Www.atis.uni-karlsruhe.de 1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus

www.atis.uni-karlsruhe.de1

Integriertes Management von Identitäten im fakultativen und Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontextuniversitätsweiten Kontext

20.DFN-Arbeitstagung

Dipl. Math. Klaus Scheibenberger

ATIS, Universität Karlsruhe (TH)

Dipl. Inform. Horst Wenske

Rechenzentrum, Universität Karlsruhe (TH))


VorstellungVorstellung

(1) Klaus Scheibenberger, Leiter der Abteilung technische Infrastruktur der Fakultät für Informatik (ATIS).

(2) Die ATIS

(1) ... ist eine zentrale Fakultätseinrichtung.

(2) ... betreibt zentrale IT-Dienste für die Informatik (lokaler = fakultativer Kontext).

(3) ... erprobt neue Szenarien/Technologien, im Bereich der Informatik.

(4) ... bildet die Schnittstelle zum Rechenzentrum der Universität.


AgendaAgenda

(1) Einführung

Entwicklungsschritte

(1) ... im fakultativen/lokalen Kontext

(2) ... im universitätsweiten Kontext

hin zu einem integrierten Identitätsmanagement

(1) Aktuelle Schritte und Ausblick


ThemeneinführungThemeneinführung

(1) Dienste benötigen Identitätsinformationen von Nutzern

(1) ... zur Authentisierung (Zugang)

(2) ... zur Autorisierung (Rollen, Rechte)

(2) Identitätsmanagement hat zu tun mit der systematischen Bereitstellung und Pflege von Identitätsinformationen.

(3) In die Dienste eingebunden Systeme benötigen Identitätsdaten.

(4) Unterschiedliche technologische Ansätze für die Bereitstellung.

(5) Vorgestellt werden fünf Entwicklungsschritte (Phasen) für die Bereitstellung (und Pflege) von Identitätsdaten

(1) ... ausgehend von einem lokalen Ansatz ...

(2) ... hin zu einem universitätsweiten, kooperierenden Ansatz


BegriffeBegriffe

(1) Lokaler (fakultativer) Kontext:

(1) Dienste eines Betreibers, die für eine oder mehrere Fakultäten bereitstellt werden („geschlossene Nutzergruppe“).

(2) Universitätsweiter Kontext:

(1) In universitätsweiten Prozessen interagieren Dienste unterschiedlicher Betreiber.

(3) Identität:

(1) Menge der Identitätsattribute die einem Nutzer von einem Betreiber zugeordnet sind.

(4) Teilidentität:

(1) Teilmenge einer Identität.

(5) Identitätenbasis:

(1) Menge von einheitlich strukturierten Identitäten.


EntwicklungsschritteEntwicklungsschritte

(1) Lokaler Kontext:(1) Drei Phasen in der Bereitstellung von Identitätsdaten:

(1) Hochgradige Verteilung(2) Reduzierung der Verteilung(3) Eliminierung der Verteilung

Hintergrund: Lokalen Betrieb optimieren.

(2) Universitätsweiter Kontext:(1) Zwei weitere Phasen:

(1) Kopplung heterogener Identitätenbasen(2) Integriertes Identitätsmanagement

Hintergrund: Flexibilität universitätsweiter Prozesse optimieren.


Teil I – Lokaler KontextTeil I – Lokaler Kontext


Phase 1Phase 1: Typisches Szenario: Typisches Szenario

File-server

Nutzer

Linux Windows

Authentifizierung /Autorisierung

Arbeits-plätze

Mail-Server

RADIUSADSNIS (+)

Dial-InVPN

File-server

Arbeits-plätze

Administrator(en) Datenbank für Nutzerkonten

Verteilungper

Skript

Pflege derBenutzerverwaltung

„Passwd“

Problemzone

Dienste

Identitätsdaten

Management


DefiziteDefizite

(1) Sicherheitsrelevante Defizite

(1) Unverschlüsselte Passwörter in der zentralen Nutzerdatenbank.

(2) Verteilung = Vervielfachung

(2) Betriebliche Defizite

(1) Speziell angepasste Verfahren (z.B. scripts)

(2) Spezielle Synchronisationsmechanismen erforderlich.

(3) Defizite aus Nutzersicht

(1) Häufig keine zeitnahen Änderungen verfügbar.


LDAP-Orientierung LDAP-Orientierung

(1) Die ATIS setzt für zentrale Dienste nahezu ausschließlich Solaris-/ Linux-basierte Systeme ein.

Orientierung zu LDAP als einheitlicher Ansatz für verschiedene Dienste

(2) Andere Betreiber tendieren aufgrund anderer Randbedingungen zum Active Directory Service.

„Viele Wege führen nach Rom“.


Phase 2Phase 2: Reduzierung der Verteilung: Reduzierung der Verteilung

SQL-DB

Web-interface

Management:

dezentral(Forschungsbereiche)

zentral (ATIS)

Nutzerkonten

Web-interface

Web-interface

2. SQL-DB

MailStudenten-

pool

LDAPStudenten-

pool

Dienste

Identitätsdaten LDAPMail

Dial-In

LDAPDial-In

ADS

RADIUS


Defizite – VorteilDefizite – Vorteil

(1) Sicherheitsrelevante Defizite

(1) Voneinander unabhängige Datenbestände mit Identitätsdaten.

(2) Betriebliche Defizite

(1) Unterschiedlich strukturierte LDAP-Verzeichnisse.

(2) Anpassungsaufwand für neue Dienste.

(3) Defizite aus Nutzersicht

(1) Unterschiedliche Authentisierungsdaten.

Vorteil:

(1) Zunehmende Nutzung einer standardisierten Schnittstelle um die Verteilung von Identitätsdaten zu reduzieren.


MailStudenten-

pool

LDAPStudenten-

pool

Dienste

Identitätsdaten LDAPMail

Dial-In

LDAPDial-In

ADS

RADIUS

ÜbergangÜbergang

SQL-DB

Web-interface

Management:

dezentral(Forschungsbereiche)

zentral (ATIS)

Nutzerkonten

Web-interface

Web-interface

2. SQL-DB

Verbesserungs-potential

Zentrales LDAP-Verzeichnis


Phase 3:Phase 3: Zielarchitektur Zielarchitektur

Web-interface

Web-interface

Management

dezentral

zentral

...

Replikate

MailStudenten-

poolDial-In

Zentrales LDAP-Verzeichnis

Dienste ...

Identitätsdaten/Nutzerkonten


Dienstorientierte LDAP-StrukturDienstorientierte LDAP-Struktur

dc = Einrichtung B

Fakultät

dc = Stud

ou = Groups

ou = People

dc = Einrichtung A

ou = People

Nutzerkonten Nutzerkonten

ou = Groups

Nutzerkonto

VornameNachname

Institut...

Mail-ServerMail-Aliase

...

BenutzerkennungPasswort

...

...

VPN-IP-AdresseNutzerzertifikat

AttributePerson

AttributeUnix-Zugang

AttributeDial-In-Dienst

AttributeVPN-Dienst

AttributeMail-Dienst

Klassen


Einbindung neuer DiensteEinbindung neuer Dienste

(1) Beispiel VPN: Eigene Klasse enthält die VPN-spezifischen Attribute:

(1) Nutzerspezifische VPN-IP-Adresse

(2) Nutzer-Zertifikat nach X.509-Standard

Test

Name

Mail

URL


LDAP und Active DirectoryLDAP und Active Directory

(1) Ablösung von AD durch LDAP im Studentenpool:

(1) Derzeit Synchronisation von Accounts über Scripts von LDAP nach AD.

(2) Passwortänderungen über SfU. Aufwändiger und damit „fehleranfälliger“ Prozess. Einsatz von Samba 3.x als Domaincontroller.

(1) Tests bzgl. Windows-Grouppolicies


Lokaler Kontext – Aktueller StandLokaler Kontext – Aktueller Stand

(1) VPN – ok

(2) Mailsystem – ok

(3) Studentenpool – ok (Windows / LDAP – Testphase)

(4) Wireless (802.1x) – To Do

(5) Dial-In – To Do

(6) Umstellung von Einrichtungen in der Fakultät – Testphase

(entspricht i.P. Studentenpool)

Konsequente Ausrichtung in Richtung LDAP

im lokalen Kontext


Teil II - Universitärer Kontext Teil II - Universitärer Kontext


KIM-LPSKIM-LPS

(1) KIM-Projekt

(1) Karlsruher integriertes InformationsManagement

(www.kim.uni-karlsruhe.de)

(2) Beispiele für universitätsweite Prozesse:

(1) Lehrveranstaltungsmanagement

(2) Prüfungsmanagement

(3) Studienassistenz

Teilprojekt KIM-LPS


KIM-LPS – Architektur (Ausschnitt) KIM-LPS – Architektur (Ausschnitt)

Identitätsmanagement als wichtiger Faktor Teilprojekt KIM-IdM

Un

ivers

ität

Ka

rlsru

he

(T

H)

KIM Karlsruher Integriertes InformationsManagementGaedke

Architektur / Realisierungsplattform - 22.02.2005 - 6

Lösungsvorschlag – Architektur

Legacy-System

Legacy-System

Anwendungs-Dienste

Basisdienste

<<Task>>

Prozesse

Infrastrukturdienste(Verzeichnisdienste,

Sicherheit, ...)

WS-Wrapper

WS-System

... ...

<<Prozess>>

<<Prozess>>

Identitäten?Betreiber2Betreiber1

Idenitätenbasis1 Idenitätenbasis2


Integration von IdentitätenbasenIntegration von Identitätenbasen

(1) Ausrichtung an den eigenen Anforderungen, nicht an einem Produkt.

(2) Zunächst: Einfachheit der Architektur

(3) Tests, erste Implementierungsschritte mit einfachen Tools um generelle Zusammenhänge zu verifizieren.

(4) Spätere Flexibilität in der Produktauswahl.


BegriffeBegriffe

(1) Satellit:

(1) Organisatorische Einheit (Betreiber) die eine eigenständige Identitätenbasis pflegt (z.B. ATIS).

(2) Gesamtidentität:

(1) Zusammenfassung aller, in den Satelliten, einem Nutzer zugeordneten Identitäten.

(3) Identität:

(1) Menge der Identitätsattribute die einem Nutzer in einem Satelliten zugeordnet sind.

(4) Teilidentität:

(1) Teilmenge einer Identität.


Anforderungen Anforderungen

(1) Heterogenität: Unterschiedliche Satelliten.

(2) Selbstverwaltung: Lokale Flexibilität.

(3) Autonomie: Dezentrale Identitätenbasen.

aber

(1) Eindeutigkeit: Identitäten in verschiedenen Satelliten.

(2) Datenharmonisierung: Synchronisation und Sicherstellung der Konsistenz im gesamten Verbund.

(3) Datenminimalität, Datenschutz: Nur notwendige Informationen.


Zentrale KernidentitätZentrale Kernidentität

GUIDName

VornameEmail

Matrikel-nummerTitel

Externer

erbt von „Person“

Objektklasse „Person“

MitarbeiterStudent


Phase 4:Phase 4: Verteilte Identitätenbasen Verteilte Identitätenbasen

Mitarbeiter Student Externer

… … …Zentrale Kernidentität

Verwaltung

Initiale Datensätze

Satellit

HIS

UBUpdates

Satellit

LDAP

ATIS

Student

ATIS-Student

Satellit

LDAP

RZSatellit

ADS

WiWi CIP

Satellit

ADS

GUID


Phase 5:Phase 5: Gesamtszenario Gesamtszenario

KIMKIM Informatik

Studierender/Mitarbeiter

ATIS-Dienste

VPN Mail Drucken

Zugriff auf lokaleDienste (Home, Mail)

Windows Unix

Zugriff auf KIM-Diensteim Prozessablauf

KIM-KontextBasis-dienst

Basis-dienst

Anwendungs-dienste

TrustRelation

Basis-dienst

Planungs-dienst

Noten-erfassung

Anwendungsdienste – KIM-LPS

ZentraleKern-

identitäten

ADSWiWi

LDAPRZ

LDAPUB

LDAPVerw.

Verwaltung

z.B. LDAP-Verzeichnisse(oder ADS)

LDAPATIS

DirekteAuthentisierung

und Autorisierung

Identitätsmanagement – KIM-IdM

WS AuthentisierungAutorisierung

Loka

ler

Konte

xt


Aktuelle SchritteAktuelle Schritte


Fricard DatendistributionFricard Datendistribution

(1) Nur erforderlicher Attribute werden synchronisiert.

Synchronisationsschnittstelleeines Satelliten

Satellit…

LDAP

Syn

SatellitRZ

ADS

Siport

Syn

SatellitVerwaltung

HISFricard

Personalisierung

Syn

Selektiver Synchronisationslayer

Kernidentitaten

Chip-number


AusblickAusblick


IDM ArchitekturIDM Architektur


PhasenplanungPhasenplanung


ZieleZiele

(1) Integriertes Informationsmanagement bedeutet:

(1) Untergang der (Informations-)Inseln !(s. unikath 01/2006)

(2) Eine notwendige Grundlage:

(1) Integriertes Identitätsmanagement

d.h.

(1) Übergang von unabhängigen Identitäten-Inseln zu einem kooperierenden System !


Vielen Dank für Ihre AufmerksamkeitVielen Dank für Ihre Aufmerksamkeit

Fragen?Fragen?

Documents

Www.atis.uni-karlsruhe.de 1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus