Auf dieser Webseite werden viele Fachbegriffe und Abkürzungen verwendet. Das lässt sich aufgrund der hochspezialisierten Arbeit von DAASI International leider nicht vermeiden.
Damit Sie nicht jeden Begriff auf externen Seiten nachschlagen müssen, finden Sie hier ein Lexikon mit allen nötigen Begriffen und Informationen, die Sie tiefer in die Arbeitsgebiete von DAASI International einführen.
AAI steht für Authentication and Authorization Infrastructure. Eine AAI erlaubt den organisationsübergreifenden Zugriff auf digitale Ressourcen. Die Nutzer der Organisationen, die einer AAI angehören, können sich dabei mit dem Account ihrer Heimatorganisation in der AAI anmelden und – je nach Berechtigung – auf die entsprechenden Ressourcen innerhalb der gesamten Föderation zugreifen.
AAIs sind entscheidend für die Zusammenarbeit von Föderationen, bspw. im Hochschul- und Forschungsbereich. Die AAI aller Hochschuleinrichtungen in Deutschland ist die DFN-AAI.
Die am häufigsten verwendete Software im Zusammenhang mit AAI ist Shibboleth, eine Implementierung des SAML-Standards.
Das Deutsche Forschungsnetz ist ein Kommunikationsnetz für die Wissenschaft und Forschung in Deutschland und verbindet deutsche Hochschulen und Forschungseinrichtungen mit dem Internet, indem es die notwendige Grundlage hierfür schafft. Das DFN ist in den europäischen und weltweiten Verbund der Forschungs- und Wissenschaftsnetze eingebunden und vertritt die deutschen Hochschulen in den entsprechenden Europäischen Initiativen und Einrichtungen, insbesondere GÉANT.
Der unabhängige, gemeinnützige DFN-Verein (Verein zur Förderung eines deutschen Forschungsnetzes) administriert das Deutsche Forschungsnetz und gewährleistet dessen Weiterentwicklung und Nutzung. Außerdem bietet er den Mitgliedseinrichtungen zusätzlich zur Internet-Connectivity zahlreiche Mehrwertdienste, wie z.B. die DFN-PKI, Sicherheits- und Rechtsberatung, die DFN-AAI etc.
Hier finden Sie einen Überblick über die DFN-Mehrwertdienste.
Digital Humanities, auch als eHumanities bezeichnet, umschreibt den Einsatz digitaler Methoden in den Geistes- und Kulturwissenschaften.
Der Pionier Pater Roberto Busa fing bereits 1949 an, IBM-Großrechner für die Erstellung eines Wort-Index der Werke von Thomas von Aquin einzusetzen, und kann somit als Begründer der computergestützten Philologie und der Digital Humanities angesehen werden.
Seitdem haben sehr viele geistes- und kulturwissenschaftliche Disziplinen Erkenntnisgewinn durch computergestützte Verfahren und die systematische Verwendung von digitalen Ressourcen im Rahmen von sog. virtuellen Forschungsumgebungen erzielt. In Anlehnung an den in den Naturwissenschaften eingebürgerten Begriff eScience setzte sich hierfür der Begriff eHumanities (also eGeisteswissenschaften) durch, wobei e für enabling, Ermöglichung steht. Mittlerweile ist jedoch der Begriff Digital Humanities geläufiger.
Wichtige Projekte im Bereich Digital Humanities sind:
DSML (Directory Service Markup Language) ermöglicht den Austausch von Verzeichnisdaten über XML und ist somit im Grunde genommen eine XML-Version des LDIF-Formats.
FIDO2 ist ein Standard für Authentifizierung im Web, der aus einer Kooperation der FIDO-Allianz und W3C entstanden ist.Dieser setzt sich wiederum aus den Standards CTAP, früher U2F, und WebAuthn zusammen. Die Abkürzung FIDO steht für Fast Identity Online. Ursprünglich wurde FIDO v.1.0 Ende 2014 als Netzwerkprotokoll für den bereits erwähnten U2F, also Universal Second Factor, veröffentlicht.
Mit FIDO2 kann passwortgestützte Authentifizierung um einen weiteren Faktor ergänzt oder das Passwort sogar gänzlich ersetzt werden. Üblicherweise wird dabei ein Hardware-Token (etwa Yubikey oder Nitrokey) eingesetzt. Es genügt das Token nach Aufforderung durch den Webservice anzutippen, um damit physisch die eigene Identität nachzuweisen. Als Alternative zum physischen Token besteht auch die Möglichkeit, die in Smartphone oder Laptop ohnehin eingebauten Sicherheitsfeatures für die FIDO-basierte Authentifizierung zu nutzen. So können auch biometrische Daten über den Fingerabdruck-Scan oder die Gesichtserkennung als ergänzende Faktoren bzw. als Passwortalternative genutzt werden.
Das Verfahren hinter FIDO2 basiert auf den Grundlagen der asymmetrischen Verschlüsselung. Es muss dabei zwischen zwei Schritten unterschieden werden. Zunächst wird im Rahmen des „Enrolment“-Prozesses ein solches Token mit dem Server verbunden, so dass dieses in Zukunft zur Authentifizierung verwendet werden kann. Dieser Prozess wird vom Server mit einem einmalig gültigen Challenge-Key ein-und über den Client (üblicherweise im Web-Browser) an das Token weitergeleitet. Dieses generiert einen öffentlichen und einen privaten Schlüssel, wobei nur Ersterer an den Server zurückgeschickt wird.
Für den Prozess der Authentifizierung schickt der Server dann wiederum einen einmalig gültigen Challenge-Key, welcher vom Token mit dem beim Enrolment generierten privaten Schlüssel kryptographisch signiert wird. Der Server kann diese Signatur dann mit dem hinterlegten öffentlichen Schlüssel validieren.
Ähnlich einer politischen Föderation von unabhängigen Staaten ist eine Föderation in der EDV ein Zusammenschluss von Organisationen zu einer größeren Infrastruktur auf IT-Ebene. Merkmale einer Föderation (englisch: Federation) in diesem Sinne sind:
Es handelt sich also im Wesentlichen um einen Vertrauensbund. Im engeren Sinne des Begriffs (auch Federated Identity Management genannt) bezieht sich ein solcher Vertrauensverbund auf eine organisationsübergreifende Authentifizierungs- und Autorisierungsinfrastruktur (AAI). Eine solche AAI ermöglicht den Zugriff auf Dienste, die von verschiedenen Organisationen angeboten werden, ohne dass der Benutzer bei diesen Organisationen einen Account benötigt. Man authentifiziert sich immer bei der eigenen Heimatorganisation; der Service-Provider wird über Zugriffe entsprechend informiert, die unter anderem mithilfe von SAML standardisiert wurden. In Deutschland ist die größte AAI-Föderation der nationale Forschungsverbund DFN-AAI.
Grid-Computing (Netz-/Gitterverarbeitung) ist eine Form der verteilten, dezentralen Datenverarbeitung. Hierzu wird aus mehreren Computern eine Art virtueller Supercomputer erzeugt, der aufgrund der kombinierten Rechenleistung komplexe Berechnungen und Operationen schneller und effizienter durchführen kann als ein einzelner Hochleistungsrechner. Im Unterschied zum prinzipiell ähnlich funktionierenden Cluster-Computing können die einzelnen Computer des Grids geografisch beliebig verteilt sein und sind nur lose miteinander verknüpft. Dementsprechend bietet das Grid eine verlässliche Hardware- und Software-Infrastruktur zur Durchführung von Hochleistungsrechenoperationen und ist dabei einfach und beliebig skalierbar. Weitere Vorteile des Grid-Computings gegenüber konventionellem Cluster-Computing sind die verwendeten offenen, standardisierten Protokolle und Schnittstellen sowie die Tatsache, dass ein Grid aus Standardcomputern gebildet werden kann, die erheblich kostengünstiger sind als Multiprozessor-Supercomputer. Damit ist Grid im Grunde der Vorgänger zum heute allgegenwärtigen Cloud-Computing.
Grids kombinieren Ressourcen, die keiner zentralen Instanz untergeordnet sind, werden also domänen-, organisations- oder länderübergreifend gebildet. Die so entstehenden Zusammenschlüsse werden von sog. Virtuellen Organisationen (VOs) genutzt.
Unter einer Virtuellen Organisation wird ein permanentes oder zeitlich begrenztes Konsortium geographisch verteilter Individuen, Gruppen, Organisationseinheiten oder ganzer Organisationen verstanden, die Teile ihrer physischen oder logischen Ressourcen und Dienste, ihre Kenntnisse und Fähigkeiten sowie Teile ihrer Informationsbasis derart zusammenlegen, dass die gemeinsamen Ziele erreicht werden können (vgl. I. Foster, C. Kesselman, and S. Tuecke, “The anatomy of the grid: Enabling scalable virtual organizations,” International Journal of High Performance Computing Applications, vol. 15, no. 3, pp. 200–222, Aug. 2001).
Die vom Bundesministerium für Bildung und Forschung geförderte D-Grid-Initiative ist die nationale Grid-Initiative Deutschlands, die im Rahmen von zahlreichen Projekten eine nachhaltige Grid-Computing-Infrastruktur für Forschung und Entwicklung sowohl im akademischen als auch im industriellen Bereich in Deutschland aufbauen wollte. Das Projekt TextGrid wurde als einziges geisteswissenschaftliches Projekt im Rahmen der D-Grid-Initiative gefördert und war das nachhaltigste Projekt dieser Initiative, da es Teil von DARIAH-DE und CLARIAH-DE wurde.
Identity Management (IdM) bezieht sich auf die Anwendung von IT-Technologien, um Informationen über die Identität von Nutzern zu verwalten und den Zugang zu Ressourcen (z.B. interne Dienste von Firmen oder Organisationen) kontrollieren zu können. Ziel des Identity Managements ist es, Produktivität und Sicherheit zu erhöhen und zugleich die Kosten für die Verwaltung von Nutzern und deren Identitäten, Attributen und Berechtigungen zu senken (vgl. Spencer C. Lee: „An Introduction to Identity Management“).
Ein Großteil des Verwaltungsaufwandes bei konventionellem Nutzermanagement in Firmen oder Organisationen entsteht, weil die Benutzer in verschiedenen Datenbanken und / oder Organisationsbereichen jeweils separat verwaltet werden. So besitzt ein Student einer Hochschule beispielsweise oft einen Account für den Login im Computerpool und einen zweiten Account für die Nutzung der Bibliothek. Auch der Bedarf vergessene Passwörter ständig mehrfach zurückzusetzen trägt zu der Arbeitslast bei. In größeren Organisationen kann eine solche redundante Mehrfachadministration schnell zu einem nur noch schwer überschaubaren Verwaltungsaufwand anwachsen (Abbildung 1 zeigt ein entsprechendes Beispiel aus einer exemplarischen Organisation).
Abbildung 1:
Redundante Verwaltungsstrukturen bringen einen erhöhten Arbeitsaufwand und inkonsistente Daten mit sich. Aber auch der Benutzer hat mehr Aufwand: Für jeden einzelnen Dienst muss er einen Account beantragen und sich das jeweilige Passwort merken. Bei Datenänderungen (z.B. Namenswechsel durch Heirat oder Adressenänderung durch Umzug) müssen alle Datenadministratoren einzeln benachrichtigt werden, was natürlich oft nicht geschieht. Beendet ein Mitarbeiter sein Beschäftigungsverhältnis, müssen in allen Datenbanken die Daten gelöscht oder gesperrt werden. Hierzu muss der Benutzer häufig einen sehr langen sogenannten Laufzettel abarbeiten.
Nimmt an einer Hochschule z.B. ein Student eine Stelle als wissenschaftliche Hilfskraft an, muss er zusätzlich zur Studentenverwaltung in der Mitarbeiterverwaltung angelegt und separat geführt werden und erhält dort einen weiteren Account. Kein System erkennt, dass es sich hierbei um die gleiche Person handelt.
Abbildung 2:
Durch die im Identity Management verwendeten Technologien werden die einzelnen Systeme an einen zentralen Datenstamm angebunden. Als so ein zentraler Datenstamm kann ein mit Verzeichnisdiensttechnologien (z.B. OpenLDAP) implementiertes sog. Metadirectory dienen. Hierdurch werden die Redundanzen aufgehoben und damit auch Arbeitsaufwände minimiert (vgl. Abbildung 2): Die Daten werden von als autoritativ festgelegten Quelldatenbanken in das Metadirectory synchronisiert und von diesem auf die Datenbanken der einzelnen Anwendungen provisioniert (orangene, gestrichelte Pfeile).
Änderungen am Datenbestand werden dann nur noch in den Quelldatenbanken vorgenommen. Bestimmte accountbezogene Daten, wie Passwörter, Login-Name Daten, Attribute und Heimatverzeichnis sowie zugewiesener Festplattenspeicherplatz, können auch direkt im Metadirectory verwaltet werden. Insgesamt wird durch ein solches IdM gewährleistet, dass alle Anwendungen immer mit aktuellen Daten arbeiten können und zusätzlich der Aufwand für den Nutzer erheblich reduziert wird: Er muss nur noch mit den Administratoren der für ihn zuständigen Quellsysteme in Kontakt treten (in unserem Beispiel entweder die Mitarbeiterverwaltung oder über den Self-Service-Desk, orangene Pfeile). Auch für die Administration wird der Aufwand erheblich reduziert: Die Daten müssen nur noch an einer Stelle eingegeben und gepflegt werden, die Benutzer haben jeweils nur noch ein einziges Passwort für alle Anwendungen (sog. Unified Login), vergessen so das Passwort seltener und der Helpdesk muss seltener das Passwort zurücksetzen.
Mithilfe von moderner Access Management Technologien, wie SAML oder OIDC, kann man zusätzlich sog. Single Sign-On (SSO) realisieren, sodass sich der Benutzer nur einmal am Tag authentifizieren muss und danach für alle an das System angeschlossenen Systeme authentifiziert ist.
Neben Verzeichnisdiensten kommen im Identity Management diverse andere Technologien zur Anwendung, z.B. PKI-basiertes SSL und TLS zur Kommunikationssicherung zwischen den einzelnen Komponenten, RBAC oder XACML für eine effiziente Verwaltung von Zugriffsberechtigungen, Kerberos, SAML (z.B. Shibboleth) und OIDC für Single-Sign-On-Funktionalität, oder SPML zur Provisionierung von Zielsystemen, z.B. Verzeichnisse, Datenbanken und Anwendungen.
Eine Weiterführung des Identity Managements ist das Federated Identity Management (FIdM), welches über die Grenzen des IdM einzelner Organisationen hinausgeht: Hierbei schließen sich mehrere Organisationen zu sog. Föderationen zusammen, um ihre Dienste und Anwendungen ihren Benutzern gegenseitig zur Verfügung zu stellen. Hierfür werden prinzipiell dieselben Technologien verwendet. Wichtig in diesem Zusammenhang ist insbesondere der SAML-Standard bzw. dessen Implementierungen Shibboleth oder simpleSAMLphp.
Weiterführende Informationen:
Spencer C. Lee: An Introduction to Identity Management (PDF)
Peter Gietz: Identity Management an deutschen Hochschulen (PDF)
Kerberos bezeichnet in der IT ein Authentifizierungsprotokoll für öffentliche Computer-Netzwerke. Kerberos arbeitet auf Ticket-Basis und schafft so sichere Authentifizierungsmöglichkeiten innerhalb des Netzwerks und unterstützt somit Single Sign-On. Es ist u.a. eine essentielle Technologie im Microsoft Active Directory.
LDAP steht für Lightweight Directory Access Protocol und ist die Nachfolgetechnologie von X.500. Es handelt sich wie z.B. HTTP um ein von der IETF standardisiertes Netzwerkprotokoll für den Zugriff auf Verzeichnisdienste, einschließlich Authentifizierungsoperationen (vgl. RFC 4510-4519). Das dazugehörige hierarchische Datenmodell und häufig gebrauchte Schemata werden ebenfalls im LDAP-Standard spezifiziert. LDAP hat sich insbesondere im Identity Management und für die Implementierung von Authentifizierungsdiensten etabliert. Mit LDAP können aufgrund des flexibel erweiterbaren Datenmodells auch beliebige andere Daten im Netz verwaltet werden.
Die Multi-Faktor-Authentisierung (MFA) ist ein Sicherheitsmechanismus, der den Zugriff auf digitale Systeme, Dienste oder Daten durch die Verwendung mehrerer Authentifizierungsmethoden absichert. Im Gegensatz zum herkömmlichen Standard-Authentisierungsprozess, bei dem lediglich ein Faktor abgefragt wird (in der Regel ein Passwort), verlangt die MFA mindestens zwei oder mehr der folgenden Faktoren:
Weil potenzielle Angreifer*innen nicht nur das Passwort der Benutzerin kennen müssten, sondern auch physischen Zugriff auf den Besitzfaktor haben und/oder ihre biometrische Merkmale replizieren müssten, erhöht MFA die Sicherheit vor unbefugten Zugriffen Dritter erheblich. Die MFA wird insbesondere dort eingesetzt, wo es um besonders sensible Daten geht, etwa beim Online-Banking, Online-Trading oder bei eGovernment. Weil Angriffe, etwa über Ransomware immer häufiger werden, wird MFA zunehmend zur Prävention eingeführt und auch für immer mehr Anwendungen gefordert.
Eine gute Open-Source-Implementierung von MFA ist eduMFA.
OAuth2 löst das mit Sicherheitsmängeln behaftete OAuth 1.0 ab. Das offene Protokoll wird zur Autorisierung von Ressourcen im Web verwendet und basiert auf etablierten Standards wie HTTP, TLS und JSON. Clients müssen nicht mehr die vertraulichen Daten von Benutzern vorhalten, sondern bekommen vom Authorization Server (AS) der Ressource ein Access-Token, welches sie bei der Ressource vorzeigen, um an die Inhalte zu kommen.
Das Access Token ist zeitlich befristet gültig. Üblicherweise stellt der AS das Access Token zusammen mit einem Refresh Token aus. Endet die Gültigkeit eines Access Tokens, kann mittels des Refresh Tokens ein weiteres Access Token vom AS erlangt werden.
Es sind verschiedene Abläufe vorgesehen:
In jedem Fall (außer Client Credentials) erfolgt eine Bestätigung durch den Benutzer, dass der Client autorisiert ist, auf den Service zuzugreifen.
Für die Authentifizierung, d.h. die Feststellung der Identität des Benutzers, wird auf externe Mechanismen verwiesen. Eine mögliche Variante solcher Tokens sind Bearer Tokens: Derjenige, der das Token besitzt, hat alle Rechte daran und muss sich nicht über bestimmte Merkmale, wie z.B. Serverzertifikate, ausweisen.
Bearer Tokens sind die häufigste Token-Form. Besonders hervorzuheben ist hierbei der Einsatz von OpenID Connect, welches direkt aufbauend auf die OAuth2-Spezifikation entwickelt wurde. Andere Methoden, etwa SAML-Assertions, sind ebenso möglich.
Schon seit einer Weile setzten eine Reihe großer Service-Anbieter das Protokoll ein, z.B. Facebook, Google, GitHub, Microsoft, bitly u.a.
Weitere Informationen:
Open-Source-Software ist Software, deren Quelltext (Programmcode) öffentlich zugänglich ist. Open-Source-Software hat gegenüber kommerziellen Produkten einige entscheidende Vorteile:
Deshalb ist Open-Source-Software sicherer, leistungsfähiger und flexibler als proprietäre „Closed-Source“-Software, deren Weiterentwicklung in den Händen eines einzelnen Unternehmens liegt – das in erster Linie eigene, kommerzielle Interessen verfolgt.
Open-Source-Software im engeren Sinne muss unter einer von der Open Source Initiative (OSI)™ anerkannten Lizenz veröffentlicht sein. Die Kriterien der OSI orientieren sich an einer Open-Source-Definition, die weit über die Verfügbarkeit des Quelltexts hinausgeht.
Eine grundlegende Unterscheidung von Open-Source-Lizenzen ist, ob ein viraler Effekt (auch Copyleft genannt) bezüglich der Offenlegung erzwungen wird oder nicht:
Weiterführende Informationen:
Hier gelangen Sie zur Webseite der Open Source Initiative.
Das Protokoll OpenID Connect (OIDC) basiert vollständig auf OAuth2 und erweitert dieses um eine Authentifizierungskomponente. Zur Aktivierung muss bei der Anforderung des OAuth2-Tokens der Scope „openid“ angegeben werden. Der Authorization Server stellt daraufhin neben dem Access Token (OAuth2-Token-Typ: „Bearer“) ein ID-Token für den Client aus, welches Informationen über die Identität des Benutzers enthält. Zusätzlich können in einem UserInfo-Aufruf noch weitere Attribute („Claims“) über den Benutzer bezogen werden.
Grundsätzlich adressiert OpenID Connect ähnliche Anwendungen wie SAML. Allerdings wird neben den drei Entitäten Benutzer (=User Agent), Identity Provider (=Authorization Server) und Service Provider (=Relying Party) als vierte Entität der OpenID Provider eingeführt, wodurch das Kommunikationsprofil komplexer wird.
Im Einzelnen enthält der Standard Spezifikationen zu:
OpenID Connect wird der Nachfolger des unsichereren und nicht mit OAuth2 kompatiblen Protocols OpenID. Die OpenID-Connect-Spezifikationen mit den verschiedenen Profilen werden von der OpenID Foundation (OIDF) vorangebracht. Das Ziel ist ein OIDF Standard.
Zwar ist der Standard komplex und löst einige bei SAML bereits gelösten Probleme noch nicht – insbesondere die Vertrauensstellung zwischen den einzelnen Entitäten, er wird aber von sehr vielen wichtigen Firmen unterstützt (u.a. Google, Microsoft, PayPal, Ping Identity, Symantec, Verizon, Yahoo, Facebook, Intel und viele weitere), weshalb zu erwarten ist, dass er sich mindestens in der kommerziellen (Social-Network-)Welt durchsetzen wird. DAASI International beschäftigt sich mit diesem Standard und oAuth2, um zu evaluieren, wie diese in SAML-basierte Infrastrukturen integriert werden können. Außerdem gibt es mehrere SSO-Lösungen, die auch zwischen Protokollen kommunizieren können, z.B. kann ein/e Benutzer*in sich mit SAML authentifizieren und gleichzeitig in OIDC-konformen Anwendungen authentifiziert werden und umgekehrt.
Weitere Informationen:
OpenLDAP ist eine Referenzimplementierung von LDAP (Lightweight Directory Access Protocol), die das Abfragen und die Modifizierung von in Verzeichnisdiensten (Directories) vorgehaltenen Daten ermöglicht. Auf OpenLDAP basierende Datenbanksysteme sind plattformunabhängig, hierarchisch organisiert, standardisiert und können zentral verwaltet werden.
Bei der Entwicklung von OpenLDAP standen Skalierbarkeit und Performanz als Entwicklungsziele gerade in den letzten Jahren an vorderster Stelle und wurde zuletzt durch die Einführung des neuen mdb-Backends, was auch die Grundlage für NOSOL-Datenbanken ist, drastisch gesteigert. Die aktuelle Version kann laut Aussage des Hauptentwicklers Howard Chu “mittlerweile Milliarden Objekte und Datenbankvolumen im Terabyte-Bereich verwalten. Mehr als 100 000 Queries pro Sekunde mit Latenzzeiten unter einer Millisekunde sind dabei kein Problem. Auch in solchen Hochleistungssituationen läuft die Software stabil; wenn es zu Ausfällen kommt, dann eher wegen Hardware-Versagen.” (vgl. Artikel im Admin-Magazin)
Das Softwarepaket umfasst neben dem Server auch weitere Werkzeuge zur Konfiguration und benötigte Bibliotheken. Es besteht hauptsächlich aus folgenden Bestandteilen:
Weitere Informationen:
Hier geht es zur Homepage des OpenLDAP-Projekts.
Um Daten und E-Mail-Kommunikation im Internet zu schützen und zu authentifizieren, setzt sich die sogenannte asymmetrische Verschlüsselungstechnologie immer mehr durch. Mit dieser ist es möglich, ein Dokument so zu verschlüsseln, dass es nur von einem bestimmten Adressaten wieder entschlüsselt werden kann, ohne dass vor der Übertragung ein Austausch von geheimen Schlüsseln stattfinden muss (wie dies bei symmetrischen Verfahren üblich ist). Zur Verschlüsselung wird ein öffentlicher Schlüssel benutzt, der in einem mathematischen Zusammenhang mit einem privaten, geheimen Schlüssel steht, welchen der Adressat zur Entschlüsselung verwendet.
Ein Zertifikat ist ein solcher öffentlicher Schlüssel, dessen Zugehörigkeit zu einer bestimmten Person von einer vertrauenswürdigen Stelle (Certification Authority, CA genannt) zertifiziert worden ist. Die gleiche Technologie ermöglicht außer der Verschlüsselung auch das digitale Signieren von Dokumenten sowie die Überprüfung ihrer Authentizität. Verwandte Technologien sind X.509, S/MIME, SSL und PGP.
Eine PKI (Public Key Infrastructure) ist eine hierarchische Struktur zum Erstellen von Zertifikaten für Benutzer und Dienste. Dabei wird eine Vertrauenskette aufgebaut, die kryptographisch gesichert ist. Hierbei sind folgende Begriffe relevant:
Durch den Aufbau einer PKI kann erreicht werden, dass die Identität eines Benutzers oder eines Dienstes überprüft werden kann, dass Daten verschlüsselt übermittelt, deren Integrität sichergestellt und Dokumente oder E-Mails digital signiert werden können.
Neben allen Vorteilen einer PKI gibt es auch Nachteile. Zum einen ist es Aufgabe des Betriebs der PKI, insbesondere der RAs, in denen zuverlässige Mitarbeiter mit technischem Verständnis persönlichen Kontakt mit dem Benutzer haben, die Identität zu überprüfen und das System in Ansätzen erklären zu müssen. Das schwächste Glied in der Vertrauenskette sind die Besitzer der Zertifikate: Wird einem Angreifer der private Schlüssel eines Benutzers bekannt, so kann er in dessen Namen auftreten und begeht damit Identitäts-Diebstagl. Wird einem Angreifer der private Schlüssel einer CA bekannt, so kann dieser beliebige innerhalb der PKI gültige Zertifikate ausstellen und in Umlauf bringen, um sie z.B. in Webservern zu installieren, die Rechner mit Schadsoftware infizieren. Da Zertifikate nur zeitlich begrenzt gültig sind (die meisten PKI ca. ein Jahr) ist ein durchaus komplizierter Prozess für Benutzer*innen notwendig, folgen um ein Zertifikat vorzeitig zu erneuern. Die Schulung und Bewusstseinsbildung der Benutzer ist deshalb eine zentrale Aufgabe beim Betrieb einer PKI.
Beim RBAC-Modell (Role Based Access Control) werden den Benutzern eines Systems Rollen zugeordnet. Diese Rollen wiederum sind mit Zugriffsrechten auf bestimmte Ressourcen versehen. So könnte eine Rolle „Abteilungsleiter“ beispielsweise Lese- und Schreibrechte auf einer Ressource besitzen, auf der die Rolle „Sekretärin“ lediglich Leserechte besitzt. Indem Rechte auf diese Weise indirekt über Rollenzugehörigkeiten erteilt werden, vereinfacht sich die Administration. Änderungen an Berechtigungen eines Benutzers finden über das Hinzufügen oder Entfernen von Rollen statt.
Der Unterschied zwischen Gruppen und den bei RBAC verwendeten Rollen ist weniger über die technische Umsetzung als vielmehr durch die organisatorische Verwendung definiert. Dies könnte wie folgt ausgedrückt werden:
DAASI International hat den RBAC-Standard in ihrer IAM-Software didmos in dem alten Modul „Decision Point“ umgesetzt (älteren Kunden von DAASI International noch unter dem Begriff OpenRBAC bekannt). didmos1 Decision Point speicherte alle benötigten Informationen (über Benutzer*innen, Rollen, Ressourcen etc.) in einem LDAP-Server, wodurch Berechtigungsentscheidungen sehr schnell erfolgen können, da sie durch einen LDAP-Filter abgebildet werden. In didmos2 wurde Decision Point komplett neu aufgesetzt und ist nun Teil des Kerns von didmos2, sodass alle didmos2 Komponenten von Decision Point für die Berechtigungsverwaltung verwenden können. Da er eine umfassende REST-API zur Verfügung stellt, können aber auch unzählige weitere Anwendungen angebunden werden. Für eine Neuauflage von didmos2 ist als weiteres Feature eine aufwändige web-basierte Administrationsoberfläche geplant.
Auch in bereits bestehende Systeme mit Verzeichnisdiensten lässt sich didmos Decision Point integrieren, da frei konfigurierbar ist, welche Daten an welcher Stelle und in welchem Verzeichnis abgelegt werden sollen. Bereits existierende Benutzerverwaltungen können also von didmos Decision Point nachgenutzt werden. Anwendungen können dann über verschiedene Schnittstellen (SOAP, REST, PHP-API, SAML/XACML Check Access) auf didmos Decision Point zugreifen, wodurch sich die Software flexibel in verschiedenste IT-Landschaften integrieren lässt.
Die aus einer von DAASI International betreuten Diplomarbeit heraus entstandene und durch DAASI International geförderte und weiterentwickelte Software ist eine betriebsfertige RBAC-Implementierung, die als reine Open-Source-Software veröffentlicht ist und unter der LGPL-Lizenz steht. Die Software wurde bereits in kommerziellen und nicht-kommerziellen Projekten eingesetzt, weiterentwickelt und an individuelle Bedürfnisse angepasst. Beispiele für nicht-kommerzielle Projekte sind die BMBF-Forschungsprojekte TextGrid und DARIAH-DE.
Weitere Informationen:
REST (Representational State Transfer) ist ein normativer Architekturstil für Webservices, der als Alternative zu bspw. SOAP-basierte Webservices eingesetzt wird. In Rest wird die komplexe XML-basierte Arbeitslast durch JSON ersetzt und das komplexe Transfer-Protokoll direkt in HTTP umgesetzt.
Die Security Assertion Markup Language ist ein XML-basierter Standard zum Austausch von Authentifizierungs-, Attribut- und Autorisierungsinformationen. Dieser Austausch findet zwischen verschiedenen Sicherheitsdomänen statt, genauer gesagt zwischen:
IdPs und SPs befinden sich in einer Vertrauensstellung (Föderation), die auf einer Liste von Server-Zertifikaten allers SPs und IdPs ebendieser Föderation beruht, zueinander. Somit können Benutzer, die zur Sicherheitsdomäne A gehören, auf Dienste in einer Sicherheitsdomäne B zugreifen, ohne dort über einen eigenen Account verfügen zu müssen. Diese sogenannte „federated identity“ ist ein zentrales Merkmal eines SAML-basierten Vertrauensverbunds.
Eine weitere zentrale Funktionalität von SAML ist das sog. Web-Single-Sign-On (Web-SSO): Nach einer einmal durchgeführten Anmeldung im Web kann der Nutzer verschiedene anmeldepflichtige Dienste in der Föderation aufrufen, ohne jedes Mal wieder erneut seine Zugangsdaten eingeben zu müssen (vgl. AAI). Innerhalb der Föderation bleiben die zu Beginn einer Sitzung ausgestellten Authentifizierungsinformationen (SAML Assertions) gültig und werden automatisch vom IdP für jeden weiteren SP, auf dessen Dienste der Benutzer zugreift, ausgestellt.
Mit SAML liegt ein offenes, anpassbares und hoch interoperables Protokoll vor, dass sich schnell zum definitiven Standard für Web-SSO-Lösungen durchgesetzt hat.
Heutzutage ist SAML eine etablierte Technologie mit über 144 Implementierungen. Besonders sind in diesem Zusammenhang folgende Open-Source-Implementierungen zu nennen:
Auch kommerzielle Anbieter, wie etwa Sun, PingIdentity oder Microsoft, setzen bereits Teile des SAML-Standards in ihren Produkten um.
Weitere Informationen:
Simple Authentication and Security Layer (SASL) ist ein Standardframework zur Authentifizierung und Datensicherheit im Internet. Durch die Trennung von Authentifizierungsmechanismen und Anwendungsprotokollen entstehen durch SASL eine Vielzahl an Authentifizierungsmöglichkeiten für die unterschiedlichen Protokolle.
Sicherheit in der IT umfasst ein breites Spektrum an wichtigen Aufgaben. Sicherheit beginnt bei der Entwicklung von Hardware und deren physikalischem Schutz und endet bei der Verantwortung jedes einzelnen Benutzers, der einen PC, ein Tablet oder ein Smartphone verwendet.
Vor allem große Unternehmen mit einer immer schneller anwachsenden Menge an Daten stehen vor der Herausforderung, diese Daten
Die technischen Mittel existieren und sollten flächendeckend eingesetzt werden: Antivirensoftware, PKI, Verschlüsselungsverfahren, Identity Management usw. Darüber hinaus müssen alle Benutzer sensibilisiert werden, da ihr Verhalten maßgeblich die Sicherheit beeinflusst.
Weitere Informationen:
Self-Sovereign Identity (SSI) ist eine moderne Technologie, die es Personen und Organisationen ermöglicht, selbstbestimmt die eigenen Identitätsdaten zu verwalten. Dieser Ansatz der „Nutzer-zentrierten Identität“ ist ein Gegenmodell zur „Organisations-zentrischen Identität“. Bei der Nutzerzentrierten Identität verwaltet nicht eine Organisation (der eigene Arbeitgeber, oder ein externer ID-Provider wie Google und Facebook) die Identitätsdaten der Betroffenen, sondern die Betroffenen selbst. Die erhöht deren Souveränität und den Datenschutz.
Technisch wird SSI durch Blockchain-Technologie implementiert, eine maximal redundante und sichere Speicherung der Daten, die keine Vertrauensbeziehung zum speichernden Server erfordert. Nutzer*innen können selbstbestimmt ihre personenbezogenen Informationen verwalten, einschließlich digitale Nachweise, die von anderen Stellen ausgestellt wurden, wie Führerscheine, Zeugnisse, Qualifikationen etc.
In einer sogenannten Brieftasche („Wallet“) liegen diese Daten gespeichert vor und können von dort kontrolliert an andere weitergegeben werden. Die Empfänger*innen können wiederum die Authentizität der Daten in der Block-Chain überprüfen und müssen die Daten selbst nicht speichern. Nicht nur Personen, sondern auch Organisationen können solche Wallets besitzen.
SSI wird eine zentrale Rolle bei der Digitalisierung der Gesellschaft spielen. Eine sehr empfehlenswerte detailliertere Erklärung dieser Technologie wurde von Norbert Pohlmann verfasst.
Mit Gaia-X wird aktuell europaweit ein offenes, sicheres und vertrauenswürdiges Ökosystem auf SSI-Grundlage entwickelt. Die DAASI International unterstützt dieses Vorhaben zusammen mit der Vereign AG im Rahmen der Gaia-X Federation Services (GXFS).
Shibboleth® ist ein auf dem OASIS-Standard SAML (Security Assertion Markup Language) basierendes Open-Source-Produkt zur verteilten organisationsübergreifenden Authentifizierung und Autorisierung für Web-Anwendungen (Federated Identity Management). Shibboleth wurde im Rahmen des US-amerikanischen Hochschul-Konsortiums Internet2 entwickelt. Mittlerweile wurde das Shibboleth Consortium gegründet, deren wichtigste Mitglieder Internet2, das Schweizer Nationale Forschungsnetz SWITCH und das entsprechende Pendant in Großbritannien JISC eine nachhaltige Weiterentwicklung garantieren. Inzwischen sind die meisten Forschungsnetzwerke sowie Hochschuleinrichtungen Mitglied, dazu gibt es einige kommerzielle Mitglieder, eines davon ist die DAASI International.
Die Authentifizierung eines Benutzers (Identifikation) findet zu Beginn einer Sitzung bei seiner Heimatorganisation (Identity Provider) statt. Die Ressourcen-Anbieter (Service Provider), die über Verträge einen Vertrauensbund mit den Identity Providern geschlossen haben, vertrauen auf die über sichere Datenkanäle geschickten Zusicherungen (Assertions).
Nach erfolgreicher Authentifizierung wird die Sitzung im Identity Provider als Cookie im Browser des Benutzers gespeichert, sodass dieser sich nur einmal einloggen muss. Für jeden weiteren Service Provider, auf dessen Dienste der Benutzer zugreift, stellt der Identity Provider automatisch eine neue Zusicherung aus. Damit ist der Benutzer für alle Dienste im Vertrauensverbund durch seine einmalige Anmeldung authentifiziert (Single Sign-On, SSO). Aufgrund dieser praktischen Funktion wird Shibboleth auch unabhängig von organisationsübergreifenden Föderationen eingesetzt, um SSO für organisationsinterne Webanwendungen zu realisieren.
Shibboleth besteht aus einer ganzen Reihe von Softwareprodukten:
Weitere Informationen:
Single Sign-On (SSO) bezeichnet Authentifizierungsverfahren, bei denen sich ein Nutzer nur einmalig einloggen muss, um verschiedene Dienste nutzen zu können, für die er sonst verschiedene Accounts benötigen würde und Anmeldeverfahren durchlaufen müsste.
Single Sign-On kann mit verschiedenen Lösungen umgesetzt werden, zum Beispiel mit Gluu, Satosa, Shibboleth oder SimpleSAMLphp.
Zu all diesen Produkten beraten wir Sie gerne!
SMTP-Auth ist ein Protokoll für die Authentifizierung von Mailservern anhand des Nutzernamen und Passworts des Clients.
SOAP (Simple Object Access Protocol) ist ein Standardprotokoll zum Austausch von Daten im Internet oder in einem Netzwerk.
SPML (Service Provisioning Markup Language) ist ein vom OASIS-Konsortium entwickeltes XML-Framework zur Provisionierung von Benutzer-, Ressourcen- und Serviceinformationen innerhalb einer Organisation, aber auch über Organisationsgrenzen hinweg.
SPML definiert Provisionierung als die „Automatisierung aller erforderlichen Schritte für die Verwaltung (Installation, Änderung und Rücknahme) von Benutzer- oder System-Zugriffsberechtigungen bzw. Daten bezüglich elektronisch bereitgestellter Dienste“ (vgl. „An Introduction to the Provisioning Services Technical Committee„).
Der offene Standard gewährleistet eine hohe Interoperabilität zwischen verschiedenartigen Systemen, definiert jedoch lediglich das Austauschformat, nicht das Format der transportierten Daten. Um die Interoperabilität verschiedener Systeme weiter zu verbessern, wurden unter anderem das DSMLv2-Profil für SPML und das SAML2.0-Profil für SPML definiert.
DSMLv2 wurde speziell für Verzeichnisdienste entwickelt und stellt durch Kombination mit SPML ein einheitliches, offenes und zugleich erweiterbares Format zur Provisionierung dar.
Im föderierten Identity Management (FIdM) mit SAML kann SPML genutzt werden, um Provisionierungs- und Deprovisionierungsprozesse vom Identity Provider zum Service Provider zu initiieren. So können u.a. auch SAML-Assertions innerhalb von SPML-Nachrichten transportiert und dazu benutzt werden, das Ziel einer Provisionierungsanfrage zu qualifizieren/identifizieren.
Als Teil eines Identity-Management-Systems bietet SPML somit die Möglichkeit, die Provisionierung vorhandener Systeme zu vereinheitlichen und die Provisionierung kommender Systeme zu erleichtern. Denn werden statt SPML verschiedene proprietäre Lösungen eingesetzt, sind Benutzerschnittstellen zwischen den Systemen unter Umständen sehr viel schwieriger zu realisieren.
Der SPML-Standard wurde 2000 in der Version 1.0 veröffentlicht, 2006 folgte die Version 2.0.
TLS-KDH ist ein sich in Entwicklung befindliches Protokoll für hochsichere Authentifizierung und Transport-Verschlüsselung, das die Stärken der Protokolle Kerberos, Diffie-Hellmann und TLS vereint. Mit diesem Protokoll soll sichere Authentifizierung auch mit wachsenden Herausforderungen, wie sie z.B. durch Quantum-Computing entstehen werden, möglich sein.
Die einzelnen Komponenten:
In TLS-KDH werden diese drei Protokolle unter Verwendung von PFS gemeinsam genutzt, wodurch eine bisher nicht erreichte Sicherheit geboten werden kann. Für den Anwendungsfall der Authentifizierung ist die generelle Funktionsweise dabei an die Verwendung von Client-Zertifikaten in TLS angelehnt. Nur dass in TLS-KDH anstatt X509-Client-Zertifikaten Kerberos-Tickets zum Einsatz kommen.
Da TLS-KDH noch sehr neu ist, gibt es bisher keine Implementierung für konkrete Anwendungsfälle. Die DAASI International arbeitet aktuell im Rahmen des EU-geförderten NGI- Pointer-Projekts TA4NGI an einer Implementierung von TLS-KDH für den Authentifizierungsproxy SATOSA.
WSDL ist die Abkürzung für Web Services Description Language, eine Standardsprache für Webservices auf XML-Basis.
Die Xtensible Access Control Markup Language (XACML) ist ein in XML implementiertes Standardisierungsschema für die Darstellung und Verarbeitung von Autorisierungsrichtlinien (Policies). Während etwa der XML-Standard SAML den Austausch dieser Informationen regeln kann, definiert XACML deren Syntax und Auswertungsweise.
Im einzelnen beinhaltet XACML eine Referenzarchitektur, die alle im Autorisierungsprozess involvierten Komponenten umfasst, eine Sprache zur Formulierung von Autorisierungspolicies, eine Sprache zur Formulierung von Autorisierungsanfragen (Autorisierungsentscheidungen) und -antworten, ein Verarbeitungsmodell sowie Standard-Attribute und -Funktionen (arithmetische Funktionen, boolsche Operatoren etc.).
Zentral in der Funktionsweise von XACML ist die logische Trennung von Policy Enforcement Point (PEP) und Policy Decision Point (PDP). Jeder Zugriff auf eine geschützte Ressource wird zunächst vom anwendungsspezifischen PEP abgefangen; dieser sammelt alle verfügbaren Informationen über die anfragende Instanz und die Ressource und formuliert aus diesen eine Autorisierungsanfrage, die er als XACML-Dokument an den PDP sendet. Der im Gegensatz zum anwendungsspezifischen PEP komplett standardisierte PDP trifft auf Basis der erhaltenen Informationen und ebenfalls in XACML hinterlegten Regeln eine Zugriffsentscheidung und sendet diese an den PEP zurück. Entsprechend dieser Entscheidung gewährt oder verwehrt der PEP anschließend den Zugriff.
Der vom OASIS-Konsortium entwickelte Standard liegt seit 2003 in der Version 2.0 vor, im April 2009 wurde ein erster Entwurf der Version 3.0 veröffentlicht.
XACML beinhaltet bereits Profile für SAML und RBAC, sodass eine problemlose Integration der Standards gewährleistet ist.
Es werden unterschiedliche Implementierungen eingesetzt, u.a. SunXACML (frei), XACML Enterprise (frei, 2008 zur schnellsten Implementierung erklärt), HERAS-AF (Open Source und, Axiomatics (kommerziell, implementiert den ersten Entwurf von XACML 3.0).
XML (eXtensible Markup Language) ist eine Auszeichnungssprache, mit der hierarchisch strukturierte Datensätze in Form von mensch- und maschinenlesbaren Textdaten dargestellt werden. Die XML-Spezifikation definiert die Regeln, nach denen Daten in XML zu erfassen sind. Obwohl XML primär zur Speicherung und Verarbeitung von Dokumenten entwickelt wurde, lassen sich damit nahezu beliebige Datenstrukturen abbilden – so findet XML heute etwa auch in den Bereichen Web-Services und Identity Management (IdM) Anwendung. XML ist eine Metasprache, aus der durch strukturelle und inhaltliche Einschränkungen anwendungsspezifische Sprachen definiert werden können. Beispiele für XML-basierte Sprachen sind RSS, SOAP, XHTML, OpenDocument, aber auch die IdM-Schemata DSML, SAML, XACML und SPML.
XML ist Nachfolger des älteren SGML (Standard Generalized Markup Language, ISO 8879:1986) und wurde speziell auf die Nutzung im Internet zugeschnitten. Ein gültiges XML-Dokument besteht aus einer optionalen Deklaration, Elementen und Attributen. Die Bedeutung von Elementen und Attributen ist nicht standardisiert, die Interpretation der Daten wird komplett der jeweiligen verarbeitenden Anwendung überlassen.
Dokumente können wohlgeformt sein, also den syntaktischen Regeln der XML-Spezifikation genügen, oder zusätzlich anhand eines Schemas, das deren Aufbau beschreibt, validiert werden. Beispiele für Schema-Sprachen sind DTD, XML Schema und RELAX NG.
Aufbauend auf die XML-Spezifikation und diese komplettierend sind einige zugehörige Standards entstanden:
Die erste Spezifikation des vom World Wide Web Consortium (W3C) verabschiedeten XML-Standards wurde 1998 veröffentlicht, die aktuelle, fünfte Version der Spezifikation 1.0 liegt seit November 2008 vor. XML ist lizenzfrei, plattformunabhängig und beliebig erweiterbar.
Weitere Informationen:
