Ein Berechtigungssystem benötigt in der Praxis auch ein System zur Authentifizierung. Im Integration Service bietet der ImaUserlibService Methoden zur Passwortverwaltung basierend auf Basic Authentication gemäß [RFC2617]. Bei allen Webservices des Integration Service werden zur Autorisierung Informationen über eine ImageMaster-Rolle im Header der Anfrage übertragen.
In der Praxis ist ein Hauptthema im Bereich der Sicherheit das Verbergen von kritischen Authentifizierungsinformationen. Dies kann über die Nutzung des HTTPS-Protokolls in Kombination mit Basic Authentication erreicht werden. Das unverschlüsselte HTTP-Protokoll wird ebenfalls unterstützt, was zur Vereinfachung von Tests oder in Hochleistungsszenarien nützlich sein kann. Dies gilt insbesondere dann, wenn die Kommunikation zwischen dem Integration Service und einem weiteren System anderweitig abgesichert ist. Ein Beispiel für eine solche Absicherung ist der Schutz durch dedizierte Firewalls in Kombination mit VPN-Tunneln.
Alle absehbaren Kommunikationskanäle in einer ImageMaster-Umgebung unterstützen zertifikatsbasierende SSL/TLS-Verschlüsselung und nutzen standardisierte Sicherheitsansätze:
-
Basic Authentication und WS-Security beim Integration Service und im File Interoperability Service
-
Nutzung des SFTP Protokolls in der zugrundeliegenden Architektur zur Dateiarchivierung
-
Nutzung des HTTPS Protokolls in der Client-Kommunikation (WorkplaceClient und AdminClient)
-
Periphere Sicherheitskonfigurationen (wie sie von den Anwendungsservern unterstützt werden)
-
Sicherheitsmechanismen für integrierte Drittsysteme, wie z.B. die transparente Netzwerkverschlüsselung und Integritätsprüfung für Oracle Datenbanken (Oracle Transparent Network Encryption and Integrity)
Entsprechende Konfigurationsmöglichkeiten zur Sicherheit werden im Installationsprozess reflektiert [IM ImageMaster], wo z.B. die Hinterlegung von Zertifikaten anfällt
Der ImageMaster LDAP-Ansatz ermöglicht es, Benutzer in einem existierende LDAP oder Active Directory (AD) mit ImageMaster-Rollen zu verwalten, wodurch Zugangsberechtigungen auf ImageMaster-Funktionen definiert werden [SM Authentication]
In Szenarien mit extremen Sicherheitsanforderungen kann der integrierte Passwortmanager in besonderer Weise eingesetzt werden. Es kann erzwungen werden, dass bei Systemstart zunächst die Entsperrung über ein Master-Passwort erforderlich ist. Erst damit werden die Kommunikationskanäle freigeschaltet, die wiederum auf intern verschlüsselt abgelegten Kennwörtern beruhen (vgl. Kapitel Optionale und interne Webservices „ImaSecurityService“). Dies entspricht den strengen Vorgaben des standardisierten Telekom PSA-Verfahrens [Telekom PSA], mit dem das Ziel verfolgt wird, Sicherheits- und Datenschutzanforderungen in die Produkt- und Systementwicklung zu integrieren, um ein angemessenes Schutzniveau sicherzustellen.
Um den Zugang zu Anwenderkonten weiter zu schützen, wird Zwei-Faktor-Authentifizierung unterstützt. Bei diesem Feature wird die normale Passwortprüfung mit einer zweiten Authentifizierungskomponente kombiniert, wie z.B. einem Hardware Token oder einem Smartphone mit einer entsprechenden App, die ein kurzes Einmal-Passwort generiert, das eingegeben werden muss, um das Login abzuschließen.