Grundlegende Konzepte
Kapitel 3: Microsoft-Technologien zur Identitäts- und Zugriffsverwaltung
Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006
Eine effektive Identitäts- und Zugriffsverwaltung umfasst mehrere voneinander abhängige Technologien und Prozesse. Diese Elemente werden kombiniert, um eine einheitliche Ansicht der Identitäten in einer Organisation zu verwalten und die Identitäten effektiv zu verwenden. Zu den wichtigsten Themen im Zusammenhang mit der Identitäts- und Zugriffsverwaltung zählen Verzeichnisdienste, Verwaltung des Identitätslebenszyklus, Zugriffsverwaltung und Integration von Anwendungen in die Infrastruktur.
Hinweis Dieses Kapitel bietet einen Überblick über alle Themen. In den restlichen Kapiteln werden die in den einzelnen Themen behandelten Prozesse und Dienste ausführlicher erläutert. In diesem Kapitel finden Sie alle Themen im Überblick. Detaillierte technische Informationen können Sie den Kapiteln 4 bis 7 entnehmen.
Viele Technologien und Lösungen zur Identitäts- und Zugriffsverwaltung sind unabhängig als Antwort auf bestimmte taktische Probleme entstanden. Organisationen, Analytiker, Hersteller und Systemintegratoren sind zu der Erkenntnis gekommen, dass all diese Technologien und Geschäftsprobleme voneinander abhängen und zu einer einzigen Lösungskategorie führen, die einfach als „Identitäts- und Zugriffsverwaltung“ beschrieben wird.
Zur Veranschaulichung dieser Abhängigkeit erstellte Microsoft die Identitäts- und Zugriffsverwaltungsumgebung. Dabei handelt es sich um eine grafische Darstellung der Dienste und Prozesse, die an der Identitäts- und Zugriffsverwaltung beteiligt sind.
Die folgende Abbildung zeigt die Hauptkomponenten des Microsoft Identity and Access Management-Frameworks:
.gif "Abbildung 3.1 Hauptkomponenten des Microsoft Identity and Access Management-Frameworks")
Abbildung 3.1 Hauptkomponenten der Identitäts- und Zugriffsverwaltungsumgebung von Microsoft
Dieses Kapitel bietet eine Einführung in diese Umgebungskomponenten und die Technologien, Dienste und Prozesse, von denen die einzelnen Komponenten unterstützt werden.
Zu den wichtigen Elementen des Microsoft Identity and Access Management-Frameworks zählen die Geschäfts-, Sicherheits- und Datenschutzrichtlinien, die die spezifischen Anforderungen einer Organisation verkörpern. Diese Elemente ermöglichen die Definition der geschäftlichen Voraussetzungen, Regeln, Standards und Einschränkungen, die bestimmen, wie Technologien und Prozesse zum Erreichen der Geschäftsziele angewendet werden müssen. Sicherheitsrichtlinien sind z. B. allgemein und weitreichend und beeinflussen daher alle Aspekte der Identitäts- und Zugriffsverwaltung.
Datenschutzrichtlinien werden durch die Organisation, die Branche und das Land/die Region beeinflusst. Diese Richtlinien definieren geeignete Schritte zum Schutz der persönlichen Daten in den Identitätsspeichern Ihrer Organisation. Nationale und internationale Gesetze spielen beim Definieren der Datenschutzrichtlinie eine wichtige Rolle, z. B. der „Health Insurance Portability and Accountability Act“ von 1996 (HIPAA) aus den USA, der „Data Protection Act“ von 1998 aus Großbritannien, die Datenschutzrichtlinie 95/46/EG der Europäischen Union sowie internationale Handelsvereinbarungen und -richtlinien (Safe Harbor).
Auf dieser Seite
Verzeichnisdienste
Verwaltung des Identitätslebenszyklus
Zugriffsverwaltung
Anwendungen
Zusammenfassung
Verzeichnisdienste
Verzeichnisdienste bilden die Grundlage für eine Identitäts- und Zugriffsverwaltungsinfrastruktur. Verzeichnisdienste bieten nur eine Quelle von autorisierenden digitalen Identitätsinformationen. Zu diesen Informationen können Sicherheitsdaten wie Kennwörter und X.509-Zertifikatzuordnungen sowie Benutzerprofilinformationen in Form von Benutzerattributen (Adressen, Telefonnummern, Büroraum, Titel und Abteilungsnamen usw.) zählen.
Microsoft empfiehlt, eine möglichst kleine Anzahl von Verzeichnissen festzulegen, die als vertrauenswürdige Identitätsspeicher für Ihre Organisation dienen. Diese Reduktion bietet unmittelbare Vorteile und bildet eine solide Grundlage für die Integration aller anderen Komponenten.
Verzeichnisdienste in Microsoft-Technologien
Seit der Einführung von Windows NT® 3.1 bietet Microsoft auf der Plattform Microsoft® Windows® Unterstützung für Verzeichnisdienste. Zu den aktuellen Verzeichnisdiensten von Microsoft zählen:
Microsoft Active Directory®-Verzeichnisdienst (in Windows 2000 Server und Windows Server™ 2003 enthalten)
Active Directory Application Mode (ADAM)
Weitere Informationen zu den Verzeichnisdiensten von Microsoft finden Sie in Kapitel 4, „Verzeichnisdienste“, in diesem Dokument.
Verwaltung des Identitätslebenszyklus
Die Verwaltung von Benutzern und deren Berechtigungen und Anmeldeinformationen umfasst mehrere verknüpfte Prozesse. Diese Prozesse umfassen:
Identitätsintegrationsdienste, einschließlich Zusammenfassung und Synchronisierung
Bereitstellung, einschließlich der Verwaltung von zugehörigen vor, während und nach der Bereitstellung stattfindenden Prozessen (bezeichnet als „Workflow“)
Delegierte Verwaltung, z. B. Kontenverwaltung durch das Personal eines Partners
Benutzerverantwortliche Verwaltung, z. B. vom Benutzer initiierte Berechtigungsanforderungen
Anmeldeinformations- und Kennwortverwaltung, einschließlich Kennwortänderung durch den Endbenutzer und Zurücksetzen von Kennwörtern durch den Helpdesk
Entfernen, einschließlich Deaktivieren oder Löschen eines Kontos.
Verwalten von Gruppen
Identitätsintegrationsdienste
Identitätsintegrationsdienste sind normalerweise dann erforderlich, wenn eine Organisation mehrere Verzeichnisse oder Identitätsspeicher besitzt. Da jedes dieser Verzeichnisse einen Teil aller Informationen über einen Benutzer enthält, können mithilfe von Identitätsintegrationsdiensten Gesamtansichten der in allen Identitätsspeichern enthaltenen Informationen erstellt werden.
Um diese Gesamtansichten zu erstellen, werden Identitätsinformationen aus einer Vielzahl von autorisierenden Quellen abgerufen, z. B. aus vorhandenen Verzeichnissen, Personal- und Kontoführungsanwendungen, E-Mail-Verzeichnissen und verschiedenen Datenbanken. Alle von den Identitätsintegrationsdiensten zusammengeführten Identitätsinformationen füllen zusammen eine einzige Datenbank oder ein Metaverzeichnis – eine globale integrierte Ansicht aller aus Identitätsinformationen in mehreren verbundenen Datenquellen zusammengesetzten Objekte.
Mithilfe dieser zentralen Informationsdatenbank können Regeln auf die Daten angewendet werden, um den Datenfluss während Import- und Exportoperationen zu steuern. Die Verwendung von regelgestützten Import- und Exportdatenflüssen ermöglicht das Implementieren einer Identitätssynchronisierung und sogar -bereitstellung. Da diese Synchronisierung und Bereitstellung über programmierte Regeln automatisiert werden kann, können mithilfe der Identitätsintegrationsdienste die mit der Verwaltung von Identitätsdaten zusammenhängenden Kosten gesenkt und die bei einer manuellen Verwaltung möglichen Fehler minimiert werden.
Bereitstellung
Eine wichtige Komponente der Identitäts- und Zugriffsverwaltung ist die zum Erstellen von digitalen Identitäten verwendete Methode. Der Bereitstellungsprozess ist ein leistungsstarkes Tool, mit dem die in der Verzeichnisinfrastruktur einer Organisation enthaltenen Benutzerinformationen verwendet werden können, um das Einrichten und Sperren von Benutzerkonten und Berechtigungen für Informationsressourcen zu beschleunigen. Zu diesen Ressourcen können E-Mail, Telefondienste, Personalwendungen, Geschäftsbereichsanwendungen (LOB) und funktionelle Anwendungen, Intranet- und Extranetzugriff sowie Helpdesk-Dienste zählen.
Durch eine Automatisierung der Prozesse zum Erstellen von digitalen Identitäten können die Kosten reduziert und die Produktivität deutlich gesteigert werden. Wenn ein neuer Mitarbeiter der Organisation beitritt, kann mithilfe des Bereitstellungssystems die Zeit, die für die Einrichtung von Benutzerkonten und Zugriffsrechten erforderlich ist, von über einer Woche auf einige Stunden verringert werden. Manager können durch die automatisierte Bereitstellung viel Zeit bei der Bearbeitung der zugehörigen Schreibarbeit sparen. Außerdem erfolgt die Genehmigung und Implementierung der Anforderungen durch die Finanz-, Personal- und IT-Abteilung schneller.
Workflow
Ein Workflow ist eine Voraussetzung für die meisten Bereitstellungsprozesse. Anforderungen für Ressourcen werden online eingegeben, über einen vordefinierten Pfad an Prüfer und Genehmiger gesendet und dann schließlich an die für das Erstellen des Benutzerkontos zuständige Person bzw. das System geleitet. Anforderungen und elektronische Kopien von zugehörigen Materialien werden automatisch an alle am Prozess beteiligten Personen weitergeleitet. Prozesse werden in allen Abteilungen konsistent und vollständig angewendet, und jede Information wird dabei nur einmal eingegeben. Ein vollständiges Überwachungsprotokoll stellt Informationen darüber bereit, wer die Genehmigung ausgestellt hat und wann die Genehmigung ausgestellt wurde. Ein leitender Manager oder Administrator wird von automatisch überwachten Workflows benachrichtigt, wenn Überprüfungs- oder Genehmigungsaktionen nicht rechtzeitig abgeschlossen werden.
Der Workflow ist auch bei einigen Prozessen der delegierten Verwaltung und Selbstverwaltung hilfreich, z. B. beim Weiterleiten von zu genehmigenden Anforderungen.
Delegierte Verwaltung
Das typische Verwaltungsmodell beinhaltet eine kleine Gruppe von vertrauenswürdigen Personen, die alle Aspekte eines Identitätsspeichers verwalten können. Diese Administratoren erstellen und löschen Benutzer, definieren Kennwörter, setzen Kennwörter zurück und können alle Benutzerattribute einstellen.
Häufig sprechen jedoch geschäftliche Gründe gegen eine zentrale Gruppe von Administratoren, die für alle Aufgaben im Zusammenhang mit Benutzeridentitäten verantwortlich sind. Wenn Partnerkonten z. B. in einem Extranetverzeichnis gespeichert werden, delegiert die Organisation die Verwaltung in der Regel an einen Administrator in der Partnerorganisation. Der Partneradministrator übernimmt die Verantwortung für alle Mitarbeiterkonten seiner eigenen Organisation. Dies ist von einem administrativen Standpunkt aus sinnvoll, da der Partner besser weiß, wann Benutzer erstellt oder gelöscht werden müssen. Zudem werden Hilfeanforderungen auf diese Weise lokal verarbeitet.
Die delegierte Verwaltung kann auch innerhalb einer Organisation stattfinden. In diesem Fall verwalten vertrauenswürdige Personen in unterschiedlichen Abteilungen eine Teilmenge eines Identitätsspeichers der Organisation.
Benutzerverantwortliche Verwaltung
Bei typischen Benutzern, wie z. B. Mitarbeitern, gibt es viele nicht sicherheitsspezifische Benutzerattribute. Eine Organisation kann entscheiden, ob Benutzern das Ändern dieser Attribute erlaubt werden soll. Benutzern kann z. B. das Ändern Ihrer Mobiltelefonnummer erlaubt werden. Für die benutzerverantwortliche Verwaltung sollten jedoch geeignete Beschränkungen gelten, z. B. können Namenskonventionen und Gültigkeitsprüfungen erzwungen werden.
Verwalten von Anmeldeinformationen
Da Anmeldeinformationen die „Schlüssel“ zur Authentifizierung und Autorisierung sind, gelten für sie spezielle Verwaltungsanforderungen, und für alle zugehörigen Prozesse sollten strikte Sicherheitsanforderungen verwendet werden. Anmeldeinformationen müssen bereitgestellt und verwaltet werden (z. B. ein Zertifikat sperren oder ein Kennwort zurücksetzen), und es muss benutzerverantwortliche Funktionen geben (z. B. das Kennwort ändern). Der Mechanismus für den Empfang von Anmeldeinformationen sollte eine genaue Untersuchung beinhalten (z. B. persönliche Abholung einer Smartcard mit Identitätsnachweis oder Zustellung von zurückgesetzten Kennwörtern über einen verschlüsselten direkten Kanal).
Kennwortverwaltung
Die Kennwortverwaltung ist ein spezifischer Teil der Anmeldeinformationsverwaltung. Die Authentifizierung anhand von Benutzername- und Kennwortkombinationen ist in den heutigen Netzwerken und Anwendungen noch immer die am häufigsten verwendete Technik. Für die Verwaltung von Kennwortinformationen in heterogenen Umgebungen sind weitere Techniken verfügbar.
Ein Aspekt der Kennwortverwaltung betrifft die Verwendung von Technologien zur automatischen Propagierung von Kennwortinformationen zwischen Systemen. Diese Propagierung ermöglicht einem Benutzer die Verwendung des gleichen Kennworts zur Anmeldung an mehreren Systemen. Dadurch verringert sich die Wahrscheinlichkeit, dass Kennwörter vergessen werden, und die damit zusammenhängenden Anrufe beim Helpdesk werden reduziert. Die plattform- und anwendungsübergreifende Verwendung von konsistenten Kennwörtern erfordert meist eine Zentralisierung der Kennwortänderung und des Zurücksetzens von Kennwörtern durch den Helpdesk mittels gemeinsamer Schnittstellen.
Die Kennwortpropagierung sollte nur dann in Erwägung gezogen werden, wenn die Sicherheitseigenschaften aller beteiligten Systeme vollständig bekannt sind. Beispielsweise sollte einer UNIX-Umgebung, in der Telnet verwendet wird und in der Kennwörter als Klartext über das Netzwerk versendet werden, nicht dasselbe Kennwort zugewiesen werden wie einem Active Directory-Konto, über das vertrauliche geschäftskritische Transaktionen abgewickelt werden.
Entfernung
Die Entfernung ist eine weitere wichtige Funktion bei der Verwaltung des Identitätslebenszyklus. Die Entfernung gewährleistet, dass Konten systematisch deaktiviert oder gelöscht und Berechtigungen widerrufen werden, wenn Mitarbeiter die Organisation verlassen. Laut bewährten Sicherheitsempfehlungen sollten Konten schnell deaktiviert werden (um mögliche Angriffe von verärgerten Ex-Mitarbeitern zu verhindern). Sie sollten jedoch erst nach Ablauf einer geeigneten Frist gelöscht werden, damit ein Konto eventuell wieder aktiviert (oder umbenannt und neu zugewiesen) werden kann. Außerdem ist es hilfreich, Konten zu deaktivieren (statt sie zu löschen), wenn sichergestellt werden muss, dass bestimmte Identitätsattribute, wie z. B. Kontonamen, eindeutig sind und innerhalb eines den Richtlinien der Organisation entsprechenden Zeitraums nicht erneut verwendet werden.
Verwalten von Gruppen
Die Gruppenverwaltung beinhaltet das automatische und manuelle Zuweisen von Benutzerkonten zu und von Gruppen sowie das Entfernen von Konten aus Gruppen. In der Regel existieren Gruppen in Verzeichnisdiensten oder E-Mail-Systemen, wie etwa Active Directory oder Lotus Notes. Gruppen lassen sich in zwei Arten unterteilen: Sicherheitsgruppen und Verteilergruppen. Berechtigungen können mithilfe von Sicherheitsgruppen konfiguriert werden. Verteilerlisten dagegen werden verwendet, um E-Mail-Empfänger zu organisieren. Benutzerkonten erhalten die Rechte und Berechtigungen aller Gruppen, denen Sie angehören.
Es kann für Organisationen sinnvoll sein, abfragegestützte Gruppen zu implementieren, bei denen die Mitgliedschaft vom Wert eines ausgewählten Attributs im Verzeichnisdienst abhängt. Auf diese Weise können mit dem Identitäts- und Zugriffsverwaltungssystem Gruppen erstellt werden, die beispielsweise alle Benutzer in einer Stadt oder einem Büro enthalten. Gruppen werden nur für eindeutige Werte einer Stadt oder eines Büros erstellt. Eine Gruppe, die keine Mitglieder mehr aufweist, wird gelöscht. Diese Gruppennamen und Mitgliedschaften werden dann an alle verbundenen Verzeichnisdienste und E-Mail-Systeme übertragen.
Verwaltung des Identitätslebenszyklus in Microsoft-Technologien
Microsoft bietet u. a. folgende Technologien für die Verwaltung des Identitätslebenszyklus an:
Active Directory, einschließlich Active Directory-Benutzer und -Gruppen der Microsoft Management Console (MMC) und integrierte Delegierung von Verwaltungsfunktionen
Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1), mit den folgenden spezifischen Funktionen:
Bereitstellung
Kennwortpropagierung und Webschnittstellen zum Zurücksetzen und Ändern von Kennwörtern
Identity Integration Feature Pack für Microsoft Windows Server Active Directory
Benutzerverantwortliche und automatische X.509-Zertifikatregistrierung
Services for UNIX 3.5 (SFU 3.5)
Services for NetWare
Windows Anmeldeinformationsverwaltung
IdM Notification Service, Group Management Web Application und das Group Populator-Programm in Identity and Access Management Tools and Templates
Weitere Informationen zur Verwaltung des Identitätslebenszyklus mit Technologien von Microsoft finden Sie in Kapitel 5, „Verwaltung von Identitätslebenszyklen“.
Zugriffsverwaltung
Die Zugriffsverwaltung beinhaltet das Steuern des Benutzerzugriffs auf Ressourcen, sei es mittels Authentifizierung zum Identifizieren eines Benutzers, mittels Anmeldeinformationszuordnung zum Verknüpfen von digitalen Identitäten oder mittels Autorisierung, um die Benutzeridentität mit Ressourcenberechtigungen zu vergleichen. Weitere Themen zur Zugriffsverwaltung behandeln die Implementierung von Zusammenschlüssen und Vertrauensstellungen zur Erweiterung des Zugriffs sowie die Überwachung und Aufzeichnung von Benutzeraktivitäten.
Authentifizierung
Die Authentifizierung ist das Bereitstellen der digitalen Identität eines Benutzers oder Objekts für ein Netzwerk, eine Anwendung oder eine Ressource. Durch den Prozess der Autorisierung wird authentifizierten Benutzern der Zugriff auf Ressourcen entsprechend ihren Berechtigungen gewährt.
Authentifizierungstechniken
Die verfügbaren Authentifizierungstechniken reichen von der einfachen Anmeldung mittels Benutzeridentifizierung und Kennwortinformationen (etwas, das Sie wissen), über Biometrik (etwas, das Sie eindeutig von anderen unterscheidet) bis hin zu leistungsfähigeren Sicherheitsmechanismen wie Tokens, digitalen Zertifikaten und Smartcards (etwas, das Sie besitzen). Umgebungen mit hoher Sicherheit erfordern ggf. einen mehrere Faktoren umfassenden Authentifizierungsprozess. Eine Möglichkeit ist z. B. eine Kombination aus etwas, das Sie wissen (z. B. ein Kennwort), und etwas, das Sie eindeutig unterscheidet (z. B. ein Fingerabdruck), oder etwas, das Sie besitzen (z. B. eine Smartcard).
In einer E-Business-Umgebung greifen Benutzer möglicherweise auf mehrere Anwendungen auf vielen Webservern an einem oder mehreren Standorten zu. Effektive Identitäts- und Zugriffsverwaltungsstrategien stellen Authentifizierungsdienste bereit, um die Benutzerfreundlichkeit zu verbessern und den Verwaltungsoverhead zu reduzieren. Aus diesen Gründen müssen Authentifizierungsdienste heterogene Umgebungen unterstützen.
Beispiele für Authentifizierungstechniken sind:
Benutzernamen und Kennwörter
Persönliche Identifikationsnummern (PINs)
Digitale X.509-Zertifikate
Einwegkennwörter
Biometrik (z. B. Fingerabdruck oder Netzhautscan)
Smartcards
Elektronische Ausweise
Hardwaretokens
Vergleich zwischen sicheren und unsicheren Authentifizierungstechniken
Die verfügbaren Authentifizierungstechniken reichen von einfachen Techniken, bei denen Benutzer Kennwörter direkt in Anwendungen oder Hosts eingeben, bis hin zu komplizierteren Techniken, die zum Schutz der Anmeldeinformationen vor potenziell böswilligen Anwendungen und Hosts erweiterte Verschlüsselungsmechanismen verwenden.
Die Eingabe eines Klartextkennworts (d. h. ohne jegliche Verschlüsselung) in eine Anwendung oder einen Host gilt als die unsicherste Authentifizierungstechnik, da die Authentifizierungssequenz abgefangen werden kann. Authentifiziert sich ein Benutzer auf einem böswilligen Host, verfügt der Besitzer des Hosts zudem über alle notwendigen Informationen, um sich im Netzwerk als dieser Benutzer auszugeben. Stellen Sie sich ein Kennwort wie ein Geheimnis vor. Wenn der Benutzer jedem Computer im Netzwerk das Geheimnis mitteilt, ist das Geheimnis nicht wirklich geheim.
Sicherere Authentifizierungstechniken schützen die Authentifizierungsanmeldeinformationen, so dass der Host oder die Ressource, für die sich der Benutzer authentifiziert, das Geheimnis nicht wirklich kennt. Hierzu werden Daten normalerweise kryptografisch mit dem geheimen Kennwort signiert, das nur der Benutzer und ein vertrauenswürdiger Dritter (z. B. ein Active Directory-Domänencontroller) kennen. Ein Computer authentifiziert den Benutzer, indem er die signierten Daten einer vertrauenswürdigen dritten Stelle vorlegt. Die Drittstelle vergleicht die Signatur mit den vorliegenden Informationen über den Benutzer und teilt dem Computer mit, ob die Identität des Benutzers echt ist. Mit einem solchen Mechanismus können Kennwörter tatsächlich geheim gehalten werden.
Einfache Anmeldung (Single Sign-on)
Ein wichtiger Begriff im Zusammenhang mit der Authentifizierung ist die einfache Anmeldung (Single Sign-on, SSO). SSO auf der Anwendungsebene umfasst das Einrichten einer „Sitzung“ zwischen dem Client und Server, die dem Benutzer die Verwendung der Anwendung ermöglicht, ohne bei jeder in der Anwendung ausgeführten Aktion ein Kennwort eingeben zu müssen.
Dieses Konzept kann auf einen im Netzwerk verfügbaren Satz von Anwendungen ausgedehnt werden. Zum Implementieren von SSO zwischen unterschiedlichen Anwendungen, können Sitzungen zwischen dem Client, einem vertrauenswürdigen Dritten im Netzwerk und verschiedenen Serveranwendungen und Netzwerkressourcen eingerichtet werden. Die Sitzung wird in vielen Implementierungen durch ein Ticket oder Cookie dargestellt. Sie können sich dies als Ersatzanmeldeinformationen für den Benutzer vorstellen. Anstatt den Benutzer während der Authentifizierung zur Eingabe der Anmeldeinformationen aufzufordern, wird das Ticket oder Cookie an den Server gesendet und als Identitätsbeweis akzeptiert.
Das Endergebnis ist, dass sich der Benutzer zur Verwendung vieler Anwendungen nur einmal anmelden muss. Diese Funktion der einmaligen Anmeldung wird als Single Sign-on bezeichnet.
Hinweis Nur unter sehr ungewöhnlichen Umständen gilt es als angebracht, dass ein Authentifizierungsmechanismus den Benutzer wiederholt zur Eingabe von Authentifizierungsanmeldeinformationen auffordert. Anwendungen dagegen können den Benutzer vor der Ausführung eines besonders wichtigen oder vertraulichen Vorgangs mitunter zur Eingabe seiner Anmeldedaten auffordern.
Authentifizierung in Microsoft-Technologien
Microsoft Windows Server 2003 Active Directory bietet integrierte Unterstützung für folgende Authentifizierungsmethoden:
Public Key Infrastructure (PKI)-gestützte Authentifizierung
Authentifizierungsprotokoll Kerberos Version 5
X.509-Zertifikatzuordnung
Microsoft Passport
Windows NT LAN Manager (NTLM) Challenge/Response
EAP (Extensible Authentication Protocol)
Verschlüsselung mit Secure Sockets Layer (SSL) 3.0 und Transport Layer Security (TLS) 1.0
Unterstützung von Smartcards mit X.509-Zertifikaten
Windows Server 2003 Internet Information Services 6.0 (IIS) unterstützt neben den obigen Methoden folgende Authentifizierungstechniken:
Digestauthentifizierung
Formulargestützte Authentifizierung
Standardauthentifizierung
Anwendungen können Authentifizierungsmethoden über APIs (Anwendungsprogrammierschnittstellen) aufrufen, wie z. B. SSPI (Security Support Provider Interface), die Secure Protocol Negotiation (SPNEGO) umfasst.
Windows XP enthält eine integrierte Authentifizierung für die Arbeitsstationsanmeldung und den Ressourcenzugriff, Internet Explorer für die integrierte Authentifizierung bei Websites sowie die Anmeldeinformationsverwaltung zum Verwalten von Kennwörtern, digitalen Zertifikaten und Passports für die Authentifizierung.
Autorisierung
Bei der Autorisierung wird festgestellt, ob einer digitalen Identität die Ausführung einer angeforderten Aktion erlaubt ist. Die Autorisierung findet nach der Authentifizierung statt und ordnet die Attribute der digitalen Identität (z. B. Gruppenmitgliedschaften) Zugriffsberechtigungen für Ressourcen zu, um die für die digitale Identität zugänglichen Ressourcen zu bestimmen.
Zugriffssteuerungslisten
Unterschiedliche Plattformen verwenden unterschiedliche Mechanismen zum Speichern von Autorisierungsinformationen. Der am weitesten verbreitete Autorisierungsmechanismus ist als Zugriffssteuerungslisten (ACL) bekannt. Eine ACL ist eine Liste von digitalen Identitäten und zugehörigen Aktionen, die diese Identitäten für die Ressource ausführen können (auch Berechtigungen genannt).
Aktionen werden normalerweise entsprechend dem von der ACL geschützten Objekttyp definiert. Ein Drucker kann z. B. Aktionen wie „drucken“ oder „Auftrag löschen“ zulassen, während für eine Datei Aktionen wie „lesen“ und „schreiben“ in Frage kommen.
Sicherheitsgruppen
Betriebssysteme mit Unterstützung für viele Benutzer unterstützen normalerweise Sicherheitsgruppen (dies ist ein spezieller Identitätstyp). Die Verwendung von Sicherheitsgruppen vereinfacht die Verwaltung von Tausenden von Benutzern in einem großen Netzwerk.
Sicherheitsgruppen erleichtern die Verwaltung, da eine ACL nur wenige Einträge für die unterschiedlichen Gruppen mit spezifischen Zugriffsebenen enthalten muss. Bei einem umsichtigen Gruppenentwurf sollte die ACL relativ statisch sein. Die Autorisierungsrichtlinie kann für viele Objekte gleichzeitig geändert werden, indem Sie die Mitglieder einer von einer zentralen Stelle (z. B. einem Verzeichnis) verwalteten Gruppe bearbeiten. Die Verschachtelung von Gruppen erhöht die Flexibilität des Gruppenmodells für die Autorisierungsverwaltung.
Rollen
Viele Anwendungen verwenden zum Bezeichnen einer Benutzerklassifizierung den Begriff Rolle. Eine Rolle namens „Manager“ kann z. B. für alle Mitglieder einer Sicherheitsgruppe mit dem Namen „Finanzmanager“ verwendet werden. Als Mitglieder dieser Gruppe erhalten die Benutzer automatisch die zugeordneten Berechtigungen dieser Rolle für Netzwerkressourcen.
Rollen können auch auf dynamischen zur Laufzeit getroffenen Entscheidungen basieren, die mehr Flexibilität bieten, z. B. bei der Autorisierung in einer Spesenberichtsanwendung. Diese Anwendung kann Genehmigungsaktionen enthalten, die nur von autorisierten Benutzern (oder Prinzipalen) in der Rolle „Genehmigender Manager“ überprüft werden können. Bevor die Genehmigung zum Autorisieren von Spesen erteilt wird, fragt das System das Verzeichnis ab, um festzustellen, ob das Attribut „Manager“ des Absenders mit dem Namen der Person übereinstimmt, die die Spesen genehmigt. Eine solche geschäftsorientierte Logik kann mit ACL-Mechanismen kaum konfiguriert werden.
Rollen können entweder global, z. B. anhand von Gruppenmitgliedschaften in einem Verzeichnis, oder mit einem Anwendungscode, der die Rollenmitgliedschaft basierend auf einer dynamischen Abfrage festlegt, definiert werden. Diese beiden Definitionstypen können auch kombiniert werden, z. B. eine Anwendung, die eine lokal zum Einschließen der beiden globalen Gruppen „Manager Personalwesen“ und „Manager Technik“ definierte Rolle „Manager“ definiert.
Jede dieser Methoden bietet bestimmte Vorteile. Ein gut durchdachter Rollenmechanismus bietet Anwendungsentwicklern die Flexibilität, die am besten geeigneten Rollen auszuwählen.
Autorisierung in Microsoft-Technologien
Windows Server 2003 bietet integrierte Unterstützung für eine Vielzahl von Autorisierungsmethoden. Microsoft bietet u. a. die folgenden Autorisierungstechnologien und unterstützenden Komponenten an:
Zugriffssteuerungslisten (ACL)
Rollengestützte Zugriffssteuerung über den Windows-Autorisierungs-Manager
IIS 6.0 URL-Autorisierung
ASP.NET-Autorisierung
Weitere Informationen zu den Autorisierungstechnologien von Microsoft finden Sie im Abschnitt „Autorisierung“ in Kapitel 6, „Zugriffsverwaltung“, in diesem Dokument.
Vertrauensstellung
Das Konzept der Vertrauensstellung gewinnt durch die zunehmende gemeinsame Nutzung von Ressourcen mit Geschäftspartnern an Bedeutung. Zur Unterstützung des erforderlichen Datenaustausches müssen IT-Systeme die Fähigkeit besitzen, eine Vertrauensstellung zwischen unabhängig verwalteten Systemen herzustellen. Vertrauensstellungen ermöglichen mit geringerem Verwaltungsoverhead die sichere Authentifizierung und Autorisierung von digitalen Identitäten zwischen autonomen Informationssystemen.
Die Mechanismen der Vertrauensstellung sind kompliziert, da zum Gewährleisten brauchbarer Authentifizierungs- und Autorisierungsprozesse viele Arbeitsschritte zwischen unabhängigen Organisationen durchgeführt müssen. Die vertrauende Organisation benötigt einen sicheren Mechanismus für die Kommunikation mit der vertrauten Organisation. Nachdem die vertrauende Organisation die fremde digitale Identität authentifiziert hat, muss sie die Berechtigungsinformationen zu diesem fremden Konto in den Autorisierungsprozess der vertrauenden Organisation integrieren.
Zusammenschluss
Ein Zusammenschluss ist ein spezieller außerhalb der Grenzen von internen Netzwerken zwischen unterschiedlichen Organisationen hergestellter Vertrauensstellungstyp. Zusammenschlüsse ermöglichen basierend auf dem Prinzip der Vertrauensstellung die sichere Authentifizierung und Autorisierung von digitalen Identitäten zwischen autonomen Informationssystemen. Ein Benutzer aus Firma A kann z. B. in Firma B verfügbare Informationen verwenden, wenn eine entsprechende Vertrauensstellung zwischen den beiden Firmen besteht.
Hinweis Ein Zusammenschluss beinhaltet die Implementierung von neuen Spezifikationen, wie z. B. der so genannten WS-Federation. Dies ist eine Initiative von Microsoft und IBM zum Standardisieren der Art und Weise, wie Firmen Benutzer- und Computeridentitäten zwischen verschiedenen Authentifizierungs- und Autorisierungssystemen außerhalb der Organisationsgrenzen gemeinsam nutzen. Weitere Informationen zur WS-Federation finden Sie unter Web Services Federation Language(in englischer Sprache).
Der Zusammenschluss ist ein Versuch, die Notwendigkeit der dezentralen Verwaltung von Konten zu beseitigen. Bei einem Zusammenschluss kann sich ein Benutzer aus einer Organisation unter Verwendung seines normalen Netzwerkkontos direkt bei einer von einer anderen Organisation verwalteten Ressource authentifizieren. Dieses Konzept ist weit verbreitet, da es die Verwaltung vieler unterschiedlicher Konten überflüssig machen (oder zumindest vereinfachen) kann.
Stellen Sie sich eine Organisation vor, die mit 100 unterschiedlichen Partnern zusammenarbeitet bzw. Geschäfte tätigt. Die Alternative zu einem Zusammenschluss wäre die Verwendung einer delegierten Verwaltungsschnittstelle, über die Konten in 100 unterschiedlichen Partnerextranets verwaltet werden. Dieses Beispiel zeigt deutlich, dass sich Techniken wie die delegierte Verwaltung nicht ausreichend für Geschäftsumgebungen mit zahlreichen Verbindungen skalieren lassen. Die Möglichkeit der zuverlässigen und sicheren Authentifizierung und Autorisierung in einem Zusammenschluss ist für eine Erweiterung der Geschäftsmöglichkeiten maßgeblich.
Vertrauensstellung und Zusammenschluss in Microsoft-Technologien
Microsoft Windows bietet durch die folgenden Technologien Unterstützung für Vertrauensstellungen und Zusammenschlüsse:
Externe Vertrauensstellungen in Windows NT 4.0 und Windows 2000 Server
Gesamtstrukturübergreifende Vertrauensstellungen in Windows Server 2003
Authentifizierungsprotokoll Kerberos Version 5
Schattenkonten
PKI-Vertrauensstellungen
Active Directory Federation Service (ADFS) in Windows Server 2003 R2.
Sicherheitsüberwachung
Die Überwachung ermöglicht das Verfolgen von Zugriffsverwaltungsereignissen und Änderungen an Verzeichnisobjekten. Die Sicherheitsüberwachung wird normalerweise zum Überwachen von Problemen und Sicherheitsverletzungen verwendet.
Sicherheitsüberwachung in Microsoft-Technologien
Microsoft Windows bietet ein Sicherheitsereignisprotokoll zum Aufzeichnen interessanter Sicherheitsereignisse, z. B.:
Authentifizierungsereignisse
Autorisierungsereignisse
Änderungen an Verzeichnisobjekten
Microsoft Operations Manager (MOM) 2005 SP1 kann die Ereignisprotokolle in einer Umgebung konsolidieren und nützliche Überwachungsberichte erstellen.
Anwendungen
Allgemeine Geschäftsanwendungen sind die wichtigsten Verbraucher von Identitäts- und Zugriffsinformationen. Dementsprechend sollten sie in die Identitäts- und Zugriffsverwaltungsplattform integriert werden. Anwendungen werden meistens über APIs in die Authentifizierungs- und Autorisierungskomponenten der Umgebung eingebunden. Nicht integrierbare Anwendungen steigern die Komplexität der Umgebung, erhöhen die Verwaltungskosten und schaffen häufig neue Angriffsflächen, die wiederum Sicherheitslücken verursachen können.
Integrieren von Anwendungen
Die Integration von Anwendungen kann recht aufwändig sein, bietet jedoch in der Regel eine hohe Investitionsrendite (ROI). Eine Anwendung mit einem eigenen Authentifizierungssystem kann nur vollständig in den Authentifizierungsprozess integriert werden, indem sie für die Zusammenarbeit mit der Plattform neu entworfen wird. Zum Gewährleisten der Anwendungskompatibilität mit der Identitäts- und Zugriffsverwaltungsumgebung muss die SDLC-Methode (Software Development Life Cycle) durch eindeutige Standards festlegen, wie Anwendungen die Authentifizierungs- und Autorisierungsfunktion der Standardplattform verwenden müssen.
Weitere Informationen zur Anwendungsintegration mit Technologien von Microsoft finden Sie in Kapitel 7, „Anwendungen“, in diesem Dokument.
Zusammenfassung
Die folgende Abbildung zeigt alle Prozesse und Dienste im Microsoft Identity and Access Management-Framework.
.gif "Abbildung 3.2 Prozesse und Dienste im Microsoft Identity and Access Management-Framework")
Abbildung 3.2 Prozesse und Dienste im Microsoft Identity and Access Management-Framework
In diesem Beitrag
- Kapitel 1: Einführung
- Kapitel 2: Terminologie und Initiativen
- Kapitel 3: Microsoft-Technologien zur Identitäts- und Zugriffsverwaltung
- Kapitel 4: Verzeichnisdienste
- Kapitel 5: Verwaltung des Identitätslebenszyklus
- Kapitel 6: Zugriffsverwaltung
- Kapitel 7: Anwendungen
- Links
- Danksagung
Download
Laden Sie die vollständige Serie in englischer Sprache herunter.
Update Notifications
Feedback
Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).
.gif "Dd443690.pageLeft(de-de,TechNet.10).gif") 3 von 9 .gif "Dd443690.pageRight(de-de,TechNet.10).gif") |