Fragen und Antworten

Wie funktioniert das Sicherheitsmodell von PSM?

Das Sicherheitsmodell von Parks Security Management (PSM) basiert auf den wissenschaftlichen Referenzmodellen für rollenbasierte Systeme RBAC96 und ARBAC97/ARBAC99. Zusätzlich wurden zusätzliche Funktionen implementiert, um die Einsatzmöglichkeiten in Unternehmen noch verbessern.

Mit Hilfe des PSM-Sicherheitsmodells können Benutzer und Berechtigungen über Rollen miteinander verknüpft werden. Ein Benutzer erhält dabei alle Berechtigungen der Rollen, die ihm zugeordnet sind.

Berechtigungen können beliebig fachlich definiert werden und besitzen keine vorgegebene Semantik (wie z.B. Dateien lesen/schreiben oder Lesen/Ändern/Löschen von Datensätzen), daher sind viele Sicherheitsrichtlinien direkt implementierbar.

Mit Hilfe der Rollen können Zuständigkeiten im Unternehmen gemäß der gültigen Organisation definiert werden. Diese fachlichen Rollen erhalten dann alle für die Tätigkeit notwendigen Berechtigungen und werden anschließend den einzelnen Anwendern zugeteilt.

Rollen können in Hierarchien angeordnet werden, d.h. eine hohe Rolle erbt automatisch alle Berechtigungen ihrer untergeordneten Rollen. Bei der Erzeugung von Hierarchien sind in PSM im Gegensatz zu anderen Systemen auch Mehrfachvererbungen erlaubt, was den Entwurf der Rollen stark vereinfacht.

Besondere Funktionalitäten von PSM sind:

  1. Die in Sicherheitsmodellen von Anwendern immer wieder geforderte Trennung von Verantwortlichkeiten (separation of duty) ist sowohl statisch (im Rollenmodell) als auch dynamisch (zur Programmlaufzeit) in einzigartiger Weise mit PSM realisierbar.
  2. Skalierbarkeit: es gibt keine Beschränkungen im Modell für Anzahl der Benutzer/Berechtigungen/Rollen und Anzahl der Zuordnungen der Objekte untereinander, daher können auch komplexe Organisationen abgebildet werden.
  3. Änderungen von Berechtigungen werden in laufenden Anwendungen wirksam, Anwender müssen sich nicht abmelden.

PSM erlaubt dezentrale Administration. Berechtigungen für die Administration von Teilen des Systems können kontrolliert an Unteradministratoren delegiert werden, z.B. in einzelnen Abteilungen. Die Arbeitsbelastung der Systemadministratoren kann so deutlich gesenkt werden.

PSM stellt komfortable, grafische Administrationsprogramme für die Verwaltung von Benutzern, Berechtigungen und Rollen zur Verfügung und übernimmt selbst die Authentifizierung der Anwender. Es bietet Ihnen die Möglichkeit einer einheitlichen, zentralen Administration verschiedener Systeme, synchronisiert sämtliche Benutzer- und Berechtigungsdaten und stellt zentrale Auswertungs-, Protokollierungs- und Prüfungsfunktionen zur Verfügung.

Über einfache Schnittstellen kann PSM problemlos in Web-Portale oder Rich Client-Fachanwendungen integriert werden, die in verschiedenen Programmiersprachen entwickelt worden sind (z.B. C, C++, Visual Basic, Microsoft Access, Java, div. RAD/4GL-Tools).

Kann ich Standardanwendungen integrieren?

Offene Standardsoftware kann in eine PSM-Sicherheitsdomäne integriert werden. So ist es z.B. einfach möglich, über PSM mehrere SAP R/3-Systeme zentral zu administrieren.

Mit Hilfe der von PSM unterstützten arbeitsteiligen Administration kann ein SAP-Administrator Berechtigungen definieren und diese den fachlichen PSM-Rollen zuordnen. Ein PSM-Benutzeradministrator kann jetzt diese Rollen gemäß den Stellenprofilen an alle Benutzer vergeben, die das SAP-System verwenden. Hierbei benötigt er keine SAP-Kenntnisse, sondern erledigt diese Aufgaben einheitlich mit der PSM-Administration, mit der er auch die Benutzer verwaltet.

PSM unterstützt neben SAP auch andere Produkte (z.B. Windows, Novell NDS oder Lotus Notes), die aber in der gleichen Art und Weise zentral administriert werden können. Durch diese Administration wird die Einarbeitung und Schulung für Administratoren verringert, da nicht mehrere Administrationsprogramme erlernt werden müssen. Außerdem ist so eine schnelle und vollständige Veränderung der Benutzerberechtigungen gewährleistet. Durch zentrale Auswertungen haben Administratoren jederzeit und in Echtzeit einen umfassenden Einblick in alle Systeme, deren Benutzer und vergebene Berechtigungen.

PSM verändert nicht die Software der integrierten Zielsysteme. Nach Entfernen eines Systems aus der zentralen PSM-Administration kann es ohne Informationsverlust wieder autonom administriert werden.

Kann ich Internetanwendungen integrieren?

Heute werden in immer größerer Zahl Internet-Anwendungen implementiert, die einen Zugriff auf dahinterliegende Systeme im Unternehmen ermöglichen. Die höhere Flexibilität und Kundenfreundlichkeit führt auf der anderen Seite zu einem Wegfall organisatorischer Schutzmaßnahmen (z.B. Ausweise und Zutrittskontrollen), die bisher für die Sicherheit unverzichtbar waren.

Durch Nutzung von PSM in diesen Anwendungen werden die derzeit oft durch Unübersichtlichkeit und unkomfortable Auswertungsmöglichkeiten existierenden Sicherheitslücken vermieden. Mit PSM ist sowohl ein integrierter Zugriffsschutz des Web-Portals als auch die Administration nachgelagerter Systeme (z.B. Datenbanken) möglich. Durch die rollenbasierte Administration von PSM sind Kenntnisse der Benutzeradministration des Server-Betriebssystems (z.B. Unix) nicht mehr notwendig. Es gibt auch eine strikte Trennung der PSM-Internet-Nutzer von den Benutzern des Server-Betriebssystems. Dadurch kann z.B. das PSM-Konto bei Bekanntwerden des Kennworts nicht für Anmeldungen am Server genutzt werden, was eine höhere Sicherheit gegen Einbrüche gewährt.

Parks Security Management (PSM) lässt sich in viele Web-Server-Architekturen integrieren, angefangen von PHP-Skripten bis hin zu javabasierten Anwendungs-Servern.

Gibt es eine Programmierschnittstelle?

Über eine Programmierschnittstelle, die in Form einer dynamischen Bibliothek (DLL) für Windows ausgeliefert wird, können die PSM-Funktionen zur Berechtigungsprüfung leicht in eigene Anwendungen integriert werden.

Diese Schnittstelle kann in allen Programmiersprachen verwendet werden, die Aufrufe von dynamischen Bibliotheken gestatten. Beispiele für diese Sprachen sind: C, C++, Visual Basic, Java, oder Delphi. Auch Entwicklungssysteme wie MS Access, Oracle Developer oder PowerBuilder können die Schnittstelle nutzen.

Soll PSM in eigenen Anwendungen verwendet werden, so muss an geeigneten Stellen eine einzige PSM-Schnittstellenfunktion zur Prüfung der Benutzerberechtigungen aufgerufen werden. Weiterer Programmieraufwand entsteht nicht.

Je nach Komplexität der Anwendung können verschiedene Verfahren verwendet werden. Einfache Programme benötigen vielleicht nur beim Start eine Prüfung der Berechtigung zur Nutzung des Programms, bevor die eigentlichen Programmfunktionen beginnen. Es besteht aber die Möglichkeit, an jeder beliebigen Stelle im Programm diese Prüfung einzubauen, einfach durch weitere Aufrufe der Schnittstellenfunktion. So können z.B. Menüs oder Schaltflächen in Dialogen aktiviert oder deaktiviert werden, um eine Nutzung je nach Berechtigung zu erlauben oder zu verhindern.

Die Entscheidung, wie umfangreich die Berechtigungsprüfungen implementiert werden, fällt ein PSM-Kunde selbst, je Anwendung nach individuellen Anforderungen.

Was ist Identity Management?

Als Identity Management werden alle Prozesse bezeichnet, die der Verwaltung von Anwendern in den verschiedenen IT-Systemen dienen.

Weiterlesen

Was ist Provisioning?

Provisioning umfasst alle Geschäftsprozesse zur Bereitstellung von Betriebsmitteln und Informationen an Mitarbeiter.

Weiterlesen

Wie funktioniert das rollenbasierte Berechtigungsmodell?

In einem rollenbasierten (RBAC-)Berechtigungsmodell werden Benutzer und Berechtigungen über Rollen miteinander verknüpft.

Weiterlesen