Attributbasierte Zugriffskontrolle
Unter attributbasierter Zugriffskontrolle (englisch attribute-based access control, ABAC) versteht man ein Entwurfsmuster in der Informationstechnik.[1]
Bei der attributbasierten Zugriffskontrolle wird der Zugriff auf eine Ressource anhand von Attributen des Benutzers bzw. des Clients, der Ressource, dem Zustand der Systemumgebung (englisch environment state), sowie auf diese Attribute angewendeten Sicherheitsregeln (englisch policies) gesteuert.[1]
Die attributbasierte Zugriffskontrolle kommt insbesondere bei OAuth und OpenID zum Einsatz.
Verfahren
Zuerst wird die Identität des Clienten anhand eines Authentifizierungsservers authentifiziert. Anschließend werden dem Client die entsprechenden Attribute von einer Attribute Authority bereitgestellt und mittels einer digitalen Signatur beglaubigt.
Wenn der Client auf eine Ressource zugreifen will, überprüft ein Policy Decision Point (etwa: deutsch Sicherheitsregelentscheidungspunkt) die Signatur der vom Clienten bereitgestellten Attribute. Sind diese gültig, so entscheidet der Policy Decision Point anhand der auf die Attribute angewendeten Sicherheitsregeln, ob der Zugriff auf die Ressource zulässig ist und gewährt oder verweigert den Zugriff auf die Ressource anhand dieser Entscheidung.[1]
Quellen
- Cloud Patterns. In: Cloud Patterns. Arcitura Education Inc., abgerufen am 7. Mai 2017 (englisch).