Open Source-Tipp

Generalschlüssel

Ein Federated-Identity Management (FAM) Framework hebt das Single-Sign-on-Konzept auf die nächste Stufe und verbindet unterschiedliche Security-Realms miteinander. Das Ipsilon-Framework aus dem Fedora-Projekt ist eine solche FAM-Lösung und ist vor kurzem in Version 1.0 erschienen.
Administratoren sind oft mit sich wiederholenden Abläufen beschäftigt, die sich leicht automatisieren lassen. Damit bleibt Zeit für wichtigere Aufgaben und ... (mehr)

Benutzeridentitäten und die damit verbundenen Attribute stehen meistens nur innerhalb eines Security-Realms, etwa eines Unternehmens, zur Verfügung. Bei der Zusammenarbeit von Unternehmen ist es jedoch oft notwendig, dass Mitarbeiter aus einer Firma auf Anwendungen einer anderen zugreifen. Dies wird üblicherweise mit einer Anmeldung an der dortigen Anwendung realisiert.

Schöner wäre es aber, wenn der Benutzer für die Anmeldung das gleiche Konto verwenden könnte, mit dem er sich auch im eigenen Netzwerk anmeldet, ohne dass hierfür die Anwendung des anderen Unternehmens einen direkten Zugriff auf den eigenen Identity-Store erhält. Damit entfiele die Notwendigkeit, eine zusätzliche Datenbank mit Konten externer Personen einrichten zu müssen, auf die die Anwendung bei der Anmeldung dann zurückgreift.

Hierzu ist eine Vertrauensstellung zwischen den unterschiedlichen Security-Realms aufzubauen, sodass Benutzer aus dem einen Realm auf Ressourcen des anderen Realms zurückgreifen können. Bei diesem Zugriff kümmert sich ein Identity-Provider (IdP) dann darum, den Benutzer über den eigenen Identity-Store zu authentifizieren. Die Anwendung im anderen Security-Realm, in diesem Zusammenhang auch Service-Provider (SP) genannt, bekommt im Anschluss dann nur noch eine Bestätigung präsentiert, ob der Benutzer erfolgreich authentifiziert wurde und somit ein Zugriff gestattet ist (Bild 1). Welche Informationen des Benuters zur Verfügung gestellt werden, entscheidet der Identity-Provider selbst. Somit ist sichergestellt, dass nicht sämtliche Attribute eines Benutzerkontos in externen Anwendungen sichtbar sind.

Das Konzept dürfte auch den Benutzern von Social Media-Websites bekannt sein. Beispielsweise bieten Internetriesen wie Facebook oder Google solche Authentifizierungsdienste an. Somit ist dann beispielsweise der Zugriff auf eine bestimmte öffentliche Webanwendung mit dem eigenen Google- oder Facebook-Konto möglich, ohne über ein Konto

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite