CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Software flytter adgangskontrol til infrastrukturen

5. januar 2007 kl. 00.00
Torben B. Sørensen Torben B. Sørensen

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 5. januar 2007.


Ændringer på vej, Teknologi Serverdrift, systemudvikling og webservices. På alle niveauer er anvendelsen af it-teknologi under ændring. CTO sætter fokus på en række af de begreber, som it-chefer skal forholde sig til i 2007.

Sikkerhed Software-huset Safewhere samler al adgangskontrol for et serviceorienteret it-system i et fælles program. Kontrollen flytter fra applikationerne over i infrastrukturen.

Hvem i banken har prokura til at udstede et lån på over 100.000 kroner? Det kan banken besvare ved et opslag i personalehåndbogen. Men hvem har i praksis mulighed for at bruge it-systemerne til at udstede et så stort lån?
Det spørgsmål er ifølge Niels Flensted-Jensen fra det unge softwarehus Safewhere sværere at svare på. Rigtigt svært bliver det, når it-systemet ikke er et enkelt system, men et spindelvæv af services, der kommunikerer indbyrdes.
- De fleste organisationer bruger en form for rollebaseret adgangskontrol. For eksempel kan der i Active Directory stå, at en medarbejder har rollen bankrådgiver. Med den kan man have prokura til at udstede lån op til en grænse. Men selve grænsen kan ikke implementeres direkte i Active Directory uden at kræve en hel del programmering, siger han.
I stedet vil begrænsningen ofte ligge i programkoden til den service, der står for at udstede lån. Men hvor begrænsningen end lagres, er det et tjek i kildekoden, der afgør, om rådgiveren overhovedet må udstede lån - og i så fald hvor store beløb han må råde over.
Adgangskontrollen ligger altså både i infrastrukturen i form af brugerdatabasen i Active Directory og i applikationen.

Sikkerhedstoken
Det vil Safewhere lave om på. Niels Flensted-Jensen og hans partner Richard Lloyd Money har fundet en metode til at flytte adgangskontrollen over i infrastrukturen. Det kræver, at systemet er serviceorienteret.
Et serviceorienteret system er opbygget af services, der kommunikerer med hinanden via foruddefinerede meddelelser. For eksempel kan bankrådgiveren arbejde med et program, der giver ham en grænseflade til de funktioner, han har brug for. Når han vil udstede et lån, kalder programmet en service, der kan klare den opgave.
Kommunikationen mellem bankrådgiverens program og servicen er som regel højest sikret på netværksniveau, for eksempel med SSL-kryptering. Det medfører, at servicen muligvis ved, hvilken computer henvendelsen kommer fra. Den ved ikke, hvilken bruger der har startet den. Servicen stoler på, at den korrekte adgangskontrol er foretaget i klienten, før den modtager et kald.
Det er her, Safewhere sætter ind. Firmaet er ved at udvikle et system til beskrivelse af rettigheder og adgangskontrol. En central komponent er en Security Token Service (STS). Denne service kan udstede et såkaldt sikerhedstoken.
Det er et sæt oplysninger om en bruger: Et bevis for brugerens identitet og oplysninger om, hvilke rettigheder brugeren har i organisationen. Tjenesten kommunikerer med organisationens forskellige brugerdatabaser, der for eksempel kan ligge i Active Directory, LDAP-servere eller lignende.

Slipper for adgangskontrol
Når bankrådgiveren vil kalde servicen til udstedelse af lån i et system med Safewhere, følger hans token med kaldet. Alle kald til servicen bliver først behandlet af et stykke software, som Safewhere også har udviklet. Det tjekker, at brugeren er godkendt. Og det kontrollerer ud fra hans rolle, om han har lov til at udstede lån over 100.000 kr. Først når henvendelsen har bestået disse prøver, bliver kaldet sendt videre til servicen.
- Det betyder, at man kan indføre systemet uden at ændre en linje kode i de services, man allerede har lavet. Safewhere bliver usynligt for ud-
vikleren, der slipper for at tænke på adgangskontrol, når han skriver sin service, siger Niels Flensted-Jensen.

SAML-token
Oplysningerne om brugeren og hans rettigheder - det såkaldte token - følger SAML-standarden (Security Assertion Markup Language). Da de indgår i headerinformationerne i meddelelsen, kan man bagefter trække dem ud til brug i logning.
- På den måde kan man ikke kun bevise ud fra infrastrukturens data, hvem der kan udstede et lån - man kan også bevise, hvem der rent faktisk har gjort det, siger han.
Safewheres system bygger også på andre specifikationer inden for webservice-sikkerhed, der enten er vedtagne standarder eller under udvikling: WS-Security giver kryptering og signering, WS-Trust styrer login-proceduren, og WS-Federation giver mulighed for at bruge systemet på tværs af organisationer.
Det sidste element er vigtigt, da en af ideerne bag en serviceorienteret arkitektur netop er, at virksomheder kan give samarbejdspartnere direkte adgang til services. På den måde kan en forhandlers webbutik således afgive ordrer direkte ind i en distributørs ordresystem.
- Traditionelt giver det problemer, fordi det interne system ikke kender de enkelte brugere hos samarbejdspartnerne. Vi løser det ved at lade systemet udstede et SAML-token om en bruger, hvis han kommer fra en organisation, man har tillid til. Det styrer man med certifikater. Brugeren får så en meget begrænset rolle, siger han.

Faktaboks
Safewhere
Safewhere blev stiftet som firma i maj 2007 af Niels Flensted-Jensen og Richard Lloyd Money.

Virksomheden har netop færdiggjort første runde ekstern finansiering. Den skal blandt andet bruges til at udvide medarbejderstaben fra de nuværende seks personer.

Firmaets første produkt, Safewhere Authorization Services 1.0, skal være klar til april.

OriginalModTime: 16-02-2007 13:37:56




Navnenyt fra it-danmarkVis alle »
Rikke Sand
Rikke Sand
Martin Steen Jensen
Martin Steen Jensen
Nicolas Kjeldsen
Nicolas Kjeldsen
Line Ghisler
Line Ghisler

Søren Islin
Søren Islin
LeeAnn Quynh Do
LeeAnn Quynh Do
Camilla Gyldendal Hildebrandt
Camilla Gyldendal Hildebrandt
Michael Brøgger Andersen
Michael Brøgger Andersen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Sådan vil AI-assistenten Microsoft Copilot transformere processer og dit arbejdsliv

Med Microsoft Copilot får du for første gang en intelligent, personlig assistent ved hånden, som kan løse opgaver og lette hverdagen. Få inspiration til, hvordan Copilot kan automatisere rutineopgaver og transformere din hverdag.

18. juni 2024 | Læs mere

Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

20. juni 2024 | Læs mere

Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Thomas Madsen
Thomas Madsen
Søren Bo Christiansen
Søren Bo Christiansen
Jonathan Løw
Jonathan Løw
Jim Nielsen
Jim Nielsen
Mogens Nørgaard
Mogens Nørgaard
Jens Monrad
Jens Monrad
Petter Glenstrup
Petter Glenstrup
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Det er så torskedumt at læggge ekstra-skatter på de billige el-biler fra Kina
Læs indlæg
Artikel teaser billede

Thomas Madsen

Skal vi satse på komponerbar eller konfigurerbar? Det er et af de store spørgsmål lige nu

Artikel teaser billede

Søren Bo Christiansen

Sådan køber du grøn it-drift uden at smadre hverken konkurrencen eller budgettet

Artikel teaser billede

Jonathan Løw

At bevæge ting med tankens kraft er nu blevet til virkelighed

Artikel teaser billede

Jim Nielsen

Sorte svaner kræver digital oprustning. Her er et bud på noget, der kan hjælpe SMV’erne

Mest læste klummer og blogs
At bevæge ting med tankens kraft er nu blevet til virkelighed
Klumme: Hvis vi som mennesker skulle flyve en helikopter rundt inde i en skov, så ville det også kræve en hel del træning, og på mange måder er det den samme rumlige træning, som AI lige nu er i gang med
Af: Jonathan Løw
Nørgaard: Cybertruslerne truer? Så lad os da holde nogle flere møder
Klumme: Vi trækker alt i langdrag, holder møder uden efterfølgende handling og opfatter en PowerPoint-præsentation som arbejde. Men så længe de leger med PowerPoint, gør DJØF’erne da i det mindste ikke skade udover at spilde andres tid. Og det er jo positivt.
Af: Mogens Nørgaard
Sorte svaner kræver digital oprustning. Her er et bud på noget, der kan hjælpe SMV’erne
Klumme: Hvad gør man, hvis man ikke har storbankens muskler og milliarder til at bekæmpe kriminalitet? Svaret er digitalt, men det kræver permanent fokus.
Af: Jim Nielsen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Det er så torskedumt at læggge ekstra-skatter på de billige el-biler fra Kina
opinion Mogens Nørgaard
Nørgaard: Cybertruslerne truer? Så lad os da holde nogle flere møder
Læs indlæg

Premium
Teaser billede
Skal levere Copilot til den danske stat på kæmpe rammeaftale - lander ordre uden nyt udbud
Læs mere »
Virksomheder af en vis størrelse får det svært i AI-ræset: Men bestemte tiltag kan sende dem frem i feltet
På Bornholm jagter Computerworld bekymret svar på det store spørgsmål
NIS2-implementeringen er nu i gang: Varsler omfattende tilsyn og store bøder
Se alle »
Computerworld
Teaser billede
Prøvekørt: Polestar 3 er en rendyrket designer-bil, som er ude på at forføre dig
Læs mere »
Test af to nye robotplæneklippere: En dyr og en mere overkommelig
Her er de enheder der får det nye Apple AI – vil du have det, skal du nok ud og købe en ny iPhone
Test: Her er den smarte økonomi-robot til din græsplæne
Se alle »
CIO
Teaser billede
Microsoft dropper ny funktion i Copilot få måneder efter lanceringen
Læs mere »
OUH's fynske hosting-leverandør på vej mod konkurs efter ransomware-angreb: Kan ikke genoprette ramte systemer
CIO hos Alm. Brand rydder op i legacy-systemer og skaber en ny it-arkitektur: Stripper alt ned til standardkode for at sikre fremtiden
Vælg it-sikkerhed, hvis du gerne vil tjene mange penge: Disse cheftitler scorer de højeste lønninger i it-branchen
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Google fyrer hele sit Python-team
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Se alle »
White paper
Teaser billede
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Samlet platform sikrer sammenhæng, kontrol og sikkerhed i hybrid cloud
Opdag fordelene ved cloud-baseret backup og recovery
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »