Innovatives Rollenmanagement - mehr als nur RBAC

SecuRoleTM ist ein innovatives Konzept, um die Grenzen des Role-Based Access Control-Ansatzes (RBAC) zu überwinden und den heutigen Sicherheitsanforderungen gerecht zu werden, auch in Bezug auf Cloudtechnologien.

 

Im RBAC-Ansatz werden Rollen meist durch Benutzergruppen repräsentiert. Eine Rolle ist einem Benutzer zugeordnet durch die Mitgliedschaft in einer entsprechenden Gruppe. Wohingegen Zugriffsrechte Gruppen zugeteilt sind.

Um in einem System die Zugriffsrechte eines Users exakt zu vergeben, gibt es für jeden, noch so gering unterschiedlichen Bereich eine neue Rolle. Dies führt zu einer sehr großen Menge an zu speichernden Informationen.

Folgendes Beispiel illustriert das Ganze: “Man betrachte eine Organisation mit 100 Kostenstellen und 4 organisatorischen Rollen je Kostenstelle. Im RBAC-Ansatz benötigt man dazu 4 x 100 = 400 Gruppen. Diese Anzahl wächst so schnell wie die Zahl der Benutzer und der Ressourcen, auf die zugegriffen werden soll. Es ist ein typisches N x M (N Benutzer x M Ressourcen) Problem. Also es ist nicht unüblich 5-6 Mal mehr Rollen als Benutzer zu haben.

Ein weiterer limitierender Faktor von RBAC kann die Technologie zur Implementierung sein, meist wird LDAP eingesetzt: die Leistung, um Gruppen darzustellen, verringert sich drastisch in dem Moment, ab dem die Zahl der Mitglieder über 105 wächst.

Des Weiteren benötigen der Administrator der Benutzer und die Anwendung, die die Rollen interpretiert, beide den Zugang zu dem gleichen LDAP Server. Dies ist eine massive Einschränkung für eine Cloud-orientierte Welt, in der die Organisation der Benutzer eine andere ist, als die des Serviceproviders.

Mit diesen Limitierungen und durch die Herausforderungen eines neuen Projektes, haben wir begonnen einen neuen Ansatz für ein Rollen- und Berechtigungsmanagement zu entwerfen. Um SecuRoleTM zu konzipieren, starteten wir mit 4 Grundideen:

  1. Eine Rolle wird nicht durch die Mitgliedschaft in einer Gruppe repräsentiert, sie stellt jedoch ein Attribut eines Benutzerobjektes dar. Da die Technologie sehr viel einfacher Benutzerobjekte als lange Mitgliederlisten in einer Gruppe verarbeiten kann, gibt es keine Grenze mehr bei 100.000 Mitgliedern per Rolle. Diese Lösung lässt sich wesentlich besser skalieren.
  2. Ein Rollenattribut beinhaltet den Namen einer Rolle, die Zuteilungsinformation und einen (oder mehrere) optionale Parameter. Das Ergebnis hieraus ist eine fein-granulare Definition der Zugriffsrechte und verhindert eine Explosion von Rollen, wie in dem o.g. Beispiel.
  3. Das Rollenattribut ist ein JSON-Objekt. Daraus ergibt sich eine hohe Flexibilität. Und wir haben einige zusätzliche Informationen hinzugefügt, wie z.B das Gültigkeitsdatum oder den Genehmiger einer Rolle. Ein JSON-Objekt stellt einen Standard dar und ist einfach zu implementieren.
  4. Schließlich wird das JSON-Objekt digital signiert und es ergibt sich daraus ein JSON-Web Token (JWT). Dies ermöglicht eine sehr hohe Sicherheit, weil die Rolleninformationen vertrauenswürdig sind. Jeder, der der Signatur vertraut, vertraut auch der Zuweisung. Zudem ist die Implementierung eines JWT einfach.

 

Den Zugriff in der Cloud-Ära mit Rollen verwalten.
4 einfache Schritte zu mehr Sicherheit & Flexibilität

Abbildung 1: SecuRoleTM – 4 einfache Schritte zu mehr Sicherheit & Flexibilität

Rollenzuweisung

Login Master bietet neben einer einfachen Rollenzuweisung durch einen Administrator oder einen Account Manager, die Zuweisung über den ABAC-Ansatz (Attribute Based Access Control).

Durch diese Technik wird eine Rolle auf Basis bestimmter Werte des Benutzers oder bestimmter Attribute einer Anwendung zugewiesen. Diese Rollen werden direkt zugeteilt, nachdem ein Benutzer eine entsprechende Berechtigung erwirbt. Als Beispiel bewirkt die Zugehörigkeit eines Benutzers zu einer neuen Organisation dessen Zuteilung zu der neuen Einheit.

Ein Benutzer kann auch eine Rolle über eine spezielle Applikation von Login Master beantragen: den “Rollenshop”. Durch den Einsatz des Rollenshops reduziert sich die Arbeit des Supports oder des Account Managers weiter dank verschiedener Automatisierungsmechanismen, die über Workflows ablaufen. Einfache Rollen können so automatisiert zugeteilt werden. Eine Zuteilung unter Einsatz des 4-Augen-Prinzips bietet sich an für sensiblere Rollen.

 

Ihr Nutzen aus Login Master & SecuRoleTM

  • Sie erhalten eine flexible Lösung, um Rollen und Zugriffsrechte zu verwalten. Ihre Anwendungen können diese sofort nutzen.
  • Sie verfügen über eine zentrale Stelle für die Vergabe aller Rollen und der Zugriffsrechte. Dies bringt Ihnen weniger Aufwand für Ihre Revision und die geforderte Compliance.
  • Hohe Sicherheit und Flexibilität Ihrer Rollenverwaltung durch SecuRole™
  • Skalierbarkeit auf Millionen von Benutzern
  • Cloud-ready: ermöglicht Szenarien, bei diesen die Vergabe einer Rolle bzw. eines Zugriffsrechtes bei einer Organisation liegt (Kunden- oder Partnerorganisation) und die Nutzung bei einem anderen Unternehmen liegt (Service Provider).