Herausforderungen des Identity Management an Hochschulen · Passwort Management (5) Autorisierung...

Manuel Haim - Hochschulrechenzentrum

Herausforderungen desIdentity Management an Hochschulen – Problemfeld Datenintegration –

Manuel Haim, HRZ Uni Marburg

10. DFN-Forum Kommunikationstechnologien,30.-31.05.2017 in Berlin

2Manuel Haim - Hochschulrechenzentrum

In diesem Vortrag...

1.Motivation→ Warum ist IDM für Hochschulen plötzlich so wichtig?

2.Anforderungen an IDM-Systeme→ Sind Hochschulen wirklich so „anders“ ?

3.Benutzerverwaltung→ Was wir bisher (falsch) gemacht haben

4.Weiterentwicklung zum IDM→ In vier einfachen Schritten zum Ziel

5.Erläuterungen und Fazit

1. Motivation

• Warum ist IDM für Hochschulen plötzlich so wichtig?

Ausgangsfrage:

Welche Personen gehören zur Philipps-Universität ?

Das klingt doch eigentlich ganz einfach...

Philipps-Universität Marburg:

• ca. 25.000 Studierende

• ca. 4.000 Mitarbeiter

… wo ist das Problem ?!

Tatsächlich gibt es viele weitere Personengruppen:

Lehrbeauftragte

DoktorandenHabilitanden

apl. Professoren

Gasthörer Schülerstudenten

Ehemalige (Alumni)

Personen in Abschlussprüfungen

Studierende anderer Hochschulen

Studierende der Archivschule

Bewohner des Studentenwohnheims

externe KursteilnehmerGäste im Gästehaus

Honorarprofessoren

Privatdozenten

Landesbedienstete am priv. Klinikum

Mitarbeiter Studentenwerk

Mitarbeiter von ca. 12 verbundenen Einrichtungen

Mitarbeiter externer Firmen

Stadt-/Landkreis-Nutzerinnen der Universitätsbibliothek

Teilnehmer Zertifikatsstudium

Kursteilnehmer Studienkolleg

Tagungsgäste

Tatsächlich gibt es viele weitere Personengruppen:

Lehrbeauftragte

DoktorandenHabilitanden

apl. Professoren

Gasthörer Schülerstudenten

Ehemalige (Alumni)

Personen in Abschlussprüfungen

Studierende anderer Hochschulen

Studierende der Archivschule

Bewohner des Studentenwohnheims

externe KursteilnehmerGäste im Gästehaus

Honorarprofessoren

Privatdozenten

Landesbedienstete am priv. Klinikum

Mitarbeiter Studentenwerk

Mitarbeiter von ca. 12 verbundenen Einrichtungen

Stadt-/Landkreis-Nutzerinnen der Universitätsbibliothek

Teilnehmer Zertifikatsstudium

Kursteilnehmer Studienkolleg

Tagungsgäste

Bislang per E

xcel o

der Papierfo

rmular!

atenbank selte

n aktuell,

kaum vo

llständig

Motivationsfaktoren für IDM an der Uni Marburg

• Shibboleth-Login in der DFN-AAI-FöderationVoraussetzung: Zweifelsfreie Identifikation, Datenaktualität

• Integriertes Campus-Management (iCM)Zielgruppe: Alle an Studium und Lehre beteiligten Personen

• Forschungs-Informations-System (FIS)Zielgruppe: Alle an der Forschung beteiligten Personen

• Hochschulstatistikgesetz (HStatG)Ziel: Erhebung aller Doktoranden/-innen ab Berichtsjahr 2017

2. Anforderungen an IDM-Systeme

• Kann Standard-Software unsere Probleme lösen?

• Sind Hochschulen wirklich so „anders“ als Unternehmen?

Funktionale Anforderungen an IDM-Systeme(Uni Marburg, Erfahrungswerte)

(1) Zentrales Verzeichnis

(2) Datenintegration

(3) Datenabgleich

(4) Authentisierung bzw. Authentifizierung

(5) Autorisierung und Access Management

(6) Webportal

(7) Audit Logging

(1) Zentrales Verzeichnis→ gemeinsame, verlässliche Datenbasis→ z.B. Datenbank (SQL) oder Verzeichnisdienst (LDAP)→ für Personendaten und Accounts (Identity Mgmt., IDM)→ für weitere Objekte (Master Data Management, MDM)

(3) Datenabgleich

(6) Webportal

(7) Audit Logging

(2) Datenintegration→ Integration in Geschäftsprozesse und IT-Systeme→ entsprechende Konnektoren nötig→ Merke: erfordert Organisationsentwicklung und Mitwirkung

(3) Datenabgleich

(6) Webportal

(7) Audit Logging

(3) Datenabgleich→ Live Synchronization / Reconciliation / (De-)Provisioning→ z.B. Provisioning-Software, IDM-Software, MDM-Software→ Eigenentwicklung denkbar→ Merke: Regelwerk und Konnektoren nötig

(6) Webportal

(7) Audit Logging

(3) Datenabgleich

(4) Authentisierung bzw. Authentifizierung→ persönliche Zugangsdaten (Benutzername, Passwort)→ dieselben Zugangsdaten für alle Systeme, Single Sign-On→ zweiter Faktor für kritische Systeme (TAN, Token, App…)→ anwendungs-/gerätespezifische Passwörter (WLAN)

(6) Webportal

(7) Audit Logging

(3) Datenabgleich

(5) Autorisierung und Access Management→ Rollen und Rechte digital, ggf. automatisiert→ Übergangsfristen für Ausscheidende→ Anhäufung von Rechten vermeiden (Ablaufdatum)

(6) Webportal

(7) Audit Logging

(3) Datenabgleich

(6) Webportal→ User-Self-Service: Daten, Passwörter, E-Mail-Adressen...→ Administration dezentralisieren→ Interaktive Formulare / Workflow-Management

(7) Audit Logging

(3) Datenabgleich

(6) Webportal

(7) Audit Logging→ Änderungen an Account, Rollen u. Rechten protokollieren→ ggf. rechtssicher / digital signiert→ Protokoll zumindest für die Wirkdauer aufbewahren

Funktionale Anforderungen im Vergleich

*Steffen Hofmann: Architektur eines Identitätsmanagementsystems an einer Hochschule. Diplomarbeit, FernUniversität Hagen, 2007.https://www.zedat.fu-berlin.de/pub/ZEDAT/FUDIS/Home/Architektur_eines_Identitaetsmanagementsystems_an_einer_Hochschule.pdf

Uni Marburg Allgemein für IDM-Systeme*

(1) Zentrales Verzeichnis Informationsspeicher

(2) Datenintegration Datenintegration

(3) Datenabgleich Provisioning

Authentifizierung,Passwort Management

Autorisierung

(6) Webportal User Self-Service,(De-)Zentrale Administration,Workflow Management

(7) Audit Logging Auditing

– Monitoring, Reporting

Funktionale Anforderungen im Vergleich

*Steffen Hofmann: Architektur eines Identitätsmanagementsystems an einer Hochschule. Diplomarbeit, FernUniversität Hagen, 2007.https://www.zedat.fu-berlin.de/pub/ZEDAT/FUDIS/Home/Architektur_eines_Identitaetsmanagementsystems_an_einer_Hochschule.pdf

Uni Marburg Allgemein für IDM-Systeme*

(1) Zentrales Verzeichnis Informationsspeicher

(2) Datenintegration Datenintegration

(3) Datenabgleich Provisioning

Authentifizierung,Passwort Management

Autorisierung

(6) Webportal User Self-Service,(De-)Zentrale Administration,Workflow Management

(7) Audit Logging Auditing

– Monitoring, Reporting

Deckt s

it unse

ren Anforderungen!

nsere Probleme si

nd softw

areunabhängig.

Eigentliche Herausforderung:Datenintegration erfordert Gespräche mit vielen beteiligten Stellen:

Gruppe Verantwortl. Stelle Ereignis System

Studierende Studi.-Sekretariat Immatrikulation HISinOne

Gasthörer/innen Studi.-Sekretariat Annahme unbekannt

Professoren/-innen Personalabteilung Einstellung / Verbeamtung SAP

Mitarbeiter/-innen Personalabteilung Einstellung / Verbeamtung SAP

Landesbedienstetes Klinikums-Personal

Personalabteilung Klinikum

Einstellung / Verbeamtung Klinikums-SAP

apl. Professoren/-innen Senat Titelverleihung unbekannt

Honorarprofessoren/-innen Senat Titelverleihung unbekannt

Privatdozenten/-innen jew. Dekanat Titelverleihung unbekannt

Lehrbeauftragte jew. Dekanat Erteilung Lehrauftrag unbekannt

Doktoranden/-innen jew. Dekanat Annahme unbekannt

Dekane/-innen jew. Fachbereichsrat Wahl unbekannt

Fachbereichsbeauftragte jew. Dekanat Benennung unbekannt

Gästehaus-Bewohner/innen Gästehaus-Verwaltg. Voranmeldung unbekannt

Stadt-/Landkreisnutzer/innen Uni-Bibliothek Beantragung Leseausweis PICA

Eigentliche Herausforderung:Datenintegration erfordert Gespräche mit vielen beteiligten Stellen:

Gruppe Verantwortl. Stelle Ereignis System

Studierende Studi.-Sekretariat Immatrikulation HISinOne

Gasthörer/innen Studi.-Sekretariat Annahme unbekannt

Professoren/-innen Personalabteilung Einstellung / Verbeamtung SAP

Mitarbeiter/-innen Personalabteilung Einstellung / Verbeamtung SAP

Landesbedienstetes Klinikums-Personal

Personalabteilung Klinikum

Einstellung / Verbeamtung Klinikums-SAP

apl. Professoren/-innen Senat Titelverleihung unbekannt

Honorarprofessoren/-innen Senat Titelverleihung unbekannt

Privatdozenten/-innen jew. Dekanat Titelverleihung unbekannt

Lehrbeauftragte jew. Dekanat Erteilung Lehrauftrag unbekannt

Doktoranden/-innen jew. Dekanat Annahme unbekannt

Dekane/-innen jew. Fachbereichsrat Wahl unbekannt

Fachbereichsbeauftragte jew. Dekanat Benennung unbekannt

Gästehaus-Bew. Gästehaus-Verw. Voranmeldung unbekannt

Stadt-/Landkreisnutzer/innen Uni-Bibliothek Beantragung Leseausweis PICA

Organisatorisches Problem:

→ zahlreiche Datenquellen

Verantwortliche Stellen einbinden!

→ unterschiedliche Datenqualität

Daten aktuell? Bedeutung eindeutig?

Ausweis kontrolliert? Name vollständig?

Mitarbeiter geschult? Tippfehler möglich?

→ Dubletten möglich

Vor dem Zusammenführen unbedingt auf

Datenqualität achten (Selbstregistrierung?)

Nicht-funktionale Anforderungen an IDM-Systeme(Uni Marburg, Erfahrungswerte)

• Datenschutz→ Verfahrensverzeichnis notwendig (Zweckbindung der Daten!)→ Personalrat einbinden→ Aufbewahrungs- und Löschfristen definieren und einhalten→ Benutzernamen und E-Mail-Adressen wiedervergeben?

• Randbedingungen→ laufende Kosten decken (Betrieb, Anpassung, Wartung)→ Lizenzmodelle und Lizenzverlängerungen kritisch prüfen→ Flexibilität gewährleisten (zeitnahe Anpassungen)

3. Bisherige Benutzerverwaltung

• Was wir bisher (falsch) gemacht haben

83472495

974303

Professoren u. Mitarbeiter (Universität)

Professoren u. Mitarbeiter (Klinikum)

Lehrbeauftragte mit Lehrauftrag

apl. Professoren ohne Vertrag

Doktoranden ohne Vertrag

Sonstige ohne Vertrag

Gäste im Gästehaus

Mitarbeiter An-Instituteu. Partner-Einrichtungen

Funktionsbezogene Zugänge

Selbstverwaltete Gastzugänge

Professoren u. Mitarbeiter (Uni) i.R.

240101218

5459322751123

Studierende (abzgl. Promotion + Sprachkurse)

Promotions-Studierende

Teilnehmer studiumsvorber. Sprachkurse

Gasthörer

Teilnehmer Sonderprogramme(z.B. Zertifikatsstudium,Stipendiaten d. Fulbright-Kommission,Internationale Sommer-Universität)

Studentische Gruppen(z.B. AStA, Fachschaften, Uni-Chor)

Gäste(z.B. externe Kursteilnehmer,nicht-immatr. Wohnheimsbewohner,Studierende d. Archivschule)

Kurzfristige Gastzugänge

Kürzlich Ausgeschiedene u. Zurückgetretene

Die Philipps-Universität Marburg im SoSe 2017

„Studierende“

• ca. 31.189 Identitäten (davon 1.051 Nicht-Personen)

• ebensoviele Accounts

„Mitarbeiter“

• ca. 9.874 Identitäten (davon 1.639 Nicht-Personen)

• nur ca. 8.803 Accounts (nicht alle Pers. haben Acc.)

834699

Probleme der bisherigen Benutzerverwaltung

• Personenstatus/Rolle ist am Staff-Account nicht ablesbar (Account wird aus verschiedenen Gründen verlängert)

• Personen häufen außerdem Personeneinträge an

4. Weiterentwicklung zum IDM

• In vier einfachen Schritten zum Ziel

(1) Durchgängige Erfassung der Personendaten aller an der Universität tätigen Personengruppen(dezentral durch geeignete Stellen, in geeigneten Systemen)

• Detaillierte Aufstellung aller zu erfassenden Personengruppen→ Studierende, Mitarbeiter, ca. 35 weitere

• Gespräche mit den Betreibern der bestehenden datenführenden Systeme→ Datenqualität, Pflegeprozesse, Bedeutung der Quelldaten

• Ausgestaltung der elektronischen Erfassungs- und Meldeverfahren→ Datenpflege in vorhandenen Systemen oder eigener Datenbank

Neue Benutzerverwaltungs-Weboberfläche (AngularJS, Bootstrap CSS, Flask)

(2) Konsolidierung der Personendatenund zeitlich beschränkten Teil-Identitätenin einer zentralen Datenbank des Hochschulrechenzentrums

• Teil-Identitäten, d.h. Datensätze aus den Datenquellen werden als (Schatten-)Kopien dauerhaft vorgehalten

• Identität wird separat angelegt und mit Teil-Identitäten verknüpft→ möglichst nur eine Identität pro natürlicher Person

Teil-Identität

Werkzeug zum Datenabgleich: CALYPSO(hier: sync-Algorithmus)

Quelle Ziel

Action:

Quelle:Manuel Haim: CALYPSO – ein Python-Skript zum generischen Datenabgleich,https://www.zki.de/fileadmin/zki/Arbeitskreise/VD/Protokolle/2016-09-12/calypso-unimr.pdf

Situation:

Quelle Ziel

„absent“

Action:

Situation:

Quelle Ziel

„absent“ „create“

Action: z.B.

Situation:

Quelle Ziel

„absent“

„found“

„create“

Action: z.B.

Situation:

Quelle Ziel

„absent“

„found“

„create“

„update“

Action: z.B.

Situation:

Quelle Ziel

„absent“

„found“

„ambiguous“

„create“

„update“

Action: z.B.

Situation:

Quelle Ziel

„absent“

„found“

„ambiguous“

„create“

„update“

„ignore“

Action: z.B.

Situation:

Quelle Ziel

„absent“

„found“

„ambiguous“

„source missing“

„create“

„update“

„ignore“

Action: z.B.

Situation:

Quelle Ziel

„absent“

„found“

„ambiguous“

„source missing“

„create“

„update“

„ignore“

„delete“

Action: z.B.

Situation:

(3) Automatisierte Ableitung vonAccountlaufzeit, Rollen und Rechten

• Rechtliche Zugangsvoraussetzungenfür einzelne Dienste klären→ z.B. eduroam-WLAN, DFN-Internet, Literatur, DFN-AAI

• Datenquellen-Rollen-Rechte-Modell aufstellen→ wer darf was?

• Accountlaufzeit, Rollen und Rechte regelm. berechnen→ z.B. mit CALYPSO (merge-Algorithmus)

Vereinigung von Objekten (Merge)

Quelle Ziel

(Zweck: Zusammenführen von Attributen – z.B. Namen, Berechtigungen...)

Quelle Ziel

„found“

Schritt 1: Ausgehend vom Quellobjekt das Zielobjekt suchen

Quelle Ziel

Schritt 2: Ausgehend vom Zielobjekt passende Quellobjekte suchen

Quelle Ziel

Schritt 3: Über eigene Merge-Funktion die Zielattribute berechnen

Quelle Ziel

Schritt 4: Zielobjekt aktualisieren

„update“

(4) Automatische (De-)Provisionierungaller angeschlossenen Systeme

• lokale Benutzerprofile in Anwendungen verfügbar machen,bevor ein Nutzer sich zum ersten Mal anmeldet→ vereinfacht die lokale Gruppen- und Rechtezuordnung

• zeitnaher Datenabgleich bei Änderungen

• Löschung von Daten in Drittsystemen (nach Ausscheiden)

5. Fazit

• Funktionale Anforderungen der Hochschulen an IDM-Systeme decken sich mit marktüblichem Funktionsumfang

• Eigene Implementierungen bieten vergleichbare Funktionen→ Man spart sich die Lizenzgebühren→ Datenabgleich lässt sich selbst implementieren → Webportale erfordern ohnehin Eigenentwicklung

• Ermittlung von Datenquellen und Verantwortlichkeitenist ein organisatorisches Problem mit vielen Beteiligten(unabhängig von der Wahl der Software)

Danke für Ihre Aufmerksamkeit!

Noch Fragen?

→ Gern jetzt im Anschluss :-)

→ sonst per E-Mail: Manuel Haim, haim@hrz.uni-marburg.de

Quellennachweis Icons: „Crystal Project“ (GNU LGPL).

Herausforderungen des Identity Management an Hochschulen · Passwort Management (5) Autorisierung...

Documents

Betriebshandbuch ISPA XDSL - Webportal - support.telekom.atsupport.telekom.at/ispa/ISPA_XDSL_Portal-Anwenderhandbuch.pdf · Dieses Handbuch beschreibt die einzelnen Masken der ISPA-XDSL-Webapplikation

Liferay Portal - ein Webportal für viele Unternehmensanforderungen

1 Sales-Überblick. Inhalte der Präsentation 1.Einleitung 2.Anwendungsfälle/Funktionen 1.Authentifizierung 2.Autorisierung 3.Zugriffskontrolle für Farbdrucke

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Ato Ruppert, Franck Borel UB Freiburg

Sicherheitsaspekte Identifikation und Authentisierung Autorisierung und Zugriffskontrolle Auditing Sicherheit im DBMS

Geschenkkarten Lösung für THUN Innenstadt · 2019. 4. 19. · Barcode die Autorisierung einer M2M-Lösung: Auf den Geschenkkarten hat es zwei unterschiedliche Kartennummern: •

Authentifizierung, Autorisierung und Rechteverwaltung Autorisierung und Zugriffskontrolle in Shibboleth: Attribute Definition, Weitergabe, Verarbeitung

Tschechisch-lernen.at ist ein Webportal für Tschechisch ... · Gleichlautende Substantive mit gleicher Bedeutung und verschiedenem Genus . ... Sonderformen der Präpositionen Liste

Zugriffskontrolle für Server Wallets€¦ · In Zukunft werden sich neue Verfahren unter Verwen-dung von Mobiltelefonen etablieren. Autorisierung Die Autorisierung ist die Zahlungsfreigabe

Mein FINCA- Webportal für Studierende · Informationssysteme GmbH Windows, Office, Word und Excel sind eingetragene Warenzeichen ... Denis Kirstein und Katja Drasdo, Hochschulrechenzentrum

Rücksendeadresse - kfw.de · Hinweise zum SEPA-Lastschriftmandat Sehr geehrter Kunde, die Grundlage für Ihre Teilnahme am SEPA-Lastschriftverfahren ist eine Autorisierung durch

Webportal-Lösungen für die Wohnungswirtschaft Karin Wenkel, Produktmanagerin Dienstleistung 10. Mitteldeutsches Verwalterforum Leipzig, 29.04.2010

Vielfalt bewegt! Alpenverein Handbuch Webportal

Rieger-Integration bestehender IP-basierter Autorisierung · Failover für Netzwerk-Interfaces wäre möglich, aber Konfig. des Squid schwierig! HTTPS Zugriff auf Verlage / Dienste

Datenbank-gestützte Authentifizierung und Autorisierung von Web … › docs › WEBauthentication.pdf · 2008-12-16 · Version 10-2005 ©Database Consult GmbH - Jachenau Folie

Zentrenbildung - Konzept der Zukunft - Webportal ... · 11. QM-Forum der Universitätsklinika Deutschlands unter Schirmherrschaft des VUD Zentrenbildung – Konzept der Zukunft? Universitätsklinikum

Dienstleistungsvertrag - esz AG · Laboratorium auf Verlangen im Vorfeld der Autorisierung zur Durchführung von Kalibrierungen zur Verfügung zu stellen. Stehen die Unterlagen nicht

Verteilte Authentifizierung, Autorisierung und Rechteverwaltung (AAR) beim elektronischen Publizieren Forum Innovation Buchmesse Frankfurt, 20. Oktober

Einbindung des persönlichen Dienstplanes in Ihren Kalender · Planik! 1.1. Ihre Organisation erlaubt das Abonnieren des Dienstplans ohne Autorisierung Damit Sie starten können,

Grundlagen der entfernten Authentiﬁzierung und Autorisierung: Kerberos · 2010-07-27 · Grundlagen der entfernten Authentiﬁzierung und Autorisierung: Kerberos Proseminar Konzepte