Architectural Refactoring der Data Access Security

In adcubum SYRIUS, einer geschichteten ERP-Lösung für Versicherungen, werden Zugriffsberechtigungen in der Datenbank gespeichert. Die Autorisierung der Daten wird bei jedem Datenzugriff in der Persistenzschicht durchgeführt. Solange nur Daten berechtigt werden müssen, welche in der eigenen Datenbank persistiert sind, ist diese Lösung genügend. Strategisches Domain-Driven Design (DDD) ist eine Methodik, die zur Identifikation von Modulen oder Microservices dienen kann. In dieser Studienarbeit wurde ein Prototyp entwickelt, in welchem die Autorisierung einen eigenen Bounded Context nach DDD bildet. Dieser wird als eigener Microservice betrieben und von den Kerndomänen über eine Remote-Schnittstelle angesprochen. Dafür wurde im Rahmen dieser Studienarbeit eine Autorisierungsschnittstelle auf der Basis von RESTful HTTP entwickelt. Ausserdem wurde in adcubum SYRIUS ein Redesign in der Persistenzschicht durchgeführt, um die alte Berechtigungslösung zu extrahieren und die neue Autorisierungsschnittstelle aufzurufen. Desweiteren wurde das «Attribute-based Access Control» (ABAC) Paradigma analysiert, welches die Wartung und Konfiguration der heutigen RBAC-Lösung vereinfachen soll. Mittels einer Mock-Implementation des Autorisierungssystems und dessen Schnittstelle wurde schliesslich die Umsetzbarkeit des Konzepts einer externen Autorisierungs- lösung überprüft. Für den Industriepartner Adcubum hat diese Studienarbeit das Wissen erarbeitet, an welchen Stellen in SYRIUS die Autorisierungsschnittstelle aufgerufen werden muss. Ausserdem dokumentiert die RESTful HTTP-Schnittstellendefinition, welche Daten dem Autorisierungssystem übergeben werden müssen. Aus den Überlegungen, wie das Zugriffskontrollmodell von RBAC auf ABAC umzustellen ist, wurde ein templatekonformes, wieder- verwendbares Architectural Refactoring abgeleitet.