Architektur

Die durchdachte Softwarearchitektur ist das Fundament von ORG. Die Software ist ausfallsicher, bietet eine hohe Performance und ermöglicht RBAC und ABAC.

Zahlreiche Konnektoren machen ORG plattformübergreifend einsetzbar.

ORG Produktarchitektur

Architektur-Highlights

  • Ausfallsicherheit
  • High Performance 
  • Single Point of Administration and Control
  • Plattformübergreifend
  • ORG Konnektor (RBAC)
  • ORG API (RBAC und ABAC)
  • Datenmodell
  • Anbindung vorgelagerter Systeme

Schnittstellen

SPML-Systeme:
Novell Identity Manager, IBM Tivoli Directory Integrator, openSPML

Directory-Systeme:
Microsoft Active Directory, IBM Tivoli Directory Server, openLDAP, Novell eDirectory, SUN one Directory Server, ApacheDS, RACF LDAP-Server und weitere

Weitere Konnektoren verfügbar für:
SAP, MS SharePoint, MS Exchange, MS Dynamics, RACF, INTERFLEX

APIs verfügbar für folgende Plattformen:
Java (SE & EE), Windows (C), z/OS (Cobol, PL/1, C)

 
 
 

Ausfallsicherheit

Das ORG System unterteilt sich in die administrative und die produktive Umgebung (Grafik: linke und rechte Seite). Diese Trennung gewährleistet eine hohe Ausfallsicherheit.

 
 

High Performance

Zur Übertragung der jeweils aktuellen Berechtigungsinformationen an die produktive Umgebung stellt ORG zwei Wege zur Verfügung:

  1. Für Eigenentwicklungen werden die feingranularen Berechtigungsinformationen über die ORG Laufzeitüberführung denormalisiert in Tabellen der ORG-Laufzeitdatenbanken der produktiven Umgebung übertragen. Diese ORG spezifischen Tabellen können auch Bestandteil der Anwendungsdatenbanken sein. Der Zugriff auf die Berechtigungsinformationen erfolgt über APIs direkt aus den Anwendungsprogrammen.
  2. Die spezifischen ORG Konnektoren übertragen die Benutzer-Rollenzuordnungen in die Berechtigungsspeicher (e.g. LDAP, RACF ,SAP,…) angebundener Standardsoftwaresysteme.

Diese Grundsatzarchitektur ermöglicht kurze Wege der Berechtigungsabfrage und garantiert eine hohe Performance.

 
 
 

Single Point of Administration & Control

Ein zentralisiertes und standardisiertes Berechtigungsmanagement ist die ideale Lösung. Zugriffs- und Benutzerrechte werden automatisch an die einzelnen Business-Anwendungen provisioniert. Dies geschieht unabhängig davon, ob es sich um Mainframe-, C/S oder Webanwendungen handelt.

In der zentralen Administrationsdatenbank von ORG sind aktuelle, zukünftige und abgelaufene Berechtigungen aller Anwendungen (Standardanwendungen und Eigenentwicklungen) enthalten. Damit erfüllt ORG höchste Ansprüche an Revisionssicherheit und ermöglicht den Single Point of Administration and Control.

Praxisbeispiel: Single Point of Administration and Control / Unternehmensweite Access Governance

Ausgangslage:
Ein freigegebener Berechtigungsantrag musste separat für jedes System von verschiedenen Systemadministratoren umgesetzt werden. Dieser Prozess dauerte lange, war fehleranfällig und führte zu unproduktiven Zeiten.

Lösung:
Das zentralisierte und standardisierte Berechtigungsmanagement ORG war die ideale Lösung für ein großes Versicherungsunternehmen. Zugriffs- und Benutzerrechte werden nun automatisch an die einzelnen Business-Anwendungen provisioniert. In einer zentralen Datenbank hat man jederzeit den Überblick über vergangene, aktuelle und zukünftige Berechtigungen und das unternehmensweit über alle technischen Plattformen hinweg. Änderungen an Berechtigungen aus organisatorisachen Gründen, Zu- oder Abgängen, etc. werden per Knopfdruck durchgeführt/provisioniert.

Auditoren und Wirtschaftsprüfer freuen sich über die zentralisierten, aktuellen und unternehmensweit gültigen Berechtigungsinformationen. 

Die Administration kann sowohl auf Rollen (RBAC) als auch auf Attributen (ABAC) basieren.

Zentrale Administration mit ORG
 
 

Plattformübergreifend

Die zentrale Komponente der administrativen Umgebung ist der ORG Server mit der ORG Administrations-Datenbank.  Der ORG Server läuft unter z/OS, Unix und Windows. In der ORG Admin-DB (DB/2 oder Oracle) wird das gesamte im Unternehmen implementierte Berechtigungsmodell abgebildet. Neben den aktuell gültigen Daten, sind auch die gesamte Historie und geplante Administrationen revisionssicher gespeichert.

 
 

ORG Konnektor (RBAC)

Die ORG Konnektor Architektur für den bidrektionalen Austausch von Berechtigungsinformationen mit Standardsoftware ist modular aufgebaut. Das Interface zum ORG-Server und die Logik für den Austausch der Berechtigungsinformationen ist für alle angebunden Systeme gleich. Nur die schnittstellenspezifischen Anteile der angebundenen Anwendungssystem werden in sogenannten Agenten implementiert. Diese Architektur ermöglicht es, weitere Anwendungssysteme mit geringem Aufwand anzubinden.

ORG unterstützt RBAC:
ORG unterstützt Anwendungen, die ihre Berechtigungsinformationen rollenbasiert verwalten. Über den ORG Konnektor werden die in ORG administrierten Zuordnungen von Benutzern zu Rollen in den Berechtigungsspeicher der Anwendung übertragen. Die rollenbasierte Berechtigungsprüfung erfolgt ohne Anpassung weiterhin in den angebundenen Systemen.

Der ORG Konnektor
 
 

ORG API (ABAC)

Für den feingranularen Zugriff auf Berechtigungsinformationen in den Laufzeitdatenbanken stellt ORG drei APIs zur Verfügung:

  1. Das Java API kann in JavaEE und JavaSE Umgebungen eingesetzt werden.
  2. Das z/OS API steht für Cobol und PL/1 zur Verfügung und kann innerhalb von Transaktionsmonitoren (IMS oder CICS) oder in Batchanwendungen verwendet werden.
  3. Das Windows/Unix API ist für die C/C++ Entwicklung unter diesen Betriebssystemen vorgesehen.

Die Zugriffe sind aufgrund der denormalisierten Tabellen der Laufzeitdatenbanken hoch performant.

ORG unterstützt ABAC:
Anwendungen, die feingranulare Berechtigungsinformationen benötigen, verwenden eines der ORG APIs. Die Berechtigungsentscheidung erfolgt aufgrund beliebiger Attribute, die die Anwendung bereitstellt. Die Anwendung selbst benötigt keinen eigenen Berechtigungsspeicher mehr.

ORG unterstützt ABAC

Praxisbeispiel: Feingranulares Berechtigungsmanagement / Externalisiertes Berechtigungsmanagement

Ausgangslage:
Das vom Kunden entwickelte Berechtigungsmanagementsystem konnte nicht so erweitert werden, dass feingranulares Berechtigungsmanagement möglich gewesen wäre. Die von Novell angebotenen Erweiterungen an deren IDM-System wären umfangreich und teuer gewesen.

Lösung:
Novell IDM war als führendes System für Identitäten und Rollenzuweisung gesetzt. ORG übernahm ergänzend die feingranulare Berechtigungsprüfung. Novell IDM und ORG wurden über die SPML Schnittstelle verbunden. Die Anwendungsentwicklung des Kunden nutzt ORG nun als externalisiertes Berechtigungsmanagement, welches auch feingranulare Berechtigungsdefinitionen und Abfragen ermöglicht.

Dies vereinfacht die Anwendungsentwicklung und garantiert ein einheitliches Berechtigungsmodell für alle Geschäftsanwendungen.

Feingranulares Berechtigungsmanagement
 
 

ORG Komponenten - XACML Komponenten

In der folgenden Tabelle finden Sie eine Zuordnung der ORG Komponenten zu den entsprechenden XACML Komponenten (eXtensible Access Control Markup Language):

ORG Komponente XACML Komponente
ORG Server mit Administrationsdatenbank

PAP (Policy Administration Point: Definition von Zugriffsrechten und deren Regeln)

PRP (Policy Retrieval Point: Berechtigungsspeicher inklusive Regelwerk für alle Unternehmens-Anwendungen)

 

ORG Laufzeit Datenbank

PRP (Policy Retrieval Point: Denormalisierter Berechtigungsspeicher optimiert für mindestens eine Anwendung in einer bestimmten technischen Umgebung)

 

ORG API’s in Verbindung mit den ORG Laufzeit Datenbanken

PDP (Policy Decision Point: Wertet Regeln aus, um Zugriffsentscheidungen zu treffen)

Zentrales Modul in einer Anwendung, welches ein "ORG API" aufruft PEP (Policy Enforcement Point: Setzt die Berechtigungen um)

ORG wird in Zukunft den OpenAZ Standard unterstützen.
Der Aufruf der Zugriffsentscheidungskomponente (PDP) durch Anwendungen und Middleware wird dadurch standardisiert.

 
 

Datenmodell

ORG unterstützt eine Vielzahl von verschiedenen Entitäten.

Das Entitätenmodell unterstützt neben der DV-technischen Erfassung der Aufbauorganisation des Unternehmens auch den Aufbau eines Rollenmodells und die Erfassung von feingranularen Detailrechten. Diese werden in ORG als Kompetenzen bezeichnet.

Welche der unterstützten Entitäten tatsächlich zum Einsatz kommen, ist abhängig vom jeweiligen Umfeld des Kunden. Erforderlich sind allein der Benutzer und die Rolle und, wenn mit feingranularen Rechten gearbeitet werden soll, das Kompetenzschema und die Kompetenz.

 
 

Anbindung vorgelagerter Systeme

Das ORG SPML Interface ist ein Webservice, der die SPML 1.0 Spezifikation implementiert. Über die Schnittstelle können alle Objekte des ORG Berechtigungsmodells (z.B. Nutzer, Stelle, Rolle, Zuordnungen, etc.) von einem externen System (z.B. SAP HR) angelegt, verändert, gelöscht oder ausgelesen werden. Jede Änderung wir von ORG kontrolliert und historisiert. So kann z.B. ein bereits vorhandenes IDM-System durch in ORG definierte komplexe fachliche Berechtigungsregeln aufgewertet werden.

Der administrative Zugriff auf den ORG Server erfolgt über Web oder Fat-Client. Vorgelagerte Systeme (z.B. SAP-HR) können über einen SPML Web-Service Aufträge zur automatisierten Administration an den ORG Server senden.

Anbindung vorgelagerter Systeme mit dem ORG SPML Interface