03.04.2012

Für eine Suchanfrage ermittelt die Google Search Appliance alle Dokumente aus dem Index, welche für den eingegebenen Suchbegriff relevant sind. Gibt es bei diesen Dokumenten mindestens ein zugriffsbeschränktes Dokument in der Treffermenge, wird seitens der GSA die Zugriffskontrolle durchgeführt. Zunächst muss die Identität des Benutzers überprüft und bestätigt werden, dies erfolgt im Rahmen der Authentifizierung über verschiedene Verfahren, die an die jeweilige Kundenumgebung angepasst sind.

 

Anschließend wird überprüft, auf welche Dokumente der Benutzer Zugriff hat, dies erfolgt im Zuge der Autorisierung. Dabei werden immer nur so viele Dokumente geprüft, bis genug autorisierte Dokumente für die erste Seite des Suchergebnis ermittelt sind. Sind die beiden Schritte ausgeführt, wird dem Benutzer ein entsprechendes Suchergebnis präsentiert, welches nur Dokumente enthält, auf die er berechtigt ist.

 

 

 

Die Google Search Appliance unterstützt zwei unterschiedliche Methoden zur Autorisierung von Dokumenten, Early und Late Binding:

Early Binding

Bei der Indizierung werden die Berechtigungen eines Dokumentes mit ausgelesen und im Index abgelegt. Eine Autorisierung erfolgt anschließend auf Basis des eigenen Index. Dieses Verfahren wird bereits von vielen Standard Connectoren unterstützt, die auch für die Aktualisierung der AC-Listen im Google Search Appliance Index sorgen.

 

Late Binding

Alternativ zum Early Binding kann das Late Binding verwendet werden. Im Gegensatz zum Early Binding wird beim Late Binding für jeden Suchtreffer eine Anfrage gegen das Quellsystem gestellt, ob der Nutzer die nötigen Rechte zum Anzeigen des Dokumentes hat. Dies erfolgt in der Regel durch einen HTTP-Head Requests oder einer Anfrage an den entsprechenden Connector.

 

Early-Binding: Profitieren Sie von der Geschwindigkeit

Vorteile:

  • Geschwindigkeit: Ergebnisfilter ist nicht abhängig vom Quellsystem
  • Skaliert beliebig ohne die Suchgeschwindigkeit zu beeinflussen
  • Wird bereits von vielen Standard Connectoren unterstützt (z.B.: Sharepoint und Dateisystem)

Nachteile:

  • Es besteht eine Kopie der ACL, welche aktuell gehalten werden müssen
  • Es werden nur Allow-Regeln unterstützt

Late-Binding: Nicht auf Sicherheit verzichten

Vorteile:

  • Berechtigungsprüfung erfolgt in Echtzeit auf den aktuellsten Daten aus dem Quellsystem
  • Es wird keine Kopie der ACL vorgehalten

Nachteile:

  • Das Quellsystem muss zur Laufzeit angefragt werden; langsame Antwortzeiten verzögern die Anzeige der Suchergebnisse
  • Erzeugt lasst auf dem Quellsystem bei jeder Suchanfrage

Kombination von Early- und Late-Binding

Seit dem Release 6.14 der Google Search Appliance ist eine Kombination bei Suchanfragen zwischen dem Early- und Late-Binding möglich. Hiermit wird die Vorgehensweise der Rechte-Rollen-Prüfung bezeichnet. Dank des Release ist es nun möglich, das Early- und Late-Binding gezielt zu verbinden. So profitieren Sie zum einen von der Geschwindigkeit des Early-Bindings ohne auf die erhöhte Sicherheit des Late-Bindings verzichten zu müssen. Suchergebnisse werden per Early-Binding vorgefiltert und im Nachgang durch das sichere Late-Binding zusätzlich autorisiert.

 

Fazit

Die Google Search Appliance wird in sämtliche Sicherheitsmechanismen des Unternehmens integriert. Sowohl Single-Sign-On-Systeme (Einmalanmeldung) als auch mehrere Anmeldedatengruppen werden unterstützt, so dass sichere Ergebnisse garantiert werden. Durch das angebotene Early- und Late-Binding besteht die Möglichkeit zu individuellen Anpassung der Sicherheit an spezielle Unternehmensbedürfnisse. Sie sollen immer versuchen, die Datenquellen per Early Binding anzubinden, um eine möglichst performante Suche sicherzustellen.