Bundesamt für Sicherheit in der Informationstechnik

M 4.460 Einsatz von Federation Services

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-Sicherheitsbeauftragter

Wesentliches Merkmal von Federation Services ("Verbunddiensten") ist die Trennung zwischen Authentisierung und Autorisierung. Für Federation Services spielen der sogenannte Identity Provider und der Service Provider eine wesentliche Rolle. Der Identity Provider übernimmt die Authentisierung des Benutzers, beim Service Provider erfolgt die Autorisierung. Zwischen Identity Provider und Service Provider muss eine explizite Vertrauensstellung eingerichtet werden.

Der Einsatz von Federation Services bietet eine Möglichkeit zur Absicherung der Cloud-Nutzung durch gesicherte Übertragung von Claims-Token (verifizierte, zentral ausgestellte Aussagen zur Identität eines Benutzers), häufig auch Authentisierungstoken genannt. Dabei können die Benutzerinformationen (zum Beispiel Benutzername) oder andere Informationen zur Identifizierung eines Mitarbeiters auch über Unternehmensgrenzen hinweg sicher übertragen werden.

Nur durch die beschriebene Vertrauensstellung kann gewährleistet werden, dass der Service Provider die vom Identity Provider ausgestellten Claims-Token akzeptiert. Sollen Federation Services zum Einsatz kommen, übernimmt die Institution als Cloud-Anwender dabei die Rolle des Identity Providers.

Mitarbeiter, die einen Cloud Service in Anspruch nehmen wollen, melden sich dazu zunächst am zentralen Verzeichnisdienst an und erhalten in der Folge ein Ticket (zum Beispiel Kerberos-Ticket), mit dessen Hilfe sie sich für festgelegte Dienste authentisieren können. Die Anforderung zur Nutzung eines bestimmten Cloud-Dienstes wird in der Folge vom Federation Server der nutzenden Institution in ein sogenanntes SAML-Ticket umgewandelt.

SAML steht dabei für Security Assertion Markup Language und stellt einen Standard für die Gestaltung von Tokens dar. Das auf diesem Weg erzeugte Token wird an den Federation Server des Cloud-Diensteanbieters übertragen. Dieser entpackt das SAML-Ticket, verifiziert die Unterschrift vom Federation Server des Cloud-Anwenders und leitet die Inhalte an die Anwendung weiter. Bei Nutzung von Federation Services sollte SAML ab Version 2.0 eingesetzt werden.

Da die Institution wie beschrieben als Identity Provider agiert, geht die Verantwortung für die ordnungsgemäße Authentisierung der Benutzer auf diese über. Die Verantwortlichen innerhalb der nutzenden Institution müssen sicherstellen, dass lediglich berechtigten Benutzern ein SAML-Ticket ausgestellt wird. Auch die weitergehenden Berechtigungen, die nach erfolgreicher Authentisierung an die Anwendung übergeben werden, sollten sorgfältig definiert und regelmäßig überprüft werden. Benutzern sollten nur Berechtigungen zugewiesen werden, die diese auch tatsächlich zur Erfüllung ihrer Aufgaben benötigen.

Die Übernahme der Verantwortung für die Authentisierung ihrer Benutzer bei der Nutzung von Cloud Services bringt gleichzeitig eine Reihe von Vorteilen für die nutzende Institution mit sich. So ist beispielsweise die Umsetzung einer institutionsweiten Passwortrichtlinie unabhängig von möglicherweise abweichenden Vorgaben des Cloud-Diensteanbieters möglich. Außerdem liegt die Hoheit über die Berechtigungsvergabe allein bei der nutzenden Institution. Bei sorgfältiger Konfiguration des zentralen Verzeichnisdienstes können unberechtigte Zugriffe, beispielsweise durch ehemalige Mitarbeiter, wirksam ausgeschlossen werden, ohne dabei auf die Mitwirkung des Cloud-Diensteanbieters angewiesen zu sein.

Aufgrund dieser Vorteile für die nutzende institution und die Möglichkeit zur einfacheren Bereitstellung von Services durch den Cloud-Diensteanbieter werden Federation Services daher bereits in großem Umfang von Cloud Services unterstützt.

Sollen bei einem Cloud-Nutzungs-Vorhaben Federation Services zum Einsatz kommen, ist dies im Rahmen der Vertragsverhandlungen mit dem Cloud-Diensteanbieter zu berücksichtigen (siehe hierzu Maßnahme M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter ). In der Regel stellt der Cloud-Diensteanbieter der nutzenden Institution zusätzlich Informationen bezüglich notwendiger Konfigurationsparameter für deren Federation Server zur Verfügung. Bei der Festlegung der Konfigurationsparameter und der im SAML-Ticket zu übertragenden Informationen sollte die Institution darauf achten, dass nach Möglichkeit nur die erforderlichen Informationen an den Cloud-Diensteanbieter übertragen werden. Eine umfassende Replikation weitreichender und nicht erforderlicher Informationen aus dem Verzeichnisdienst, wie zum Beispiel Telefonnummern, sollte vermieden werden.

Prüffragen:

  • Ist sichergestellt, dass nur die erforderlichen Informationen in dem sogenannten SAML-Ticket an den Cloud-Diensteanbieter übertragen werden?

  • Werden die Benutzerberechtigungen regelmäßig geprüft und wird sichergestellt, dass lediglich berechtigten Benutzern ein SAML-Ticket ausgestellt wird?

Stand: 14. EL Stand 2014