Folien des Vortrags

Weitere Magazine

Empfehlungen

Info

A-1: Authentifikation • Sitzungsmanagement, Sitzungsverfolgung -Session time-out: Festlegung einer maximalen Sitzungsdauer -Idle time-out: Inaktive Sitzungen werden verworfen -Sitzungsbasierte Aktivitätsverfolgung • Anonyme Benutzer -Anonyme Benutzer können ohne explizite Authentifikation zugreifen -Die Sitzungen anonymer Benutzer sollten unterschieden werden können • Cross-domain single sign-on -Benutzer sollen auf verschiedene Ressourcen, selbst in unterschiedlichen Domains, ohne neue Anmeldung zugreifen können -Lösungen: Session-Cookies, URL-Rewriting • Integration mit existierender Infrastruktur -LDAP-Zugriff -API für Integration mit bestehenden Anwendungen 16
A-2: Autorisierung 17 • Deklaratives Access-Control Management oder programmatischer Zugriffsschutz? -Aufrufe aus der Programmlogik (z.B. isCallerInRole()) -Deklaratives AC-Management (Deployment-Deskriptoren) -Trennung von Business-Logik und Security-Logik empfehlenswert • Access-Control-Lists (ACL) oder komplexe Strukturen? -Die Auswirkungen von ACLs sind (meist) klar und überschaubar -Die Bewertung der Wirksamkeit einer Gesamtpolicy ist schwer -Graphbasierte/Rollenbasierte Verfahren erlauben die kompakte Modellierung komplexer Rechtesysteme, haben aber eine flachere Lernkurve -Die Beurteilung der Wirksamkeit einer Gesamtpolicy ist einfacher • Schutz heterogener Umgebungen -Zentrale/verteilte bzw. standardisierte/proprietäre Zugriffskontrolle -API-Zugriffsmöglichkeiten aus diversen Plattformen (Betriebssysteme, Application-Server, Agenten etc.) • Personalisierung -Ermittlung von Rechteprofilen
Seite 1 und 2: Access Control Management Dr. Andre
Seite 3 und 4: NorCom Historie • 1989 von Viggo
Seite 5 und 6: Konzernentwicklung Mitarbeiter Umsa
Seite 7 und 8: 7 Auszug aus der aktuellen Kundenli
Seite 9 und 10: Trends der IT-Sicherheit Gestern Mo
Seite 11 und 12: Angriffe: Die Realität • 80% all
Seite 13 und 14: VERTRAUEN ist Grundvoraussetzung! G
Seite 15: A-1: Authentifikation • Zugriffss
Seite 19 und 20: A-4: Administration • Leichte Bed
Seite 21 und 22: Access-Control-Modelle RBAC und Co.
Seite 23 und 24: Vier Musketiere - ohne RBAC Porthos
Seite 25 und 26: Related work • Role-Based Access
Seite 27 und 28: Argumente für RBAC • Im RBAC ist
Seite 29 und 30: Objektrelationen im Butterfly-Model
Seite 31 und 32: Vergleich RBAC-Butterfly 31 Objekte
Seite 33 und 34: Abläufe im Application Server Web
Seite 35 und 36: J2EE-Security-Terminologie • Prin
Seite 37 und 38: Schutzmöglichkeiten nach J2EE •
Seite 39 und 40: Schutzmöglichkeiten nach J2EE •
Seite 41 und 42: Lokalisierung der Security-Definiti
Seite 43 und 44: Lösungsansätze für Access-Contol
Seite 45 und 46: Realisierung NorCom NGS BeanGuard
Seite 47 und 48: Technische Realisierung des Butterf
Seite 49 und 50: Konfigurationsbeispiel Browser Web
Seite 51 und 52: Schützbare EJB-Ressourcen in BeanG
Seite 53 und 54: Bean-Komponenten-Modellierung • E
Seite 55 und 56: Suche zur Identifikation modelliert
Seite 57 und 58: Geplante Entwicklungen Die nächste
Seite 59 und 60: Stichworte zur weiteren Produktentw

Folien des Vortrags

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?