Sicherheit für Geo Web Services

Zugriffskontrolle für OpenGIS^® Web Services

Die Etablierung einer Zugriffskontrolle für eine OpenGIS^® Web Service-basierte Geodateninfrastruktur ist die wesentliche Voraussetzung, qualitativ hochwertige und aktuelle Geodaten online verfügbar zu machen. Im Wesentlichen müssen durch eine geeignete Zugriffskontrolle die folgenden Anforderungen abgedeckt werden:

Es muss möglich sein, Zugriffsrechte für bestimmte Datentypen zu vergeben. Für den online Zugriff auf einen Web Map Service (WMS) bedeutet dies beispielsweise, dass angebotene Layer individuell geschützt werden können.
Es muss möglich sein, Zugriffsrechte für bestimmte Objekte festlegen zu können. Für den online Zugriff auf einen Web Feature Service (WFS) bedeutet dies beispielsweise, dass Einzelne oder Gruppen von Features individuell geschützt werden können.
Es muss möglich sein, Zugriffsrechte für bestimmte Gebiete festzulegen. Für den online Zugriff auf einen WMS würde dies bedeuten, dass Karten beispielsweise nur für das Gebiet der Stadt München erlaubt ist. Für den online Zugriff auf einen WFS würde dies beispielsweise bedeuten, dass auf Features nur dann zugegriffen werden kann, wenn sie außerhalb eines Sperrgebietes liegen.
Bei Kartenabfragen (im Binärformat) muss es möglich sein, den Zugriff ab einer bestimmten Auflösung beschränken zu können.
Es muss möglich sein den Zugriff nur für bestimmte IP-Adressen oder Rechnernamen zuzulassen.
Es muss möglich sein den Zugriff zeitabhängig zuzulassen.
Es muss möglich sein, eine Kombination der verschiedenen Zugriffsrechte vorzunehmen.

Die Umsetzung dieser (und weiterer) Anforderungen ist durch die Geospatial eXtensible Access Control Markup Language, kurz GeoXACML, möglich. GeoXACML ist eine Erweiterung des OASIS Standards eXtensible Access Control Markup Language, kurz XACML. Mehr Informationen zu diesem Thema finden Sie auf der GeoXACML Homepage (momentan leider nur in englischer Sprache).

Die Voraussetzung für die Etablierung der Zugriffskontrolle und damit die Umsetzung der oben erwähnten Anforderungen ist die Zusicherung von überprüfbaren Identitäten. Hier ist es möglich eine Signle-Sign-On Authentifizierung umzusetzen, die auf dem Security Markup Language Standard von OASIS beruht.