Federated Identity Management

Chapter

Zusammenfassung

Federated Identity Management (FIdM) stellt einen Ansatz zum Austausch vertraulicher Ressourcen zwischen verschiedenen Parteien in ungleichen Umgebungen dar. Solche Umgebungen sind z. B. dann gegeben, wenn über Unternehmensgrenzen mit Benutzerinformationen hinweg gehandelt werden muss. Die Anwendungsszenarien sind dabei vielfältig und reichen von kleinen Service-Anbietern im Internet, bis hin zu unternehmenskritischen Geschäftsbereichen in weltweit agierenden Unternehmen. Eine wichtige Eigenschaft in diesem Zusammenhang ist die des sogenannten Single Sign-On (SSO), bei dem der Benutzer in die Lage versetzt wird, mit mehreren Diensten zu agieren, sich jedoch nur ein einziges Mal zu Beginn authentifizieren muss. Föderations-Technologien erfüllen hierbei im Wesentlichen zwei wichtige Aufgaben: 1. Service-Provider sind in der Lage, Benutzer, die durch eine andere Partei, den Identity-Provider, authentifiziert wurden, auf sichere und standardisierte Art und Weise zu identifizieren [S08]. 2. Identitäts-Föderationen erlauben eine Delegation von Identitätsaufgaben zwischen bzw. über verschiedene Sicherheitsdomänen hinweg [MR08]. Balasubramaniam et al. identifizierte folgende funktionalen Anforderungen, die ein Identitätsmanagement zu erfüllen hat: Bereitstellung von Identitäten (Provisioning), Authentifizierung und Autorisierung, Speicherverwaltung, Indexierung von Identitätsinformationen, Zertifizierung von Identitäten sowie Credentials, Single Sign-On/single Sign-Off sowie Auditierung [BLM + 09]. Weiterhin muss ein Identitätsmanagement dafür Sorge tragen, dass Identitäten zum richtigen Zeitpunkt dem richtigen Service verfügbar gemacht werden. Ein weiterer wichtiger Aspekt wird vor allem in letzter Zeit immer dringlicher, da Fälle von Identitätsdiebstahl und den damit zusammenhängenden Missbrauch in den letzten Jahren kontinuierlich zugenommen haben. Aus diesem Grund muss es auch die Aufgabe eines guten Identitätsmanagementsystems sein, sich mit diesem Problem auseinanderzusetzten und für ein hohes Maß an Sicherheit und Datenschutz zu sorgen. Neben diesen funktionalen sowie sicherheits- und datenschutzrelevanten Aspekten gehört die Benutzbarkeit sicherlich zu den großen Herausforderungen, die es beim Konzipieren eines solchen Systems zu meistern gilt. Gelingt es, die Balance dieser drei Bereiche ideal aufeinander abzustimmen, so ist man dem Ziel sicherlich einen Schritt näher gekommen, ein perfektes Identitätsmanagementsystem zu entwerfen. Auf dem Markt existieren inzwischen etliche Lösungen, die sowohl kommerzieller Natur sind als auch als Open Source Varianten vorliegen. All diese Produkte unterscheiden sich bezüglich der drei erwähnten Aspekte, richten jedoch ihren Fokus auch auf unterschiedlichste Gegebenheiten, Zielgruppen und Voraussetzungen aus.

Literatur

  1. [B00]
    Brands S (2000) Rethinking Public Key Infrastructures and Digital Certificates. MIT Press, Cambridge/MA, LondonGoogle Scholar
  2. [B02]
    Bishop MA (2002) Computer Security: Art and Science. Macmillan Technical Publishing, IndianapolisGoogle Scholar
  3. [BAK11]
    Bicakci K, Atalay NB, Kiziloz HE (2011): Johnny in Internet Café: User Study and Exploration of Password Autocomplete in Web Browsers; Proceedings of the 7th ACM Workshop on Digital Identity Management (DIM’11). Chicago, Illinois, USA, S. 33–42.Google Scholar
  4. [BLM +09]
    Balasubramaniam S, Lewis GA, Morris E et al. (2009) Identity Management and its Impact on Federation in a System-of-Systems Context. In: Proceedings of the 3rd annual IEEE Systems Conference- BC, Vancouver, S. 179–182.Google Scholar
  5. [BSB07]
    Bertocci V., Serack G, Baker C (2007) Understanding Windows CardSpace: An Introduction to the Concepts and Challenges of Digital Identities. 1st edn, Addison-Wesley Professional, Boston/MAGoogle Scholar
  6. [BT10]
    Bertino E, Takahashi K (2010) Identity Management-Concepts, Technologies, and Systems; Artech House, Boston/MA, LondonGoogle Scholar
  7. [C02]
    De Clercq J (2002) Single Sign-On Architectures. Proceedings of the International Conference on Infrastructure Security (InfraSec’02), S. 40–58.Google Scholar
  8. [C06]
    Chappell D (2006) Introducing Windows CardSpace; Microsoft, Redmond. http://msdn.microsoft.com/en-us/library/aa480189.aspx
  9. [C85]
    Chaum D (1985) Security without Identification: Transaction Systems to make Big Brother obsolete. Communications of the ACM 28/10: 1030–1044.Google Scholar
  10. [CFR11]
    Camenisch J, Fischer-Hübner S, Rannenberg K (2011) Privacy and Identity Management for Life. Springer, HeidelbergCrossRefGoogle Scholar
  11. [CJ06]
    Cameron K, Jones MB (2006) Design rationale behind the Identity Metasystem Architecture, http://www.identityblog.com/wp-content/resources/design_rationale.pdf. [Zugegriffen: 11. Feb. 2013]
  12. [CL01]
    Camenisch J, Lysyanskaya A (2001) An Efficient System for Non-transferable Anonymous Credentials with Optional Anonymity Revocation. Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques: Advances in Cryptology (Eurocrypt’01). Springer, Innsbruck. LNCS 2045, S. 93–118Google Scholar
  13. [D02]
    Douceur JR (2002) The Sybil Attack; International Workshop on Peer-To-Peer Systems. Cambridge. Revised Papers from the First International Workshop on Peer-to-Peer Systems (IPTPS’02). Cambridge, MA, USA, 2002, S. 251–260.Google Scholar
  14. [DKR08]
    Dalsgaard E; Kjelstrøm K, Riis J (2008) A Federation of Web Services for Danish Health Care; Proceedings of the 7th symposium on Identity and Trust on the Internet (IDtrust’08). Gaithersburg, Maryland, USA, S. 112–121Google Scholar
  15. [E08]
    Epstein J. (2008) Security Lessons Learned from Société Générale. IEEE Security & Privacy 6/3: 80–82.Google Scholar
  16. [FH07]
    Florencio D, Herley C (2007) A large-scale Study of Web Password Habits; Proceedings of the 16th International Conference on World Wide Web (WWW’07). Banff Alberta, CanadaGoogle Scholar
  17. [GJ11]
    Grawemeyer B, Johnson H (2011): Using and Managing Multiple Passwords: A week to a View; Interacting with Computers, 23/3: 256–267.Google Scholar
  18. [HT09]
    Horcher AM, Tejay GP (2009) Building a better Password: The Role of cognitive Load in Information Security Training. Proceedings of the 2009 IEEE International Conference on Intelligence and Security Informatics (ISI’09). Richardson, Texas, USA, S 113–118Google Scholar
  19. [M05]
    Moses T (2005) eXtensible Access Control Markup Language (XACML) Version 2. 0; OASIS, Feb 2005Google Scholar
  20. [MR08]
    Maler E, Reed D (2008) The Venn of Identity: Options and Issues in Federated Identity Management. IEEE Security & Privacy 6(2): 16–23CrossRefGoogle Scholar
  21. [MT79]
    Morris R, Thompson K (1979) Password security: a case history. Communications of the ACM 22/11: 594–597.Google Scholar
  22. [OA03]
    Mishra P (2003) Differences between OASIS Security Assertion Markup Language (SAML) V1. 1 and V1.0, http://www.oasis-open.org/committees/download.php/3412
  23. [PH10]
    Pfitzmann A, Hansen M (2010) A Terminology for Talking about Privacy by Data Minimization (v0. 34). TU Dresden and ULD Kiel. http://dud.inf.tu-dresden.de/Anon_Terminology.shtml
  24. [PHLSP06]
    Borcea-Pfitzmann K, Hansen M, Liesebach K et al. (2006) What User-controlled Identity Management should learn from Communities. Information Security Technical Report 11(3): 119–128CrossRefGoogle Scholar
  25. [PM03]
    Pashalidis A, Mitchell CJ (2003) A Taxonomy of Single Sign-on Systems. Proceedings of the 8th Australasien Conference on Information Security and Privacy (ACISP’03). Wollongong, Australia, S 249–264Google Scholar
  26. [PWP00]
    Pfitzmann B, Waidner M, Pfitzmann A (2000) Secure and Anonymous Electronic Commerce: Providing Legal Certainty in Open Digital Systems Without Compromising Anonymity. IBM Research Report RZ 3232 (#93278). ZurichGoogle Scholar
  27. [R08]
    Ragouzis N et al. (2008) Security Assertion Markup Language (SAML) V2. 0 Technical Overview; OASIS, March 2008Google Scholar
  28. [RF07]
    Recordon D, Fitzpatrick B (2007). OpenID authentication 2.0. http://openid.net/specs/openid-authentication-2_0.html. [Zugegriffen: 18. Feb. 2013]
  29. [RR06]
    Recordon D, Reed D (2006) OpenID 2. 0: A Platform for User-centric Identity Management; Proceedings of the 2nd ACM Workshop on Digital Identity Management (DIM’06). Alexandria, Virginia, USA, S 11–16Google Scholar
  30. [S08]
    Smith D (2008) The Challenge of Federated Identity Management; Network Security (4): 7–9Google Scholar
  31. [SAD + 11]
    Sanchez-Guerrero S, Almenarez F, Diaz-Sanchez D et al. (2011) Improving Privacy in Identity Management Systems for Health Care Scenarios; Proceedings of the 5th International Symposium of Ubiquitous Computing and Ambient Intelligence (UCAMI’11). Riviera Maya, MexicoGoogle Scholar
  32. [SBHB10]
    Sun ST, Boshmaf Y, Hawkey K et al. (2010) A billion keys, but few locks: the crisis of web single sign-on; Proceedings of the 2010 workshop on New security paradigms (NSPW’10). Concord, Massachusetts, USA, S 61–72Google Scholar
  33. [SHB10]
    Sun ST, Hawkey K, Beznosov K (2010) OpenIDemail enabled Browser: Towards fixing the broken Web Single Sign-on Triangle. Proceedings of the 6th ACM Workshop on Digital Identity Management (DIM’10). Chicago, Illinois, USA, S 49–58Google Scholar
  34. [SPM10 +]
    Sun ST, Pospisil E, Muslukhov I et al. (2010) A Billion Keys, but few Locks: The Crisis of Web Single Sign-on. Proceedings of the 2010 Workshop on New Security Paradigms (NSPW’10). Concord, Massachusetts, USAGoogle Scholar
  35. [SPM11 +]
    Sun ST, Pospisil E, Muslukhov I et al. (2011) What Makes Users Refuse Web Single Sign-On? An empirical Investigation of OpenID; Proceedings of the 7th Symposium on Usable Privacy and Security (SOUPS’11). Pittsburgh, PH, USAGoogle Scholar
  36. [SSTC05]
    OASIS Security Services Technical Committee (SSTC) (2005) Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0, 2005. http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf

Copyright information

© Springer-Verlag Berlin Heidelberg 2013

Authors and Affiliations

  1. 1.Technische Universität DarmstadtDarmstadtDeutschland
  2. 2.Technische Universität DarmstadtDarmstadtDeutschland

Personalised recommendations