Kernpunkte
Der State-of-the-Art in Forschung und Praxis zur Autorisierung in heterogenen Systemlandschaften wird dargestellt. Folgende Ergebnisse können aus der Analyse abgeleitet werden:
-
Die existierenden Forschungsbeiträge enthalten nur wenig detaillierte Vorgehensmodelle zur Integration der rollenbasierten Autorisierung.
-
Die Praxis hält konkretere Ansätze bereit, die als Ausgangspunkt für verbesserte Vorgehensmodelle dienen können.
-
Durch eine Kombination von Erkenntnissen aus Theorie und Praxis kann die Grundlage für ein verbessertes Vorgehensmodell geschaffen werden.
Abstract
The authors examine how an authorization architecture can be defined which spans various information systems and organizational units. After introducing authorization and architecture fundamentals, related work on authorization, architecture management and role definition is discussed. In particular regarding procedure models for authorization architecture design, these approaches are not very detailed. Moreover they are neither theoretically well-founded nor transparently derived from current industry practices. Therefore two actual industry practices are presented as case studies. By consolidating these practices with findings from current research, a starting point for an improved procedure model for authorization is proposed.
Article PDF
Avoid common mistakes on your manuscript.
Literatur
Abou El Kalam, Anas; El Baida, Rania; Balbiani, Phillipe; Benferhat, Salem; Cuppens, Frédéric; Deswarte, Yves; Miège, Alexandre; Saurel, Claire; Trouessin, Gilles: Organization Based Access Control. In: 4th IEEE International Workshop on Policies for Distributed Systems and Networks (Policy’ 03). Lake Como, Italy, 2003.
vom Brocke, Jan: Referenzmodellierung — Gestaltung und Verteilung von Konstruktions-prozessen. Logos, Berlin 2003.
Congress of the United States of America: The Sarbanes-Oxley Act of 2002. http://news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf, Abruf am 2005-12-06.
Fischer-Hübner, Simone: IT-Security and Privacy. Springer, Berlin 2001.
Freudenthal, Eric; Pesin, Tracy; Port, Lawrence; Keenan, Edward; Karamcheti, Vijay: dRBAC: Distributed Role-Based Access Control for Dynamic Coalition Environments,. In: 22nd International Conference on Distributed Computing Systems (ICDCS). Vienna, Austria 2002.
Ferraiolo, David; Sandhu, Ravi; Gavrila, Serban; Kuhn, Richard D.; Chandramouli, Ramaswamy: Proposed NIST Standard for Role-Based Access Control. In: ACM Transactions on Information and System Security 4 (2001) 3, S. 224–274.
Herwig, Volker; Schlabitz, Lars: Unternehmensweites Berechtigungsmanagement. In: Wirtschaftsinformatik 46 (2004) 4, S. 289–294.
Hartje, Hendrik; Probst, Uwe; Jäck, Klaus; Hessler, Matthias: SAP Berechtigungswesen — Design und Realisierung von Berechtigungskonzepten für SAP R/3 und SAP Enterprise Portal. Galileo Press, Bonn 2003.
Jonscher, Dirk; Dittrich, Klaus: Realisierung von Sicherheitsstrategien mit Hilfe flexibler Zugriffskontrollmechanismen. In: Bauknecht, Kurt; Dittrich, Klauss (Hrsg.): Sicherheit in Informationssystemen. vdf, Zürich 1994, S. 23–52.
Kern, Axel; Kuhlmann, Martin; Schaad, Andreas; Moffett, Jonathan D.: Observations on the Role Life-Cycle in the Context of Enterprise Security Management. In: Proceedings of the 7th ACM Symposium on Access Control Models and Technologies. Monterey 2002, S. 43–51.
Kuhlmann, Martin; Shohat, Dalia; Schimpf, Gerhard: Role Mining — Revealing Business Roles for Security Administration Using Data Mining Technology. In: Proceedings of the 8th ACM Symposium on Access Control Models and Technologies. Como 2003, S. 179–186.
Lau, B.; Gerhardt, W.: Ein rollenbasiertes unternehmensbezogenes Rechteverwaltungs-Paradigma. In: Bauknecht, Kurt; Teufel, Stephanie (Hrsg.): Sicherheit in Informationssystemen. vdf, Zürich 1994, S. 53–89.
Menzies, Christof; Martin, Alan; Jourdan, Catherine; Koch, Michael; Strohm, Anja; Heinze, Thomas: Sarbanes-Oxley Act. Schäffer-Poeschel, Stuttgart 2004.
Pernul, Günther: Information Systems Security — Scope, State-of-the-art and Evaluation of Techniques. In: International Journal of Information Management 15 (1995) 3, S. 239–255.
Robinson, Teri: Data Security in the Age of Compliance. In: netWorker 9 (2005) 3, S. 24–30.
Roeckle, Haio: Rollenbasierter Zugriffsschutz — Automatisierte Bildung der Rollen im Unternehmen auf der Basis eines prozessorientierten Vorgehensmodells. In: IT-Sicherheit 5 (1999) 1, S. 25–34.
Rosemann, Michael; zur Mühlen, Michael: Modellierung der Aufbauorganisation in Workflow-Management-Systemen — Kritische Bestandsaufnahme und Gestaltungsvorschläge. In: Proceedings des EMISA-Fachgruppentreffen 1997. Darmstadt 1997, S. 100–118.
Roeckle, Haio; Schimpf, Gerhard; Weidinger, Rupert: Process-Oriented Approach for Role-Finding to Implement Role-Based Security Administration in a Large Industrial Organization. In: Proceedings of the fifth ACM workshop on Role-based access control, Berlin 2000, S. 103–110.
Rupprecht, Josef; Wortmann, Felix: Zugriffskontrolle in heterogenen Applikationslandschaften. In: Schelp, Joachim; Winter, Robert (Hrsg.): Integrationsmanagement. Springer, Berlin 2006.
Samarati, Pierangela; de Capitani di Vimercati, Sabrina: Access Control — Policies, Models and Mechanisms. In: Focardi, Ricardio; Gorrieri, Roberto (Hrsg.): Foundations of Security Analysis and Design — Tutorial Lectures. Springer, Berlin 2002, S. 137–196.
Shin, Dongwan; Ahn, Gail-Joon; Cho, Sangrae; Jin, Seunghun: On Modeling System-centric Information for Role Engineering. In: Proceedings of the eighth ACM symposium on Access control models and technologies (SACMAT03). ACM Press, Como, Italy 2003, S. 169–178.
Schütte, Reinhard: Grundsätze ordnungsmässiger Referenzmodellierung. Gabler, Wiesbaden 1998.
Senger, Enrico; Österle, Hubert: Promet Business Engineering Case Studies (BECS). Arbeitsbericht BE HSG/BECS/1, Institut für Wirtschaftsinformatik, Universität St. Gallen, St. Gallen 2004.
Seufert, Steffen: Der Entwurf strukturierter rollenbasierter Zugriffskontrollmodelle. In: Informatik — Forschung und Entwicklung 17 (2002) 1, S. 1–11.
Winter, Robert: An Architecture Model for Supporting Application Integration Decisions. In: Proceedings of the 11th European Conference on Information Systems. Neapel 2003.
Wortmann, Felix: Entwicklung einer Methode für die unternehmensweite Autorisierung. Dissertation, Universität St. Gallen, St. Gallen 2006.
Author information
Authors and Affiliations
Corresponding author
Additional information
Eingereicht am 2007-05-08, nach einer Überarbeitung angenommen am 2007-09-09 durch Prof. Dr. Buxmann.
Rights and permissions
About this article
Cite this article
Wortmann, F., Winter, R. Vorgehensmodelle für die rollenbasierte Autorisierung in heterogenen Systemlandschaften. Wirtsch. Inform. 49, 439–447 (2007). https://doi.org/10.1007/s11576-007-0096-4
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11576-007-0096-4