Thorsten Höllrigl

Towards Systematic Engineering of Service-Oriented Access Control in Federated Environments

The success of service-oriented architectures (SOAs) and the Web Service technology in fulfilling the businesss needs for inter-enterprise processes led to new challenges for security management in federated environments. Because of the predominant aspect of loose coupling in a SOA the issue of where to locate the processes of authentication and authorization, forming together the access control, a vital part of security management, has to be addressed during the design of access control systems. In the area of tension between local, service-oriented, and federated approaches for access control architectures we identify several essential dimensions, e.g. scalability and maintenance, for evaluating access control architectures. Due to the challenges of quantifying the metrics we propose a ranking system as it is widely used in risk assessment. We examine existing access control architectures and evaluate the different approaches based on our evaluation dimensions. The results of the performed evaluation will guide the design decisions of an organization fulfilling its security requirements in requirements engineering and software design. A case study illustrates how the evaluation criteria serve as a pattern to establish an organizations access control to secure Web Services.

Föderatives und dienstorientiertes Identitätsmanagement: Konzept und Erfahrungen

ZUSAMMENFASSUNG Dieser Artikel beschreibt die Architektur eines integrierten Identitätsmanagements an einer Universität. Der beschriebene Ansatz basiert auf der Sicht der Universität als Föderation organisatorischer Einheiten und auf dem Prinzip der Dienstorientierung. Die Datenhaltung von Identitätsinformation erfolgt dezentral, wobei lediglich Abbildungsinformation, die für das “in Beziehung setzen” von Identitätsinformation zwischen den organisatorischen Einheiten notwendig ist, zentral vorgehalten wird, wenn dies vom Nutzer gewünscht wird. Der Aufbau eines solchen Systems und die technische Realisierung, welche klassische Identitätsmanagementkomponenten mit einem modernen, auf Web Services basierenden Ansatz vereint, werden anhand der Umsetzung an der Universität Karlsruhe beschrieben.