Details

Autor(en) / Beteiligte

• Klarl, Heiko

Titel

Zugriffskontrolle in Geschäftsprozessen : Ein modellgetriebener Ansatz [electronic resource]

Auflage

1st ed. 2011

Ort / Verlag

Wiesbaden : Vieweg+Teubner Verlag

Erscheinungsjahr

2011

Beschreibungen/Notizen

• Description based upon print version of record.
• Includes bibliographical references.
• Geleitwort; Danksagung; Zusammenfassung; Abstract; Inhaltsverzeichnis; 1 Einleitung; 1.1 Einführung in das Szenario; 1.2 Problemstellung und Zielsetzung; 1.3 Prämissen der Arbeit; 1.4 Aufbau der Arbeit; 1.5 Typogra.sche Konventionen und Rechtschreibung; 2 Grundlagen; 2.1 Identitätsmanagement; 2.1.1 Digitale Identität; 2.1.2 Authentifizierung; 2.1.3 Autorisierung und Zugriffskontrolle; 2.1.4 Auditierung; 2.1.5 Prozesse des Identitätsmanagements; 2.1.5.1 (De-) Provisionierung von Konten und Attributen; 2.1.5.2 Vergabe und Entzug von Autorisierungen
• 2.1.5.3 Verwaltung und P.ege von Autorisierungen2.1.6 Bestandteile des Identitätsmanagements; 2.1.7 Identitätsmanagement und rechtliche Rahmenbedingungen; 2.2 Geschäftsprozesse im Unternehmen; 2.2.1 Geschäftsprozesse; 2.2.2 Modellierung von Geschäftsprozessen; 2.2.2.1 Business Process Modeling Notation; 2.2.2.2 Geschäftsprozesse in der UML; 2.2.3 Serviceorientierte Architekturen; 2.3 Modellierung; 2.3.1 Modellierung von Anwendungssystemen; 2.3.2 Modellgetriebene Softwareentwicklung; 2.3.3 Metamodellierung; 2.4 Anforderungsmanagement; 3 Stand der Forschung und Technik; 3.1 Anforderungen
• 3.1.1 Allgemeine Anforderungen3.1.2 Rollenkonzept für den Einsatz im Unternehmen; 3.1.3 Modellierung von sicheren Geschäftsprozessen; 3.1.4 Anforderungskatalog; 3.2 Zugriffskontrollund Rollenmodelle; 3.2.1 NIST Role-Based Access Control; 3.2.1.1 Bewertung; 3.2.2 Enterprise Role-Based Access Control; 3.2.2.1 Bewertung; 3.2.3 Modell der systemübergreifenden Autorisierung; 3.2.3.1 Bewertung; 3.2.4 Attributbasierte Zugriffskontrolle; 3.2.4.1 Bewertung; 3.3 Modellierung von sicheren Systemen und Policies; 3.3.1 Modellierung sicherer Systeme mit UMLsec; 3.3.1.1 Bewertung
• 3.3.2 Modellgetriebene Sicherheit mit SecureUML3.3.2.1 Bewertung; 3.3.3 Modellgetriebene Sicherheit für serviceorientierte Architekturen; 3.3.3.1 Bewertung; 3.3.4 Modellgetriebene Sicherheit für Geschäftsprozesse; 3.3.4.1 Bewertung; 3.3.5 Modellierung von Sicherheitsanforderungen in Geschäftsprozessen; 3.3.5.1 Bewertung; 3.3.6 Modellgetriebene Erzeugung von Policies für webserviceorientierte Architekturen; 3.3.6.1 Bewertung; 3.4 Zusammenfassung; 4 Rollenkonzept für den Einsatz im Unternehmen; 4.1 Abbildung von Geschäftsund Systemrollen; 4.1.1 Geschäftsrollen der Fachseite
• 4.1.2 Systemrollen der IT-Systeme4.1.3 B&S-RBAC-Metamodell; 4.1.4 Anwendung in der Geschäftsprozessmodellierung; 4.2 Aufbau und Umfeld des Rollenkonzepts; 4.2.1 Vererbung von Rechten; 4.2.2 Separation of Duties; 4.2.2.1 Statische Separation of Duties; 4.2.2.2 Dynamische Separation of Duties; 4.2.3 Generische Rollen; 4.3 Zusammenfassung; 5 Modellierung von sicheren Geschäftsprozessen; 5.1 Abbildung von Zugriffskontrollinformationen; 5.1.1 Metamodell der Zugriffskontrollinformationen; 5.1.2 IdM-BPMN - Erweiterung der BPMN; 5.1.3 Visuelle Modellierung von Zugriffskontrollpolicies
• 5.1.4 XML-Repräsentation des abgesicherten Geschäftsprozesses
• Zugriffskontrollanforderungen von Geschäftsprozessen werden von der Fachseite oftmals nachrangig behandelt und zudem losgelöst, kaum formalisiert vom Modell des fachlichen Geschäftsprozesses erfasst. Bei der Implementierung von Zugriffskontrollpolicies kommt es daher zu einem fehleranfälligen und komplizierten Abstimmungsprozess zwischen Fach- und IT-Abteilung oder es entstehen Inkonsistenzen zwischen den spezifizierten Zugriffskontrollanforderungen und den implementierten Zugriffskontrollpolicies. Heiko Klarl zeigt, wie Fach- und IT-Seite bei der Absicherung von Geschäftsprozessen näher zusammengebracht werden und wie ein modellgetriebener Softwareentwicklungsprozess ermöglicht wird. Zugriffskontrollanforderungen werden dabei von den Domänenmodellen der Fachabteilung bis hin zu plattformspezifischen Zugriffskontrollpolicies abgebildet.
• German