Einführung und Betrieb des Identity Management Systems

Weitere Magazine

Empfehlungen

Info

Eine wichtige Anwendung des IDM-Systems ist der Bereich der Authentifizierung und Autorisierung. Hierzu soll für Dienste wie das Campusmanagement-System die bisherige Verwendung von LDAP durch das webbasierte Authentifizierungs- und Autorisierungssystem Shibboleth ersetzt werden. Darüber hinaus wird dadurch die Grundlage für einen übergreifenden Zugriff auf für bestimmte Benutzergruppen freigegebene Informationen und Dienste ermöglicht (sog. Föderation im Rahmen der DFN-AAI Initiative). Dazu ist die Bereitstellung eines separaten Verzeichnisses erforderlich, in das die notwendigen Daten über einen Konnektor vom IDM-System provisioniert werden. Das IDM-System soll die Zielsysteme mit Initial-Passworten provisionieren und die vom Benutzer vorgenommenen Passwortänderungen dort synchronisieren. Auf der Grundlage dieses integrierten Verfahrens ist eine einheitliche Anmeldung, das sogenannte Single Log On, realisierbar. Provisionierung bedeutet, allen Beschäftigten, Studierenden und sonstigen berechtigten Personen, die für ihre rechnergestützte Arbeit notwendigen Ressourcen automatisch zur Verfügung zu stellen. Bisher erfordert das aufwändige Routinetätigkeiten der Systemadministration. Dies umfasst beispielsweise das Einrichten der Mailbox, verbunden mit der Vergabe einer E-Mail-Adresse sowie die Eintragung als Benutzer in den betriebssystemorientierten Verzeichnissen der Rechnerpools, sowohl zentral im Rechenzentrum als auch dezentral. Die Arbeit der Administratoren erfährt durch Standardkonnektoren des IDM-Systems zu den betriebssystemorientierten Verzeichnissen, wie z.B. Novell eDirectory Services für verschiedene Betriebssysteme oder das Network Information System (NIS+) für Unix, eine wesentliche Unterstützung. Diese betriebssystemorientierten Verzeichnisse erhalten die Daten aus dem IDM- System, wobei die Autonomie der dem IDM-System im Sinne eines Zielsystems nachgeordneten administrativen Bereiche erhalten bleibt. Synchronisierung bezeichnet den Abgleich von erforderlichen Daten (z.B. Name) aus den Quellsystemen über das IDM-System mit den Zielsystemen. Dadurch können Inkonsistenzen im Datenbestand vermieden werden. Durch die Synchronisierung von Passwörtern in unterschiedlichen Systemen kann sich der Umgang mit diesen auch aus Benutzersicht wesentlich vereinfachen. Man muss sich so im Idealfall nur mehr ein Passwort merken. 2. Ziele und Aufgaben des Identity Management Systems Einrichtungen der Universität, die zur Erfüllung Ihrer Aufgaben Verzeichnisse von Mitgliedern der Universität führen müssen, sollen durch eine automatische Datensynchronisation mit dem IDM-System von der Neuerfassung und Verwaltung von Personendaten enthoben werden. Dazu gehören auch verlässliche Information über Zugehörigkeiten zu Personengruppen und Organisationseinheiten der Universität sowie über Änderungen dieser Daten. Insgesamt werden folgende Ziele angestrebt: 1. Rationalisierung von Administrations- und Verwaltungsvorgängen 2. Erhöhung der Datenqualität 3. Erhöhung von Datenschutz durch Transparenz über Speicherung von Personendaten und über Datenflüsse 4. Erhöhung von Datenschutz durch gezielte Verwaltung von Nutzungsrechten 5. Erhöhung von Sicherheit durch eindeutige elektronische Identitäten Anlage 1 zur Dienstvereinbarung für das Identity Management System der Universität Passau 3/12
Das IDM-System hat folgende Aufgaben: 1. Die weitgehend automatische Einrichtung und Entziehung persönlich zugeordneter EDV-Ressourcen anstoßen. 2. Die Zuteilung von Zugriffsberechtigungen steuern. 3. Dafür Sorge tragen, dass angeschlossene EDV-Systeme verlässliche und aktuelle Daten über die Mitglieder der Universität haben. 4. Kontaktdaten wie Telefonnummern, E-Mail-Adressen und Raumnummern, die in verschiedenen einzelnen Systemen den Universitätsmitgliedern zugeteilt werden, für die Universität nutzbar machen. Es ist keine Aufgabe des IDM-Systems, Daten selbst zu veröffentlichen. Es sollen aber vorhandene Systeme provisioniert werden. So kann z.B. das universitätsinterne elektronische Telefonbuch mit aktuellen Daten aus dem Bestand der Verwaltung versorgt werden. 3. Personenbezogene Datenfelder des Identity Management Systems und ihre Anwendungen Die zahlreichen durch das IDM-System unterstützten Anwendungen erfordern auch die Abspeicherung personenbezogener Daten im Meta Directory. Die benötigten Datenfelder werden im Folgenden näher erläutert 3.1. Personenbezogene Daten im Überblick Die Spezifikation der Daten, die im Meta Directory abgespeichert werden müssen, erfolgt in Abhängigkeit von den bereits erwähnten, zu integrierenden Anwendungen. Die benötigten personenbezogenen Daten lassen sich prinzipiell in drei Kategorien einteilen: 1. Daten zur Identifizierung von Personen und zum Aufbau eines universitätsweiten Identity Management Systems, 2. anwendungsorientierte personenbezogene Daten sowie 3. technisch orientierte Daten zum Aufbau der verzeichnisinternen Strukturen. Technisch betrachtet werden die Daten auf Verzeichniseinträge für Personen und Benutzerkonten abgebildet. Eine Person kann dabei sowohl mehrere Zugehörigkeits- Verhältnisse zur Universität als auch mehrere Benutzerkonten besitzen, eine Person kann beispielsweise gleichzeitig Studierender und Beschäftigter sein. Ein weiteres technisches Detail ist die Verwendung von Assoziationen. Eine Objekt- Assoziation stellt eine eindeutige Referenz zwischen einem Objekt im Meta Directory des IDM-Systems und einem Eintrag im Quell- oder Zielsystem her. Die Assoziation ist ein verzeichnisinternes Attribut, das außerhalb des IDM-Systems nicht sichtbar ist. Die folgende Tabelle liefert einen Überblick über die für das Meta Directory des IDM- Systems notwendigen Daten und woher diese übernommen werden. Die Markierung „x“ bedeutet dabei, dass die Information hier gespeichert ist, die Markierung „~“, dass die Information im Quellsystem nur informell vorliegt bzw. im Meta Directory aus anderen Informationen abgeleitet wird. Anlage 1 zur Dienstvereinbarung für das Identity Management System der Universität Passau 4/12
Seite 1 und 2: Dienstvereinbarung zu Einführung u
Seite 3 und 4: § 7 Verarbeitung personenbezogener
Seite 5 und 6: (3) Einvernehmliche Änderungen und
Seite 7: 1. Systembeschreibung des Identity
Seite 11 und 12: Nr. Datenfeld Personalverw. Quelle
Seite 13 und 14: Matrikelnummer Die Studierendennumm
Seite 15 und 16: Abwesenheit Während länger andaue
Seite 17 und 18: ßerhalb des IDM-Systems erhält Zu
Seite 19 und 20: Anlage 2.1 zur Dienstvereinbarung z
Seite 23 und 24: Nr. Datenfeld Kurzbeschreibung 7. B
Seite 31: Anlage 2.7 zur Dienstvereinbarung z

Einführung und Betrieb des Identity Management Systems

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?