Fine-grained access control in enterprise resource planning

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu | Master's thesis
Ask about the availability of the thesis by sending email to the Aalto University Learning Centre oppimiskeskus@aalto.fi
Date
2017-06-12
Department
Major/Subject
Computer Science
Mcode
SCI3042
Degree programme
Master’s Programme in Computer, Communication and Information Sciences
Language
en
Pages
57
Series
Abstract
Organizations are becoming increasingly dependent on information systems to protect their data. However, it is not sufficient to protect systems from external threats only. Organization have to deploy access control mechanisms to secure data from their own users and employees as well. In this thesis we researched existing access control models and standards applicable to enterprise resource planning (ERP) environments. Furthermore, we performed a case study to improve an existing access control system of an ERP for waste management. The old system uses traditional access control mechanism, such as access control lists, which have proven to lack the granularity and expressiveness in applications where fine-grained access control would be required. After comparing attribute-based access control (ABAC) and role-based access control (RBAC), we chose to implement our own hybrid access control model. It uses RBAC along with SQL database mechanisms to achieve a finer level of granularity than the RBAC standard. Our prototype turned out to be scalable for both small and large enterprises, while fulfilling most of our listed requirements. We also note that XACML (eXtensible Access Control Markup Language) systems should be consired as a more flexible alternative if future requirements cannot be handled by the developed solution.

Yritykset ovat nykypäivänä entistä riippuvaisempia tietojärjestelmistä datan suojaamisessa. Suojautuminen pelkästään ulkoisilta uhkilta ei kuitenkaan riitä. Yritykset joutuvat lisäksi käyttämään pääsynvalvontajärjestelmiä rajoittaakseen oikeuksia omilta käyttäjiltään ja työntekijöiltään. Tämän diplomityön tavoitteena oli tutkia olemassa olevia pääsnvalvontastandardeja, jotka sopivat toiminnanohjausjärjestelmien ympäristöön. Toteutimme case-tutkimuksen parantaaksemme olemassa olevaa pääsynvalvontajärjestelmää jätehuollon toiminnanohjausjärjestelmässä. Vanha järjestelmä käytti perinteisiä pääsynvalvonta mekanismeja, kuten käyttöoikeuslistoja, joiden ilmaisuvoima ei riitä hienojakoista pääsynvalvontaa vaativiin sovelluksiin. Vertailtuamme attribuuttipohjaista pääsynvalvontaa (ABAC) ja roolipohjaista pääsynvalvontaa (RBAC) päätimme toteuttaa oman pääsynvalvontamallin. Tässä mallissa käytetään RBAC:n lisäksi SQL-tietokannan omia mekanismeja saavuttamaan hienojakoisempi malli kuin pelkällä RBAC-standardilla on mahdollista. Huomasimme prototyyppimme skaalautuvan sekä pieniin että suurin yrityksiin. Lisäksi se täyttää kaikki sille määritellyt vaatimukset. Totesimme myös, että XACML (eXtensible Access Control Markup Language) järjestelmiä voidaan harkita joustavammaksi vaihtoehdoksi, jos prototyyppimme ei täytä kaikkia tulevaisuudessa ilmeneviä vaatimuksia.
Description
Supervisor
Aura, Tuomas
Thesis advisor
Wirpi, Olli
Keywords
access control, authorization, RBAC, ABAC, XACML, ERP
Other note
Citation