View
214
Download
0
Category
Preview:
Citation preview
Anwendungsintegration an Hochschulen am Beispiel
Identity Management Münster, 7. Sept. 2006
2
Zugang zu IT-Ressourcen,z.B. Radius
Rechenzentrum
HIS / SAPHochschul-
administration
Verwaltung
LBS/SunRise
Bibliothek
E-LearningAnwendung
Lehre
Ausgangslage: Anwendungsinseln
3
Ziele einer Integration
• Geschäftsprozessoptimierung / Verbesserung des Workflows zwischen den Bereichen
• Verknüpfung von Diensten, z.B. e-Learning und elektronische Quellen der Bibliothek
• Realisierung neuer zentraler Anwendungen – z. B. Hochschulportal
Erster Schritt Eine gemeinsame Nutzerdaten-basis für alle Anwendungen
4
Zugang zu IT-Ressourcen,z.B. Radius
Rechenzentrum
HIS / SAPHochschul-
administration
Verwaltung
LBS/SunRise
Bibliothek
E-LearningAnwendung
Lehre
Gemeinsame Nutzerdatenbasis
Nutzerdaten
NutzerdatenNutzerdaten
Nutzerdaten
Gemeinsame Nutzerdatenbank
???
5
Warum nicht?
• Unterschiedlicher Funktions- und Datenumfang der Applikationen
• Unterschiedliche Workflows für die Nutzerdatenverwaltung in den Anwendungen
• Schnittstellenfrage
“Auslagerung” der Nutzerverwaltung nicht für alle Systeme möglich
6
Lösung: Identity Management
• Zentrale Verwaltung von Nutzerdaten• Nutzerdatenabgleich der Subsysteme
mit dem zentralen System• Rückfluss von Informationen von den
Subsystemen an das zentrale System• Aktuelle Daten• Keine Doppelerfassung• Spezifika der Subsysteme bleiben erhalten
7
Zugang zu IT-Ressourcen,z.B. Radius
Rechenzentrum
HIS / SAPHochschul-
administration
Verwaltung
LBS/SunRise
Bibliothek
E-LearningAnwendung
Lehre
Indentity Management
Nutzerdaten
Nutzerdaten
Nutzerdaten
Meta-Directory
8
Identity Mangement System
• ermöglicht Zugriff auf / Austausch von Nutzerdaten (uni- / bidirektional)
• legt Datenstruktur und Regeln fest• Rechte- und Rollenverwaltung• Schnittstellen zur Versorgung der
angeschlossenen Subsystemen• Einheitliche Authentifizierung des Nutzers
unabhängig von der jeweiligen Anwendung -> Single-Sign-on
9
IDM-Systeme am Markt
• Sun Java Directory• Siemens Dir.X• IBM Tivoli Directory Server• Novell eDirectory• Microsoft Active Directory Service• ……. und weitere ………..
10
Protokoll für IDM : LDAP• Etabliertes offenes Protokoll für den
Datenaustausch zwischen Verzeichnisdiensten• Verschlüsselung des Datentransfers
sichergestellt – z.B. über SSL• Access Control Lists regeln den Zugriff auf die
verschiedenen Datenelemente des Verzeichnisses
• Zusätzliche Funktionen in LDAP V3 erlauben eine bessere Automatisierung von Abläufen
11
Zugang zu IT-Ressourcen,z.B. Radius
Rechenzentrum
HIS / SAPHochschul-
administration
Verwaltung
LBS/SunRise
Bibliothek
E-LearningAnwendung
Lehre
Indentity Management
Meta-Directory
LDAP
LDAP
LDAP--IDM
12
Aufgaben für das BMS
• Bibliotheksmanagementsystem tauscht Nutzerdaten mit dem IDM-System aus
• Aktive und passive Rolle• Online-Verarbeitung der Änderungen• Authentifizierung gegen ein LDAP-Directory
auch für nicht im LBMS erfasste Nutzer• Öffnung aller Anwendungen für die
Integration in eine SSO-Umgebung
IDM-Connector
für LBS / SISIS-SunRise
14
IDM-Connector• IDM-Connector
• Online Synchronisation von Nutzerdaten in LBS/SunRise mit beliebigen Anwendungen
• Festlegung von Regeln für den Austausch und das Mapping der Daten pro Anwendung
• Ausführliche Protokollierung von Datenupdates sowie Benachrichtigung bei Problemfällen
• Identity-Server• Unterstützung von LDAP für die Authentifizierung
im WebOPAC / InfoGuide sowie für SB-Anwendungen
15
Der Identity Server• Erlaubt den Komponenten des Bibliothekssystems
die Authentifizierung eines Nutzers mit seiner globalen oder lokalen ID
• Dazu verwendet er parametrisierbar seine eigene IDM Datenbank oder den LDAP Dienst des zentralen Meta-Directories
• Die Kommunikation mit den lokalen Komponenten erfolgt über SLNP und wird mittels Zertifikaten verschlüsselt
16
Status
• Kopplung mit SISIS-SunRise ab Version V3.5
• Kopplung mit LBS ab Version V4 2.6• Pilotierung läuft seit Juli/August 2006 mit
verschiedenen IDM-Systemen • Freigabe September 2006
17
Ausblick
• Erweiterung des Identity Servers• Unterstützung weiterer Protokolle
• Shibboleth• a-select, …
• Referenzimplementierungen mit möglichst vielen unterschiedlichen IDM-Systemen
• Generell: Entwicklung aller Bibliotheks-anwendungen in Richtung einer SOA
18
Vielen Dank für Ihre Aufmerksamkeit !
Anhang
20
Architektur des IDM-Connectors
LBS3/4
SunRise
LDAP
Others
Others
LDAP
LBS3/4
IDMDatabase
IDMTask Manager
Controller
IDM-Task-
Manager
read
IDM-Task-
Manager
write
IDM ConnectorAdministration
Admin Interface
Authenticationwriter
reader writer
SunRise
21
Architektur des Identity Servers
IdentityServer
IDMDatabase
SIP2
SunRise
OPACInfoGuide
LBS3/4
SLNP
Meta-Directory
LDAP
22
Arbeitsweise des IDM-Connectors I
LDAP
IDM-Task-
Manager
read
reader
Auftrag zum Ändern eines Nutzerdatensatz
durch das zentrale Meta-Directory
via LDAP an den LDAP-Reader
Weitergabedes Auftragesinclusive der
Datenals
XML-Struktur
Konfigurierbare Prüfung der
Daten mittels XPATHplus Veränderung
mittels XSLTund
Auftragsannahme
23
Arbeitsweise des IDM-Connectors II
z.B.LBS/SunRise
IDM-Task-
Manager
write
writer
Auftrag zum Änderen eines Nutzerdatensatz
durch den IDM Task-Manager
an alle konfiguriertenwriter Anwendungen
Durchführung der Datenänderung
Konfigurierbare Prüfung der
Daten mittels XPATHplus Veränderung
mittels XSLTje
Zielanwendung
24
Technisches Umfeld• Implementierung in Java • Connectoren zu den Lokalsystemen via
SLNP / Corba• Anwendungsseitige “Trigger” für die
Provisionierung durch das Lokalsystem• Eigenständige Admin als Plug-in in die
SunRise Administration
25
Administrationsfunktionen• Konfiguration
• IDM Connector• reader und writer targets• XSLT
• Verwaltung• Generelle Informationen des IDM Connectors• Status der reader und writer• start/stop der reader und writer
• Statistiken• Informationen zu den Tasks und targets• Suchinterface für Statistikanfragen
26
Recommended