www.un ni-stuttga art.de Identity & Access Management an der Universität Stuttgart 22.04.2010 AK-IDM Frank Beckmann|Björn Eich|Jürgen Jähnert|Michael Stegmüller|Thomas Wolfram @ g [email protected] www.un ni-stuttga art.de Agenda Mission Organisatorisches - Turnus, Termine Identity Management Projekt „SIAM“ Vorstellung des Projektes Aktueller Akt ll St Stand d und d MSDN MSDN-AA AA LDAP-Schemaerweiterung Formale Personengruppen der Universität Stuttgart Schemata (national/europäisch) SCHAC/eduPerson/dfnEduPerson Vorstellung Rollenmodell des RUS Diskussion Anforderungen an Rollen Weiteres Vorgehen 22.04.2010 AK IDM www.un ni-stuttga art.de Mission Ständiges Forum für die Diskussion und Weiterentwicklung des IDM Erarbeitung und Fortschreibung eines Konzeptes für IDM Sammeln der Anforderungen der Institute Konzepterarbeitung K t b it 22.04.2010 AK IDM www.un ni-stuttga art.de Drei Sichten auf Identity Management Blick auf Identitäten Erzeugung, Verwaltung und Löschen von Identitäten Zugriffskontrolle zu IT Ressourcen Management aller Daten, welche die für den Ressourcenzugrtiff erforderlich sind Realisierung des Zufgriffsmanagement IAM Identity und Access Management Services Ein System, welches personalisierten und rollenbasierte Dienste anbietet (Endbenutzer/Endsysteme) IT Prozesse Identity und Access Management (IAM) ist eine Strategie, wie Geschäftsprozesse innerhalb einer Organisation in einer sicheren und vertrauenswürdigen Art unterstützt werden. 22.04.2010 AK IDM www.un ni-stuttga art.de Was ist IdM, was ist es nicht? IDM stellt die Infrastruktur bereit, dass zentral Identitäten und Attribute zur Verfügung gestellt werden dass ggf. dezentral Identitäten hinzugefügt, Attribute erweitert werden können IDM definiert nicht die Prozesse, welche erforderlich sind um Identitäten formal(juristisch) korrekt in die Organisation einzubinden Identitäten/Attribute zu klassifizieren Regeln für Rollen/Rechte zu definieren IDM sorgt für eine Infrastruktur, welche Regeln für Rollen/Rechte effizient umsetzt 22.04.2010 AK IDM www.un ni-stuttga art.de Motivation Identity Management ist keine wirklich neue Disziplin Aber: Durch den zunehmenden Grad an Interaktion und Verzahnung d G der Geschäftsprozesse, häft welche l h an Dynamik D ik gewinnen, i ist i t es aus Organisationssicht ineffizient Identitäten inkonsistent an verschiedenen Orten zu verwalten. Innerbetriebliche Prozesse können effizienten realisiert werden, wenn bestimmte Informationen zentral verfügbar sind Steigende Sicherheitsanforderungen können effizienter umgesetzt werden 22.04.2010 AK IDM www.un ni-stuttga art.de Die Perspektive der Zugriffskontrolle auf IT Ressourcen Die Kooperation zw zw. Benutzern Benutzern, welche verschiedenen administrativen Einheiten angehören wird im Rahmen der Federation beschrieben Federated „IAM“ Identity und Access Management Authentication Ist I td der B Benutzer t d derjenige, j i welcher l h er vorgibt ibt zu sein? i ? Autorization Hat der Benutzer die Berechtigungen für die nachgefragten Ressourcen? Accounting Verwaltung der Nutzungsdaten Auditing B Beleg l fü für d den R Ressourcenverbrauch b h zur Si Sicherstellung h t ll d der Unleugbarkeit 22.04.2010 AK IDM www.un ni-stuttga art.de Agenda Mission Organisatorisches - Turnus, Termine Identity Management Projekt „SIAM“ Vorstellung des Projektes Aktueller Akt ll St Stand d und d MSDN MSDN-AA AA LDAP-Schemaerweiterung Formale Personengruppen der Universität Stuttgart Schemata (national/europäisch) SCHAC/eduPerson/dfnEduPerson Vorstellung Rollenmodell des RUS Diskussion Anforderungen an Rollen Weiteres Vorgehen 22.04.2010 AK IDM www.un ni-stuttga art.de Agenda Mission Organisatorisches - Turnus, Termine Identity Management Projekt „SIAM“ Vorstellung des Projektes Aktueller Akt ll St Stand d und d MSDN MSDN-AA AA LDAP-Schemaerweiterung Formale Personengruppen der Universität Stuttgart Schemata (national/europäisch) SCHAC/eduPerson/dfnEduPerson Vorstellung Rollenmodell des RUS Diskussion Anforderungen an Rollen Weiteres Vorgehen 22.04.2010 AK IDM www.un ni-stuttga art.de Agenda Ausgangsituation Vorstellung Projekt SIAM Aktueller Stand Sun IDM Diskussion 22.04.2010 www.un ni-stuttga art.de Universität Stuttgart – Zahlen ca. 21000 Studenten ca. 4600 Ersteinschreiber (WS) ca. ca 5500 Mitarbeiter ca. 2600 Haushaltsstellen 150 Institute 10 Fakultäten Zentrale Verwaltung (ZV) Dezernate ZV-EDV Zentrale Einrichtungen Rechenzentrum (RUS) – ca. 40 Mitarbeiter Höchstleistungsrechenzentrum (HLRS) Materialprüfungsanstalt (MPA), (MPA) Sprachzentrum, Universitätsbibliothek 22.04.2010 www.un ni-stuttga art.de Universität Stuttgart – Ausgangsituation IT relativ stark dezentral organisiert Basis-IT-Infrastruktur durch RUS Netz, Backup, Mail, Storage, Datenbanken, Directory Service, usw. Studentische Dienste (E-Learning usw.) St Starkk heterogene h t IT-Strukturen IT St kt in i Instituten I tit t und d zentralen t l Einrichtungen mit unterschiedlicher Breite/Tiefe (fast) vollständig eigenständige IT … … bis vollständig RUS-betreut ZV-EDV: HIS (SOS, POS, SVA, LSF, ZUL usw.), SAP u.a. UBS: Horizon, Shibboleth 22.04.2010 www.un ni-stuttga art.de Universität Stuttgart – Ausgangsituation (2) Aus unterschiedlichen, teilw. historischen Gründen: Mehrere Quellen für Stammdaten für unterschiedliche Personengruppen – SVA, SOS, ZUL Mehrere Benutzerverwaltungen bzw. Verzeichnisdienste – RUS – Mail / VPN (IBM (IBM-LDAP) LDAP) – Mitarbeiter – Active Directory – Studenten, Studenten Mitarbeiter (Teil der Institute) – VoIPUS (IP-Telefonie, Mehrwertdienste) – Mitarbeiter, Externe – Zertifikate über Sub Sub-CA CA der DFN-PKI DFN PKI – Z.Z. noch keine Ausstellung von Nutzer-Zertifikaten – ZV, Institute, … 22.04.2010 www.un ni-stuttga art.de U i Universität ität Stuttgart St tt t – Ausgangsituation A it ti (3) StudienStudien bewerber Neue Medien in Lehre & Forschung Dienste für Studierende UB-Services universitäre Adressverteiler ? St di Studierende d Mitarbeiter ? ? Bürger (UB-Nutzer) E t Externe 22.04.2010 Systeme der Zentralen Verwaltung ? ? Lizenzverwaltung ? Netzzugänge SAP ContentManagement Dienste Backup Dienste IP-Telefonie & Mehrwertdienste ? Drucken & Plotten www Uni Stuttgart Campus Management Weitere Angehörige der Universität Gäste/Partner Bologna Verwaltungssysteme g y ? Computer Arbeitsplätze UniAdminPortal Super SuperComputing Daten DatenDienste Anwendungsdienste MailDienste www.un ni-stuttga art.de Historie Projekt Erreichbarkeitsverzeichnis (EVE) – 2004 Datenschutzrechtliche Vereinbarungen – Genehmigung durch Personalrat am 23 23.03.2004 03 2004 Einführung einheitlicher Mailadressen – Rundschreiben Rektor vom 8.6.2005 – Schema: – vorname.nachname@<instkuerzel>.uni‐stuttgart.de – Versorgung von Mailinglisten mit E-Mailadressen E Mailadressen der Mitarbeiter Automatisiertes Datenaustauschverfahren über MetaHub (Middleware) – Automatisierter Datenaustausch RUS mit den HIS-Systemen der ZV, Instit ten und Instituten nd zentralen entralen Einrichtungen Einricht ngen – Java basierte Eigenentwicklung: Lose Kopplung, Transaktionssicherheit, Überlaufkontrolle, standardisierte Schnittstellen, deklarative Konfiguration 22.04.2010 www.un ni-stuttga art.de Historie (2) Evaluation IDM-Systeme – 2004/2005 Ergebnis: Sun ECUS – Elektronischer El kt i h St Studentenausweis d t i 2006 Projekt UniAdmin – 2007 Dezentrale Administration RUS-Dienste Projekt eBologna – 2008 Testbetrieb Sun IDM 22.04.2010 www.un ni-stuttga art.de MetaHub 22.04.2010 www.un ni-stuttga art.de IAM - Treibende Kräfte Neue Anforderungen an die IT durch Bologna-Prozess Komplexer Wandel Kostendruck durch sinkende Etats und sinkende Ressourcen Gleichzeitig Wettbewerb um Studierende und Status (Exzellenzinitiative) Effizientere, integrierte Prozesse Flexiblere IT IT-Strukturen Strukturen Integration und Konvergenz von Netzen und Diensten – Teilnahme Föderationen (DFN-AAI) usw. Stärkere Kundenorientierung Integriertes IAM ist wesentliche Voraussetzung für die Umsetzung dieser Anforderungen 22.04.2010 www.un ni-stuttga art.de Projekt SIAM Projekt zur Einführung eines zentralen Identity und Access Management Systems (IAM) Beschluss Rektorat vom 21.10.2008 Projektlaufzeit 3 Jahre (01 (01.01.2009 01 2009 – 31.12.2011) 31 12 2011) 3 wiss. Projekt-Mitarbeiter Lenkungsgremium g g – Prorektor Struktur / Kanzlerin / RUS-Leitung Agiles Vorgehensmodell – Orientiert an Scrum 22.04.2010 www.un ni-stuttga art.de Projektziele Einführung eines zentralen IAM-Systems Einführung einheitlicher, automatisch generierter und verwalteter N t k t Nutzerkonten – Für die zentralen IT-Dienste des RUS bzw. der Universität – Für alle relevanten Personengruppen – Studierende, Mitarbeiter, Angehörige, Gäste Abbildung des „Lebenszyklus“ der Identitäten in den IT-Systemen vom Eintritt bis zum Ausscheiden („Identity Lifecycle Mangement“) – Tagesaktuell basierend auf den Stammdaten Schrittweise Ablösung der bisherigen Benutzerverwaltungen Konsolidierung existierender Nutzerkonten in einer Datenbasis – Soweit möglich g und sinnvoll 22.04.2010 www.un ni-stuttga art.de Projektziele (2) Automatisierte Bereitstellung von Nutzerdaten und Zugriffsrechten in zentralen Zielsystemen (Provisionierungsdienst) Zentraler Authentisierungs Authentisierungs- und Autorisierungsdienst – LDAP mit erw. Schemata (eduPerson / dfnEduPerson / …) Rollenverwaltung – Rollen R ll fü für campusübergreifende üb if d Di Dienste t /A Applikationen lik ti /R Ressourcen Webbasierte Verwaltungsdienste – Verwaltung g von Attributen in Selfservice und delegierter g Administration durch die Einrichtungen der Universität (z.B. für Rollen) Gästeverwaltung Single Single-Sign-On-Dienst Sign On Dienst für Intranet – Kerberos Beitritt zu Föderationen (DFN-AAI) – Shibboleth S IDP 22.04.2010 www.un ni-stuttga art.de Randbedingungen Keine „grüne Wiese“ + beschränkte Ressourcen Aufbau auf / Anbindung an vorhandene, geeignete und produktiv betriebene IT-Infrastruktur am RUS MetaHub, Active Directory (LDAP / Kerberos), Radiator (RADIUS), SQL-Server SQL Server, ESX-Cluster ESX Cluster, NetApp NetApp-Storage Storage (inkl (inkl. SnapManager), SnapManager) Sharepoint usw. Ggf. Ausbau bzw. Erweiterung Wie z.B. LDAP-Schema-Upgrade, zusätzlicher ESX-Cluster usw. 22.04.2010 www.un ni-stuttga art.de Phase 0: Grundlagen Evaluierung und Testbetrieb IDM-System Wissen aufbauen, Erfahrungen sammeln mit Betrieb Sun IDM Erfahrungsaustausch mit anderen Unis (AK IDM – BW, Sun IDM Usergroup) Entwurf und Aufbau einer Basisarchitektur für IDM-Systemplattform Aufbau Entwicklungssysteme / Projekt- und Versionskontrollsystem (TFS) Aufbau TestTest und Betriebsplattformen – Dedizierter vSphere Cluster (ESX) Aufsetzen der Basisprozesse des ID-Lebenszyklus im IDM-System Entwicklung E t i kl eines i IDM IDM-Datenmodells D t d ll Zur Konsolidierung der versch. Stammdatenquellen („HR-Ersatz“) Produktiver Testbetrieb mit Pilotnutzergruppen (LSF, Sharepoint) Provisionierung AD / Nutzer- und Passwortverwaltung Self-Service Abgeschlossen Ende Oktober 2009 22.04.2010 LDAP Mail / VPN / LSF / RADIUS / 802 802.1x 1x / VPN / Shibboleth Mail / VPN / LSF / IDP / AP / NetApp / eduroam / VPN/ / … ILIAS / Shibboleth / Shibboleth /… / CGILIAS Pro / iMail / Sharepoint / OpenCMS ILIAS / Vitero / QIS (LSF) / … LDAP / Kerberos weitere LDAP usadr SVA SOS ZV AD RUSRUSIntranet WS WS Pro ov. Prov. S IDM Sun UniAdmin SPML M t H b MetaHub ActiveSync / Prov. 22.04.2010 SIAM SIAM-Task Upl. JDBC C IDMRepository (waveset) Upload stud Upload rus Prrov. www.un ni-stuttga art.de SIAM – Basisarchitektur SIAMService UniStruktur ((Org.) g) „HR“: Identitäten + Accounts DIM Presentation Tier Application (Business Logic) Tier Data Tier 3rd Party Apps Java EE Containers / SharePoint 2010 MS SQL Server WS Clients WS (HTTP/SOAP) WS (HTTP/SOAP) (Bulk Tasks etc.) HTTP/SQL Endpoint p SQL SIAMService (Java EE App App)) WS JDBC ((TDS)) SPML PresentationTier Browser-based UI SIAM UniAdmin Portal ActiveSync / JDBC (TDS) (SP) Admin UI & User UI HTTP/HTML Sun IDM HTTP/HTML (Phase 1) JDBC (TDS) RA A / IDC www.un ni-stuttga art.de Multitier Architecture View (Phase 1) 22.04.2010 IDM IDMRepository (waveset) www.un ni-stuttga art.de SIAM-Basisdatenmodell 22.04.2010 www.un ni-stuttga art.de Identifikatoren Trennung (interner) Identifikatoren für Entitäten und Konten von den Nutzerkontonamen Jede Entität und jedes zugeordnete Nutzerkonto hat in SIAM einen eindeutigen, unveränderlichen Identifikator SIAM-Identifikatorformat SIAM Identifikatorformat Universally Unique Identifier (UUID) [ITU-T Rec. X.667] – Vorzeichenlose 128 Bit Zahl – Dezentral und ohne Koordination konfliktfrei generierbar – Großer Wertvorrat (dauerhaft / keine Wiederverwendung) – Als Primärschlüssel für relationale Datenmodelle geeignet – Nicht „sprechend“ Wird auch zusätzlich im LDAP LDAP-Schema Schema zur Verfügung gestellt 22.04.2010 www.un ni-stuttga art.de Nutzerkontonamen Datenschutz-Anforderungen: Aus Wert des automatisch generierten Nutzerkontonamens sollen k i personenbezogenen keine b D Daten t ablesbar bl b sein i – D.h. keine Namens-, Instituts- oder Studiengangsbestandteile, keine Personal- oder Matrikelnummern o.ä. – Freie Wählbarkeit durch den Endnutzer wird angestrebt – Hängt aber von anzuschließenden Zielsystemen ab „Namensräume“ N ä “ Unterschiedliche Kontotypen für versch. Personengruppen Großer Wertevorrat Möglichst nicht zu „kryptisch“, z.B. ähnlich Telefonnummern 22.04.2010 www.un ni-stuttga art.de Nutzerkontonamen (2) Format: xxNNNNNN x: Kleinbuchstabe (a…z) N: Ziffer (0…9) Namensräume: Präfix Namensraum ac Mitarbeiter / Mitglieder / Angehörige st Studierende gs Gäste … …weitere… 22.04.2010 www.un ni-stuttga art.de Phase 1: Aktuell Produktive Einführung der automatisiert vergebenen Nutzerkonten Fü Für Mitarbeiter Mi b i / Mitglieder Mi li d / A Angehörige hö i Eingeführt zum 01.04.2010 Versand der Zugangsdaten per Brief hat begonnen – Zunächst an MSDN-AA-Berechtigte + LSF-Modulverantwortliche Provisionierung im Active Directory Als inetOrgPerson mit Basis-Attributen und Basis-ACL Anbindung an AD / Ablösung alter LDAP-Server für: LSF-Zugang für Mitarbeiter und Studierende produktiv IDP für Microsoft MSDN-AA-Portal produktiv 22.04.2010 www.un ni-stuttga art.de Phase 1: Aktuell (2) Rollenverwaltung für Beauftragte produktiv UniAdmin-Portal RUS-Interne Nutzerverwaltung produktiv – (Initial-)Passwordverwaltung, Rollenverwaltung, Briefdruck – Für RUS RUS-Nutzerverwaltungs-Admins Nutzerverwaltungs Admins – Auf SharePoint (RUS-Intranet) Self Self-Service Service für Enduser produktiv https://idm.uni-stuttgart.de/ (Sun IDM UI) 22.04.2010 www.un ni-stuttga art.de Phase 1: Nächste Schritte Schrittweise Konsolidierung existierender RUS-Nutzerverwaltungen Beginnend mit den Mailaccounts und Mitarbeiter-AD-Accounts IInbetriebnahme b ti b h T Tooll zur Organigrammverwaltung O i lt fü ZV für Provisionierung weiterer Basis-Systeme Insbesondere CG Pro (Mailservice / Mitarbeiter) Anbindung an AD / Ablösung alter LDAP-Server für: IEEE 802.1x / RADIUS / VPN-Zugänge Ausbau Active Directory zum primären AAA-Dienst (LDAP / Kerberos) Provisionierung mit ACLs (für Datenschutz) durch Sun IDM – Steuerung der Attributsichtbarkeit im Intranet – http://www.zendas.de/themen/internetrecht/mitarbeiterverzeichnis.html Schemaerweiterungen – eduPerson, d P df Ed P dfnEduPerson, SCHAC SIAMPerson, SCHAC, SIAMP ggf. f weitere it 22.04.2010 www.un ni-stuttga art.de Phase 1: Nächste Schritte (2) Ausbau „UniAdmin“-Portal Delegierbare Administration – Dezentrale Administratoren können die Nutzer ihrer Einrichtung selber verwalten, Zugangsdatenbriefe drucken usw. Entwicklung Rollenmodell Generisch, orientiert an RBAC – Möglichst produktneutral, „Role Mining“ über AK-IDM 22.04.2010 www.un ni-stuttga art.de Phase 2 Provisionierung / Anbindung / Konsolidierung weiterer Systeme Übernahme studentischer Lebenszyklus nach SIAM – Provisionierung stud. stud AD, AD iMail usw. usw – Quelle: SOS Anbindung IP-Telefonie / Mehrwertdienste DFN-AAI Gäste eLearning eLearning- / Collaboration Collaboration-Systeme Systeme – Z.B. ILIAS, Vitero usw. UB Weiterer Ausbau „UniAdmin“-Portal Gästeverwaltung Self-Service-Funktionen Service Funktionen Weitere Self 22.04.2010 www.un ni-stuttga art.de Warum Sun IDM? Evaluation 2004: technischer Favorit war Sun IDM RUS-interner IDM-Workshop Ende 2007 Erfahrungen RRZ Erlangen mit Novell IDM Anfang 2008: Übernahme Support eBologna Enger Zeitplan, keine „grüne Wiese“, stark heterogene IT-Landschaft – HIS ist i t kein k i IDM (!) – Bevorzugung Provisionierungssystem – Ohne Metadirectory-Vergangenheit – Möglichst Mö li h t h hohe h Flexiblität Fl iblität / Erweiterbarkeit E it b k it – Schrittweise Migration – Wenn möglich, keine vollständige Hersteller-Abhängigkeit Freie Runtime-Lizenz von Sun Bereits Einsatz an weiteren Hochschulen in BW – Geplant: Landeslizenz über MWK „Marktführer“ (laut Gartner 2007, Forrester 2006) 22.04.2010 www.un ni-stuttga art.de Identity Management Problemfeld 22.04.2010 www.un ni-stuttga art.de Identity Management - Lösungsansätze Eigenentwicklungen Z.B. Uni Tübingen, TU Berlin Einsatz einer Identity Management Suite Konzeptionell unterschiedliche Architekturen: – Metadirectories – Provisionierungssysteme – – – Virtuelle Directories Gemischte Architekturen bzw. Kombinationen mehrerer Systeme – 22.04.2010 Sun: „Virtual Identity Manager“ Scharfe Abgrenzung bei den meisten Frameworks heute eigentlich so nicht mehr vorhanden Burton Group Group, 1996: Metadirectory = “the join of all the directories in the enterprise“ Vision: Zentrale Zusammenführung aller Informationen einer Organisation in einem einheitlichen Verzeichnis (“Konzerndatenbank”) LDAP PBX LDAP HR ERP Meta Directory Contractors Jedes Objekt hält die Werte aller relevanten Attribute für alle angeschlossenen Unterverzeichnisse, DBs und Applikationen 22.04.2010 LD DAP www.un ni-stuttga art.de Metadirectory-Systeme ADS LDAP www.un ni-stuttga art.de 1 Admin 1 3 7 2 Metadirectory (Quelle: IDMone, RRZE) 1 2 3 Person=“x123“ scopedAffiliation= „HiWi@456“ Start=“01 Start= 01.05.2007 05 2007“ End=“31.07.2007“ 5 9 22.04.2010 1 0 2 newbie x123 Person=“x123“ res=“UserApp“ Start=“01 Start 01.05.2007 05 2007“ End=“31.07.2007“ Account=“hemy“ PW=“x97rjki“ Quota=10GB ... Resourc e Descript or 6 4 Person=“x123“ res=“hpc“ Start=“01.05.2007“ End=“31.07.2007“ Account=“hemy“ PW=“x97rjki“ Quota=10GB Q ... 8 1 1 ProxyObjekt Account=“hemy“ PW=“x97rjki“ Start=“01.05.2007“ End=“31.07.2007“ Quota=10GB ... Account=“hemy“ A “h “ PW=“x97rjki“ Start=“01.05.2007“ End=“31.07.2007“ Quota=10GB ... Abgleich (Anlage / Aktualisierung / Löschung) der Nutzerdaten ohne Meta-Verzeichnis Zentral pro Identität nur wenige Basisattribute, die meisten anderen Attribute bleiben dort, wo sie gepflegt werden (konfigurierbar) Workflows provisionieren sie in die Systeme, wo sie benötigt werden SPML www.un ni-stuttga art.de Provisionierungssysteme LDAP PBX LDAP HR SPML ERP IDM Workflow Engine Contractors Jedes Objekt (Sun: „Virtuelle Identität“) hält nur Werte weniger g „globaler“ Attribute, sowie seine jeweiligen Ressource-Accounts. 22.04.2010 IDM p y Repository ADS LDAP www.un ni-stuttga art.de Provisionierungssysteme (2) Provisionierung Eintritt in Organisation Aufgabenwechsel Allgemeine Administration Umzug Statuswechsel Lebenszyklus Neues Projekt Password vergessen De-Provisionierung 22.04.2010 Austritt aus Organisation Password abgelaufen Password Management www.un ni-stuttga art.de Sun Identity Manager - Übersicht Sun IDM ist workflow-basiertes Provisionierungssystem Ursprünglich Waveset Lighthouse Waveset Technologies von Sun im Dezember 2003 übernommen Lighthouse Provisioning Manager + Password Manager = Sun IDM – Hat Sun ONE Meta-Directory abgelöst Plattform: Java 2 Platform Enterprise Edition 1 1.3 3 Für Sun IDM 8.1: – Java Application Server: GlassFish, Tomcat, WebLogic, WebSphere, JBoss, Oracle Application Server – Repository p y Datenbank: Oracle,, MS SQL Q Server,, DB2,, MySQL, y Q , Sybase y – OS: Solaris, Windows Server, SuSE Linux, Red Hat Linux, HP-UX, AIX Freie e e Runtime-Lizenz u e e se seit v7.1 Support kostet, ohne Support (eigentlich) nur Zugang zu Sicherheitsupdates EDU-Preis richtet sich nach Anzahl im IDM verwalteter vollzeitbeschäftigter WiMis 22.04.2010 www.un ni-stuttga art.de Übersicht (2) Was Sun IDM nicht ist: ERP-Software – Wie SAP, PeopleSoft, … CRM-Software – Wie Microsoft Dynamics CRM CRM, … AAA-Service – Wie LDAP ((OpenLDAP, p Active Directory, y eDirectory, y …)) Campus Management System – Wie HISinOne, Datenlotsen CampusNet, … Groupware oder Listserver – Wie Exchange, Lotus Notes, … 22.04.2010 www.un ni-stuttga art.de Übersicht (3) 22.04.2010 www.un ni-stuttga art.de Übersicht (4) „Virtuelles Identity Management“ XML-basiertes Repository in SQL-Datenbank Workflow-basierte Provisionierung und Genehmigungsprozesse Flexibel erweiterbar durch Programmierung (XPRESS, Java, JavaScript) Mitgelieferte Ressource-Adapter für sehr viele IT-Systeme Überwiegend agentenlos – D.h. Installation / Eingriff in das Zielsystem nicht notwendig Z.B. ADS, eDirectory, Datenbanken, SAP, Peoplesoft, Oracle E-Business Suite, Remedy, Exchange, Lotus Notes, Datenbanken, Flat File, LDAP, Scripting, SPML 1.0 und SPML 2.0 g g von Ressource-Adaptern p SDK für Eigenentwicklung Steuerung über SPML möglich Umfangreiche Auditing- und Berichtsfunktionen RBAC-Unterstützung g Optionale Integration mit Sun Role Manager Identity Manager IDE basiert auf NetBeans (ab IDM v8.x) 22.04.2010 www.un ni-stuttga art.de Admin-Schnittstelle 22.04.2010 www.un ni-stuttga art.de S fS Self-Service-Schnittstelle S Alle IDM-Webschnittstellen können über XPRESS Forms XPRESS-Forms angepasst und erweitert werden 22.04.2010 www.un ni-stuttga art.de N tB NetBeans E t i kl Entwicklungsumgebung b 22.04.2010 www.un ni-stuttga art.de Workflows 22.04.2010 www.un ni-stuttga art.de Adapter-Entwicklung Für Anbindung von IT-Systemen, für die Sun IDM keine Ressource Adapter mitbringt, gibt es folgende Möglichkeiten: Einsatz g generischer Ressource Adapter, p , soweit möglich g – LDAP, Flat File, Scripting, JDBC Einsatz SPMLv2 Identity Connector – Erst ab v8.1 und Zielsystem muss SPML 2.0 mit DSML-Schema DSML Schema unterstützen – Unterstützt kein Account-Renaming auf dem Zielsystem Einsatz eines freien Identity Connectors oder Erweiterung / Eigenentwicklung – Open Source Framework: https://identityconnectors.dev.java.net/ https://identityconnectors dev java net/ – Unterstützt ab v8.1, Release-Zyklus unabhängig vom IDM-Zyklus – Bereits vorhanden: ADS, Database Table, DB2, Domino, Exchange, Google Apps, LDAP, MySQL, Oracle, RSA Authentication Manager, SAP, SPMLv2, Web TimeSheet Eigenentwicklung „klassischer“ Sun IDM-Ressource-Adapter – Java SDK 22.04.2010 www.un ni-stuttga art.de Fragen? 22.04.2010 www.un ni-stuttga art.de Agenda Mission Organisatorisches - Turnus, Termine Identity Management Projekt „SIAM“ Vorstellung des Projektes Aktueller Akt ll St Stand d und d MSDN MSDN-AA AA LDAP-Schemaerweiterung Formale Personengruppen der Universität Stuttgart Schemata (national/europäisch) SCHAC/eduPerson/dfnEduPerson Vorstellung Rollenmodell des RUS Diskussion Anforderungen an Rollen Weiteres Vorgehen 22.04.2010 AK IDM www.un ni-stuttga art.de Formale Personengruppen der Uni Stuttgart Excel-Dokument: Mitglieder und Angehörige der Universität Stuttgart und weitere relevante Personengruppen im Kontext der Universität 22.04.2010 AK IDM www.un ni-stuttga art.de eduPerson + SCHAC Präsentation von Sascha Neinert 22.04.2010 AK IDM www.un ni-stuttga art.de Überblick Motivation eduPerson SCHAC Idee - Zwiebel Quellen 22.04.2010 AK IDM www.un ni-stuttga art.de Motivation AAI Warum (Federation und) AAI? Trennung zwischen Service Provider (Bsp. Uni Bib) und Identity Provider (Bsp. RUS) Weniger Accounts, Accounts weniger verlorene Passwörter Passwörter, weniger Kosten, mehr Nutzerkomfort Beispiel AAIs: DFN-AAI mit Shibboleth eduroam mit RADIUS eduGAIN mit Shibboleth uvm. DAMe mit RADIUS + Shibboleth + … 22.04.2010 AK IDM www.un ni-stuttga art.de Motivation - Attribute Warum AAI mit Attributen? Herkömmliche Methode: jeder Service Provider führt eine Liste aller Nutzer skaliert nicht, Bsp. eduroam Herkömmliche Methode 2: Merkmale von Nutzern werden „geraten“ – IP-Subnetz, Domain sehr eingeschränkt nutzbar, Bsp: Zugriff auf Rundschreiben Methode mit Attributen: Nutzer = (Name, Mail, Institution, Art der Zugehörigkeit, Berechtigung, …) Bsp. eduroam: Dozenten anderer Unis sind vertrauenswürdiger (= bekommen mehr Ports) als Studenten anderer Unis 22.04.2010 AK IDM www.un ni-stuttga art.de Motivation - Attributschema Warum ein standardisiertes Schema für die Attribute? Ohne Schema sind Attribute nur lokal interpretierbar und nutzbar: Uni-Stuttgart Attribut „Zugehörigkeit“ mit den Werten „Student“ und „Mitarbeiter Mitarbeiter“ Uni-Freiburg Attribut „Mitgliedschaft“ mit den Werten „Student“ und „Akademischer Mitarbeiter Uni-Murcia Attribut „afiliación“ mit den Werten „estudiante“ und „colaborador“… Mit standardisiertem Schema: eduPersonAffiliation mit den Werten faculty, faculty student, student staff, staff alum, alum … 22.04.2010 AK IDM www.un ni-stuttga art.de eduPerson Eine EDUCAUSE / Internet2 Task Force beides US Organisationen, Zielgruppe akademische Einrichtungen, Thema IT bzw. Netzwerke LDAP Objektklasse mit Attributen von Personen Aufbauend auf: X.521 person X.521 organizationalPerson InetOrgPerson (RFC 2798) 22.04.2010 AK IDM www.un ni-stuttga art.de eduPerson Voraussetzung für Teilnahme an der DFN-AAI wenn die Universität ein IDM einführt ist auf globale Interoperabilität zu achten ! DFN-AAI, obligatorische Attribute: Nachname E-Mailadresse … aus eduPerson: eduPersonPrincipalName (Netz-ID) eduPersonScopedAffiliation (e.g. [email protected]) eduPersonEntitlement (e.g. common-lib-terms) eduPersonTargetedID (Pseudonym) Plus zahlreiche „empfohlene empfohlene“ Attribute 22.04.2010 AK IDM www.un ni-stuttga art.de eduPerson SCHAC: SChema HArmonisation Committee oder auch SCHema for ACademia Ein Projekt der „TERENA Task Force on European Middleware C Coordination and Collaboration” C ” ((TF-EMC2) C2) Europäische Ergänzung zu eduPerson schacSn1 + schacSn2 Lopez de la Moraleda y de Las Altas Alcurnias Gorecka-Wolniewicz Gorecka Wolniewicz schacHomeOrganizationType: urn:mace:terena.org:schac:homeOrganizationType:int:university urn:mace:terena.org:schac:homeOrganizationType:int:nren schacPersonalUniqueCode urn:mace:terena.org:schac:personalUniqueCode:es:uma:estudiante: a3b123c12 22.04.2010 AK IDM www.un ni-stuttga art.de Idee Zwiebel 1/2 Es gibt viele Attributschemata mit jeweils vielen Attributen… Welche soll man zur Verfügung stellen? Zwiebel-Modell: mehrere Schichten 1. Kern: Person, 1 Person organizationalPerson, organizationalPerson inetOrgPerson 2. Schicht 1: DFN-AAI obligatorische Attribute 3. Schicht 2: Auswahl der DFN-AAI DFN AAI empfohlenen + Auswahl weiterer aus eduPerson und SCHAC 4. Schicht 3: bei Bedarf lokal interpretierbare und erforderliche Attribute welche im AK IDM (und nur dort !!) von den Einrichtungen Attribute, eingebracht werden 22.04.2010 AK IDM www.un ni-stuttga art.de Idee Zwiebel 2/2 Auswahlhilfe 1: Bedarf der Anwendungen (die in Zukunft erwartet werden ) RUS-Anwendungen RUS A d Uni-Stuttgart Anwendungen Bologna Anwendungen E-Learnung … Auswahlhilfe 2: Abgucken g SWITCH-AAI: swissEduPersonStudyLevel Haka federation: funetEduPersonECTS RedIRIS: eduPerson + SCHAC + IrisGrid + … Viele viele mehr…: wiki.rediris.es/tfemc2/index.php/FederationSchema 22.04.2010 AK IDM www.un ni-stuttga art.de Quellen www.educause.edu/eduperson www.terena.org/activities/tf-emc2/schac.html DFN-AAI Technische und organisatorische Voraussetzungen Attribute https://www aai dfn de/der dienst/attribute/ https://www.aai.dfn.de/der-dienst/attribute/ switch.ch/aai www.csc.fi/english/institutions/haka/ www csc fi/english/institutions/haka/ www.rediris.es/ldap/esquemas/ 22.04.2010 AK IDM www.un ni-stuttga art.de Agenda Mission Organisatorisches - Turnus, Termine Identity Management Projekt „SIAM“ Vorstellung des Projektes Aktueller Akt ll St Stand d und d MSDN MSDN-AA AA LDAP-Schemaerweiterung Formale Personengruppen der Universität Stuttgart Schemata (national/europäisch) SCHAC/eduPerson/dfnEduPerson Vorstellung Rollenmodell des RUS Diskussion Anforderungen an Rollen Weiteres Vorgehen 22.04.2010 AK IDM www.un ni-stuttga art.de Rollenschema 22.04.2010 AK IDM www.un ni-stuttga art.de Geschäftsrollen 1/2 Allgemeine Attribute von Rollenzuweisungen Account (Account ID) Gültig von Gültig bis Organisation (Org ID) AccountID der Entität die die Rolle zugewiesen hat. 22.04.2010 AK IDM www.un ni-stuttga art.de Geschäftsrollen 2/2 Stammrolle Mitarbeiter Studierende Sonstige Angehörige der Universität Stuttgart Alumni Gäste 22.04.2010 AK IDM www.un ni-stuttga art.de Rollenfragebogen Name der vorgeschlagenen Rolle Beschreibung der vorgeschlagenen Rolle Wer kann die Rolle besitzen? Rolleneigentümer Zuweisung Gültig von, gültig bis Wie wird die Rolle gepflegt? M Muss di die R Rolle ll b besetz t sein? i ? Wie viele Personen dürfen die Rolle max. besitzen? 22.04.2010 AK IDM www.un ni-stuttga art.de Rollenfragebogen: Beispiel (1/2) Name der vorgeschlagenen Rolle Studierender Beschreibung der vorgeschlagenen Rolle E-Mail, VPN, WLAN, LSF, ILIAS, UB, Storage, MSDN-AA Wer W kann k die di R Rolle ll b besitzen? it ? Immatrikulierte Studenten der Uni Stuttgart Rolleneigentümer Dezernat 3, RUS Zuweisung g Gültig g von,, g gültig g bis Von Immatrikulation bis Exmatrikulationsdatum + 3 Monate 22.04.2010 AK IDM www.un ni-stuttga art.de Rollenfragebogen: Beispiel (2/2) Wie wird die Rolle gepflegt? Initiale Zuweisung: Automatisch bei Immatrikulation Zuweisung: nicht Möglich Entzug: Automatisch nach Exmatrikulation Muss die Rolle besetz sein? Nein Wie viele Personen dürfen die Rolle max. besitzen? Beliebig 22.04.2010 AK IDM www.un ni-stuttga art.de Agenda Mission Organisatorisches - Turnus, Termine Identity Management Projekt „SIAM“ Vorstellung des Projektes Aktueller Akt ll St Stand d und d MSDN MSDN-AA AA LDAP-Schemaerweiterung Formale Personengruppen der Universität Stuttgart Schemata (national/europäisch) SCHAC/eduPerson/dfnEduPerson Vorstellung Rollenmodell des RUS Diskussion Anforderungen an Rollen Weiteres Vorgehen 22.04.2010 AK IDM www.un ni-stuttga art.de Weiteres Vorgehen Folgetermin: 15.07.2010 Themen: Verabschiedung Rollendokument Funktionalitäten im Admin-Portal 22.04.2010 AK IDM www.un ni-stuttga art.de backup www.un ni-stuttga art.de Agenda Identity Management Projekt SIAM am RUSAktueller Stand und MSDN-AA Schemaerweiterung Tabelle Formale Personengruppen der Universität Schemata (nat (nat./europäisch) /europäisch) Bologna, E-Learning spezifische Erweiterungen in Bezug auf das Schema (lokal) Rollenmodell des RUS ( Rollenmodell der UNI) Diskussion der Rollen Weiteres Vorgehen / Folgetermine Themen: Admin-Portal und Rechtemanagement Verabschiedung Rollendokument / Funktionalitäten Admin Admin-Portal Portal Nächster Termin:… 1.7. / 8.7. Alt: im September 22.04.2010 Projekt SIAM