Organisationsmodell]Organisationsmodell
Der Nutzer sendet seine Daten an einen 1. Authentisierungsproxy zum
authentisieren. Dieser sendet sie an einen Authentisierer, welcher sich
gegebenenfalls die Gegendaten zum Vergleich von einem 2.
Authentisierungsproxy zusenden läßt. Anhand der Nutzerbedingungen,
denen der entsprechende Nutzer unterliegt, bestimmt der Authentisierer,
ob die Authentisierung von ihm authentifiziert werden kann oder nicht.
Informationsmodell]Informationsmodell
Eine Authentisierung geschieht in der Regel dadurch, daß zwischen Nutzer
und Computer ein gemeinsames Geheimnis ausgetauscht wird. Dieses Geheimnis
kann ein Passwort des Services, der die Funktion eines Clients übernimmt,
sein, ein Fingerabdruck oder auch eine Stimmanalyse
des bedienenden Menschen. Dieses Geheimnis wird dann als Daten an den 1.
Authentisierungsproxy gesendet.
Das System läßt sich nun von einer dritten Instanz bestätigen, daß die Daten, die es bekommen hat mit dem übereinstimmen, was der Nutzer zur Authentisierung benötigt. Diesen Vorgang (der Bestätigung) nennt man Authentifizierung (Abb 4.6). Die eigentliche Entscheidung, ob die Authentisierung erfolgreich war, trifft der Authentisierer. Er erhält die Daten, die dem Geheimnis entsprechen, welches der Nutzer abgesendet hat und er kann (falls nicht vorhanden) die Daten, die dem Geheimnis entsprechen, welches der Nutzer angeben sollte, von einer entfernten Stelle abfragen, welche er mittels dem 2. Authentisierungsproxy erreichen kann. Stimmen beide Informationen überein, hat der Nutzer das richtige Geheimnis abgegeben und in Verbindung mit der Nutzerbedingung, wird eine Antwort an den 1. Authentisierungsproxy gesendet, der diese dann an den Nutzer weitersendet.
Funktionsmodell]Funktionsmodell
Abbildung 4.7 stellt diesen Ablauf im Detail dar: Der Nutzer wendet sich an einen Authentisierungsproxy und sendet seine Authentisierungsdaten dort hin (1). Der Proxy reicht diese Daten an einen Authentifizierer weiter, damit der sie authentifizieren kann (2). Der Authentifizierer fordert nun die Daten aus einer zentralen Sammelstelle (hier als 2. Authentisierungsproxy bezeichnet) an (3+4). Stimmt das Ergebnis mit dem überein, was der 1. Authentisierungsproxy weitergereicht hat, wird eine Authentifizierung bestätigt und diese Bestätigung an den 1. Authentisierungsproxy zurückübermittelt (5). Bei dieser Rückübermittlung wird die Policy (im Bild 4.7) des jeweiligen Nutzers mit einbezogen. Sie könnte eine Nutzung des Services durch eine entsprechende Regel unterbinden.
Der Authentisierungsproxy schickt im letzten Schritt (6) das Ergebnis der Authentifizierung zur Authentisierung des Nutzers an den Nutzer. Dieser erhält damit die Information, ob seine Authentisierung erfolgreich war.