Informationskonsistenz im föderativen Identitätsmanagement: Modellierung und Mechanismen

Thorsten Höllrigl
2011
iv wonnen werden konnten, von großem Vorteil, auch wenn dabei berücksichtigt werden muss, dass eine Integrationslösung in einem organisationsübergreifenden Szenario die beteiligten Systeme weniger stark koppeln sollte als in einem organisationsinternen Szenario. Demnach gilt es, beteiligte Systeme zu integrieren, ohne dabei zu viele Abhängigkeiten zwischen den Systemen zu erzeugen. Um dies zu erreichen, wurde in der Arbeit eine auf dem Publish/Subscribe-Paradigma basierte Middleware namens
more » ... re entwickelt. FedWare erlaubt, auftretende Änderungen zwischen den Systemen so zu verteilen, dass Heterogenität, bspw. unterschiedliche Informationsschemata, für die Systeme verborgen bleiben. Durch die mittels des Publish/Subscribe-Paradigmas erzielte Entkopplung der Systeme, bspw. der Verfügbarkeit oder Konfiguration involvierter Systeme, wird es möglich, dass der Betriebs-und Integrationsaufwand solch eines Systems reduziert wird und somit z.B. Änderungen an integrierten Systemen keinen unnötigen Einfluss auf andere Systeme nehmen [Hoellrigl et al. 2010b]. Die zunehmende Anzahl an IT-Diensten in verteilten Systemen verstärkt die Notwendigkeit, Benutzer zu befähigen, die Kontrolle darüber zu behalten, welche Dienste welche identitätsbezogenen Informationen vorhalten. Das benutzerzentrierte FIM versucht dieser Herausforderung zu begegnen, indem es die Kontrolle über die Weitergabe identitätsbezogener Informationen dem Benutzer überlässt [Maler & Reed 2008]. Auch bei diesem Ansatz lässt sich eine redundante Datenhaltung nicht vermeiden. Im Gegenteil: um zu verhindern, dass ein einzelner Dienst alle Informationen eines Benutzers vorhält, motiviert der benutzerzentrierte Ansatz sogar eine verteilte, redundante Datenhaltung. Somit erfordert auch dieser Ansatz die Adressierung von Konsistenzfragen. Da in aktuellen benutzerzentrierten Systemen eine Weitergabe identitätsbezogener Informationen einer manuellen Zustimmung des Benutzers bedarf, können Dienste nur im Zuge einer Dienstnutzung mit aktuellen Informationen versorgt werden, was bspw. im Falle von langlaufenden Geschäftsprozessen problematisch sein kann. In dieser Arbeit wurde daher ein Ansatz namens User-Controlled Automated Identity Delegation entwickelt, welcher durch eine zusätzliche Komponente, den so genannten Identity Delegate, eine Automatisierung auf der Basis benutzerdefinierter Richtlinien erlaubt. Dieser Ansatz wurde prototypisch in CardSpace umgesetzt und evaluiert. Durch die Evaluierung der Performance, welche akzeptable durchschnittliche Antwortzeiten bei einer gleichzeitig moderaten Netzwerklast ergab, konnte die Anwendbarkeit dieses Ansatzes in realweltlichen Szenarien gezeigt werden [Hoellrigl et al. 2010c]. Die Grundlage der Konsistenz identitätsbezogener Informationen auf technischer Ebene bilden auf der organisatorischen Ebene konsistente Geschäftsprozesse. Die Etablierung und Integration eines IdM innerhalb einer Organisation als auch zwischen unterschiedlichen Organisationen stellt somit nicht nur eine Herausv forderung hinsichtlich der technischen, sondern auch hinsichtlich der managementbezogenen Aufgaben dar. Im Zuge der Umsetzung eines FIM am KIT konnte die Erfahrung gemacht werden, dass durch den modularen Charakter des FIM eine Schritt-für-Schritt Etablierung eines IdM eröffnet wird, welche sich wiederum positiv auf hierbei anfallende organisatorische Aufgaben auswirkt, da bspw. weniger Treffen mit weniger Interessenvertretern notwendig sind, um zu ersten Ergebnissen zu kommen, ohne dabei die Flexibilität möglicher Erweiterungen und Anpassungen an den etablierten Systemen abzugeben. Neben diesem positiven Einfluss des föderativen Paradigmas, konnte jedoch auch eine unzulängliche Unterstützung managementbezogener Aufgaben für die Etablierung und den Betrieb einer Föderation festgestellt werden. Um die Effizienz und Effektivität des Managements einer Föderation zu verbessern und somit die Informationskonsistenz auf Managementebene sicherzustellen, wird im Rahmen dieser Arbeit zum einen ein Vorschlag zur Strukturierung managementbezogener Aufgaben präsentiert. Zum anderen werden exemplarisch technische Unterstützungen auf der Basis eines Kollaborationswerkzeugs vorgestellt, welche das Management einer Föderation effizienter und effektiver gestalten sollen. vi Vorwort Ein wesentliches Ziel des wissenschaftlichen Arbeitens ist es, neue über den aktuellen Stand der Technik hinausreichende Erkenntnisse zu erlangen. Der Weg, um dieses Ziel zu erreichen, besteht hierbei zu großen Teilen in der Analyse verwandter Arbeiten. Darüber hinaus ist es oftmals der Gedankenaustausch mit anderen Forschern, der es erlaubt, durch kritisches Hinterfragen die eigene Arbeit zu überdenken und neue Ideen zu generieren. Während meiner Zeit als wissenschaftlicher Mitarbeiter in der Forschungsgruppe Dezentrale Systeme und Netzdienste (DSN) am Institut für Telematik am Karlsruher Institut für Technologie (KIT) war es rückblickend vor allem dieser Gedankenaustausch mit den Mitgliedern der Forschungsgruppe, welcher mich und meine Arbeit vorangebracht hat. Ein ganz besonderer Dank gebührt hierbei meinem Doktorvater Herrn Prof. Dr. Hannes Hartenstein, nicht nur dafür, dass er mir die Möglichkeit zur Promotion eröffnet hat, sondern insbesondere dafür, dass er jederzeit ein offenes Ohr für mich hatte. Seine ausnahmslose Wahrheitsliebe, sein unbändiger Arbeitseinsatz und seine hundertprozentige Arbeitsweise dienten mir stets als Vorbild und haben mich immer wieder auf ein Neues motiviert. Des Weiteren möchte ich mich bei Herrn Prof. Dr. Marcel Waldvogel für die Übernahme des Korreferats meiner Arbeit sowie bei Herrn Prof. Dr. Wilfried Juling und Herrn Prof. Dr. Bernhard Neumair für die Begleitung meiner mündlichen Prüfung bedanken. Vielen Dank auch an meine Kollegen der Forschungsgruppe DSN. Insbesondere möchte ich mich bei Frank Schell bedanken. Die unzähligen, stets wertvollen Gespräche und seine kritische Art und Weise Dinge zu hinterfragen, haben wesentlich sowohl mich als auch meine Arbeit geprägt. Es erfüllt mich mit Freude und Stolz Dich, lieber Frank, als meinen Freund bezeichnen zu dürfen. Ganz besonders möchte ich mich auch bei Dr. Jochen Dinger bedanken, der mich in einer sehr wichtigen Phase meines Promotionsprojektes an seiner umfangreichen Erfahrung und tadellosen Arbeitsweise hat teilhaben lassen. Mein Dank gilt darüber hinaus
doi:10.5445/ir/1000022470 fatcat:xradmt3b6vdhlccewmxwcrhxaq