modell zur nicht verfolgbaren Autorisierung sowie zur Protokollierung für verschiedene Rollen gezeigt. Teile des in der Arbeit entwickelten Systems sind an der Technischen Universität Berlin seit einigen Jahren mit mehreren tausend Benutzern im produktiven Einsatz. Die beim Einsatz des Systems gesammelten Erfahrungen sind in die umfangreiche experimentelle Evaluation eingeflossen. Dieser Anwendungsfall zeigt die Nutzbarkeit der beschriebenen Methoden und Verfahren und bietet ferner eine Plattform für weiterführende Forschung und Entwicklung auf dem Gebiet. Role-based access control systems as a base for efficient authorization is widely used. This work describes a model, that divides different views, such as identity, structure, user and organization to lead to a separation of duty. A role-engineering process is also developed. This is suitable for shared administration and minimizes the costs for qualification as well as it reduces error-proneness during role modeling. The engineering process combines agile software development with role-engineering methods and can be implemented completely computer aided. A role model is a model that can be treated like a software model. This work presents ways to transfer knowledge gained from software-engineering onto role-modeling. Derived from eXtreme programming (XP) is the eXtreme role-engineering (xRE) process. xRE as well as the use of patterns and views-orientated modeling are discussed here. Uncoupling is largely used in software development and is herein applied for the organization-, the user- and business-structure. Drawbacks arising from centralization, as traceability of user actions and central data collections, can be avoided by following the methods of multilateral security consequently. Authentication via smart-cards, a model for non-traceable authorization and logging, for different roles show the usage of this methodology exemplary. Major parts of the system developed within this work are used daily at the Technische Universität Berlin by many thousand users since a couple of years. The gain in experience using this system led to an extensive experimental evaluation. This case demonstrates the suitability of the developed methods and processes and offers a stage for continuing research and development in this field.
ResearchGate has not been able to resolve any references for this publication.