Viele Reseller bieten inzwischen intern und extern bereitgestellte Public Cloud Services an, doch ihre Kunden zögern aufgrund von Bedenken bezüglich der Sicherheit ihrer sensiblen und geschäftskritischen Daten. Aktuelle Lösungen auf Basis von WS-Standards gewährleisten nicht nur einen hohen Zugriffsschutz, sondern auch einen einfachen, übergreifenden Zugang zu diversen Angeboten.
Von Uwe Wöhler (Senior Consultant Information Security bei Computacenter)
Die Zukunftsvision für Reseller klingt verlockend: Sie fungieren als Treuhänder, um verschiedenen Unternehmen einer Branche die gemeinsame Nutzung von Public Cloud Services zu ermöglichen. So könnten Auto-Hersteller Datenbanken von Zulieferern nutzen, Versicherungen spezielle Risikokalkulatoren beziehen oder Energieversorger auf exakte Wetterprognosen für Windstärke und Sonnenscheindauer zugreifen.
Rechtevergabe und Kontrolle
Doch gerade das gegenseitige Vertrauen zwischen Unternehmen und Daten- oder Leistungsanbieter stellt derzeit eine große Hürde dar. Es stellt sich die Frage, wer die Kontrolle über Benutzerdaten und Rollenzuteilungen hat.
Hier können Dienstleister über neutrale, standardbasierte Zugangsmethoden sowie Rechtevergabe und -kontrolle vermitteln. Sie legen durch entsprechende Abkommen fest, welche Rollen anzumelden und welche Identitäten nachzuweisen sind sowie wohin Benutzerdaten geschickt werden. Dazu müssen sie für die Anmeldung über ein Federation-Protokoll einen gemeinsamen Standard sowie gemeinsame Schlüsselsätze für die elektronische Signatur definieren. Die Vereinbarung der Rollen und Rechte erfolgt durch einen "Federation Trust".
Sind die Festlegungen durchgeführt, authentisiert sich der Mitarbeiter wie üblich an den Unternehmenssystemen. Greift er über die Cloud auf Anwendungen zu, wird über den Federation Service eine signierte XML-Datei erzeugt, die Name, Gruppe und Rolle des Mitarbeiters enthält. Der Anmeldeserver beim Provider prüft die elektronische Signatur und die Zielanwendung liest die Namen und Rollen aus. Dabei werden die unternehmensspezifischen Rollen in der XML-Datei wie "Mitarbeiter im Vertrieb" in lokale Rollen am Anmeldeserver wie "zertifizierter Einkäufer" übersetzt. Damit erhält der Mitarbeiter die entsprechenden Rechte für die Anwendung.
Automatisierte Authentisierung dank WS-Federation
Für diesen Datenaustausch lässt sich der von OASIS (Organization for the Advancement of Structured Information Standards) entwickelte Standard WS-* einsetzen. Der darauf basierende Übertragungsstandard WS-Trust dient zum Austausch von Identifizierungsinformationen und das WS-Federation-Protokoll zur Vereinbarung verschiedener Rechte zwischen Unternehmen.
Viele Anbieter wie Salesforce, Oracle oder Apple, Produkte wie Office 365 und SharePoint oder öffentliche Identity Provider wie Google ID, Facebook ID oder Windows Live ID nutzen bereits den Standard.
Aufgrund der Kompatibilität kann zum Beispiel ein Anwender mit seiner Facebook ID auch dafür freigeschaltete Unternehmensangebote nutzen. Bei der Anmeldung wird er gefragt, welche persönlichen Daten er für welche Services freigeben und auf welche Dienste er damit zugreifen will. Entsprechend überträgt die Anwendung nur die benötigten Informationen wie Name, E-Mail oder Adresse.
Bei B2B-Anwendungen erledigt der Administrator diese Vorgaben und die Anmeldung erfolgt für den Mitarbeiter automatisch. So können Reseller den Unternehmen einfach, sicher und günstig übergreifende Zugänge zu Cloud-Services anbieten. (rb)