Feingranularer Zugriffsschutz dank Attribute based Access Control

Feingranularer Zugriffsschutz dank Attribute based Access Control

Artikel erschienen in IT Magazine 2016/09

Der XACML-Standard als zentraler Lösungsbaustein

Neben den fachlichen Anforderungen war schnell klar, dass die AXA Winterthur auf keine proprietäre Entwicklung setzen wollte. Es galt eine Lösung zu finden, die möglichst standardisiert, offen und flexibel einsetzbar, gleichzeitig aber auch erweiterbar ist. Mit dem vom nonprofit Konsortium OASIS definierten Standard eXtensible Access Control Markup Language (XACML) fand sich ein geeignetes Mittel.
Das Konzept von XACML trennt dabei vier wesentliche Bausteine:

  • Der Policy Decision Point (PDP) fungiert als zentraler Entscheidungspunkt und liefert einer angeschlossenen Applikation die Entscheidung, ob ein Zugriff gewährt werden kann oder abgelehnt werden muss.
  • Im Policy Administration Point (PAP) werden die Berechtigungsregeln definiert und verwaltet (z. Bsp. Zugriff sofern Benutzer=Versicherungsnehmer)
  • Über den Policy Information Point (PIP) werden die zur Entscheidung notwendigen Attribute beschafft.
  • Der Policy Enforcement Point (PEP) wird mit einer Applikation verteilt und stellt die Verbindung zur zentralen Entscheidungsinstanz PDP

Für die AXA Winterthur war schnell klar, dass auf dem Markt verfügbare XACML Produkte einer Eigenentwicklung vorzuziehen sind. Durch die Verwendung des auf dem XACML Standard aufbauenden Produkts «NextLabs» konnten die wesentlichen Anforderungen wie dynamische feingranulare Autorisierungsregeln, Wiederverwendung der Regeln und zentrale Transparenz über die Entscheidungen erfüllt werden.

Attributbestände als Herausforderung

Mit der Einführung der entsprechenden Suite war die Arbeit jedoch noch nicht getan. So stellte sich schnell die Frage, welche Attribute für Autorisierungsentscheidungen relevant sind und ob diese in der entsprechenden Qualität digital zur Verfügung stehen.

So zeigten sich z.B. generell klare Attributbestände wie «organisatorische Zugehörigkeiten, Unter-Überstellung, Stelle eines Mitarbeiters, Betreuungsverhältnisse zu Kunden, Branchenzugehörigkeit, Datenklassifikationen» als interpretationsbedürftig.

Gleichzeitig stellte die Zentralisierung der Autorisierungsentscheidung eine zusätzliche Herausforderung dar: So gilt es im Umfeld von agilen Entwicklungsmethoden schnell auf neue Anforderungen reagieren zu können und doch zentrale Grundsätze beizubehalten.

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER