Einführung und Betrieb des Identity Management Systems

Dienstvereinbarung zu Einführung und Betrieb des Identity Management 

Systems mit den daran angeschlossenen Quell- und Zielsystemen 

Zwischen der Universität Passau, 

vertreten durch den Rektor sowie den Kanzler, 

und dem Personalrat der Universität Passau, 

vertreten durch den Vorsitzenden, 

wird nachfolgende Dienstvereinbarung über die Einführung und Anwendung des 

Identity Management Systems mit den daran angeschlossenen Quell- und Zielsystemen 

(nachfolgend als IDM-Gesamtsystem bezeichnet) abgeschlossen. 

§ 1 Gegenstand und Anwendungsbereich 

(1) Das IDM-Gesamtsystem dient der Schaffung und Verwaltung einer konsolidierten 

und ständig aktuellen Datenbasis für die Verwaltung von Identitäten 

und Berechtigungen innerhalb der Universität Passau und soll die Wirksamkeit 

von Arbeiten der Datenerfassung und des Datenabgleichs mit den angeschlossenen 

Systemen erhöhen. Ein wesentlicher Bestandteil des IDM- 

Systems ist das Meta Directory als zentrales Datenverzeichnis. 

(2) Diese Dienstvereinbarung definiert Grundsätze für die Einführung und den Betrieb 

des Identity Management Systems sowie für den Anschluss von Quellsystemen, 

die Daten an das Identity Management System übergeben und 

Zielsystemen, an die Daten vom Identity Management System geliefert werden. 

§ 2 Geltungsbereich 

(1) Diese Dienstvereinbarung gilt für alle Einrichtungen der Universität. 

(2) Diese Dienstvereinbarung gilt für alle Beschäftigten im Sinne von Art. 4 des 

Bayerischen Personalvertretungsgesetzes. 

(3) Diese Dienstvereinbarung regelt die Bedingungen für Einführung, Betrieb und 

Weiterentwicklung des IDM-Gesamtsystems an der Universität. Dazu gehören 

die insgesamt verwendeten Datenfelder bzw. Attribute für die Speicherung, 

Verarbeitung und Übermittlung personenbezogener Daten. 

(4) Diese Dienstvereinbarung bezieht sich nicht auf die Einführung und den Betrieb 

der Systeme, die an das Identity Management System angeschlossen 

werden. Diese haben eigene Begründungen und Grundlagen für ihren Betrieb. 

Im Rahmen dieser Dienstvereinbarung werden aber Regelungen über eine 

Dokumentationspflicht dieser angeschlossenen Systeme und der Datenweitergabe 

an diese getroffen. 

(5) Basis des personalvertretungsrechtlichen Mitbestimmungsverfahrens ist eine 

detaillierte Beschreibung des IDM-Gesamtsystems, seiner Konzeption und 

Dienstvereinbarung für das Identity Management System der Universität Passau 1/5

Konfiguration mit allen verwendbaren Datenfeldern und eine Begründung für 

deren Notwendigkeit (Anlage 1). 

§ 3 Zielsetzung 

(1) Ziel der Einführung des Identity Management Systems ist die Stärkung der 

Leistungsfähigkeit und Erhöhung der Servicefreundlichkeit der Universität angesichts 

wachsender Datenmengen und zunehmender Aufgaben durch hinzukommende 

Anwendungen. 

(2) Der durch das Identity Management System ermöglichte Zugriff von zugelassenen 

Zielsystemen auf Daten, die von den Quellsystemen übernommen werden, 

darf nur für vereinbarte Zwecke genutzt werden. Das Identity Management 

System ist gegen unbefugte Zugriffe von innen und außen zu schützen. 

§ 4 Ausschluss der Leistungs- und Verhaltenskontrolle 

Das Identity Management System wird nicht zur Leistungs- und Verhaltenskontrolle 

genutzt. Statistische Auswertungen sind ausschließlich anonymisiert zulässig. 

§ 5 Aufbau, Änderung und Erweiterung des Systems 

(1) Die in der Anlage beschriebenen Daten werden unter anderem vom Personaldatenverarbeitungssystem 

über einen Konnektor an das Meta Directory übergeben 

und können von anderen Quell- und Zielsystemen wie vereinbart genutzt 

werden. 

(2) Bei der Entwicklung oder wesentlichen Erweiterung von Konnektoren für 

Quell- und Zielsysteme ist die Inbetriebnahme nur unter Einhaltung der datenschutzrechtlichen 

Bestimmungen und nach rechtzeitiger Information des zuständigen 

Personalrates zulässig. Die Anlage 2 der Dienstvereinbarung ist 

entsprechend § 9 Absatz 3 anzupassen. 

(3) Die Beschäftigten sind zeitnah über wesentliche Änderungen und Erweiterungen 

zu informieren. 

§ 6 Beschreibung und Dokumentation des Systems 

(1) Eine detaillierte Beschreibung des Identity Management Systems ist als Anlage 

1 dieser Dienstvereinbarung beigefügt. 

(2) Zusätzlich wird das aktuelle Administrationskonzept des Identity Management 

Systems und der Schnittstellen zu den Quellsystemen beschrieben. Die 

Betreiber des Identity Management Systems sind verpflichtet, dieses Dokument 

gegebenenfalls anzupassen. 


§ 7 Verarbeitung personenbezogener Daten 

Die Universität sichert personenbezogene Daten gegen Verlust, Ausspähung, 

Manipulation usw. durch entsprechende Maßnahmen. Personenbezogene Daten 

sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten 

oder bestimmbaren natürlichen Person. Personenbezogene Daten dürfen im 

Identity Management System nur verarbeitet werden, wenn diese Verarbeitung 

unter Beachtung des Bayerischen Datenschutzgesetzes in der jeweils geltenden 

Fassung geregelt ist. Art und Umfang der zu verarbeitenden personenbezogenen 

Daten ergeben sich aus der Anlage. 

§ 8 Datenschutz und Datensicherheit 

(1) Durch geeignete technische und organisatorische Maßnahmen ist mit angemessener 

Sorgfalt und auf Grundlage des an der Universität Passau gegebenen 

Standes der Technik gemäß Art. 7 des Bayerischen Datenschutzgesetzes 

sicherzustellen, dass Unbefugte keine Möglichkeit haben, die auf den Datenträgern 

gespeicherten Daten zu lesen, zu verändern oder zu kopieren. 

(2) Vorgänge im Identity Management System, bei denen personenbezogene Daten 

protokolliert werden, sind in der Anlage aufzuführen. 

(3) Der Zugriff auf Protokolldaten ist ausschließlich den Systembetreibern und 

den von ihnen beauftragten Systemadministratoren, dem Datenschutzbeauftragten 

und dem örtlichen Personalrat im Rahmen des Bayerischen Datenschutzgesetzes 

gestattet. Eingriffe der Systemadministratoren dürfen ausschließlich 

der Sicherstellung der technischen Funktionalität dienen. 

(4) Die Universität ist zur Vermeidung jeglichen Missbrauchs des Identity Management 

Systems und aller angebundenen Quell- und Zielsysteme verpflichtet. 

Missbräuchlich ist insbesondere die Verwendung von Daten, die entgegen 

den datenschutzrechtlichen Vorschriften oder durch ungerechtfertigten Eingriff 

in das Persönlichkeitsrecht erhoben werden. Nähere Bestimmungen werden 

in den Regelungen zu den Quell- und Zielsystemen getroffen. Wird eine missbräuchliche 

Nutzung festgestellt, ist die Universität verpflichtet, die Ursachen 

dafür umgehend abzustellen und den Personalrat zu informieren. Besteht ein 

ausreichend begründeter Verdacht der missbräuchlichen Datenerhebung oder 

missbräuchlichen Nutzung des IDM-Gesamtsystems, findet unter Beteiligung 

des Personalrates eine gezielte Überprüfung statt. 

(5) Beschäftigte erhalten auf Anfrage vom Betreiber des IDM-Gesamtsystems 

Auskunft zu allen dort zu ihrer Person gespeicherten Daten. 

§ 9 Anschluss von Zielsystemen 

(1) Zielsysteme des Identity Management Systems sind Systeme oder Verzeichnisse, 

die das Identity Management System nutzen. 


(2) Die Weitergabe von Daten und Zuteilung von Ressourcen oder Berechtigungen 

müssen dem Grundsatz genügen, dass nur diejenigen Daten übergeben 

werden, die im Zielsystem für die Wahrnehmung der Ziele des Zielsystems erforderlich 

sind. 

(3) Jedes Zielsystem ist durch eine gesonderte Anlage an diese Dienstvereinbarung 

zu dokumentieren. Diese Dokumentation muss folgende Informationen 

enthalten: 

1) Grundsätzliche Beschreibung des Systems 

2) Darlegung der Ziele, die mit dem System verfolgt werden. 

3) Aufstellung der vom Identity Management System weitergegebenen Datenfelder 

4) Beschreibung, wie das System administriert wird. 

5) Beschreibung, wie in dem System Datenschutz garantiert wird. 

6) Beschreibung und Begründung der Regeln, die der Weitergabe der Daten 

oder der Zuteilung einer Ressource oder einer Berechtigung zugrunde liegen. 

Insbesondere ist darzulegen, ob die Regeln grundsätzlich auf einem 

Automatismus basieren oder durch einen zusätzlichen Administrationsvorgang 

beeinflusst werden. 

(4) Die Systemadministratoren des IDM-Gesamtsystems und der angeschlossenen 

Quell- und Zielsysteme müssen in einer am Rechenzentrum geführten 

Liste erfasst werden. 

§ 10 Löschungsfristen 

Die Löschungsfristen richten sich nach den geltenden gesetzlichen, insbesondere 

datenschutzrechtlichen Bestimmungen. 

§ 11 Inkrafttreten, Laufzeit, Kündigung 

(1) Die Dienstvereinbarung tritt am Tag nach ihrer Unterzeichnung in Kraft. 

(2) Für die Kündigung dieser Vereinbarung gilt Art. 73 Abs. 4 des Bayerischen 

Personalvertretungsgesetzes in der jeweils gültigen Fassung. Die Parteien 

haben unverzüglich Verhandlungen über eine neue Dienstvereinbarung aufzunehmen. 

Bis zum Abschluss einer neuen Dienstvereinbarung gilt die bisherige 

fort. 


(3) Einvernehmliche Änderungen und Erweiterungen bedürfen der Schriftform 

und sind jederzeit ohne Kündigung möglich. 

Anlagen: 

1. Systembeschreibung und Datenfelder des Identity Management Systems 

(mit Grundsätzen für ein Sicherheitskonzept) 

2. Zielsysteme des Identity Management Systems 

Passau, den 26.10.2007 

Für die Universität Passau Für den Personalrat 

Der Rektor Der Kanzler Der Vorsitzende 

Prof. Dr. Walter Schweitzer Ludwig Bloch Robert Cieplik 


Anlage 1 

zur 



Vorbemerkungen 

Systembeschreibung und Datenfelder des 

Identity Management Systems 

Diese Anlage stellt überblicksweise das Identity Management System der Universität 

Passau vor und beschreibt die im Meta Directory benötigten Datenfelder. Die Einführung 

von Identity Management erfolgt im Rahmen des Projekts „InteLeC - Integrierter 

eLearning Campus“ an der Universität Passau. Es handelt sich um ein komplexes, 

universitätsweit koordiniertes Projekt. Diese Anlage reflektiert den aktuellen Arbeitsstand 

im Rechenzentrum unter Berücksichtigung der Anforderungen der beteiligten 

Systeme und konzentriert sich auf die für den Abschluss der Dienstvereinbarung wesentlichen 

Aspekte. Für eine tiefer gehende Betrachtung wird auf das Fachkonzept 

verwiesen. 

Inhaltsverzeichnis 

1. Systembeschreibung des Identity Management Systems................................................... 2 

2. Ziele und Aufgaben des Identity Management Systems.................................................... 3 

3. Personenbezogene Datenfelder des Identity Management Systems und ihre 

Anwendungen............................................................................................................................. 4 

3.1. Personenbezogene Daten im Überblick ..................................................................... 4 

3.2. Daten zur Identifizierung von Personen..................................................................... 7 

3.3. Anwendungsorientierte personenbezogene Daten ..................................................... 8 

3.4. Technisch orientierte Daten ..................................................................................... 10 

4. Schnittstellen zu den Quellsystemen................................................................................ 11 

5. Administrationskonzept ................................................................................................... 11 

6. Grundsätze zum Sicherheitskonzept des Identity Management Systems ........................ 11 

Anlage 1 zur Dienstvereinbarung für das Identity Management System der Universität Passau 1/12

1. Systembeschreibung des Identity Management Systems 

Ein Identity Management System (IDM-System) ist ein Rahmenwerk zur Verwaltung 

von digitalen Identitäten. Das IDM-System führt Informationen aus unterschiedlichen 

Datenquellen der Universität Passau, z.B. Verzeichnissen und Datenbanken, zusammen. 

Hierzu verwendet das IDM-System ein internes Meta Directory als Datendrehscheibe 

für die zu verarbeitenden Informationen. 

Eine eindeutige Identifizierung von Personen und die Zuordnung zustehender Berechtigungen 

sind die notwendigen Voraussetzungen für die sichere Funktion von IT- 

Diensten, beispielsweise für die autorisierte Benutzung von Hard- und Softwaresystemen 

für Forschung, Lehre und Verwaltung an der Universität. 

Der im IDM-System verwaltete Bestand von Personendaten soll weitgehend durch 

automatische Prozesse aus den EDV-Systemen der Personalverwaltung (VIVA), des 

Referats Liegenschaften (HISFSV BAU) sowie der Studentenverwaltung (HISSOS) 

übernommen und regelmäßig aktualisiert werden. Durch dieses Verfahren wird auch 

das Ausscheiden einer Person als Studierender oder Mitarbeiter an das IDM-System 

gemeldet, sodass dort darauf geeignet reagiert werden kann. Zusätzlich können weitere 

Personen direkt im IDM-System eingepflegt werden (z.B. Gäste). 

Abbildung 1 zeigt einen schematischen Überblick über die Integration des IDM- 

Systems in die bestehende IT-Struktur an der Universität Passau. 

Abbildung 1: Struktur und Aufgaben des IDM-Gesamtsystems 

Die operationellen Datenbanken der Universitätsverwaltung sind die primären Datenquellen 

für das IDM-System. Über die entsprechenden Synchronisationsmechanismen 

werden lediglich die für das Identity Management benötigten Daten übernommen. 

Das Serviceportal dient neben diversen Administrationsfunktionen auch als 

Organisationssystem für die Pflege von Personendaten, die nicht aus den operationellen 

Datenbanken gewonnen werden können, wie zum Beispiel für Gäste oder zusätzliche, 

nicht automatisch ableitbare Berechtigungen für bereits erfasste Personen. 


Eine wichtige Anwendung des IDM-Systems ist der Bereich der Authentifizierung und 

Autorisierung. Hierzu soll für Dienste wie das Campusmanagement-System die bisherige 

Verwendung von LDAP durch das webbasierte Authentifizierungs- und Autorisierungssystem 

Shibboleth ersetzt werden. Darüber hinaus wird dadurch die Grundlage 

für einen übergreifenden Zugriff auf für bestimmte Benutzergruppen freigegebene 

Informationen und Dienste ermöglicht (sog. Föderation im Rahmen der DFN-AAI 

Initiative). Dazu ist die Bereitstellung eines separaten Verzeichnisses erforderlich, in 

das die notwendigen Daten über einen Konnektor vom IDM-System provisioniert 

werden. 

Das IDM-System soll die Zielsysteme mit Initial-Passworten provisionieren und die 

vom Benutzer vorgenommenen Passwortänderungen dort synchronisieren. Auf der 

Grundlage dieses integrierten Verfahrens ist eine einheitliche Anmeldung, das sogenannte 

Single Log On, realisierbar. 

Provisionierung bedeutet, allen Beschäftigten, Studierenden und sonstigen berechtigten 

Personen, die für ihre rechnergestützte Arbeit notwendigen Ressourcen automatisch 

zur Verfügung zu stellen. Bisher erfordert das aufwändige Routinetätigkeiten 

der Systemadministration. Dies umfasst beispielsweise das Einrichten der Mailbox, 

verbunden mit der Vergabe einer E-Mail-Adresse sowie die Eintragung als Benutzer 

in den betriebssystemorientierten Verzeichnissen der Rechnerpools, sowohl zentral 

im Rechenzentrum als auch dezentral. Die Arbeit der Administratoren erfährt durch 

Standardkonnektoren des IDM-Systems zu den betriebssystemorientierten Verzeichnissen, 

wie z.B. Novell eDirectory Services für verschiedene Betriebssysteme oder 

das Network Information System (NIS+) für Unix, eine wesentliche Unterstützung. 

Diese betriebssystemorientierten Verzeichnisse erhalten die Daten aus dem IDM- 

System, wobei die Autonomie der dem IDM-System im Sinne eines Zielsystems 

nachgeordneten administrativen Bereiche erhalten bleibt. 

Synchronisierung bezeichnet den Abgleich von erforderlichen Daten (z.B. Name) aus 

den Quellsystemen über das IDM-System mit den Zielsystemen. Dadurch können 

Inkonsistenzen im Datenbestand vermieden werden. Durch die Synchronisierung von 

Passwörtern in unterschiedlichen Systemen kann sich der Umgang mit diesen auch 

aus Benutzersicht wesentlich vereinfachen. Man muss sich so im Idealfall nur mehr 

ein Passwort merken. 

2. Ziele und Aufgaben des Identity Management Systems 

Einrichtungen der Universität, die zur Erfüllung Ihrer Aufgaben Verzeichnisse von 

Mitgliedern der Universität führen müssen, sollen durch eine automatische Datensynchronisation 

mit dem IDM-System von der Neuerfassung und Verwaltung von 

Personendaten enthoben werden. Dazu gehören auch verlässliche Information über 

Zugehörigkeiten zu Personengruppen und Organisationseinheiten der Universität 

sowie über Änderungen dieser Daten. 

Insgesamt werden folgende Ziele angestrebt: 

1. Rationalisierung von Administrations- und Verwaltungsvorgängen 

2. Erhöhung der Datenqualität 

3. Erhöhung von Datenschutz durch Transparenz über Speicherung von Personendaten 

und über Datenflüsse 

4. Erhöhung von Datenschutz durch gezielte Verwaltung von Nutzungsrechten 

5. Erhöhung von Sicherheit durch eindeutige elektronische Identitäten 


Das IDM-System hat folgende Aufgaben: 

1. Die weitgehend automatische Einrichtung und Entziehung persönlich zugeordneter 

EDV-Ressourcen anstoßen. 

2. Die Zuteilung von Zugriffsberechtigungen steuern. 

3. Dafür Sorge tragen, dass angeschlossene EDV-Systeme verlässliche und aktuelle 

Daten über die Mitglieder der Universität haben. 

4. Kontaktdaten wie Telefonnummern, E-Mail-Adressen und Raumnummern, die 

in verschiedenen einzelnen Systemen den Universitätsmitgliedern zugeteilt 

werden, für die Universität nutzbar machen. 

Es ist keine Aufgabe des IDM-Systems, Daten selbst zu veröffentlichen. Es sollen 

aber vorhandene Systeme provisioniert werden. So kann z.B. das universitätsinterne 

elektronische Telefonbuch mit aktuellen Daten aus dem Bestand der Verwaltung versorgt 

werden. 

3. Personenbezogene Datenfelder des Identity Management 

Systems und ihre Anwendungen 

Die zahlreichen durch das IDM-System unterstützten Anwendungen erfordern auch 

die Abspeicherung personenbezogener Daten im Meta Directory. Die benötigten Datenfelder 

werden im Folgenden näher erläutert 

3.1. Personenbezogene Daten im Überblick 

Die Spezifikation der Daten, die im Meta Directory abgespeichert werden müssen, 

erfolgt in Abhängigkeit von den bereits erwähnten, zu integrierenden Anwendungen. 

Die benötigten personenbezogenen Daten lassen sich prinzipiell in drei Kategorien 

einteilen: 

1. Daten zur Identifizierung von Personen und zum Aufbau eines universitätsweiten 

Identity Management Systems, 

2. anwendungsorientierte personenbezogene Daten sowie 

3. technisch orientierte Daten zum Aufbau der verzeichnisinternen Strukturen. 

Technisch betrachtet werden die Daten auf Verzeichniseinträge für Personen und 

Benutzerkonten abgebildet. Eine Person kann dabei sowohl mehrere Zugehörigkeits- 

Verhältnisse zur Universität als auch mehrere Benutzerkonten besitzen, eine Person 

kann beispielsweise gleichzeitig Studierender und Beschäftigter sein. 

Ein weiteres technisches Detail ist die Verwendung von Assoziationen. Eine Objekt- 

Assoziation stellt eine eindeutige Referenz zwischen einem Objekt im Meta Directory 

des IDM-Systems und einem Eintrag im Quell- oder Zielsystem her. Die Assoziation 

ist ein verzeichnisinternes Attribut, das außerhalb des IDM-Systems nicht sichtbar ist. 

Die folgende Tabelle liefert einen Überblick über die für das Meta Directory des IDM- 

Systems notwendigen Daten und woher diese übernommen werden. Die Markierung 

„x“ bedeutet dabei, dass die Information hier gespeichert ist, die Markierung „~“, dass 

die Information im Quellsystem nur informell vorliegt bzw. im Meta Directory aus anderen 

Informationen abgeleitet wird. 


Quelle 

Liegenschaften 

Studentenverw. 

Meta Directory 

Personalverw. 

Nr. Datenfeld Kurzbeschreibung 

1. Nachname x x x x Identifizierung von Personen und Generierung 

von Basisdaten, z.B. Mailadresse, 

Login-Name 

2. Vorname(n) x x x x Siehe 1. 

3. Titel, Namenszusätze x x x Siehe 1. 

4. Anrede bzw. Ge- x x x Für eine korrekte Ansprache bei der Konschlechttaktaufnahme 

erforderlich 

5. Geburtsdatum/-ort x x x Eindeutige Identifizierung von Personen 

beim Auftreten von Namenskonflikten 

6. Anzeigename x Name zur Anzeige in IT-Systemen (nur falls 

abweichend von den Quellsystemen, Verwendung 

vom Mitarbeiter gewünscht und 

ausdrücklich von der Universitätsleitung 

genehmigt) 

7. Personalnummer x x Eindeutige Identifikation einer Person in der 

Personalverwaltung 

8. Matrikelnummer x x Eindeutige Identifikation einer Person in der 

Studentenverwaltung 

9. Bibliotheksbenutzer- ~ x Eindeutige Zuordnung von Personeneinträ- 

Nummer 

gen zwischen Meta Directory und Universitätsbibliothek 

10. MensaCard-Nummer x Neben Bezahlfunktion auch Zugangskontrolle 

für Tiefgarage bei Studierenden, später 

Integration der Drucker-, Kopierer- und 

Gebäudezugangskarten 

11. Identifikator x Abstrakter, eindeutiger, anwendungsunabhängiger 

Identifikator für Personen innerhalb 

des Meta Directory 

12. Benutzername x Login-Name einer Person für die Benutzung 

von IT-Diensten der Universität 

13. Passwort x geheimes Passwort zur Synchronisation mit 

Zielsystemen (verschlüsselt gespeichert) 

14. E-Mail-Adresse(n) x x Dienstliche E-Mail-Adresse von Beschäftigten, 

Uni-interne E-Mail-Adresse von Studierenden, 

externe E-Mail-Adresse bei Gästen 

und Alumni 

15. Anschrift(en) x x x Amtlich gemeldete Postadresse (Studienoder 

Heimatadresse bei Studierenden, 

Kontaktadresse bei Gästen, Privatadresse 

bei Mitarbeitern), wird vor allem in der Universitätsbibliothek 

benötigt 


Nr. Datenfeld Personalverw. 

Quelle 




Kurzbeschreibung 

16. Benutzergruppe ~ ~ x Typisierte Zugehörigkeit nach Funktion/Stellung 

innerhalb der Universität 

(„employee“, „student“, „affiliate“ usw.), 

Rechtevergabe anhand dieses Datenfelds 

intern und extern möglich (DFN-AAI- 

17. Dienstart/Art des Beschäftigungsverhältnisses 

Föderation) 

x x Charakter der Beschäftigung zur Ermittlung 

der primären Zugehörigkeit einer Person an 

der Universität, erforderlich für Sonderbehandlung 

bestimmter Personenkreise beim 

Ausscheiden (z.B. emer./pens. Professoren 

behalten alle IT-Rechte beim Ausscheiden) 

18. Anwesenheitszeiten x x Erreichbarkeit per Telefon (für ETB) 

19. Abwesenheit x x Temporäre Deaktivierung der IT-Rechte ist 

bei bestimmten Abwesenheiten erforderlich 

(z.B. Elternzeit), bei anderen nicht (z.B. 

20. Organisationszugehörigkeit(en) 

21. Leitung der zugeordnetenOrganisations- 

einheit 

Forschungsfreisemester) 

x x x Konkrete Zuordnung zu Organisationseinheiten 

zur Ableitung von Rechten und Ver- 

gabe von Ressourcen in den Zielsystemen 

x x Genehmigungsbefugnis für besondere IT- 

Rechte des/der Beschäftigten 

22. Funktion(en) ~ x Funktionen einer Person im Kontext der 

Universität zur Anzeige in 

23. Ausscheidungsdatum 

und Kategorie Aus- 

scheidungsgrund 

24. Studiengang, -Nr., 

Fakultät, Fachsemester, 

Angestrebter Abschluss,Immatrikula- 

tionsstatus 

ETB/Campusmanagementsystem 

x x Sonderbehandlung beim Ausscheiden z.B. 

von emeritierten/pensionierten Professoren 

x x Bei Studierenden für das Campusmanagement-System, 

ggf. auch Ableitung von Sonderrechten 

(z.B. Zugang zum FIM CIP-Pool 

nur für Informatikstudierende) 

25. Telefonnummer x x x Dienstliche bei Beschäftigten, Private bei 

Gästen und Studierenden (soweit verfügbar) 

26. Gebäude/Raum x x Dienstliche Besuchsadresse (nicht Postadresse) 

27. Beginn/Ende x x x Beginn/Ende der Gültigkeit der Universitätszugehörigkeit 

für automatische Gewährung/Entziehung 

von IT-Rechten 


Nr. Datenfeld Personalverw. 

28. Status eines Personeneintrages 

29. Status eines Benutzerkontoeintrages 

Quelle 




Kurzbeschreibung 

x Status eines Personeneintrages im Meta 

Directory für die Abbildung von Bearbei- 

tungszuständen 

x Status eines Benutzerkontoeintrages im 

Meta Directory für die Abbildung von Bearbeitungszuständen 

In den nächsten Abschnitten folgt eine kurze Beschreibung von Zweck und Semantik 

der Datenfelder. 

3.2. Daten zur Identifizierung von Personen 

Nachname, Vorname(n), Namenszusätze 

Nachname, Vornamen und Namenszusätze dienen der Identifizierung einer Person 

beim Eintragen in das Meta Directory sowie der Generierung von Basisdaten wie E- 

Mail-Adresse und Login-Name. Die Datenfelder Nachname, Vornamen, Namenszusätze 

und Geburtsdatum/-ort besitzen für die eindeutige Identifizierung einer Person 

beim Eintragen ihrer Daten in das Meta Directory eine Schlüsselfunktion. Nach erfolgreicher 

Eintragung stehen die eindeutigen Schlüssel aus den Datenbanken der 

Verwaltung zur Identifizierung im Meta Directory zur Verfügung. 

Geburtsdatum/-ort 

Geburtsdatum und -ort dienen der eindeutigen Identifizierung einer Person beim Auftreten 

von Namenskonflikten. So können z.B. die in der Personalverwaltung verwalteten 

Beschäftigten gleichzeitig als Studierende eingeschrieben sein. In diesem Fall 

muss überprüft werden, ob es sich um ein und dieselbe Person handelt. 

Anzeigename 

Falls eine Person einen anderen als den amtlich eingetragenen Namen verwenden 

will (und das von der Universitätsleitung genehmigt wird), so wird er in diesem Feld 

eingetragen. Der Anzeigename wird dann in ALLEN IT-Systemen außerhalb der 

Verwaltung verwendet (E-Mail, RZ Benutzerkonto usw.). 

Personalnummer 

Die Personalnummer identifiziert einen Beschäftigten an der Universität eindeutig. 

Die hier verwendete Personalnummer entspricht nicht der durch die zentrale Gehaltstelle 

vergebenen Personalnummer. Innerhalb der operationellen Datenbank der 

Personalverwaltung sind Beschäftigte über ihre interne Personalnummer lebenslang 

eindeutig identifizierbar. Für einige universitätsinterne Arbeitsabläufe ist die interne 

Personalnummer unverzichtbar. 


Matrikelnummer 

Die Studierendennummer, auch als Matrikelnummer bezeichnet, identifiziert einen 

Studierenden an der Universität eindeutig und ist lebenslang gültig. Innerhalb der 

operationellen Datenbank der Studentenverwaltung sind Studierende über ihre Matrikelnummer 

eindeutig identifizierbar. Für viele universitätsinterne Arbeitsabläufe ist 

die Matrikelnummer unverzichtbar, wie z.B. bei der Eintragung von Prüfungsergebnissen. 

Identifikator 

Der Identifikator dient der eindeutigen Identifizierung einer Person innerhalb des Meta 

Directory. Da das Meta Directory viele Anwendungen unterstützen soll, ist dieser 

Identifikator notwendig. Er wird beim Eintrag neuer Personen automatisch erzeugt 

und nur innerhalb des Meta Directory verwendet. 

3.3. Anwendungsorientierte personenbezogene Daten 

Benutzername 

Der Benutzername spezifiziert den Login-Namen einer Person für die Benutzung von 

IT-Diensten der Universität. Der Benutzername wird beim ersten Eintragen einer 

Person in das Meta Directory generiert (bzw. bei Studierenden bei der Einschreibung). 

Bei der Initialisierung des Meta Directory müssen die existierenden Benutzer 

mit ihren bereits vorhandenen Login-Namen berücksichtigt werden. Der Benutzername 

wird außerdem vom Authentifizierungs- und Autorisierungssystem benötigt. 

Passwort 

Da sich kein Benutzer direkt am Meta Directory anmelden darf, wird das Passwort 

lediglich zur Passwortsynchronisation mit anderen Verzeichnissen herangezogen. So 

kann zum Beispiel ein initiales Passwort generiert und anschließend in die angeschlossenen 

Applikationen synchronisiert werden. 

E-Mail-Adresse 

Das Datenfeld E-Mail-Adresse enthält die an der Universität gültige E-Mail-Adresse 

eines Benutzers. Die E-Mail-Adresse wird beim ersten Eintragen einer Person generiert. 

Für bereits existierende E-Mail-Benutzer muss dieser Wert übernommen werden. 

Eine an der Universität gültige E-Mail-Adresse ist die Voraussetzung für den 

Nachrichtenaustausch zur Organisation des Arbeits- und Studienalltags sowie zur 

Inanspruchnahme der portalgestützten Dienste. 

Bibliotheksbenutzernummer 

Die Bibliotheksbenutzernummer ist für den Barcode auf dem Bibliotheksbenutzerausweis 

bestimmt und wird als Login-Name an den Rechnern in der Bibliothek, sowie 

im bibliotheksinternen Informationsportal InfoGuide verwendet. 

MensaCard-Nummer 

Die MensaCard-Nummer repräsentiert die an die Person ausgegebene MensaCard, 

die neben der Bezahlung in Mensa, Cafeteria und diversen Automaten momentan 

bei bestimmten Studierenden auch zur Einlasskontrolle an der Tiefgarage verwendet 

wird. (Später sollen auch die Drucker-, Kopierer- und Gebäudezugangskarten durch 

die MensaCard abgelöst werden.) 


Anrede/Geschlecht 

Anrede bzw. Geschlecht wird für eine korrekte Adressierung von Nachrichten benötigt. 

Titel 

Ein Datenfeld für akademische Titel bzw. akademische Grade einer Person ist von 

Seiten der akademischen Anwendungen notwendig. 

Anschrift 

Die Anschrift besteht aus den Feldern Straße, Adresszusatz, Postleitzahl, Ort und 

Land. Sie dient der Abspeicherung der amtlich gemeldeten Postadresse einer Person. 

Benutzergruppe 

Die Datenfelder für die Benutzergruppe spezifizieren die Beziehung einer Person zur 

Universität auf generischer Ebene. Diese Datenfelder drücken eine nach Funktion 

und Stellung innerhalb der Universität typisierte Zugehörigkeit aus, die eine Kategorisierung 

von Personen sowie interne und externe Rechtevergabe im Rahmen von 

DFN-AAI ermöglicht. Mögliche Werte für diese Datenfelder sind zum Beispiel 

„employee“, „student“ oder „affiliate“. 

Dienstart/Art des Beschäftigungsverhältnisses 

Dienstart und Art des Beschäftigungsverhältnisses geben Auskunft über den Charakter 

der Beschäftigung an der Universität. So ist zum Beispiel ein Studierender, der 

gleichzeitig als Beschäftigter der Personalkategorie „Wissenschaftliche Hilfskraft“ 

tätig ist, primär als Studierender anzusehen. Außerdem hängen davon automatische 

Abläufe beim Ausscheiden ab. So sollen neben Studierenden auch Wissenschaftliche 

Mitarbeiter später die Möglichkeit erhalten, als Alumni geführt zu werden. 

Organisationszugehörigkeit 

Die Datenfelder für die Organisationszugehörigkeit enthalten Nummer (und ggf. Name) 

einer Organisationseinheit der Universität. Aus der Organisationszugehörigkeit 

sind vor allem Rechte und notwendige Ressourcen in den jeweiligen Organisationseinheiten 

ableitbar. 

Leitung der zugeordneten Organisationseinheit 

Die Information zur Leitung der zugeordneten Organisationseinheit ist notwendig, um 

feststellen zu können, wer für die Erteilung von besonderen IT-Rechten für die betreffende 

Person Genehmigungsbefugnisse besitzt. 

Funktion(en) 

Das Datenfeld enthält Werte für die Funktionen bzw. Positionen einer Person innerhalb 

des Kontexts der Universität. Beispielwerte sind Präsident, Kanzler, Dekan, 

stellvertretender RZ-Leiter, Administrator usw. Das Datenfeld ist in erster Linie für die 

Anzeige im elektronischen Telefonbuch bestimmt, ist jedoch nicht für alle Personen 

verfügbar. 

Anwesenheitszeiten 

Informationen zu den Anwesenheitszeiten werden für das elektronische Telefonbuch 

benötigt (z.B. „vormittags“). 


Abwesenheit 

Während länger andauernder, temporärer Abwesenheit von Beschäftigten, wie z.B. 

Elternzeit, sollen die IT-Rechte deaktiviert werden. Um diese Vorgabe umzusetzen, 

ist diese Information daher notwendig. 

Ausscheidungsdatum und Kategorie „Ausscheidungsgrund“ 

Neben der automatischen Deaktivierung von IT-Rechten beim Ausscheiden wird eine 

gesonderte Behandlung bestimmter Personenkreise beim Ausscheiden gefordert. 

Dazu ist die Information über den Ausscheidungsgrund erforderlich, z.B. bei der 

Emeritierung/Pensionierung von Professoren. 

Studiengang, -nummer, Fakultät, Fachsemester, angestrebter Abschluss und 

Immatrikulationsstatus 

Die Datenfelder für Studiengang, -nummer, Fakultät, Fachsemester, angestrebten 

Abschluss und Immatrikulationsstatus dienen der Einordnung von Studierenden. Jeder 

Studierende kann in mehreren Studiengängen eingeschrieben sein. Jedem Studiengang 

ist ein Fachsemester zugeordnet, in dem sich der Studierende bezogen auf 

den betreffenden Studiengang gerade befindet. Angestrebter Abschluss und Immatrikulationsstatus 

sind ebenfalls damit verknüpft. Der Immatrikulationsstatus ermöglicht 

darüber hinaus auch die Erkennung von Beurlaubung und Exmatrikulation von 

Studierenden. Die Informationen werden mit jeder Einschreibung und Rückmeldung 

aktualisiert. Damit existiert die Möglichkeit, Sonderrechte für Studierende abhängig 

von Studiengang, Fachsemester, angestrebtem Abschluss und Immatrikulationsstatus 

zu vergeben (z.B. Zugang zum CIP-Pool der FIM nur für Informatik-Studierende). 

Telefonnummer(n) 

Das Datenfeld enthält die dienstlichen Telefonnummern, unter denen ein Beschäftigter 

zu erreichen ist. Hauptanwendung für diese Daten ist das hochschulinterne elektronische 

Telefonbuch auf aktuellem Stand. Auch für Gäste und Studierende ist hier 

ein Eintrag möglich, sofern verfügbar. 

Gebäude und Raum 

Die Datenfelder identifizieren ein Gebäude und einen Raum der Universität, der dem 

Beschäftigten als Arbeitsplatz zugeordnet ist und repräsentieren damit die Besuchsadresse 

(nicht Postadresse). 

Beginn/Ende 

Die Datenfelder spezifizieren das Datum, an dem die Gültigkeit der Zugehörigkeit zur 

Universität beginnt bzw. abläuft. Diese Daten steuern Prozesse wie die Änderung der 

Organisationszugehörigkeit, Aktivierung und Deaktivierung von IT-Rechten sowie 

Zuteilung und Freigabe der an eine Person vergebenen Ressourcen. 

3.4. Technisch orientierte Daten 

Status von Personen- und Benutzerkontoeinträgen 

Die Datenfelder für den Status im Meta Directory dienen der Abbildung von Bearbeitungszuständen 

in Abhängigkeit von den jeweiligen Arbeitsabläufen. So kann zum 

Beispiel das Löschen einer Organisationszugehörigkeit und der damit verbundenen 

Ressourcen die vorherige Information des jeweiligen Benutzers per E-Mail erfordern. 


Studiengangsnummer aus Studentenverwaltung 

Die Studiengangnummer (in Verbindung mit der Matrikelnummer) dient der Zuordnung 

von Einträgen im EDV-System der Studentenverwaltung zu Personeneinträgen 

im Meta Directory. Die Matrikelnummer ist hier nicht ausreichend, weil Personen 

zeitgleich unterschiedliche Studiengänge innehaben können. 

4. Schnittstellen zu den Quellsystemen 

Programme, die die Verbindung von Quell- und Zielsystemen zum Identity Management 

System herstellen und den Datenfluss durch definierte Regeln festlegen, werden 

Konnektoren oder Treiber genannt. Die Schnittstellen vom Meta Directory zu den 

Verwaltungsdatenbanken werden durch mehrere Instanzen des Novell Identity Manager 

JDBC (Java Database Connectivity) Treibers hergestellt. Als Verfahren kommt 

die sog. Direct Triggerless Publication zum Einsatz. Dabei muss von den Quellsystemen 

nur der lesende Zugriff auf eine Tabelle oder View der Datenbank gewährt 

werden. Der Treiber liest in regelmäßigen Abständen den aktuellen Datenbestand 

aus und errechnet Änderungen durch einen Vergleich mit dem im Treiber zwischengespeicherten 

vorhergehenden Datenbestand. Diese Änderungen werden dann automatisch 

entsprechend definierter Regeln verarbeitet. Die Daten werden bei diesem 

Vorgang sowohl zum Identity Management System verschlüsselt übertragen als auch 

vom Treiber verschlüsselt zwischengespeichert, wodurch ein Ausspähen der Daten 

verhindert wird. 

Aus dem vom Landesamt für Finanzen in München für alle bayerischen Behörden 

betriebenen Personalverwaltungssystem VIVA werden Daten über Beschäftigte und 

Organisationseinheiten der Universität Passau regelmäßig übermittelt und in einer 

lokalen Datenbank zwischengespeichert. Die Informationen zu Studierenden, sowie 

Raum, Telefonnummer und Funktionen von Personen werden durch auf benötigte 

Daten (vgl. Kapitel 3) eingeschränkte Views in den Verwaltungssystemen (HISSOS 

bzw. HISFSV BAU) zur Verfügung gestellt. 

5. Administrationskonzept 

Die vollen und ausschließlichen Administrationsrechte auf Hard- und Software des 

Identity Management Systems (inkl. Meta Directory, Treiber und Service- und Administrationsapplikationen) 

werden zu Beginn des Betriebs nur die zuständigen Administratoren 

im Rechenzentrum innehaben. Später werden eingeschränkte Rechte an 

die Mitarbeiter der RZ-Servicetheke vergeben, soweit dies für die regelmäßige Bearbeitung 

dort notwendig ist. 

Die aktuell zuständigen Administratoren des Identity Management Systems werden 

auf einer Liste im Rechenzentrum erfasst (vgl. § 9 Abs. 4 der Dienstvereinbarung). 

6. Grundsätze zum Sicherheitskonzept des Identity Management 

Systems 

Das IDM-System mit sämtlichen darin enthaltenen Daten ist entsprechend der jeweils 

aktuellen technischen und organisatorischen Möglichkeiten vor Missbrauch, Manipulation 

und Ausspähung zu schützen. Dazu ist ein Sicherheitskonzept innerhalb des 

Fachkonzeptes zu erstellen. Es muss vor Inbetriebnahme des IDM-Systems vorliegen 

und insbesondere folgende Punkte regeln: 

• Die Aufgabe des IDM-Systems besteht darin, konsolidierte Daten über Konnektoren 

zur Verfügung zu stellen bzw. zu generieren. Keine Applikation au- 


ßerhalb des IDM-Systems erhält Zugriff auf diese Daten. Benötigte Daten 

werden im Rahmen der getroffenen Vereinbarungen (vgl. Verfahrensbeschreibung 

Kapitel 5) über Konnektoren an die Zielsysteme geliefert. 

• Die Server des IDM-Systems befinden sich im Maschinenraum des Rechenzentrums, 

der nur von berechtigten Personen betreten werden kann und tagsüber 

durch elektronische Zugangskontrolle, nachts und am Wochenende zusätzlich 

durch eine Alarmanlage gesichert ist. 

• Das IDM-System ist in das Netzwerk der Universität eingebunden und befindet 

sich in einem dafür vorgesehenen Netzwerksegment, das durch geeignete 

Maßnahmen vor unerwünschtem Zugriff geschützt ist. 

• Die Verbindung zwischen anderen Rechnern und dem IDM-System wird durch 

Verschlüsselung gesichert. 

• Benutzer haben keinen direkten Zugriff auf die Daten des IDM-Systems. Benutzer, 

deren Identitäten im IDM-System verwaltet werden, können Einsicht in 

die ihrer Identität zugeordneten Daten nehmen. Der administrative Zugriff ist 

auf berechtigte Personen beschränkt, deren Namen auf einer Liste im Rechenzentrum 

erfasst sind. 

• Im IDM-System werden sogenannte funktionsbezogene Benutzer, zum Beispiel 

für den Zugriff der Konnektoren, verwaltet. Diese funktionsbezogenen 

Benutzer stellen keine zu verwaltenden Personen im herkömmlichen Sinne 

dar und greifen lesend und schreibend auf das Meta Directory zu. Die Art und 

Weise des Zugriffs dieser funktionsbezogenen Benutzer ist so zu gestalten, 

dass sich die Kommunikationsbeziehungen und der Datenaustausch mit dem 

IDM-System auf das erforderliche Mindestmaß beschränkt. Für die einzelnen 

Funktionen wird festgelegt, welche Einträge und Attribute der funktionsbezogene 

Benutzer lesen bzw. schreiben darf. 

Stand: 06.12.2011 

Matthias Absmeier 

Rechenzentrum 

Universität Passau 


Anlage 2 

zur 



Übersicht Zielsysteme 

Bei der Anbindung der Zielsysteme wird eine Anlage mit den Informationen gemäß § 

9 Absatz 4 der Dienstvereinbarung erstellt. 

1. Aktuelle Zielsysteme 

Aktuell sollen folgende Systeme an das Identity Management System angebunden 

werden: 

• Verzeichnisdienst des Rechenzentrums (Anlage 2.1) 

• Shibboleth Identity Provider und Verzeichnisdienst (Anlage 2.2) 

• Benutzerdatenbank der VoIP-Telefonanlage (Anlage 2.3) 

• Campusmanagementsystem (Anlage 2.4) 

• HISFSV-GX Modul BAU (Anlage 2.5) 

• Forschungsinformationssystem (Anlage 2.6) 

• Zutritts- und Schließfachsystem (Anlage 2.7) 

2. Weitere geplante Zielsysteme 

In späteren Releases des Identity Management Systems ist die Anbindung folgender 

Systeme vorgesehen und daher im Systemdesign berücksichtigt: 

• Universitätsbibliothek 

• CIP-Pool der Fakultät für Informatik und Mathematik 

• Typo3-Kennungen im Rechenzentrum zur Webseitenpflege 

Stand: 06.12.2011 


Rechenzentrum 



Anlage 2.1 

zur 



Zielsystem: Verzeichnisdienst des Rechenzentrums 

1. Systembeschreibung 

Der Verzeichnisdienst des Rechenzentrums wird zur Authentifizierung und Autorisierung 

an den angeschlossenen Rechnern, zur Bereitstellung von Netzwerkspeicherplatz 

und Netzwerkdruckern und zur Verteilung von Software genutzt. Außerdem ist 

von außerhalb des Universitäts-Campus E-Mail-Zugriff über Webmail und 

POP3S/IMAPS, sowie SFTP-Zugriff auf eigene Daten (Laufwerk H:) möglich. Pro 

Organisationseinheit wird die Kennung einer Gruppe und einem Profil zugeordnet, 

über die Zugriff auf gemeinsamen Datenspeicher (Laufwerk I:) und gemeinsam nutzbare 

Netzwerkdrucker besteht. Außerdem ist der Verzeichnisdienst Basis für den 

Zugang über VPN und die Freischaltung des Internetzugangs in den Hörsälen (nur 

Beschäftigte). 

2. Ziele 

Ziel des Verzeichnisdienstes ist die Bereitstellung von EDV-Ressourcen für Beschäftigte 

und Studierende. 

3. Benötigte Daten 

Folgende Datenfelder von Beschäftigten werden aus dem Identity Management System 

im Verzeichnisdienst des Rechenzentrums benötigt: 


1. Nachname Identifizierung von Personen und Generierung von 

Basisdaten, z.B. Mailadresse, Loginname 

2. Vorname(n) Siehe 1. 

3. Titel, Namenszusätze Siehe 1. 

4. Benutzername Login-Name einer Person für die Benutzung von IT- 

Diensten im Rechenzentrum 

5. Passwort geheimes Passwort zur Synchronisation mit anderen 

Zielsystemen (verschlüsselt gespeichert) 

7. Gruppenzugehörigkeit Berechtigungsvergabe anhand der Organisationszugehörigkeit 

8. E-Mail-Adresse Dienstliche E-Mail-Adresse von Beschäftigten 

9. Ablaufdatum Gültigkeit des Benutzerkontos 

Anlage 2.1 zur Dienstvereinbarung für das Identity Management System der Universität Passau 1/2

4. Administration 

Der Verzeichnisdienst basiert momentan auf Novell eDirectory 8.7 und wird mit Hilfe 

der mitgelieferten Applikationen verwaltet. Aktuell zuständige Administratoren sind in 

einer Liste im Rechenzentrum erfasst. 

5. Datenschutz 

Die Aufrechterhaltung des Datenschutzes im Verzeichnisdienst des Rechenzentrums 

ist durch eine Beschränkung der Sichtbarkeit der Daten auf berechtigte Personen (im 

Wesentlichen die Administratoren) und durch Abschirmung von unberechtigtem 

Zugriff nach außen (sowohl gegen das campusinterne Netz als auch gegen das Internet) 

gewährleistet. 

6. Art der Datenweitergabe und -verwendung 

Der Datenfluss ist unidirektional aus dem Identity Management System in den Verzeichnisdienst 

des Rechenzentrums festgelegt. Änderungen im Verzeichnisdienst 

des Rechenzentrums werden nicht in das Identity Management System übernommen. 

Einzige Ausnahme bildet hier die Synchronisation von Passwörtern, die in beide 

Richtungen erfolgt. 

Grundsätzlich handelt es sich bei Neuanlage und Ablauf der Benutzerkonten von Beschäftigten 

und Studierenden um automatisch ablaufende Prozesse. Nur im Ausnahmefall 

soll ein manueller Eingriff durch die Administratoren erfolgen. Die Ableitung 

der Berechtigungen des Benutzerkontos erfolgt anhand der Zugehörigkeit zu 

Organisationseinheiten. 

Stand: 24.10.2007 


Rechenzentrum 



Anlage 2.2 

zur 



Zielsystem: 

Shibboleth Identity Provider und Verzeichnisdienst 

1. Systembeschreibung 1 

Shibboleth ist ein vom Internet2-Konsortium entwickeltes Verfahren 2 zur verteilten 

Authentifizierung und Autorisierung für Webanwendungen und Webservices. Das 

Konzept von Shibboleth sieht vor, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung 

authentisieren muss, um ortsunabhängig auf Dienste oder lizenzierte 

Inhalte verschiedener Anbieter zugreifen zu können (engl. Single Sign-On). Shibboleth 

basiert auf einer Erweiterung des Standards SAML. 

Die Architektur von Shibboleth besteht aus drei Teilen: 

• Identity Provider, der sich bei der Heimateinrichtung befindet, 

• Service Provider, der sich beim Anbieter befindet und 

• Lokalisierungsdienst oder WAYF- (Where are you from?) Server, der optional 

eingesetzt werden kann, um die Heimateinrichtung des Benutzers zu lokalisieren 

(nur im Rahmen einer externen Föderation erforderlich, vgl. unten). 

Die Funktionsweise von Shibboleth lässt sich am einfachsten anhand des folgenden 

Szenarios erklären: 

1. Authentifizierung (Wer bist Du?) 

Ein Benutzer will auf eine geschützte Ressource zugreifen. Der Anbieter 

nimmt die Anfrage entgegen und prüft, ob der Benutzer bereits authentifiziert 

ist. Wenn nicht, wird er zu einem Lokalisierungsdienst weitergeleitet. Der Lokalisierungsdienst 

bietet eine Auswahl von Einrichtungen an. Der Benutzer 

wählt seine Heimateinrichtung aus und wird zu dieser weitergeleitet. Die Heimateinrichtung 

prüft, ob der Benutzer bereits authentifiziert ist. Ist dies nicht 

der Fall, wird der Benutzer aufgefordert, sich zu authentisieren (zum Beispiel 

mit Benutzerkennung und Passwort oder Chipkarte). Die Heimateinrichtung 

1 Quelle: http://de.wikipedia.org/wiki/Shibboleth 

2 http://shibboleth.internet2.edu/ 


stellt einen „digitalen Ausweis" aus und leitet den Benutzer zum Anbieter zurück. 

Der Anbieter prüft den Inhalt des digitalen Ausweises. 

2. Autorisierung (Was darfst Du?) 

Benötigt der Anbieter weitere Informationen, um zu entscheiden, ob der Benutzer 

auf die gewünschte Ressource zugreifen darf (zum Beispiel die Fakultätszugehörigkeit 

bei einer Universität), so fragt er bei der Heimateinrichtung 

des Benutzers nach. Der Anbieter prüft über das eigene System, ob der Benutzer 

auf die Ressource zugreifen darf, und gestattet den Zugriff oder lehnt 

ihn ab. 

Shibboleth findet vor allem im Bereich Wissenschaft und Lehre Anwendung und kann 

bilateral (ein Anbieter, eine Einrichtung), in einem größerem Umfeld wie in Baden- 

Württemberg (ReDI) und in Sachsen (SAXIS) oder flächendeckend für ein ganzes 

Land eingesetzt werden. Ab einer gewissen Größe übernimmt eine sogenannte Föderation 

(engl. federation) die Organisation und technische Unterstützung. Eine solche 

Föderation wird zur Zeit in Deutschland vom Deutschen Forschungsnetz in Zusammenarbeit 

mit der Universität Freiburg gegründet 3 . In anderen Ländern sind Föderationen 

schon in Betrieb, wie z. B. SWITCH (Schweiz), DK-AAI (Dänemark), HA- 

KA (Finnland), CRU (Frankreich), UKFederation (Großbritannien). 

Im Rahmen der Einführung des Identity Management Systems wird ein Shibboleth 

Identity Provider und ein über LDAP angebundener Verzeichnisdienst aufgesetzt, der 

als Speicher für die Benutzeridentitäten dient und vom Identity Management System 

provisioniert wird. Aufsetzen und Inbetriebnahme der Service Provider liegt in der 

Verantwortung der Betreiber der anzubindenden Webdienste. 

2. Ziele 

Ziel und Hauptaufgabe des zentralen Authentifizierungsdienstes für Webanwendungen 

an der Universität Passau ist die Vereinfachung der Integration bestehender und 

zukünftiger Webdienste durch Befreiung der Endanwendungen von der Führung separater 

Benutzerdatenbanken. Aus Sicht der Benutzer soll nur noch ein Benutzerkonto 

notwendig sein, um die verschiedenen geschützten Webanwendungen der 

Universität nutzen zu können. 



im Verzeichnisdienst des Shibboleth Identity Providers benötigt: 


1. Nachname Identifizierung von Personen 



4. Benutzername Login-Name einer Person für die Benutzung 

von IT-Diensten 

5. Passwort Geheimes Passwort (verschlüsselt gespeichert) 

6. E-Mail-Adresse Zur eindeutigen Identifikation beim Institutionsübergreifenden 

Einsatz 

3 http://www.aai.dfn.de/ 



7. Benutzergruppe Typisierte Zugehörigkeit, z.B. „employee“, „student“, 

„affiliate“ usw. 

8. Ablauf Ablaufdatum des Benutzerkontos 

9. Postadresse Persönliche Anschrift 

10. Geburtsdatum/-ort 

11. Geschlecht 

12. Matrikelnummer 

13. Studienfach, -bereich, -art, 

Fachsemester, Abschluß 

Mit Schlüsselwerten gem. DFN-AAI-E-Learning- 

Schema (https://www.aai.dfn.de/derdienst/attribute/) 

Hinweis: 

An verschiedene Service Provider (=Diensteanbieter) wird ein unterschiedlicher Umfang 

an Daten weitergegeben. An die meisten nur die Benutzergruppe (7.). In jedem 

Fall werden der Benutzerin/dem Benutzer beim Anmeldevorgang die zur Übertragung 

vorgesehenen Daten explizit angezeigt. Stimmt sie/er nicht zu, werden keine 

Daten weitergegeben. 


Der Shibboleth Identity Provider und der zugrunde liegende Verzeichnisdienst werden 

im Rechenzentrum eingerichtet und betreut. Die verantwortlichen Administratoren 

sind auf einer Liste im Rechenzentrum erfasst. 


Die Aufrechterhaltung des Datenschutzes im Shibboleth Verzeichnisdienst ist durch 

eine Beschränkung der Sichtbarkeit der Daten auf berechtigte Personen (im Wesentlichen 

die Administratoren) und durch Abschirmung von unberechtigtem Zugriff nach 

außen (sowohl gegen das campusinterne Netz als auch gegen das Internet) gewährleistet. 


Der Datenfluss ist unidirektional aus dem Identity Management System in den Shibboleth 

Verzeichnisdienst festgelegt. Unabhängige Datenänderungen im Shibboleth 

Verzeichnisdienst sind nicht vorgesehen, daher ist ein Rückfluss von Daten in das 

Identity Management System nicht erforderlich. Einzige Ausnahme bildet hier die 

Synchronisation von Passwörtern, die in beide Richtungen erfolgt. Grundsätzlich 

handelt es sich bei Neuanlage und Ablauf der Benutzerkonten im Shibboleth Verzeichnisdienst 

um automatische, aus dem Identity Management System heraus angestoßene 

Prozesse. Nur im Ausnahmefall soll ein manueller Eingriff durch die Administratoren 

erfolgen. 

Stand: 06.12.2011 


Rechenzentrum 



Anlage 2.3 

zur 



Zielsystem: Benutzerdatenbank der 

Voice-over-IP Telefonanlage 

1. Systembeschreibung und Ziele 

Angaben zu Systembeschreibung, Zielen, Administrationskonzept, Datenschutz, Datenweitergabe 

und Datenverwendung sind der „Dienstvereinbarung über den Betrieb 

und die Nutzung eines auf Voice-over-IP basierenden Telekommunikationssystems“ 

(im folgenden VoIP-Telefonanlage genannt) zu entnehmen (insbesondere deren Anlagen 

1 und 2). 


Folgende Datenfelder werden aus dem Identity Management System in der Datenbank 

der VoIP-Telefonanlage benötigt (vgl. Anlage 3 zur Dienstvereinbarung der 

VoIP-Telefonanlage). 





4. Bereich, Abteilung, Einrich- Organisationszugehörigkeit 

tung 

5. Nebenstellennummer 

6. Gebäude und Raumnummer 

7. Anwesenheitszeiten z.B. „vormittags“ 

8. Funktion Stellung/Aufgabenbereich 

9. Name des Einrichtungsleiters 

10. Diapersnummer Interne Verwendung für Abgleich mit Datenbestand 

bei Erstanbindung (wird nicht angezeigt) 

11. Zusatz für Telefonbuch Weitere Angaben für Generierung eines Telefonverzeichnisses 

12. E-Mail-Adresse 

13. Beginn-/Ablaufdatum Gültigkeit des Eintrages (wird nicht angezeigt) 

Stand: 24.10.2007 


Rechenzentrum 



Anlage 2.4 

zur 



Zielsystem: Campusmanagementsystem 


Das Lernmanagementsystem Stud.IP bildet den Kern des Campusmanagementsystems 

und gesamten Informationsangebots im Bereich der Lehre der Universität Passau. 

Es enthält Daten über Einrichtungen (Fakultäten, Lehrstühle, Institute), Personen 

(Professoren, Lehrbeauftragte, wissenschaftliche Mitarbeiter, Studierende) und 

Lehrveranstaltungen, die im Rahmen des elektronischen Personen- und Veranstaltungsverzeichnisses 

auch veröffentlicht werden. Die Daten über die Personen werden 

vom Identity Management System geliefert und können im Stud.IP-System nicht 

verändert werden. Die Veröffentlichung der Daten erfolgt einerseits innerhalb von 

Stud.IP. Auf diesen Bereich haben nur Personen Zugriff, die über einen Eintrag im 

Identity Management System des Rechenzentrums verfügen. Andererseits wird das 

elektronische Personen- und Veranstaltungsverzeichnis auch öffentlich lesbar auf 

den Webseiten der Universität Passau veröffentlicht. Studierende sind standardmäßig 

unsichtbar, d.h., sie können in Stud.IP nicht recherchiert werden und werden nirgends 

öffentlich sichtbar angezeigt. Sie erscheinen nur in der Teilnehmerliste von 

Lehrveranstaltungen, zu denen sie angemeldet sind, und sind hier nur für den jeweiligen 

Dozierenden sichtbar. Lehrpersonen können nicht unsichtbar geschaltet werden. 

2. Ziele 

Ziel des Lernmanagementsystems Stud.IP ist die Bereitstellung des gesamten Informationsangebots 

im Bereich der Lehre der Universität Passau. Darüber hinaus dient 

es als Datenquelle für das elektronische Personen- und Veranstaltungsverzeichnis 

und für die Termin- und Raumplanung der Universität. 



im Lernmanagementsystem Stud.IP benötigt. 


1. Nachname Name der Person zur Anzeige in Personen- und Veranstaltungsverzeichnissen 





4. Anrede bzw. Ge- Für eine korrekte Ansprache bei der Kontaktaufnahme 

schlecht 

erforderlich 

5. Matrikelnummer Für Noteneintragung 

6. Benutzername Login-Name einer Person 

7. E-Mail-Adresse Dienstliche E-Mail-Adresse von Beschäftigten, E-Mail- 

Adresse von Studierenden 

8. Organisations- Zuordnung von Beschäftigten zu Organisationseinheizugehörigkeit(en)ten 

9. Funktion(en) Aufgabenbereich, Stellung innerhalb der Universität 

10. Studiengang, Fach- Typisierung von Studierenden, abgeleitete Anmeldebesemester,Angestrebter 

Abschluss 

rechtigung für bestimmte Lehrveranstaltungen 

11. Telefonnummer Dienstliche Telefonnummer 

12. Gebäude/Raum Dienstliche Besuchsadresse (nicht Postadresse) 


Das Lernmanagementsystem Stud.IP wird durch einen speziellen Administrationszugang 

verwaltet. Die verantwortlichen Administratoren sind auf einer Liste im Rechenzentrum 

erfasst. 


Die Aufrechterhaltung des Datenschutzes im Lernmanagementsystem Stud.IP ist 

durch eine Beschränkung der Sichtbarkeit der Daten auf berechtigte Personen (im 

Wesentlichen die Administratoren) und durch Abschirmung von unberechtigtem 

Zugriff nach außen (sowohl gegen das Campus-interne Netz als auch gegen das Internet) 

gewährleistet. Veröffentlicht werden die Daten nur im Rahmen des elektronischen 

Personen- und Veranstaltungsverzeichnisses, das zur Information über das 

Lehrangebot und somit für die Erfüllung der Ziele der Universität Passau erforderlich 

ist. 


Der Datenfluss ist unidirektional aus dem Identity Management System in das Lernmanagementsystem 

Stud.IP festgelegt. Änderungen in Stud.IP sind nicht möglich. 

Die Daten werden aus Stud.IP heraus weitergegeben an das Raumplanungssystem 

zur Planung der Termine und Räume der Lehrveranstaltungen und an das elektronische 

Personen- und Veranstaltungsverzeichnis, das über das System Typo3 des 

Rechenzentrums auf den Webseiten der Universität Passau veröffentlicht wird. 

Stand: 24.10.2007 

Dr. Ulrich Zukowski 




Anlage 2.5 

zur 



Zielsystem: HISFSV-GX Modul BAU 


Das Modul BAU ist Teil des HISFSV-Systems der Universitätsverwaltung und wird 

zur Verwaltung von Gebäude, Raum-Nr, Telefon-Nr, usw. von Beschäftigten verwendet. 

2. Ziele 

Ziele der Datenweitergabe sind 

1. die Entlastung der Administration im HISFSV Modul BAU (Datenübernahme 

per Doppelklick möglich, keine manuelle Erfassung der Personengrunddaten 

nötig) und 

2. die Bereitstellung eines eindeutigen Identifizierungsmerkmals (VIVA-Nr.), sodass 

die Daten auch beim Import aus HISBAU ins IDM-System zweifelsfrei einer 

Person zugeordnet werden können. 



im HISFSV-GX Modul BAU benötigt. 


1. VIVA-Nr. Nicht einsehbar für Benutzer des HISFSV Moduls 

BAU (Ref. VIII/1 Liegenschaften) nur für Systemadministratoren 

des HIS-Systems (IT-Verwaltung). 

2. Nachname 

3. Titel Vorangestellter Titel, z.B. Dr. 

4. Vorname 

5. Geburtsdatum 

6. Diapers-Nr. Seit Einführung von VIVA bei neuen Beschäftigten 

nicht mehr befüllt 


Das HISFSV Modul BAU ist Teil des HIS-Systems und wird von der IT-Verwaltung 

der Universität Passau betreut. 



Das HISFSV Modul BAU wird innerhalb des geschützten Verwaltungsnetzes betrieben 

und nur von berechtigten Personen der Verwaltung (insbes. Ref. VIII/1 Liegenschaften) 

benutzbar. 

Im laufenden Betrieb sind für die Benutzer des HISFSV-GX Moduls BAU nur Name 

und Titel sichtbar (2. – 4.), in der Schnittstelle zum Datenimport zusätzlich noch das 

Geburtsdatum (5.), um bei Namensgleichheit die richtige Person auswählen zu können. 

Zu keinem Zeitpunkt ist jedoch die VIVA-Nr. einsehbar (1.). Diese wird automatisch in 

die HISFSV-Datenbank geschrieben und ist nur für Systemadministratoren dieser 

Datenbank abrufbar. 


Dem HISFSV-GX Modul BAU werden Daten zu aktuell Beschäftigten aus dem IDM- 

System über eine Datenbank-View zur Verfügung gestellt, die nur die benötigten Daten 

enthält (vgl. Kapitel 3). Diese werden dort zur Erzeugung eines Mitarbeiterdatensatzes 

verwendet. Innerhalb des BAU-Moduls werden diese importierten Mitarbeiterdaten 

um die sogenannten Belegungsdaten (Gebäude, Raum-Nr, Telefon-Nr, usw.) 

ergänzt. Diese nun vervollständigten Mitarbeiterdaten werden dann u.a. wieder dem 

IDM-System zur Verfügung gestellt (vgl. Anlage 1 dieser Dienstvereinbarung). 

Stand: 06.12.2011 

Alois Ritzer 




Anlage 2.6 

zur 



Zielsystem: Forschungsinformationssystem 


Das Forschungsinformationssystem (FIS) CONVERIS aus dem Hause AVEDAS soll 

langfristig einen erheblichen Großteil des Informationsangebots im Bereich der Forschung 

der Universität Passau abbilden. Daher enthält das System Daten über Forschungsprojekte 

sowie deren Anträge, Bewilligungen, Mitarbeiter, durchführenden 

Organisationseinheiten und Publikationen. Anträge und deren Bewilligungen dienen 

in erster Linie lediglich der internen Verwaltung durch die Forschungsförderung und 

sind daher nicht für eine Veröffentlichung bestimmt. Projekt- und Publikationsdaten 

sind, sofern der entsprechende Autor/Verantwortliche explizit einwilligt, für die Außendarstellung 

auf der universitären Website mittels eines Typo3-Plugins bestimmt. 

Die Universitätsangehörigen und die Organisationseinheiten werden vom Identity 

Management System geliefert und können im FIS nicht verändert werden. Das FIS 

kann nur von Personen genutzt werden, welche im IDM einen validen Eintrag besitzen 

und gleichzeitig im FIS freigeschaltet sind. 

2. Ziele 

Das FIS dient der Verwaltung und Koordination von Förder- und Forschungsprojekten, 

zur Unterstützung der Projektabwicklung auf Seiten der Wissenschaftler und der 

verwaltungsseitigen Abwicklung (Haushalts-, Personal-, Rechtsfragen) sowie für das 

Berichtswesen und die Öffentlichkeitsarbeit. 



im Forschungsinformationssystem benötigt. 

3.1 Personen 






4. Benutzername Dient dem Login und der Verknüpfung 

mit Rollen 

5. Geschlecht 

6. Organisatorische Zuordnung mit Beginn-, 

Enddatum und Telefonnum- 

Dient der Erstellung von Visitenkarten 

im System 

7. 

mer 

E-Mail-Adresse Dienstliche E-Mail-Adresse 

3.2 Organisationseinheiten 


1. Interne ID Dient der Zuordnung einer Person zu 

einer Organisationseinheit 

2. Name Dient der namentlichen Benennung 

einer Organisationseinheit 


Das FIS wird durch einen speziellen Administrationszugang verwaltet. Die verantwortlichen 

Administratoren sind auf einer Liste im Rechenzentrum erfasst. 


Die Aufrechterhaltung des Datenschutzes im FIS ist durch eine Beschränkung der 

Sichtbarkeit der Daten auf berechtigte Personen und durch Abschirmung von unberechtigtem 

Zugriff nach außen (sowohl gegen das Campus-interne Netz als auch gegen 

das Internet) gewährleistet. Veröffentlicht werden allgemeine Projekt- und Publikationsdaten 

– jedoch nur dann, wenn der Ersteller des Datensatzes explizit einwilligt. 


Der Datenfluss ist unidirektional aus dem Identity Management System in das Forschungsinformationssystem 

festgelegt. 

Stand: 06.12.2011 

Dr. Ulrich Zukowski 




Anlage 2.7 

zur 



Zielsystem: Zutritts- und Schließfachsystem 


Angaben zu Systembeschreibung, Zielen, Administrationskonzept, Datenschutz, Datenweitergabe 

und Datenverwendung sind der „Dienstvereinbarung über die Einrichtung 

und Anwendung eines elektronischen Schließsystems“ (im folgenden 

Zutritts- und Schließfachsystem genannt) zu entnehmen. 


Folgende Daten werden aus dem Identity Management System im Zutritts- und 

Schließfachsystem benötigt. 


1. Name Voller Name mit Vorname, Nachname und Titel 

2. Kartennummer 6-stellig, auf Karte aufgedruckt 

3. Zutrittsrechte Ggf. abgeleitet von Studiengang usw. 

Stand: 06.12.2011 

Gerold Ennser

Einführung und Betrieb des Identity Management Systems

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?