Visual Guard Architektur – Föderierte Identität

Föderierte Identität (Identity Federation) und berechtigungsbasierte Zugriffssteuerung kombinieren

Visual Guard bietet Funktionen für eine föderierte Identität, mittels derer unabhängige Organisationen auf dasselbe System zugreifen können und hierbei Windows-Konten verwenden, um Benutzer zu authentifizieren.

  • Jede Organisation verwaltet ihre eigenen Windows-Benutzerkonten in einem Active Directory.
  • In jeder Organisation wählt ein Administrator diejenigen Windows Konten aus, die Zugriff auf das durch Visual Guard gesicherte System bekommen sollen.
  • Um auf das System zuzugreifen, geben die Benutzer ihre Windows-Anmeldeinformationen an.

Weitere Informationen

Normalerweise ist das Konzept der föderierten Identität auf die Authentifizierung von Benutzern begrenzt. Dagegen umfasst die föderierte Identität mit Visual Guard auch die Verwaltung von Benutzern, Rollen und Berechtigungen sowie den Audit von Benutzer- und Administratoraktionen.

  • Wird ein entfernter Benutzer authentifiziert, wendet Visual Guard dessen Zugriffsberechtigungen auf die Funktionalitäten der Anwendung an.
  • Alle Benutzeraktionen werden im Visual Guard Repository protokolliert.
  • Zusätzlich protokolliert werden auch alle Administratoraktionen im Visual Guard Repository, beispielsweise die Deklarationen von Benutzerkonten oder die Zuweisungen von Rollen und Berechtigungen.
  • Auditoren können damit alle diese Vorgänge überprüfen.

Web-Frontend

Benutzer authentifizieren über Windows-Benutzerkonten aus einem unabhängigen Active Directory

  1. Administratoren nutzen den VG Federation Client (Föderationsclient), um ihr lokales Active Directory zu durchsuchen und diejenigen Windows-Benutzerkonten auszuwählen, die auf eine Anwendung zugreifen sollen.
  2. Der VG Federation Client ruft den VG Server auf, um diese Benutzerkonten im VG Repository zu deklarieren.
  3. Administratoren weisen den Benutzern Rollen zu mittels der VG Web Console.
  4. Melden sich Benutzer bei einer Anwendung an, authentifiziert VG sie gegenüber dem entfernten ID Store (ID-Datenbank).
  5. Nach der Benutzeranmeldung ruft VG die Benutzerberechtigungen für das Frontend ab und wendet diese an.
  6. Ruft das Frontend den Webservice einer Anwendung auf, überprüft VG die generelle Zugriffsberechtigung des Benutzers, ruft dessen spezielle Benutzerberechtigungen für diesen Webservice ab und wendet diese an.

Windows-Frontend

Benutzer authentifizieren über Windows-Benutzerkonten aus einem unabhängigen Active Directory

  1. Administratoren nutzen den VG Federation Client (Föderationsclient), um ihr lokales Active Directory zu durchsuchen und diejenigen Windows-Benutzerkonten auszuwählen, die auf eine Anwendung zugreifen sollen.
  2. Der VG Federation Client ruft den VG Server auf, um diese Benutzerkonten im VG Repository zu deklarieren.
  3. Administratoren weisen den Benutzern Rollen zu mittels der VG Web Console.
  4. Melden sich Benutzer bei einer Anwendung an, authentifiziert VG sie gegenüber dem entfernten ID Store (ID-Datenbank).
  5. Nach der Benutzeranmeldung ruft VG die Benutzerberechtigungen für das Windows-Frontend ab und wendet diese an.
  6. Ruft das Frontend den Webservice einer Anwendung auf, überprüft VG die generelle Zugriffsberechtigung des Benutzers, ruft dessen spezielle Benutzerberechtigungen für diesen Webservice ab und wendet diese an.