Identitätsspeicher dienen zur Speicherung von digitalen Identitäten. Digitale Identitäten sind digitale Repräsentationen von Entitäten, wie beispielsweise Benutzer oder auch Ressourcen eines Systems. Gespeichert wird in der Regel sowohl eine Kennung der Entität, als auch deren Attribute (beispielsweise Name, Rolle etc.) und ggf. Berechtigungsnachweise, wie Passwörter.
Realisiert werden kann ein Identitätsspeicher über verschiedene Möglichkeiten, beispielsweise als einfache Textdatei, als Datenbank oder auch speziell für diesen Zweck konzipierte Verzeichnisdienste. Letztere sind insbesondere für einen lesenden Zugriff optimiert, was bei einer großen Anzahl an abgespeicherten Entitäten und einer in der Regel seltenen Änderungsfrequenz der abgelegten Entitäten einer der Kernanforderungen von Identitätsspeicher ist. Die bekanntesten Verzeichnisdienste sind X.500 und LDAP (Lightweight Directory Access Protocol).
Die Speicherung von digitalen Identitäten ist keine so triviale Sache, sodass die verschiedensten Fragen bei der konkreten Umsetzung auftauchen. Zu klären ist beispielsweise, wer überhaupt für die Daten zuständig ist, wie eine Datenaktualität erreicht werden kann, wie es mit dem Datenschutz aussieht, ob es eine zentrale oder dezentrale Datenhaltung oder auch wie homogen bzw. heterogen die Lösung sein soll.
Nachfolgend sollen werden verschiedene Integrationsmöglichkeiten vorgestellt:
Zentrale Verzeichnisdienste
Verzeichnisdienste wurden ja bereits angesprochen. Sie punkten mit keiner redundanten Datenhaltung, keiner komplexen Synchronisation und auch keiner Inkonsistenz der abgespeicherten Daten. Nachteile sind aber auch vorhanden. So stellten zentrale Verzeichnisdienste einen Single Point of Failure dar, sodass ein Ausfall davon schwer wiegt. Damit verbunden ist der Verlust der Autarkie, da man Abhängig vom Betreiber dieses zentralen Identitätsspeichers ist, sofern man ihn nicht selbst betreibt. Natürlich sind solche Dienste auch ein beliebtes Angriffsziel, da hier Angreifer die Identitätsinformationen aller Nutzer auf einem Silbertablett geliefert bekommen.
Virtual Directory
Ein Virtual Directory kann man sich als eine Art „Middleware“ vorstellen, die durch einen Software-Layer einen einheitlichen Zugriff auf verteilte Identitätsdaten erlaubt. Identitätsdaten sind also nicht zentral an einer Stelle abgelegt, sondern auf verschiedenen Plattformen, deren Komposition das Virtual Directory übernimmt, sodass es von außen aussieht, als lägen alle Daten an einer Stelle.
Auch bei diesem Ansatz gibt es keine redundante Datenhaltung, außerdem werden lokale Authentifikationsmechanismen genutzt. Leider kann es aber vorkommen, dass die Datensätze zur Laufzeit nicht verfügbar sind, da diese immer dynamisch geholt werden. Auch gibt es keine Synchronisationsfunktionalität.
Meta Directory
Ein Meta Directory greift die beim Virtual Directory genannten Nachteile auf. Beim Meta Directory werden Identitätsdaten von anderen Verzeichnisdienste zentral zusammengefasst. Darüber hinaus findet eine Synchronisation zwischen diesem Meta Directory und den anderen Verzeichnisdiensten statt. Als Vorteile hat man hier eine gute Suchperformance, muss aber evtl. auch Synchronisationsverzögerungen hinnehmen.
Provisioning-System
Ein Provisioning-System dient zur Anlage, Pflege, Synchronisation und dem Entfernen von verteilten Identitätsdaten. Der Vorteil ist hier der Datenschutz, da die Identitätsdaten nicht zentral gespeichert werden. Dafür gibt es aber natürlich auch keine zentrale aggregierte Sicht. Übrigens kann aus einem Provisioning-Ansatz auch ein Meta-Directory entstehen. Dann nämlich, wenn ein Service alle Informationen benötigt.
Quellen und Verweise
- Dinger, Jochen; Hartenstein, Hannes (2008): Netzwerk- und IT-Sicherheitsmanagement – Eine Einführung. Karlsruhe 2008.