Von der HRZ-Benutzerverwaltung zum hochschulweiten Identity Management - Grundlagen, Anforderungen, Ausblick ZKI-Arbeitskreis Verzeichnisdienste ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Von der HRZ-Benutzerverwaltung
zum hochschulweiten Identity Management
Grundlagen, Anforderungen, Ausblick
ZKI-Arbeitskreis Verzeichnisdienste
14.-15.03.2016 in Marburg
Manuel Haim - Hochschulrechenzentrum
In diesem Vortrag...
• Grundlagen
→ Was ist Identity Management (IDM) ?
→ Ist-Zustand (HRZ-Benutzerverwaltung)
• Anforderungen
→ Was brauchen wir als Hochschule?
→ Wie sind IDM-Systeme aufgebaut?
• Ausblick
→ Soll-Konzept (IDM-System)
→ Datendrehscheibe
→ Datenmodell
→ Umsetzung
Manuel Haim - Hochschulrechenzentrum 2
Grundlagen – IDM, wieso? weshalb? warum? Manuel Haim - Hochschulrechenzentrum 3
Identität im Alltag – vor 2000 Jahren • Jesus • von Nazareth • Sohn des Zimmermanns Josef → schrittweise Verfeinerung anhand von Zusatzinformationen → Biometrie, Passwörter und Symbole als Erkennungszeichen Manuel Haim - Hochschulrechenzentrum 4
Identität im Alltag – heute
• Vorname: Erika
• Nachname: Mustermann
• Geburtsname: Gabler
• geboren am: 12.08.1964
• geboren in: Berlin
(Quelle: Bundesministerium des Innern)
→ schrittweise Verfeinerung anhand langlebiger Stammdaten
→ zusätzlich Lichtbildausweis zur Identifikation
Manuel Haim - Hochschulrechenzentrum 5
Identity Management (IDM) – Definition
• „Identity Management (IDM) ist die Summe aller Maßnahmen, die
notwendig sind, um Personen und Benutzer in IT-Systemen
eindeutig zu erkennen sowie ihnen genau jene Zugriffe zu
ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Maßnahmen im Rahmen von standardisierten und
nachvollziehbaren Prozessen durchzuführen.“
(Mezler-Andelberg: Identity Management, Heidelberg 2008)
Manuel Haim - Hochschulrechenzentrum 6
Identity Management (IDM) – Definition
• „Identity Management (IDM) ist die Summe aller Maßnahmen, die
notwendig sind, um Personen und Benutzer in IT-Systemen
eindeutig zu erkennen sowie ihnen genau jene Zugriffe zu
ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Maßnahmen im Rahmen von standardisierten und
nachvollziehbaren Prozessen durchzuführen.“
(Mezler-Andelberg: Identity Management, Heidelberg 2008)
(1) Authentifizierung:
• im Alltag: • in IT-Systemen:
Lichtbildausweis, persönlicher Account +
Fingerabdruck, Authentifizierungs-
Gesicht, Figur, verfahren
Stimme etc.
Manuel Haim - Hochschulrechenzentrum 7
Identity Management (IDM) – Definition
• „Identity Management (IDM) ist die Summe aller Maßnahmen, die
notwendig sind, um Personen und Benutzer in IT-Systemen
eindeutig zu erkennen sowie ihnen genau jene Zugriffe zu
ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Maßnahmen im Rahmen von standardisierten und
nachvollziehbaren Prozessen durchzuführen.“
(Mezler-Andelberg: Identity Management, Heidelberg 2008)
(2) Autorisierung:
• im Alltag: • in IT-Systemen:
Schlüssel, Rollen und Rechte
Fahrkarte,
Kleidung etc.
Manuel Haim - Hochschulrechenzentrum 8
Identity Management (IDM) – Definition
• „Identity Management (IDM) ist die Summe aller Maßnahmen, die
notwendig sind, um Personen und Benutzer in IT-Systemen
eindeutig zu erkennen sowie ihnen genau jene Zugriffe zu
ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Maßnahmen im Rahmen von standardisierten und
nachvollziehbaren Prozessen durchzuführen.“
(Mezler-Andelberg: Identity Management, Heidelberg 2008)
(3) Zugriffsverwaltung:
• Person kommt neu • Person wechselt • Person verlässt
in Tätigkeitsbereich Tätigkeitsbereich Tätigkeitsbereich
→ Zugriff ermöglichen → Zugriff anpassen → Zugriff entziehen
Manuel Haim - Hochschulrechenzentrum 9
Identity Management (IDM) – Definition
• „Identity Management (IDM) ist die Summe aller Maßnahmen, die
notwendig sind, um Personen und Benutzer in IT-Systemen
eindeutig zu erkennen sowie ihnen genau jene Zugriffe zu
ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Maßnahmen im Rahmen von standardisierten und
nachvollziehbaren Prozessen durchzuführen.“
(Mezler-Andelberg: Identity Management, Heidelberg 2008)
(4) Verfahren festlegen
• keine Ausnahmen zulassen
• stattdessen bei Bedarf überarbeiten
Manuel Haim - Hochschulrechenzentrum 10IDM – klingt doch eigentlich ganz einfach...
Philipps-Universität Marburg:
• ca. 26.500 Studierende
• ca. 4.000 Mitarbeiter
→ Zwei Domänen,
wo ist das Problem ?!
(Quelle: www.uni-marburg.de)
(Antwort auf der nächsten Folie)
Manuel Haim - Hochschulrechenzentrum 11Die Philipps-Universität Marburg im WiSe 2015/16
Studierende (abzgl. Promotion + Sprachkurse)
„Studierende“ Promotions-Studierende
25172
Teilnehmer studiumsvorber. Sprachkurse
• ca. 36.051 Identitäten Gasthörer
(davon 1.050 Nicht-Personen) Teilnehmer Sonderprogramme
(z.B. Zertifikatsstudium, 1225
• ebensoviele Accounts Stipendiaten d. Fulbright-Kommission, 551
112 158
Internationale Sommer-Universität) 50 94
Studentische Gruppen 1000
(z.B. AStA, Fachschaften, Uni-Chor)
Gäste
(z.B. externe Kursteilnehmer,
nicht-immatr. Wohnheimsbewohner,
Studierende d. Archivschule)
Kurzfristige Gastzugänge 7689
Kürzlich Ausgeschiedene u. Zurückgetretene
831
640
„Mitarbeiter“ Professoren u. Mitarbeiter (Universität) 40
250
Professoren u. Mitarbeiter (Klinikum)
• ca. 9.290 Identitäten Lehrbeauftragte mit Lehrauftrag
(davon 1.366 Nicht-Personen) apl. Professoren ohne Vertrag
Doktoranden ohne Vertrag 1200
• nur ca. 8.105 Accounts Sonstige ohne Vertrag
(nicht alle Pers. haben Acc.) Gäste im Gästehaus
Mitarbeiter An-Institute 125 4176
u. Partner-Einrichtungen 367
Mitarbeiter externer Firmen
34
Funktionsbezogene Zugänge
491
Selbstverwaltete Gastzugänge
Professoren u. Mitarbeiter (Uni) i.R.
875
261
Manuel Haim - Hochschulrechenzentrum 12Bisheriges System (Ist-Zustand 2012)
Manuel Haim - Hochschulrechenzentrum 13
13Schwachpunkte des bestehenden Systems • Historisch gewachsen (>20 Jahre) und selten überarbeitet → C-Programme, Korn-Shell-Skripte, Perl, Cronjobs, CGIs • Einpflegen v. Personendaten nur teilautom. & unter Aufsicht → häufig weitere Eingaben für jeden Datensatz erforderlich → vielfältige Datenformate und uneinheitliche Verfahren • Großzügiges Ablaufdatum bei Papierantrag → z.B. Doktoranden, Mitarbeiter der Fachbereiche, ... • Starre Unterteilung in zwei Domänen: Staff, Students → darüberhinaus kaum klare Rollenzuordnung von Accounts → zusätzlich eigenständige (!) Fachbereichsdomänen • Keinerlei Identitätsprüfung! Manuel Haim - Hochschulrechenzentrum 14
Anforderungen – IDM an einer Hochschule Manuel Haim - Hochschulrechenzentrum 15
Mindestanforderungen der Föderation
„DFN-AAI Advanced“ des DFN-Vereins
• „Identifizierung durch das persönliche Vorsprechen gegenüber
einer Vertrauensinstanz mit einem amtlichen Dokument zur
Identitätsfeststellung. [Seit 03/2015:] Die an den Hochschulen etablierten
Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert.“
• „Ausweis anhand eines personalisierten Accounts mit einer
Nutzerkennung und einem Passwort oder digitalem Zertifikat, die
im Rahmen einer ausreichend sicheren Vergaberichtlinie
ausgestellt wurden.“
• Datenpflege „mit Verpflichtung bzgl. Korrektheit und
Aktualisierung innerhalb von 2 Wochen“.
(Quelle: https://www.aai.dfn.de/der-dienst/verlaesslichkeitsklassen/ )
Manuel Haim - Hochschulrechenzentrum 16Besondere Anforderungen an IDM im Hochschulbereich (Erfahrungswerte) • Zahlreiche Datenquellen für unterschiedl. Personenkreise • Datenqualität (Pflege, Vertrauenswürdigkeit, Identitätsprüfung) • Dubletten (wann liegt wirklich dieselbe Person vor?) • Access Management (Rollen + Rechte erteilen / entziehen) • Single-Sign-On (eine Kennung für alle Systeme) • aber auch: Kritische Systeme (Prüfungsanmeldung, SAP) • Audit logging (Änderungen rechtssicher protokollieren) • Datenschutz (Aufbewahrungs- und Löschfristen) → Details siehe folgende Folien... Manuel Haim - Hochschulrechenzentrum 17
Stichwort Datenquellen: • Unterschiedliche Personengruppen werden von unterschiedlichen Stellen definiert oder erfasst, z.B.: Gruppe Stelle Ereignis System Studierende Stud.sek. Immatrikulation HIS-SOS Gasthörer Stud.sek. Annahme Access-Datenbank Prof. / Mitarbeiter Pers.abt. Einstellung SAP apl. Professoren Hochschule ? Ernennung – Lehrbeauftragte Dekanat (Fachb.) Lehrauftrag – Doktoranden Dekanat (Fachb.) Annahme – Gästehaus-Bew. Gästehaus-Verw. Voranmeldung – Uni-Bib.-Benutzer Uni-Bib. Antr.Leseausw. PICA? ... Manuel Haim - Hochschulrechenzentrum 18
Stichwort Datenqualität:
• Der tatsächliche Zweck der Quellen sollte hinterfragt werden:
→ Beispiel: Org.zuordnung einer Planstelle/Person im SAP
entspricht der Kostenstelle, nicht unbedingt dem Einsatzbereich!
• Daten können bei schlechter Pflege Tippfehler enthalten,
sie können veraltet oder schlichthin ungeprüft sein.
→ Vorsicht bei der Account- und Rechtevergabe!
→ Vorsicht bei der Zusammenführung von Dubletten!
• Vorsicht bei Papieranträgen:
→ Vorgesetzte unterschreiben alles, solange es nichts kostet!
→ 31% der Erstanträge nicht vom Nutzer selbst unterschrieben!
(Statistik 09/2015)
Manuel Haim - Hochschulrechenzentrum 19Stichwort Datenqualität – Vertrauenswürdigkeit: • Universitätsbibliothek (UB) prüft als einzige Stelle der Uni standardmäßig den Lichtbildausweis (bei Antrag Leseausweis) • Mitarbeiter unterschreiben einen Arbeitsvertrag (Personalabteilung) und beantragen ein polizeiliches Führungszeugnis • Studienbewerber übermitteln Kopie ihrer Hochschulzugangs- berechtigung per Post, erhalten Studienunterlagen per Post • Sonst. Mitarbeiter von Fachbereichen u. Partnereinrichtungen, Lehrbeauftragte, Doktoranden, externe Studierende, Gäste... füllen nur einen Papierantrag aus (Vorgesetzter unterschreibt) • Online-Selbstregistrierung u.a. für externe Hochschulsport- Teilnehmer angedacht Manuel Haim - Hochschulrechenzentrum 20
Stichwort Dubletten: • Dieselbe Person kann mehrfach erfasst sein: → z.B. in unterschiedlichen Quellsystemen → z.B. mit leicht variierenden Stammdaten (Vornamen, Tippfehler) → aber auch aufgrund von Namensänderungen (Hochzeit etc.) • Regelmäßige Suche nach Dubletten in Stammdaten nötig → z.B. Geburtsdatum identisch; Nachname(n), Vorname(n) ähnlich • Aber woher weiß ich, ob es wirklich dieselbe Person ist? → ggf. nachfragen, Nachweise verlangen... Manuel Haim - Hochschulrechenzentrum 21
IDM in Bausteinen
(vgl. Vortrag der Uni Konstanz beim
ZKI-Arbeitskreis Verzeichnisdienste
im Herbst 2012 in Würzburg)
Manuel Haim - Hochschulrechenzentrum 22Typische Bausteine eines IDM-Systems • Quellsysteme mit Personendaten • Zentrale Benutzerdatenbank → z.B. OpenLDAP, Microsoft Active Directory, PostgreSQL... • Zielsysteme, die Daten benötigen • „Datendrehscheibe“ / IDM-Software inkl. Webportal, z.B. → Shell-Skripte, CGI und Cronjobs → Open-Source-Software (OpenIDM, midpoint, Syncope) → Proprietäre Software (MS FIM, Novell/NetIQ IDM, ...) • ein Konzept / Regelwerk (Kopfarbeit!) Manuel Haim - Hochschulrechenzentrum 23
Baustein IDM-Webanwendung
Für Benutzer:
• Mein Account (inkl. Laufzeit)
• Meine Zugänge (Berechtigungen, sftp/imap/smtp/wlan...)
• Meine E-Mail-Adressen (@students, @staff … inkl. Laufzeit)
• Meine persönlichen Daten (Stammdaten, Kenndaten, …)
• ...
Für Administratoren:
• Informationen zu Account / Gruppe etc.
• Identitäten (hier: Quelldatensätze)
• Antragsarchiv / Log-Einträge
• ...
Manuel Haim - Hochschulrechenzentrum 24Baustein IDM-Anwendungslogik
Wiederverwendbare Programmlogik:
• E-Mail-Konto auf Mailserver anlegen
• Home-Verzeichnis auf Fileserver anlegen
• Windows-Account anlegen
• Passwortänderungen systemübergreifend durchführen
• Account-Informationen abrufen
• und vieles mehr...
Manuel Haim - Hochschulrechenzentrum 25Baustein IDM-Datendrehscheibe
Gängige Schnittstellen:
• SOAP- oder REST-Schnittstelle (XML / JSON per HTTPS)
• Datenbankkonnektoren (u.a. CSV, XML, SQL / JDBC, LDAP)
• Plugin für Active Directory (um Passwortänderungen abzugreifen)
Methoden zum Datenabgleich:
• einfache Daten-Mappings (1:1-Zuordnung)
• skriptgesteuerte Verarbeitung (z.B. mittels JavaScript, Python, ...)
• je Delta-Abgleich (live) oder Komplettabgleich (Reconciliation)
Zu beachten: Ein Regelwerk muss man sich selbst überlegen!
→ siehe spätere Folie
Manuel Haim - Hochschulrechenzentrum 26Baustein Datenquellen / Datensenken
Datenquellen liefern Personendaten
• z.B. Personalabteilung, Studierendensekretariat,
Universitätsbibliothek, ...
Datensenken benötigen Personendaten und/oder Accounts
• z.B. LDAP, Active Directory, Mailserver, Fileserver
→ Die Datensenken sind zugleich zentrale Datenquellen für
weitere Anwendungen (z.B. ILIAS, Windows, Webmail, ...)
Manuel Haim - Hochschulrechenzentrum 27Ausblick – Wie geht es weiter? Manuel Haim - Hochschulrechenzentrum 28
Frage: Wie funktioniert eine Datendrehscheibe?
(vgl. Vortrag der FH Düsseldorf beim ZKI-Arbeitskreis
Verzeichnisdienste im Herbst 2013 in Kaiserslautern)
Manuel Haim - Hochschulrechenzentrum 29Grundidee Datendrehscheibe • Zu jedem Identitätsdatensatz im Quellsystem wird 1:1 ein Datensatz im IDM-System geführt (und regelm. aktualisiert) → zu einer Person können mehrere Datensätze vorliegen → auch Papierformular „Staff-Antrag“ dient als Quellsystem → Datensatz im IDM-System spiegelt Quelldatensatz wider • Datensätze können verlinkt („selbe Person“) oder die Verlinkung negiert werden („nicht dieselbe Person“) • Aktueller Personenstatus ist anhand der Gesamtheit der Datensätze ermittelbar • Veraltete Datensätze können aus IDM-System herausaltern Manuel Haim - Hochschulrechenzentrum 30
Ergebnis: Wir brauchen ein neues Datenmodell! Manuel Haim - Hochschulrechenzentrum 31
→ Datenhaltung in eigenem LDAP-Baum
• ou=Idm
– ou=Sources (Datenquellen bzw. Offline-Kopien)
• ou=Uni-PersAbt (Personendatensätze der Personalabteilung)
• ou=Uni-StuSek (Datensätze des Studierendensekretariats)
• …
• ou=Sys-Verw-AD (Accountnamen Verwaltungs-AD)
• ou=Sys-Verw-SAP (Accountnamen SAP)
• ...
– ou=Identities (Stammdatensätze mit Links zu Quelldatensätzen)
• ou=People (Person → Datensätze)
Manuel Haim - Hochschulrechenzentrum 32→ Eigene LDAP-Objektklasse für IDM-Objekte Manuel Haim - Hochschulrechenzentrum 33
Beispiel: Personaldatensatz im neuen „IDM“ Manuel Haim - Hochschulrechenzentrum 34
→ Datenabgleich per Perl-Skript (vorerst)
• Proof-of-Concept erfolgreich (seit 11/2015 produktiv):
→ Daten aus der Benutzerverwaltung werden nach
Quellsystem sortiert in die IDM-Sources-Teilbäume kopiert
→ Gültigkeitszeitraum wird ermittelt
→ Shibboleth-Berechtigung wird anhand der Quelldatensätze
jede Nacht neu berechnet
• Weitere Planung:
→ Webanwendung für User + Admins (z.B. AngularJS + Flask)
→ Open-Source-Software zum Datenabgleich
(z.B. pentaho Kettle, evolveum midpoint)
Manuel Haim - Hochschulrechenzentrum 35IDM-Webanwendung – Stammdatenpflege (Entwurf) Manuel Haim - Hochschulrechenzentrum 36
Weiterführende Links
• IDM-Vortrag Uni Konstanz: (beim ZKI-Arbeitskreis Verzeichnisdienste)
https://www.zki.de/fileadmin/zki/Arbeitskreise/VD/Protokolle/2012-10-08/vortrag_vd-ak_2012-10-08_schnell.pdf
• IDM-Vortrag FH Düsseldorf: (beim ZKI-Arbeitskreis Verzeichnisdienste)
https://www.zki.de/fileadmin/zki/Arbeitskreise/VD/Protokolle/2013-09-17/vortrag_vd-ak_2013-09-17_conradshaus.pdf
• Shibboleth – Mindestanforderungen DFN-AAI:
https://www.aai.dfn.de/der-dienst/verlaesslichkeitsklassen/
Manuel Haim - Hochschulrechenzentrum 37Danke für Ihre Aufmerksamkeit! Noch Fragen? → Gern jetzt im Anschluss :-) → sonst per E-Mail: Manuel Haim, haim@hrz.uni-marburg.de Quellennachweis Icons: „Crystal Project“ (GNU LGPL). Manuel Haim - Hochschulrechenzentrum 38
Sie können auch lesen
