Graphbasierte Zugriffskontrolle
Graph-based Access Control ( GBAC ) ist eine deklarative Methode, um Zugriffsrechte, Aufgabenzuweisungen, Empfänger und Inhalte in Informationssystemen zu definieren. Die Zugriffsrechte werden Objekten wie Dateien oder Dokumenten, aber auch Geschäftsobjekten wie einem Account gewährt. Es kann auch für die Zuordnung von Agenten zu Aufgaben in Workflow-Umgebungen verwendet werden. Organisationen werden als eine spezielle Art von semantischen Graphen modelliert, die die Organisationseinheiten, die Rollen und Funktionen sowie die menschlichen und automatischen Agenten (zB Personen, Maschinen) umfassen. Im Vergleich zu anderen Ansätzen wie der rollenbasierten Zugriffskontrolle oder der attributbasierten Zugriffskontrolle besteht der Hauptunterschied darin, dass in GBAC Zugriffsrechte mithilfe einer organisatorischen Abfragesprache anstelle einer vollständigen Aufzählung definiert werden.
Inhalt
- 1 Geschichte
- 2 Definition
- 2.1 Organigramm
- 2.2 Abfragesprache
- 3 Umsetzung
- 4 Siehe auch
- 5 Referenzen
Geschichte
Die Grundlagen von GBAC gehen auf ein Forschungsprojekt namens CoCoSOorg (Configurable Cooperation System) [] (in englischer Sprache siehe ) an der Universität Bamberg zurück. In CoCoSOorg wird eine Organisation als semantischer Graph dargestellt und eine formale Sprache verwendet, um Agenten und ihre Zugriffsrechte in einer Workflow-Umgebung zu spezifizieren. Im Rahmen des C-Org-Projekts am Institut für Wirtschaftsinformatik ( iisys ) der Hochschule Hof wurde der Ansatz um Funktionen wie Aufgabentrennung, Zugangskontrolle in virtuellen Organisationen und fachorientierte Zugangskontrolle erweitert.
Definition
Die grafikbasierte Zugriffskontrolle besteht aus zwei Bausteinen:
- Ein semantischer Graph, der eine Organisation modelliert
- Eine Abfragesprache.
Organigramm
Organigramm in GBAC Das Organigramm ist in eine Typ- und eine Instanzebene unterteilt. Auf Instanzebene gibt es Knotentypen für Organisationseinheiten, Funktionseinheiten und Agenten. Die Grundstruktur einer Organisation wird über sogenannte „Strukturbeziehungen“ definiert. Sie definieren die "ist Teil von"-Beziehungen zwischen Funktionseinheiten und Organisationseinheiten sowie die Zuordnung von Agenten zu Funktionseinheiten. Darüber hinaus gibt es spezielle Beziehungstypen wie "Stellvertreter" oder "informiert_von". Diese Typen können vom Modellierer erweitert werden. Alle Beziehungen können durch die Verwendung von Prädikaten kontextsensitiv sein.
Auf der Typebene werden Organisationsstrukturen allgemeiner beschrieben. Es besteht aus Organisationseinheitentypen, Funktionseinheitentypen und denselben Beziehungstypen wie auf Instanzebene. Typdefinitionen können verwendet werden, um neue Instanzen zu erstellen oder organisatorisches Wissen im Falle von Ausnahmen wiederzuverwenden (weitere Informationen finden Sie unter).
Abfragesprache
In GBAC wird eine Abfragesprache verwendet, um Agenten mit bestimmten Eigenschaften oder Fähigkeiten zu definieren. Die folgende Tabelle zeigt die Verwendung der Abfragesprache im Kontext einer Zugriffskontrollmatrix.
Die erste Abfrage bedeutet, dass alle Manager, die länger als sechs Monate für das Unternehmen tätig sind, den Finanzbericht lesen können, sowie die Manager, die mit dem Flag "ReadFinancialReport" gekennzeichnet sind.
Der Tagesfinanzbericht kann nur vom Leiter der Controllingabteilung oder von dazu befähigten Sachbearbeitern der Abteilung erstellt werden (WriteFinancialReport==TRUE).
| Datenobjekt | Lesen | Schreiben |
|---|---|---|
| Täglicher Finanzbericht | Manager(*).(Now() - HiringYear gt; 0.5) ODER Manager.ReadFinancialReport == TRUE | Manager(Controlling) ODER Sachbearbeiter(Controlling).WriteFinancialReport == TRUE |
Implementierung
Verwendung von C-Org GBAC wurde zuerst in der CoCoS-Umgebung innerhalb des Organisationsservers CoCoSOrg implementiert. Im C-Org-Projekt wurde es um anspruchsvollere Features wie Aufgabentrennung oder Zutrittskontrolle in verteilten Umgebungen erweitert. Es gibt auch eine Cloud-basierte Implementierung auf der Bluemix- Plattform von IBM.
In allen Implementierungen nimmt der Server eine Anfrage von einem Client-System entgegen und löst sie in eine Menge von Agenten auf. Diese Menge wird als Antwort an den aufrufenden Client zurückgesendet. Clients können Dateisysteme, Datenbankverwaltungssysteme, Workflow-Managementsysteme, physische Sicherheitssysteme oder sogar Telefonserver sein.
Siehe auch
- Zugriffskontrollliste
- Attributbasierte Zugriffskontrolle (ABAC)
- Fähigkeitsbasierte Sicherheit
- Kontextbasierte Zugriffskontrolle (CBAC)
- Diskretionäre Zugangskontrolle (DAC)
- Gitterbasierte Zugangskontrolle (LBAC)
- Standortbasierte Authentifizierung
- Obligatorische Zugangskontrolle (MAC)
- Organisationsbasierte Zugangskontrolle (OrBAC)
- Risikobasierte Authentifizierung
- Rollenbasierte Zugriffskontrolle (RBAC)
- Regelsatzbasierte Zugriffskontrolle (RSBAC)
Verweise
- ^ a b c Schaller, Thomas (1998). Organisationsverwaltung in CSCW-Systemen - Dissertation. Bamberg: Universität Bamberg.
- ^ a b Lawall, Schaller, Reichelt (2014). Unternehmensarchitektur: Ein Formalismus zur Modellierung von Organisationsstrukturen in Informationssystemen. Thessaloniki: Unternehmens- und Organisationsmodellierung und Simulation: 10. Internationaler Workshop CAiSE2014.CS1-Wartung: mehrere Namen: Autorenliste ( Link )
- ^ Lawall, Schaller, Reichelt (2014). „Eingeschränkte Beziehungen zwischen Organisationen für organisationsübergreifende Prozesse“. IEEE 16. Konferenz für Wirtschaftsinformatik (CBI), Genf: 74–80.CS1-Wartung: mehrere Namen: Autorenliste ( Link )
- ^ Lawall, Schaller, Reichelt (2015). S-BPM in the Wild: Rollen- und Rechtemanagement (1 Aufl.). Berlin: Springer. S. 171–186. ISBN 978-3-319-17541-6.CS1-Wartung: mehrere Namen: Autorenliste ( Link )
- ^ Lawall, Schaller, Reichelt (2015). Ressourcenverwaltung und Autorisierung für Cloud-Dienste. Proceedings of the 7th International Conference on Subject-Oriented Business Process Management, ACM. S. 18:1-18:8.CS1-Wartung: mehrere Namen: Autorenliste ( Link )
- ^ Blaumix