Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Software & Services > Von Rollen zu Regeln - Zugriffskontrolle wird intelligenter

Gastbeitrag

Von Rollen zu Regeln - Zugriffskontrolle wird intelligenter

26. März 2010, 9:54 Uhr | Lars Bube
Fortsetzung des Artikels von Teil 1

Attribute statt Rollen mit XACML

Die alten Zugriffskontroll-Instrumente sind für heutige IT-Landschaften oft auf Sand gebaut. (Bild: soupstock, Fotolia.de)
Die alten Zugriffskontroll-Instrumente sind für heutige IT-Landschaften oft auf Sand gebaut. (Bild: soupstock, Fotolia.de)

Eine Abhilfe verspricht XACML (»eXtensible Access Control Markup Language«). Dieser auf XML basierte Standard erlaubt es Zugriffsrechte zu beschreiben, und basiert im Gegensatz zu RBAC nicht auf Rollen, sondern auf Attributen. Dadurch lassen sich die Berechtigungen leichter von der Applikation ausbauen und zentral steuern. Interessant ist die Möglichkeit, RBAC zu emulieren. Da das Modell auf frei definierbaren Attributen basiert, kann auch eine »Rolle« als Attribut zur Entscheidung beitragen - in Kombination mit anderen Faktoren, die durch Attribute beigesteuert werden. Der XACML Standard definiert sowohl die Sprache, mit dem Zugriffsmodelle ausgedrückt werden können, wie auch ein Protokoll zur Abfrage von Zugriffsrechten, und ein Modell das die Architektur für eine flexible Autorisierung beinhaltet. Dieses Modell setzt sich zusammen aus dem »Policy Enforcement Point« der den Zugriff kontrolliert und dem »Policy Decision Point« (PDP) der die Entscheidungen ueber den Zugriff trifft.

Der Flexibilität der XACML-Sprache steht jedoch auch eine gewisse Komplexität in der Erstellung der Regeln gegenüber. Momentan erfordert der Einsatz von XACML als Sprache zum Ausdruck für Zugriffsregeln noch Expertenwissen - Modellierungstools für XACML gibt es kaum, doch auch hier gibt es Bewegung bei einigen Herstellern, wie Axiomatics. XACML setzt sich immer mehr als Standard in den gängigen Access Manager Produkten durch. Viele Hersteller haben bereits das Protokoll implementiert, um eine gut definierte Schnittstelle von einer Applikation zum Access Manager zu bieten. Andere Hersteller wie Axiomatics oder Bitkoo und ObjectSecurity gehen weiter, und setzen XACML auch intern als standardisierte Sprache für die Definition des Regelwerks ein. Somit lassen sich komplexe Zugriffsrechte definieren, und die Zugriffskontrolle zentralisieren. Doch ist die Zentralisierung nicht zwingend: XACML lässt sich auch sehr gut in einer verteilten Umgebung einsetzen, in der unterschiedliche auf XACML-basierte Zugriffssysteme miteinander abgestimmt werden können. Durch die steigende Popularität von Cloud Computing und den dabei erforderlichen Anforderung an koordinierten Zugriffskontrollen erhält XACML einen Schwung nach Vorne.

Felix Gaehtgens ist Senior Analyst bei Kuppinger Cole, einem auf Identity Management, GRC, Cloud Computing und verwandten Themen spezialisierten Analystenunternehmen.

  1. Von Rollen zu Regeln - Zugriffskontrolle wird intelligenter
  2. Attribute statt Rollen mit XACML

Lesen Sie mehr zum Thema

Kuppinger Cole
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kuppinger Cole

Informationssicherheit

Kuppinger-Cole: Private Endgeräte in der Firma sind nicht zu kontrollieren

Lokales Kennwortmanagement - ein Sicherheitsrisiko

Single Sign On ja, aber richtig!

Gastkommentar

Swift-Abkommen vs Sicherheit

Gastbeitrag: Virtualisierung will wohlüberlegt…

Desktop-Virtualisierung - mehr als nur ein Hype?

Gastbeitrag: Welcher Identity Provider für was?

Es gibt mehr als nur die interne IT

Matchmaker+
nexspace data centers GmbH

nexspace data centers GmbH
elektrofachkraft.de

elektrofachkraft.de
Vertiv GmbH

Vertiv GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
Plusnet GmbH

Plusnet GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH