Konzepte zur Authentication Assurance und Multi-Faktor-Authentifizierung im föderierten Identitätsmanagement

Konzepte zur Authentication Assurance und Multi-Faktor-Authentifizierung im föderierten Identitätsmanagement

Federated Identity Management (FIM) decouples the management of identities and the access to services by means of a delegated identity management. The benefits that arise from a user perspective are reflected in an improved ease-of-use given that there is only one digital identity needed to access several services but also the ability to log on once (i.e. Single Sign On) to prevent users having to authenticate to each and every service individually. The big five technology players which are subsumed under GAFAM have already set an example for us and the usage of such technologies will also play an increasingly important role in the future. Hence, in lieu of Service Providers (SPs) implementing their own identity management they approach the so called Identity Provider (IDP) of the user. In a similar way, highly distributed federations comprising IDPs and SPs (e.g. universities, research institutes) and users have been established in research and education which operate on a global scale. In this context, Trust and Trust Management are important aspects as Service Providers will only let users access their services or resources if the user's identity and authentication has sufficiently been proofed or performed, respectively. The main focus in this thesis lies in authentications, i.e. the verification of the authenticity of an entity or subject, and thus leads to the specification of concepts dealing with authentication assurance and multi factor authentications in FIM. Authentication assurance represents the quality, or more precisely, the degree of confidence of authentications performed, while multi factor authentication (MFA), in turn, enables the strengthening of existing authentication mechanisms by introducing multiple authentication factors. Thus, both concepts are closely linked. In this thesis, a holistic architecture is developed which comprises an authentication assurance concept for the purpose of information and knowledge exchange as well as an MFA workflow to support IDPs which cannot operate their own MFA solution. Additionally, by specifying auxiliary concepts this thesis also contributes to a high level of practical relevance. After investigating representative FIM scenarios, a comprehensive requirements analysis is carried out which results in classified and weighted requirements aggregated in a requirements catalogue. Based on that, modular concepts are specified as part of an architecture and demonstrated how they can be used in a coordinated manner. The thesis continues with an evaluation and prototypical implementation of selected concepts and concludes with a transfer of concepts to a real-world authentication scenario., Föderiertes Identitätsmanagement (FIM) ermöglicht anhand einer delegierten Benutzerverwaltung die Entkopplung zwischen zu nutzendem Dienst und dem Management von Identitäten. Die Vorteile, die aus Benutzerperspektive entstehen, sind neben einer verbesserten Benutzerfreundlichkeit - aufgrund der Tatsache, dass ein Benutzer nur noch eine digitale Identität zum Zugriff auf zahlreiche Dienste benötigt - zusätzlich die Möglichkeit einer Einmalanmeldung (engl. Single Sign On), sodass sich ein Benutzer bei den jeweiligen Diensten nicht zusätzlich erneut anmelden muss. Derartige Konstrukte kennen wir bereits von den großen Technologie-Unternehmen, subsumiert unter dem Begriff GAFAM, und werden auch in Zukunft aufgrund der zunehmenden Digitalisierung eine immer größere Rolle spielen. Die in diesem Kontext als Service Provider (SP) bezeichneten Dienstanbieter müssen demnach keine eigene Benutzerverwaltung mehr implementieren, sondern kontaktieren den sogenannten Identity Provider (IDP) eines Benutzers. Auch in der Forschung und Lehre haben sich hochverteilte Föderationen zwischen IDPs und SPs (z.B. Universitäten, Forschungsinstitute) sowie Benutzern etabliert und verknüpfen diese weltweit. Ein wichtiger Aspekt stellt in diesem Zusammenhang das Vertrauen (engl. Trust Management) dar, da ein Service Provider nur Zugriff auf seinen Dienst bzw. seine Ressourcen gewähren wird, wenn sich dieser sicher sein kann, dass ein Benutzer mit einer bestimmten Qualität identifiziert und authentifiziert wurde. Der Schwerpunkt dieser Arbeit ist die Authentifizierung, d.h. die Überprüfung der Echtheit einer Entität bzw. Subjekts, weswegen im Rahmen dieser Arbeit Konzepte zur Authentication Assurance und Multi-Faktor-Authentifizierung (MFA) in FIM entwickelt werden. Die Authentication Assurance beschreibt dabei die Verlässlichkeit bzw. den Grad des Vertrauens durchgeführter Authentifizierungen, während mit Hilfe einer Multi-Faktor-Authentifizierung vorhandene Authentifizierungsmechanismen gegen unrechtmäßige Nutzung stärker geschützt werden können. Die beiden Konzepte stehen somit in engem Zusammenhang. Im Rahmen dieser Arbeit wird eine Architektur erarbeitet, die neben einem übergreifenden Authentication-Assurance-Konzept zum Informations- und Wissensaustausch ebenfalls einen MFA-Workflow spezifiziert, um Identity Provider, die keine eigene MFA-Lösung betreiben können, zu unterstützen. Durch die Spezifikation unterstützender Konzepte ist die Arbeit ebenfalls von hoher Praxisrelevanz, da Anleitungen und Hilfestellungen in diesem Zusammenhang bereitgestellt werden. Zu Beginn der Arbeit werden zunächst repräsentative Szenarien betrachtet und auf Basis einer umfassenden Analyse Anforderungen abgeleitet, klassifiziert und gewichtet. Darauf aufbauend werden mittels einer Architektur erforderliche Komponenten und Konzepte eingeordnet und aufgezeigt, wie diese aufeinander abgestimmt verwendet werden können. Nach einer Evaluation und prototypischen Implementierung ausgewählter Konzepte schließt die Arbeit mit einer methodischen Anwendung innerhalb eines realen Authentifizierungsszenarios ab.

Not available

04. Apr. 2022

2022

Deutsch

https://nbn-resolving.org/urn:nbn:de:bvb:19-301351