Sichere und komfortable Geschäftstätigkeit mit WebAccess
Christian Koch – secaron AG
Der Informationsaustausch und die Kommunikation von Firmen mit Kunden, Geschäftspartnern und Mitarbeitern wird heutzutage in zunehmendem Maße über Internet, Extranet und Intranet abgewickelt. Dabei kommen meist heterogene technische Plattformen, d. h. die unterschiedlichsten Web- bzw. Applikationsserver auch innerhalb einer Firmeninfrastruktur, zum Einsatz. Eine verlässliche Absicherung der Applikationen und komfortable und integrierte Administration der Benutzer und Benutzergruppen für die einzelnen Anwendungen ist geschäftskritisch. Mitarbeiter und Partnerunternehmen dürfen natürlich nur auf Daten mit spezifischen Berechtigungen zugreifen. Die schnelle Einrichtung von Benutzern und Berechtigungen ist ein entscheidendes Kriterium für die Akzeptanz bei den Benutzern und nicht zuletzt für die Betriebskosten der gesamten Lösung.
Diese Art der Absicherung geht über den Grundschutz, der heute Standard ist und zu dem z. B. Firewalls und Intrustion Detection Systeme zählen, hinaus. Gerade bei der Verwendung von Extranet-Umgebungen ist die Zugriffskontrolle nicht zu unterschätzen, da hierbei den Geschäftspartnern meist die Möglichkeit geboten wird auf sensible Daten des internen Netzes zuzugreifen. Der Missbrauch dieser Schnittstelle kann für das Unternehmen großen Schaden bedeuten.
Bei der Konzeption einer Access-Lösung für ein Webangebot stellt sich schnell die Frage: Wie kann Authentifizierung und Autorisierung kostengünstig, sicher und skalierbar realisiert werden? Da die Benutzer der Anwendungen meist schon bekannt und in einem System erfasst sind, vereinfacht die Nutzung bestehender Datenquellen (z. B. LDAP, Datenbanken) die spätere Inbetriebnahme der WebAccess-Lösung. Durch eine komfortable Management-Software mit integrierter Benutzerverwaltung soll der Return of Investment durch geringe Betriebskosten schnell erreicht werden.
Für die eigentliche Authentifizierung der Benutzer stehen heutzutage drei grundlegende Verfahren zur Verfügung: Die Nutzung von Benutzernamen und Passwort ist am weitesten verbreitet. Das Passwort kann hierbei in der Datenbank bzw. im LDAP-Verzeichnis hinterlegt sein oder wird als Einmalpasswort berechnet. Die zweite Variante ist die Verwendung von Zertifikaten für die Authentifizierung der Benutzer. Anwendung finden Zertifikate z. B. bei SSL-Client-Authentifizierung. Die Zertifikate selbst können beim Anwender als Softtoken oder auf SmartCard bzw. USB-Token vorliegen. Im Vergleich zu statischen Passwörtern sind Zertifikate als eine der sichersten Methoden zur Authentifizierung einzustufen. Sie bieten durch Ihre mittlerweile weitverbreitete Unterstützung in Standardkomponenten, wie z. B. Web- und Applikationsservern, auch die Möglichkeit zum sicheren und komfortablen Single-Sign-On. Eine weitere Art der Authentifizierung, die allerdings eher selten verwendet wird, ist die Nutzung von Challenge-Response-Verfahren.
Ähnlich der Authentifizierung gibt es auch für die Autorisierung verschiedene Methoden. Die Möglichkeiten des Zugriffschutzes sind dabei sehr weitreichend. Das Portfolio der Hersteller reicht vom Schutz auf Verzeichnis- und Dateiebene des Webservers bis hin zum Schutz einzelner Geschäftsobjekte (z. B. Enterprise Java Beans, COM-Objekte) oder sogar deren Methoden auf dem Applikationsserver.
Als Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen den einzelnen Systemen bildet sich zurzeit SAML (Security Assertion Markup Language) heraus.
Auf dem Markt werden derzeit sehr viele Produkte für WebAccess angeboten. Viele dieser Programme bieten auch Funktionen aus dem Bereich E-Provisioning an. Die grundsätzliche Architektur dieser Systeme ist bei allen Herstellern ähnlich. Über PlugIns klinken sich die Tools in die gängigen Web- bzw. Applikationsserver ein. Das Herz des Gesamtsystems ist eine Art Policy Server, der die Verbindung zwischen Server-PlugIn und Authentifizierungs- bzw. Autorisierungsdaten herstellt. Auf dem Policy Server erfolgt auch die gesamte Administration. Bei großen Umgebungen ist in diesem Zusammenhang die Delegation der Administration für bestimmte Anwendungen bzw. Nutzergruppen, z. B. an Partner, vorteilhaft.
Alle Produkthersteller von WebAccess-Systemen werben mit Single-Sign-On. Dahinter verbirgt sich die einmalige Anmeldung am Gesamtsystem und dem damit verbundenen Zugriff auf alle Ressourcen. Um den Komfort für die Benutzer von komplexen und dezentralen Systemen zu vereinfachen ist dieses Feature empfehlenswert.
Vor der Auswahl eines Produktes ist eine Bestandsaufnahme sämtlicher zu integrierender Applikationen und die Erstellung eines umfassenden und konsistenten Benutzer- und Benutzergruppenkonzeptes unabdingbar. Auf dieser Basis kann eine Evaluierung der Produkte erfolgen und nach Auswahl schließlich eine erfolgreiche und zeitnahe Implementation einer passenden WebAccess-Lösung aufgesetzt werden.
Christian Koch ist Consultant bei der Secaron AG. Die Secaron AG - www.secaron.com - bietet umfassende IT-Sicherheitslösungen in Umgebungen mit höchsten Sicherheitsforderungen an. Das Portfolio reicht von der “sicheren Netzkonfiguration in komplexen und globalen Unternehmensstrukturen” bis zur “Konzeption und Implementierung von PKI”.
Kontaktadresse:
Secaron AG
Sabine Ziegler
Ludwigstr. 55 85399 Hallbergmoos
Telefon 0811-9594 140 Telefax 0811-9594 220
Email: ziegler@secaron.de
www.secaron.de
Christian Koch – secaron AG
Der Informationsaustausch und die Kommunikation von Firmen mit Kunden, Geschäftspartnern und Mitarbeitern wird heutzutage in zunehmendem Maße über Internet, Extranet und Intranet abgewickelt. Dabei kommen meist heterogene technische Plattformen, d. h. die unterschiedlichsten Web- bzw. Applikationsserver auch innerhalb einer Firmeninfrastruktur, zum Einsatz. Eine verlässliche Absicherung der Applikationen und komfortable und integrierte Administration der Benutzer und Benutzergruppen für die einzelnen Anwendungen ist geschäftskritisch. Mitarbeiter und Partnerunternehmen dürfen natürlich nur auf Daten mit spezifischen Berechtigungen zugreifen. Die schnelle Einrichtung von Benutzern und Berechtigungen ist ein entscheidendes Kriterium für die Akzeptanz bei den Benutzern und nicht zuletzt für die Betriebskosten der gesamten Lösung.
Diese Art der Absicherung geht über den Grundschutz, der heute Standard ist und zu dem z. B. Firewalls und Intrustion Detection Systeme zählen, hinaus. Gerade bei der Verwendung von Extranet-Umgebungen ist die Zugriffskontrolle nicht zu unterschätzen, da hierbei den Geschäftspartnern meist die Möglichkeit geboten wird auf sensible Daten des internen Netzes zuzugreifen. Der Missbrauch dieser Schnittstelle kann für das Unternehmen großen Schaden bedeuten.
Bei der Konzeption einer Access-Lösung für ein Webangebot stellt sich schnell die Frage: Wie kann Authentifizierung und Autorisierung kostengünstig, sicher und skalierbar realisiert werden? Da die Benutzer der Anwendungen meist schon bekannt und in einem System erfasst sind, vereinfacht die Nutzung bestehender Datenquellen (z. B. LDAP, Datenbanken) die spätere Inbetriebnahme der WebAccess-Lösung. Durch eine komfortable Management-Software mit integrierter Benutzerverwaltung soll der Return of Investment durch geringe Betriebskosten schnell erreicht werden.
Für die eigentliche Authentifizierung der Benutzer stehen heutzutage drei grundlegende Verfahren zur Verfügung: Die Nutzung von Benutzernamen und Passwort ist am weitesten verbreitet. Das Passwort kann hierbei in der Datenbank bzw. im LDAP-Verzeichnis hinterlegt sein oder wird als Einmalpasswort berechnet. Die zweite Variante ist die Verwendung von Zertifikaten für die Authentifizierung der Benutzer. Anwendung finden Zertifikate z. B. bei SSL-Client-Authentifizierung. Die Zertifikate selbst können beim Anwender als Softtoken oder auf SmartCard bzw. USB-Token vorliegen. Im Vergleich zu statischen Passwörtern sind Zertifikate als eine der sichersten Methoden zur Authentifizierung einzustufen. Sie bieten durch Ihre mittlerweile weitverbreitete Unterstützung in Standardkomponenten, wie z. B. Web- und Applikationsservern, auch die Möglichkeit zum sicheren und komfortablen Single-Sign-On. Eine weitere Art der Authentifizierung, die allerdings eher selten verwendet wird, ist die Nutzung von Challenge-Response-Verfahren.
Ähnlich der Authentifizierung gibt es auch für die Autorisierung verschiedene Methoden. Die Möglichkeiten des Zugriffschutzes sind dabei sehr weitreichend. Das Portfolio der Hersteller reicht vom Schutz auf Verzeichnis- und Dateiebene des Webservers bis hin zum Schutz einzelner Geschäftsobjekte (z. B. Enterprise Java Beans, COM-Objekte) oder sogar deren Methoden auf dem Applikationsserver.
Als Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen den einzelnen Systemen bildet sich zurzeit SAML (Security Assertion Markup Language) heraus.
Auf dem Markt werden derzeit sehr viele Produkte für WebAccess angeboten. Viele dieser Programme bieten auch Funktionen aus dem Bereich E-Provisioning an. Die grundsätzliche Architektur dieser Systeme ist bei allen Herstellern ähnlich. Über PlugIns klinken sich die Tools in die gängigen Web- bzw. Applikationsserver ein. Das Herz des Gesamtsystems ist eine Art Policy Server, der die Verbindung zwischen Server-PlugIn und Authentifizierungs- bzw. Autorisierungsdaten herstellt. Auf dem Policy Server erfolgt auch die gesamte Administration. Bei großen Umgebungen ist in diesem Zusammenhang die Delegation der Administration für bestimmte Anwendungen bzw. Nutzergruppen, z. B. an Partner, vorteilhaft.
Alle Produkthersteller von WebAccess-Systemen werben mit Single-Sign-On. Dahinter verbirgt sich die einmalige Anmeldung am Gesamtsystem und dem damit verbundenen Zugriff auf alle Ressourcen. Um den Komfort für die Benutzer von komplexen und dezentralen Systemen zu vereinfachen ist dieses Feature empfehlenswert.
Vor der Auswahl eines Produktes ist eine Bestandsaufnahme sämtlicher zu integrierender Applikationen und die Erstellung eines umfassenden und konsistenten Benutzer- und Benutzergruppenkonzeptes unabdingbar. Auf dieser Basis kann eine Evaluierung der Produkte erfolgen und nach Auswahl schließlich eine erfolgreiche und zeitnahe Implementation einer passenden WebAccess-Lösung aufgesetzt werden.
Christian Koch ist Consultant bei der Secaron AG. Die Secaron AG - www.secaron.com - bietet umfassende IT-Sicherheitslösungen in Umgebungen mit höchsten Sicherheitsforderungen an. Das Portfolio reicht von der “sicheren Netzkonfiguration in komplexen und globalen Unternehmensstrukturen” bis zur “Konzeption und Implementierung von PKI”.
Kontaktadresse:
Secaron AG
Sabine Ziegler
Ludwigstr. 55 85399 Hallbergmoos
Telefon 0811-9594 140 Telefax 0811-9594 220
Email: ziegler@secaron.de
www.secaron.de
