a rt.de - (TIK) Stuttgart

Werbung
www.un
ni-stuttga
art.de
Identity & Access Management
an der Universität Stuttgart
22.04.2010
AK-IDM
Frank Beckmann|Björn Eich|Jürgen Jähnert|Michael Stegmüller|Thomas Wolfram
@
g
[email protected]
www.un
ni-stuttga
art.de
Agenda
 Mission
 Organisatorisches - Turnus, Termine
 Identity Management Projekt „SIAM“
 Vorstellung des Projektes
 Aktueller
Akt ll St
Stand
d und
d MSDN
MSDN-AA
AA
 LDAP-Schemaerweiterung
 Formale Personengruppen der Universität Stuttgart
 Schemata (national/europäisch)
 SCHAC/eduPerson/dfnEduPerson
 Vorstellung Rollenmodell des RUS
 Diskussion Anforderungen an Rollen
 Weiteres Vorgehen
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Mission
 Ständiges Forum für die Diskussion und Weiterentwicklung des
IDM
 Erarbeitung und Fortschreibung eines Konzeptes für IDM
 Sammeln der Anforderungen der Institute
 Konzepterarbeitung
K
t
b it
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Drei Sichten auf Identity Management
 Blick auf Identitäten
 Erzeugung, Verwaltung und Löschen von Identitäten
 Zugriffskontrolle zu IT Ressourcen
 Management aller Daten, welche die für den Ressourcenzugrtiff
erforderlich sind
 Realisierung des Zufgriffsmanagement
 IAM Identity und Access Management
 Services
 Ein System, welches personalisierten und rollenbasierte Dienste
anbietet (Endbenutzer/Endsysteme)
 IT Prozesse
 Identity und Access Management (IAM) ist eine Strategie, wie
Geschäftsprozesse innerhalb einer Organisation in einer sicheren
und vertrauenswürdigen Art unterstützt werden.
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Was ist IdM, was ist es nicht?
 IDM stellt die Infrastruktur bereit,
 dass zentral Identitäten und Attribute zur Verfügung gestellt werden
 dass ggf. dezentral Identitäten hinzugefügt, Attribute erweitert
werden können
 IDM definiert nicht die Prozesse, welche erforderlich sind um
 Identitäten formal(juristisch) korrekt in die Organisation einzubinden
 Identitäten/Attribute zu klassifizieren
 Regeln für Rollen/Rechte zu definieren
 IDM sorgt für eine Infrastruktur, welche Regeln für Rollen/Rechte
effizient umsetzt
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Motivation
 Identity Management ist keine wirklich neue Disziplin
Aber:
 Durch den zunehmenden Grad an Interaktion und Verzahnung
d G
der
Geschäftsprozesse,
häft
welche
l h an Dynamik
D
ik gewinnen,
i
ist
i t es aus
Organisationssicht ineffizient Identitäten inkonsistent an
verschiedenen Orten zu verwalten.
 Innerbetriebliche Prozesse können effizienten realisiert werden,
wenn bestimmte Informationen zentral verfügbar sind
 Steigende Sicherheitsanforderungen können effizienter
umgesetzt werden
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Die Perspektive der Zugriffskontrolle auf IT Ressourcen
 Die Kooperation zw
zw. Benutzern
Benutzern, welche verschiedenen
administrativen Einheiten angehören wird im Rahmen der
Federation beschrieben
 Federated „IAM“ Identity und Access Management
 Authentication
 Ist
I td
der B
Benutzer
t
d
derjenige,
j i
welcher
l h er vorgibt
ibt zu sein?
i ?
 Autorization
 Hat der Benutzer die Berechtigungen für die nachgefragten
Ressourcen?
 Accounting
 Verwaltung der Nutzungsdaten
 Auditing
 B
Beleg
l fü
für d
den R
Ressourcenverbrauch
b
h zur Si
Sicherstellung
h t ll
d
der
Unleugbarkeit
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Agenda
 Mission
 Organisatorisches - Turnus, Termine
 Identity Management Projekt „SIAM“
 Vorstellung des Projektes
 Aktueller
Akt ll St
Stand
d und
d MSDN
MSDN-AA
AA
 LDAP-Schemaerweiterung
 Formale Personengruppen der Universität Stuttgart
 Schemata (national/europäisch)
 SCHAC/eduPerson/dfnEduPerson
 Vorstellung Rollenmodell des RUS
 Diskussion Anforderungen an Rollen
 Weiteres Vorgehen
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Agenda
 Mission
 Organisatorisches - Turnus, Termine
 Identity Management Projekt „SIAM“
 Vorstellung des Projektes
 Aktueller
Akt ll St
Stand
d und
d MSDN
MSDN-AA
AA
 LDAP-Schemaerweiterung
 Formale Personengruppen der Universität Stuttgart
 Schemata (national/europäisch)
 SCHAC/eduPerson/dfnEduPerson
 Vorstellung Rollenmodell des RUS
 Diskussion Anforderungen an Rollen
 Weiteres Vorgehen
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Agenda





Ausgangsituation
Vorstellung Projekt SIAM
Aktueller Stand
Sun IDM
Diskussion
22.04.2010
www.un
ni-stuttga
art.de
Universität Stuttgart – Zahlen
 ca. 21000 Studenten
 ca. 4600 Ersteinschreiber (WS)
 ca.
ca 5500 Mitarbeiter
 ca. 2600 Haushaltsstellen
 150 Institute
 10 Fakultäten
 Zentrale Verwaltung (ZV)
 Dezernate
 ZV-EDV
 Zentrale Einrichtungen
 Rechenzentrum (RUS)
–
ca. 40 Mitarbeiter
 Höchstleistungsrechenzentrum (HLRS)
 Materialprüfungsanstalt (MPA),
(MPA)
Sprachzentrum, Universitätsbibliothek
22.04.2010
www.un
ni-stuttga
art.de
Universität Stuttgart – Ausgangsituation
 IT relativ stark dezentral organisiert
 Basis-IT-Infrastruktur durch RUS
 Netz, Backup, Mail, Storage, Datenbanken, Directory Service, usw.
 Studentische Dienste (E-Learning usw.)
 St
Starkk heterogene
h t
IT-Strukturen
IT St kt
in
i Instituten
I tit t und
d zentralen
t l
Einrichtungen mit unterschiedlicher Breite/Tiefe
 (fast) vollständig eigenständige IT …
 … bis vollständig RUS-betreut
 ZV-EDV: HIS (SOS, POS, SVA, LSF, ZUL usw.), SAP u.a.
 UBS: Horizon, Shibboleth
22.04.2010
www.un
ni-stuttga
art.de
Universität Stuttgart – Ausgangsituation (2)
 Aus unterschiedlichen, teilw. historischen Gründen:
 Mehrere Quellen für Stammdaten für unterschiedliche Personengruppen
– SVA, SOS, ZUL
 Mehrere Benutzerverwaltungen bzw. Verzeichnisdienste
– RUS
– Mail / VPN (IBM
(IBM-LDAP)
LDAP)
– Mitarbeiter
– Active Directory
– Studenten,
Studenten Mitarbeiter (Teil der Institute)
– VoIPUS (IP-Telefonie, Mehrwertdienste)
– Mitarbeiter, Externe
– Zertifikate über Sub
Sub-CA
CA der DFN-PKI
DFN PKI
– Z.Z. noch keine Ausstellung von Nutzer-Zertifikaten
– ZV, Institute, …
22.04.2010
www.un
ni-stuttga
art.de
U i
Universität
ität Stuttgart
St tt
t – Ausgangsituation
A
it ti
(3)
StudienStudien
bewerber
Neue Medien
in Lehre & Forschung
Dienste für
Studierende
UB-Services
universitäre
Adressverteiler
?
St di
Studierende
d
Mitarbeiter
?
?
Bürger
(UB-Nutzer)
E t
Externe
22.04.2010
Systeme der
Zentralen Verwaltung
?
?
Lizenzverwaltung
?
Netzzugänge
SAP
ContentManagement
Dienste
Backup
Dienste
IP-Telefonie &
Mehrwertdienste
?
Drucken &
Plotten
www
Uni Stuttgart
Campus
Management
Weitere Angehörige
der Universität
Gäste/Partner
Bologna
Verwaltungssysteme
g y
?
Computer
Arbeitsplätze
UniAdminPortal
Super
SuperComputing
Daten
DatenDienste
Anwendungsdienste
MailDienste
www.un
ni-stuttga
art.de
Historie
 Projekt Erreichbarkeitsverzeichnis (EVE) – 2004
 Datenschutzrechtliche Vereinbarungen
– Genehmigung durch Personalrat am 23
23.03.2004
03 2004
 Einführung einheitlicher Mailadressen
– Rundschreiben Rektor vom 8.6.2005
– Schema:
– vorname.nachname@<instkuerzel>.uni‐stuttgart.de
– Versorgung von Mailinglisten mit E-Mailadressen
E Mailadressen der Mitarbeiter
 Automatisiertes Datenaustauschverfahren über MetaHub (Middleware)
– Automatisierter Datenaustausch RUS mit den HIS-Systemen der ZV,
Instit ten und
Instituten
nd zentralen
entralen Einrichtungen
Einricht ngen
– Java basierte Eigenentwicklung: Lose Kopplung, Transaktionssicherheit, Überlaufkontrolle, standardisierte Schnittstellen, deklarative Konfiguration
22.04.2010
www.un
ni-stuttga
art.de
Historie (2)
 Evaluation IDM-Systeme – 2004/2005
 Ergebnis: Sun
 ECUS – Elektronischer
El kt i h St
Studentenausweis
d t
i 2006
 Projekt UniAdmin – 2007
 Dezentrale Administration RUS-Dienste
 Projekt eBologna – 2008
 Testbetrieb Sun IDM
22.04.2010
www.un
ni-stuttga
art.de
MetaHub
22.04.2010
www.un
ni-stuttga
art.de
IAM - Treibende Kräfte
 Neue Anforderungen an die IT durch Bologna-Prozess
 Komplexer Wandel
 Kostendruck durch sinkende Etats und sinkende Ressourcen
 Gleichzeitig Wettbewerb um Studierende und Status
(Exzellenzinitiative)
 Effizientere, integrierte Prozesse
 Flexiblere IT
IT-Strukturen
Strukturen
 Integration und Konvergenz von Netzen und Diensten
– Teilnahme Föderationen (DFN-AAI) usw.
 Stärkere Kundenorientierung
 Integriertes IAM ist wesentliche Voraussetzung für die Umsetzung
dieser Anforderungen
22.04.2010
www.un
ni-stuttga
art.de
Projekt SIAM
 Projekt zur Einführung eines zentralen Identity und Access
Management Systems (IAM)




Beschluss Rektorat vom 21.10.2008
Projektlaufzeit 3 Jahre (01
(01.01.2009
01 2009 – 31.12.2011)
31 12 2011)
3 wiss. Projekt-Mitarbeiter
Lenkungsgremium
g g
– Prorektor Struktur / Kanzlerin / RUS-Leitung
 Agiles Vorgehensmodell
– Orientiert an Scrum
22.04.2010
www.un
ni-stuttga
art.de
Projektziele
 Einführung eines zentralen IAM-Systems
 Einführung einheitlicher, automatisch generierter und verwalteter
N t k t
Nutzerkonten
– Für die zentralen IT-Dienste des RUS bzw. der Universität
– Für alle relevanten Personengruppen
– Studierende, Mitarbeiter, Angehörige, Gäste
 Abbildung des „Lebenszyklus“ der Identitäten in den IT-Systemen
vom Eintritt bis zum Ausscheiden („Identity Lifecycle Mangement“)
– Tagesaktuell basierend auf den Stammdaten
 Schrittweise Ablösung der bisherigen Benutzerverwaltungen
 Konsolidierung existierender Nutzerkonten in einer Datenbasis
– Soweit möglich
g
und sinnvoll
22.04.2010
www.un
ni-stuttga
art.de
Projektziele (2)
 Automatisierte Bereitstellung von Nutzerdaten und Zugriffsrechten in
zentralen Zielsystemen (Provisionierungsdienst)
 Zentraler Authentisierungs
Authentisierungs- und Autorisierungsdienst
– LDAP mit erw. Schemata (eduPerson / dfnEduPerson / …)
 Rollenverwaltung
– Rollen
R ll fü
für campusübergreifende
üb
if d Di
Dienste
t /A
Applikationen
lik ti
/R
Ressourcen
 Webbasierte Verwaltungsdienste
– Verwaltung
g von Attributen in Selfservice und delegierter
g
Administration
durch die Einrichtungen der Universität (z.B. für Rollen)
 Gästeverwaltung
 Single
Single-Sign-On-Dienst
Sign On Dienst für Intranet
– Kerberos
 Beitritt zu Föderationen (DFN-AAI)
– Shibboleth
S
IDP
22.04.2010
www.un
ni-stuttga
art.de
Randbedingungen
 Keine „grüne Wiese“ + beschränkte Ressourcen
 Aufbau auf / Anbindung an vorhandene, geeignete und produktiv
betriebene IT-Infrastruktur am RUS
 MetaHub, Active Directory (LDAP / Kerberos), Radiator (RADIUS),
SQL-Server
SQL
Server, ESX-Cluster
ESX Cluster, NetApp
NetApp-Storage
Storage (inkl
(inkl. SnapManager),
SnapManager)
Sharepoint usw.
 Ggf. Ausbau bzw. Erweiterung
 Wie z.B. LDAP-Schema-Upgrade, zusätzlicher ESX-Cluster usw.
22.04.2010
www.un
ni-stuttga
art.de
Phase 0: Grundlagen
 Evaluierung und Testbetrieb IDM-System
 Wissen aufbauen, Erfahrungen sammeln mit Betrieb Sun IDM
 Erfahrungsaustausch mit anderen Unis (AK IDM – BW, Sun IDM Usergroup)
 Entwurf und Aufbau einer Basisarchitektur für IDM-Systemplattform
 Aufbau Entwicklungssysteme / Projekt- und Versionskontrollsystem (TFS)
 Aufbau TestTest und Betriebsplattformen
– Dedizierter vSphere Cluster (ESX)
 Aufsetzen der Basisprozesse des ID-Lebenszyklus im IDM-System
 Entwicklung
E t i kl
eines
i
IDM
IDM-Datenmodells
D t
d ll
 Zur Konsolidierung der versch. Stammdatenquellen („HR-Ersatz“)
 Produktiver Testbetrieb mit Pilotnutzergruppen (LSF, Sharepoint)
 Provisionierung AD / Nutzer- und Passwortverwaltung
 Self-Service
 Abgeschlossen Ende Oktober 2009
22.04.2010
LDAP
Mail / VPN / LSF /
RADIUS
/ 802
802.1x
1x
/ VPN / Shibboleth
Mail
/ VPN
/ LSF / IDP /
AP / NetApp
/ eduroam / VPN/ / …
ILIAS
/ Shibboleth
/ Shibboleth
/… /
CGILIAS
Pro / iMail
/ Sharepoint / OpenCMS
ILIAS / Vitero / QIS (LSF) / …
LDAP / Kerberos
weitere
LDAP
usadr
SVA
SOS
ZV
AD
RUSRUSIntranet
WS
WS
Pro
ov.
Prov.
S IDM
Sun
UniAdmin
SPML
M t H b
MetaHub
ActiveSync / Prov.
22.04.2010
SIAM
SIAM-Task
Upl.
JDBC
C
IDMRepository
(waveset)
Upload
stud
Upload
rus
Prrov.
www.un
ni-stuttga
art.de
SIAM – Basisarchitektur
SIAMService
UniStruktur
((Org.)
g)
„HR“:
Identitäten +
Accounts
DIM
Presentation Tier
Application (Business Logic) Tier
Data Tier
3rd Party Apps
Java EE Containers / SharePoint 2010
MS SQL Server
WS Clients
WS (HTTP/SOAP)
WS (HTTP/SOAP)
(Bulk Tasks etc.)
HTTP/SQL
Endpoint
p
SQL
SIAMService
(Java EE App
App))
WS
JDBC ((TDS))
SPML
PresentationTier
Browser-based UI
SIAM
UniAdmin
Portal
ActiveSync / JDBC (TDS)
(SP)
Admin UI
&
User UI
HTTP/HTML
Sun IDM
HTTP/HTML (Phase 1)
JDBC (TDS)
RA
A / IDC
www.un
ni-stuttga
art.de
Multitier Architecture View (Phase 1)
22.04.2010
IDM
IDMRepository
(waveset)
www.un
ni-stuttga
art.de
SIAM-Basisdatenmodell
22.04.2010
www.un
ni-stuttga
art.de
Identifikatoren
 Trennung (interner) Identifikatoren für Entitäten und Konten von
den Nutzerkontonamen
 Jede Entität und jedes zugeordnete Nutzerkonto hat in SIAM
einen eindeutigen, unveränderlichen Identifikator
 SIAM-Identifikatorformat
SIAM Identifikatorformat
 Universally Unique Identifier (UUID) [ITU-T Rec. X.667]
– Vorzeichenlose 128 Bit Zahl
– Dezentral und ohne Koordination konfliktfrei generierbar
– Großer Wertvorrat (dauerhaft / keine Wiederverwendung)
– Als Primärschlüssel für relationale Datenmodelle geeignet
– Nicht „sprechend“
 Wird auch zusätzlich im LDAP
LDAP-Schema
Schema zur Verfügung gestellt
22.04.2010
www.un
ni-stuttga
art.de
Nutzerkontonamen
 Datenschutz-Anforderungen:
 Aus Wert des automatisch generierten Nutzerkontonamens sollen
k i personenbezogenen
keine
b
D
Daten
t ablesbar
bl b sein
i
– D.h. keine Namens-, Instituts- oder Studiengangsbestandteile,
keine Personal- oder Matrikelnummern o.ä.
– Freie Wählbarkeit durch den Endnutzer wird angestrebt
– Hängt aber von anzuschließenden Zielsystemen ab
 „Namensräume“
N
ä
“
 Unterschiedliche Kontotypen für versch. Personengruppen
 Großer Wertevorrat
 Möglichst nicht zu „kryptisch“, z.B. ähnlich Telefonnummern
22.04.2010
www.un
ni-stuttga
art.de
Nutzerkontonamen (2)
 Format:
xxNNNNNN
x: Kleinbuchstabe (a…z)
N: Ziffer (0…9)
 Namensräume:
Präfix
Namensraum
ac
Mitarbeiter / Mitglieder / Angehörige
st
Studierende
gs
Gäste
…
…weitere…
22.04.2010
www.un
ni-stuttga
art.de
Phase 1: Aktuell
 Produktive Einführung der automatisiert vergebenen
Nutzerkonten
 Fü
Für Mitarbeiter
Mi b i / Mitglieder
Mi li d / A
Angehörige
hö i
 Eingeführt zum 01.04.2010
 Versand der Zugangsdaten per Brief hat begonnen
– Zunächst an MSDN-AA-Berechtigte + LSF-Modulverantwortliche
 Provisionierung im Active Directory
 Als inetOrgPerson mit Basis-Attributen und Basis-ACL
 Anbindung an AD / Ablösung alter LDAP-Server für:
 LSF-Zugang für Mitarbeiter und Studierende produktiv
 IDP für Microsoft MSDN-AA-Portal produktiv
22.04.2010
www.un
ni-stuttga
art.de
Phase 1: Aktuell (2)
 Rollenverwaltung für Beauftragte produktiv
 UniAdmin-Portal
 RUS-Interne Nutzerverwaltung produktiv
– (Initial-)Passwordverwaltung, Rollenverwaltung, Briefdruck
– Für RUS
RUS-Nutzerverwaltungs-Admins
Nutzerverwaltungs Admins
– Auf SharePoint (RUS-Intranet)
 Self
Self-Service
Service für Enduser produktiv
 https://idm.uni-stuttgart.de/
 (Sun IDM UI)
22.04.2010
www.un
ni-stuttga
art.de
Phase 1: Nächste Schritte
 Schrittweise Konsolidierung existierender RUS-Nutzerverwaltungen
 Beginnend mit den Mailaccounts und Mitarbeiter-AD-Accounts
 IInbetriebnahme
b ti b h
T
Tooll zur Organigrammverwaltung
O
i
lt
fü ZV
für
 Provisionierung weiterer Basis-Systeme
 Insbesondere CG Pro (Mailservice / Mitarbeiter)
 Anbindung an AD / Ablösung alter LDAP-Server für:
 IEEE 802.1x / RADIUS / VPN-Zugänge
 Ausbau Active Directory zum primären AAA-Dienst (LDAP / Kerberos)
 Provisionierung mit ACLs (für Datenschutz) durch Sun IDM
– Steuerung der Attributsichtbarkeit im Intranet
– http://www.zendas.de/themen/internetrecht/mitarbeiterverzeichnis.html
 Schemaerweiterungen
– eduPerson,
d P
df Ed P
dfnEduPerson,
SCHAC SIAMPerson,
SCHAC,
SIAMP
ggf.
f weitere
it
22.04.2010
www.un
ni-stuttga
art.de
Phase 1: Nächste Schritte (2)
 Ausbau „UniAdmin“-Portal
 Delegierbare Administration
– Dezentrale Administratoren können die Nutzer ihrer Einrichtung selber
verwalten, Zugangsdatenbriefe drucken usw.
 Entwicklung Rollenmodell
 Generisch, orientiert an RBAC
– Möglichst produktneutral, „Role Mining“ über AK-IDM
22.04.2010
www.un
ni-stuttga
art.de
Phase 2
 Provisionierung / Anbindung / Konsolidierung weiterer Systeme
 Übernahme studentischer Lebenszyklus nach SIAM
– Provisionierung stud.
stud AD,
AD iMail usw.
usw
– Quelle: SOS
 Anbindung IP-Telefonie / Mehrwertdienste
 DFN-AAI
 Gäste
 eLearning
eLearning- / Collaboration
Collaboration-Systeme
Systeme
– Z.B. ILIAS, Vitero usw.
 UB
 Weiterer Ausbau „UniAdmin“-Portal
 Gästeverwaltung
Self-Service-Funktionen
Service Funktionen
 Weitere Self
22.04.2010
www.un
ni-stuttga
art.de
Warum Sun IDM?
 Evaluation 2004: technischer Favorit war Sun IDM
 RUS-interner IDM-Workshop Ende 2007
 Erfahrungen RRZ Erlangen mit Novell IDM
 Anfang 2008: Übernahme Support eBologna
 Enger Zeitplan, keine „grüne Wiese“, stark heterogene IT-Landschaft
– HIS ist
i t kein
k i IDM (!)
– Bevorzugung Provisionierungssystem
– Ohne Metadirectory-Vergangenheit
– Möglichst
Mö li h t h
hohe
h Flexiblität
Fl iblität / Erweiterbarkeit
E
it b k it
– Schrittweise Migration
– Wenn möglich, keine vollständige Hersteller-Abhängigkeit
 Freie Runtime-Lizenz von Sun
 Bereits Einsatz an weiteren Hochschulen in BW
– Geplant: Landeslizenz über MWK
 „Marktführer“ (laut Gartner 2007, Forrester 2006)
22.04.2010
www.un
ni-stuttga
art.de
Identity Management Problemfeld
22.04.2010
www.un
ni-stuttga
art.de
Identity Management - Lösungsansätze
 Eigenentwicklungen

Z.B. Uni Tübingen, TU Berlin
 Einsatz einer Identity Management Suite

Konzeptionell unterschiedliche Architekturen:
– Metadirectories
– Provisionierungssysteme
–
–
–
Virtuelle Directories
Gemischte Architekturen bzw. Kombinationen mehrerer
Systeme
–
22.04.2010
Sun: „Virtual Identity Manager“
Scharfe Abgrenzung bei den meisten Frameworks heute eigentlich so nicht
mehr vorhanden
 Burton Group
Group, 1996: Metadirectory = “the join of all the directories in the enterprise“
 Vision: Zentrale Zusammenführung aller Informationen einer Organisation in einem
einheitlichen Verzeichnis (“Konzerndatenbank”)
LDAP
PBX
LDAP
HR
ERP
Meta
Directory
Contractors
Jedes Objekt hält die
Werte aller relevanten
Attribute für alle
angeschlossenen
Unterverzeichnisse,
DBs und Applikationen
22.04.2010
LD
DAP
www.un
ni-stuttga
art.de
Metadirectory-Systeme
ADS
LDAP
www.un
ni-stuttga
art.de
1
Admin
1
3
7
2
Metadirectory
(Quelle: IDMone, RRZE)
1
2
3
Person=“x123“
scopedAffiliation=
„HiWi@456“
Start=“01
Start=
01.05.2007
05 2007“
End=“31.07.2007“
5
9
22.04.2010
1
0
2
newbie
x123
Person=“x123“
res=“UserApp“
Start=“01
Start
01.05.2007
05 2007“
End=“31.07.2007“
Account=“hemy“
PW=“x97rjki“
Quota=10GB
...
Resourc
e
Descript
or
6
4
Person=“x123“
res=“hpc“
Start=“01.05.2007“
End=“31.07.2007“
Account=“hemy“
PW=“x97rjki“
Quota=10GB
Q
...
8
1
1
ProxyObjekt
Account=“hemy“
PW=“x97rjki“
Start=“01.05.2007“
End=“31.07.2007“
Quota=10GB
...
Account=“hemy“
A
“h
“
PW=“x97rjki“
Start=“01.05.2007“
End=“31.07.2007“
Quota=10GB
...



Abgleich (Anlage / Aktualisierung / Löschung) der Nutzerdaten ohne Meta-Verzeichnis
Zentral pro Identität nur wenige Basisattribute, die meisten anderen Attribute bleiben dort, wo sie
gepflegt werden (konfigurierbar)
Workflows provisionieren sie in die Systeme, wo sie benötigt werden
SPML
www.un
ni-stuttga
art.de
Provisionierungssysteme
LDAP
PBX
LDAP
HR
SPML
ERP
IDM Workflow
Engine
Contractors
Jedes Objekt (Sun:
„Virtuelle Identität“) hält
nur Werte weniger
g
„globaler“ Attribute,
sowie seine jeweiligen
Ressource-Accounts.
22.04.2010
IDM
p
y
Repository
ADS
LDAP
www.un
ni-stuttga
art.de
Provisionierungssysteme (2)
Provisionierung
Eintritt in
Organisation
Aufgabenwechsel
Allgemeine
Administration
Umzug
Statuswechsel
Lebenszyklus
Neues
Projekt
Password
vergessen
De-Provisionierung
22.04.2010
Austritt aus
Organisation
Password
abgelaufen
Password
Management
www.un
ni-stuttga
art.de
Sun Identity Manager - Übersicht
 Sun IDM ist workflow-basiertes Provisionierungssystem
 Ursprünglich Waveset Lighthouse
 Waveset Technologies von Sun im Dezember 2003 übernommen
 Lighthouse Provisioning Manager + Password Manager = Sun IDM
– Hat Sun ONE Meta-Directory abgelöst
 Plattform: Java 2 Platform Enterprise Edition 1
1.3
3
 Für Sun IDM 8.1:
– Java Application Server: GlassFish, Tomcat, WebLogic, WebSphere, JBoss, Oracle Application Server
– Repository
p
y Datenbank: Oracle,, MS SQL
Q Server,, DB2,, MySQL,
y Q , Sybase
y
– OS: Solaris, Windows Server, SuSE Linux, Red Hat Linux, HP-UX, AIX
 Freie
e e Runtime-Lizenz
u
e
e se
seit v7.1
 Support kostet, ohne Support (eigentlich) nur Zugang zu Sicherheitsupdates
 EDU-Preis richtet sich nach Anzahl im IDM verwalteter vollzeitbeschäftigter WiMis
22.04.2010
www.un
ni-stuttga
art.de
Übersicht (2)
 Was Sun IDM nicht ist:
 ERP-Software
– Wie SAP, PeopleSoft, …
 CRM-Software
– Wie Microsoft Dynamics CRM
CRM, …
 AAA-Service
– Wie LDAP ((OpenLDAP,
p
Active Directory,
y eDirectory,
y …))
 Campus Management System
– Wie HISinOne, Datenlotsen CampusNet, …
 Groupware oder Listserver
– Wie Exchange, Lotus Notes, …
22.04.2010
www.un
ni-stuttga
art.de
Übersicht (3)
22.04.2010
www.un
ni-stuttga
art.de
Übersicht (4)
 „Virtuelles Identity Management“

XML-basiertes Repository in SQL-Datenbank
 Workflow-basierte Provisionierung und Genehmigungsprozesse

Flexibel erweiterbar durch Programmierung (XPRESS, Java, JavaScript)
 Mitgelieferte Ressource-Adapter für sehr viele IT-Systeme

Überwiegend agentenlos
–


D.h. Installation / Eingriff in das Zielsystem nicht notwendig
Z.B. ADS, eDirectory, Datenbanken, SAP, Peoplesoft, Oracle E-Business Suite, Remedy,
Exchange, Lotus Notes, Datenbanken, Flat File, LDAP, Scripting, SPML 1.0 und SPML 2.0
g
g von Ressource-Adaptern
p
SDK für Eigenentwicklung
 Steuerung über SPML möglich
 Umfangreiche Auditing- und Berichtsfunktionen
 RBAC-Unterstützung
g

Optionale Integration mit Sun Role Manager
 Identity Manager IDE basiert auf NetBeans (ab IDM v8.x)
22.04.2010
www.un
ni-stuttga
art.de
Admin-Schnittstelle
22.04.2010
www.un
ni-stuttga
art.de
S fS
Self-Service-Schnittstelle
S

Alle IDM-Webschnittstellen
können über
XPRESS Forms
XPRESS-Forms
angepasst und
erweitert werden
22.04.2010
www.un
ni-stuttga
art.de
N tB
NetBeans
E t i kl
Entwicklungsumgebung
b
22.04.2010
www.un
ni-stuttga
art.de
Workflows
22.04.2010
www.un
ni-stuttga
art.de
Adapter-Entwicklung
 Für Anbindung von IT-Systemen, für die Sun IDM keine Ressource Adapter
mitbringt, gibt es folgende Möglichkeiten:
 Einsatz g
generischer Ressource Adapter,
p , soweit möglich
g
– LDAP, Flat File, Scripting, JDBC
 Einsatz SPMLv2 Identity Connector
– Erst ab v8.1 und Zielsystem muss SPML 2.0 mit DSML-Schema
DSML Schema unterstützen
– Unterstützt kein Account-Renaming auf dem Zielsystem
 Einsatz eines freien Identity Connectors oder Erweiterung / Eigenentwicklung
– Open Source Framework: https://identityconnectors.dev.java.net/
https://identityconnectors dev java net/
– Unterstützt ab v8.1, Release-Zyklus unabhängig vom IDM-Zyklus
– Bereits vorhanden: ADS, Database Table, DB2, Domino, Exchange, Google Apps, LDAP, MySQL,
Oracle, RSA Authentication Manager, SAP, SPMLv2, Web TimeSheet
 Eigenentwicklung „klassischer“ Sun IDM-Ressource-Adapter
– Java SDK
22.04.2010
www.un
ni-stuttga
art.de
Fragen?
22.04.2010
www.un
ni-stuttga
art.de
Agenda
 Mission
 Organisatorisches - Turnus, Termine
 Identity Management Projekt „SIAM“
 Vorstellung des Projektes
 Aktueller
Akt ll St
Stand
d und
d MSDN
MSDN-AA
AA
 LDAP-Schemaerweiterung
 Formale Personengruppen der Universität Stuttgart
 Schemata (national/europäisch)
 SCHAC/eduPerson/dfnEduPerson
 Vorstellung Rollenmodell des RUS
 Diskussion Anforderungen an Rollen
 Weiteres Vorgehen
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Formale Personengruppen der Uni Stuttgart
 Excel-Dokument:
Mitglieder und Angehörige der Universität Stuttgart und weitere
relevante Personengruppen im Kontext der Universität
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
eduPerson + SCHAC
Präsentation von Sascha Neinert
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Überblick





Motivation
eduPerson
SCHAC
Idee - Zwiebel
Quellen
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Motivation AAI
 Warum (Federation und) AAI?
 Trennung zwischen Service Provider (Bsp. Uni Bib) und Identity
Provider (Bsp. RUS)
 Weniger Accounts,
Accounts weniger verlorene Passwörter
Passwörter, weniger
Kosten, mehr Nutzerkomfort
 Beispiel AAIs:




DFN-AAI mit Shibboleth
eduroam mit RADIUS
eduGAIN mit Shibboleth uvm.
DAMe mit RADIUS + Shibboleth + …
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Motivation - Attribute
 Warum AAI mit Attributen?
 Herkömmliche Methode: jeder Service Provider führt eine Liste
aller Nutzer  skaliert nicht, Bsp. eduroam
 Herkömmliche Methode 2: Merkmale von Nutzern werden
„geraten“ – IP-Subnetz, Domain  sehr eingeschränkt nutzbar,
Bsp: Zugriff auf Rundschreiben
 Methode mit Attributen: Nutzer = (Name, Mail, Institution, Art der
Zugehörigkeit, Berechtigung, …)  Bsp. eduroam: Dozenten
anderer Unis sind vertrauenswürdiger (= bekommen mehr Ports)
als Studenten anderer Unis
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Motivation - Attributschema
 Warum ein standardisiertes Schema für die Attribute?
 Ohne Schema sind Attribute nur lokal interpretierbar und nutzbar:
 Uni-Stuttgart Attribut „Zugehörigkeit“ mit den Werten „Student“ und
„Mitarbeiter
Mitarbeiter“
 Uni-Freiburg Attribut „Mitgliedschaft“ mit den Werten „Student“ und
„Akademischer Mitarbeiter
 Uni-Murcia Attribut „afiliación“ mit den Werten „estudiante“ und
„colaborador“…
 Mit standardisiertem Schema:
 eduPersonAffiliation mit den Werten faculty,
faculty student,
student staff,
staff alum,
alum
…
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
eduPerson
 Eine EDUCAUSE / Internet2 Task Force
 beides US Organisationen, Zielgruppe akademische
Einrichtungen, Thema IT bzw. Netzwerke
 LDAP Objektklasse mit Attributen von Personen
 Aufbauend auf:
 X.521 person
 X.521 organizationalPerson
 InetOrgPerson (RFC 2798)
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
eduPerson
 Voraussetzung für Teilnahme an der DFN-AAI
 wenn die Universität ein IDM einführt ist auf globale
Interoperabilität zu achten !
 DFN-AAI, obligatorische Attribute:
 Nachname
 E-Mailadresse
 … aus eduPerson:




eduPersonPrincipalName (Netz-ID)
eduPersonScopedAffiliation (e.g. [email protected])
eduPersonEntitlement (e.g. common-lib-terms)
eduPersonTargetedID (Pseudonym)
 Plus zahlreiche „empfohlene
empfohlene“ Attribute
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
eduPerson
 SCHAC: SChema HArmonisation Committee oder auch SCHema
for ACademia
 Ein Projekt der „TERENA Task Force on European Middleware
C
Coordination
and Collaboration”
C
” ((TF-EMC2)
C2)
 Europäische Ergänzung zu eduPerson
 schacSn1 + schacSn2
 Lopez de la Moraleda y de Las Altas Alcurnias
 Gorecka-Wolniewicz
Gorecka Wolniewicz
 schacHomeOrganizationType:
 urn:mace:terena.org:schac:homeOrganizationType:int:university
 urn:mace:terena.org:schac:homeOrganizationType:int:nren
 schacPersonalUniqueCode
 urn:mace:terena.org:schac:personalUniqueCode:es:uma:estudiante:
a3b123c12
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Idee Zwiebel 1/2
 Es gibt viele Attributschemata mit jeweils vielen Attributen…
 Welche soll man zur Verfügung stellen?
 Zwiebel-Modell: mehrere Schichten
1. Kern: Person,
1
Person organizationalPerson,
organizationalPerson inetOrgPerson
2. Schicht 1: DFN-AAI obligatorische Attribute
3. Schicht 2: Auswahl der DFN-AAI
DFN AAI empfohlenen + Auswahl weiterer
aus eduPerson und SCHAC
4. Schicht 3: bei Bedarf lokal interpretierbare und erforderliche
Attribute welche im AK IDM (und nur dort !!) von den Einrichtungen
Attribute,
eingebracht werden
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Idee Zwiebel 2/2
 Auswahlhilfe 1: Bedarf der Anwendungen (die in Zukunft erwartet
werden )




RUS-Anwendungen
RUS
A
d
Uni-Stuttgart Anwendungen
Bologna Anwendungen
E-Learnung …
 Auswahlhilfe 2: Abgucken
g




SWITCH-AAI: swissEduPersonStudyLevel
Haka federation: funetEduPersonECTS
RedIRIS: eduPerson + SCHAC + IrisGrid + …
Viele viele mehr…: wiki.rediris.es/tfemc2/index.php/FederationSchema
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Quellen
 www.educause.edu/eduperson
 www.terena.org/activities/tf-emc2/schac.html
 DFN-AAI Technische und organisatorische Voraussetzungen Attribute https://www aai dfn de/der dienst/attribute/
https://www.aai.dfn.de/der-dienst/attribute/
 switch.ch/aai
 www.csc.fi/english/institutions/haka/
www csc fi/english/institutions/haka/
 www.rediris.es/ldap/esquemas/
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Agenda
 Mission
 Organisatorisches - Turnus, Termine
 Identity Management Projekt „SIAM“
 Vorstellung des Projektes
 Aktueller
Akt ll St
Stand
d und
d MSDN
MSDN-AA
AA
 LDAP-Schemaerweiterung
 Formale Personengruppen der Universität Stuttgart
 Schemata (national/europäisch)
 SCHAC/eduPerson/dfnEduPerson
 Vorstellung Rollenmodell des RUS
 Diskussion Anforderungen an Rollen
 Weiteres Vorgehen
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Rollenschema
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Geschäftsrollen 1/2
Allgemeine Attribute von Rollenzuweisungen
 Account (Account ID)
 Gültig von
 Gültig bis
 Organisation (Org ID)
 AccountID der Entität die die Rolle zugewiesen hat.
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Geschäftsrollen 2/2
Stammrolle
 Mitarbeiter
 Studierende
 Sonstige Angehörige der Universität Stuttgart
 Alumni
 Gäste
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Rollenfragebogen








Name der vorgeschlagenen Rolle
Beschreibung der vorgeschlagenen Rolle
Wer kann die Rolle besitzen?
Rolleneigentümer
Zuweisung Gültig von, gültig bis
Wie wird die Rolle gepflegt?
M
Muss
di
die R
Rolle
ll b
besetz
t sein?
i ?
Wie viele Personen dürfen die Rolle max. besitzen?
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Rollenfragebogen: Beispiel (1/2)
 Name der vorgeschlagenen Rolle
 Studierender
 Beschreibung der vorgeschlagenen Rolle
 E-Mail, VPN, WLAN, LSF, ILIAS, UB, Storage, MSDN-AA
 Wer
W kann
k
die
di R
Rolle
ll b
besitzen?
it
?
 Immatrikulierte Studenten der Uni Stuttgart
 Rolleneigentümer
 Dezernat 3, RUS
 Zuweisung
g Gültig
g von,, g
gültig
g bis
 Von Immatrikulation bis Exmatrikulationsdatum + 3 Monate
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Rollenfragebogen: Beispiel (2/2)
 Wie wird die Rolle gepflegt?
 Initiale Zuweisung: Automatisch bei Immatrikulation
 Zuweisung: nicht Möglich
 Entzug: Automatisch nach Exmatrikulation
 Muss die Rolle besetz sein?
 Nein
 Wie viele Personen dürfen die Rolle max. besitzen?
 Beliebig
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Agenda
 Mission
 Organisatorisches - Turnus, Termine
 Identity Management Projekt „SIAM“
 Vorstellung des Projektes
 Aktueller
Akt ll St
Stand
d und
d MSDN
MSDN-AA
AA
 LDAP-Schemaerweiterung
 Formale Personengruppen der Universität Stuttgart
 Schemata (national/europäisch)
 SCHAC/eduPerson/dfnEduPerson
 Vorstellung Rollenmodell des RUS
 Diskussion Anforderungen an Rollen
 Weiteres Vorgehen
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
Weiteres Vorgehen
Folgetermin:
 15.07.2010
Themen:
 Verabschiedung Rollendokument
 Funktionalitäten im Admin-Portal
22.04.2010
AK IDM
www.un
ni-stuttga
art.de
backup
www.un
ni-stuttga
art.de
Agenda
 Identity Management Projekt SIAM am RUSAktueller Stand und
MSDN-AA
 Schemaerweiterung
 Tabelle Formale Personengruppen der Universität
 Schemata (nat
(nat./europäisch)
/europäisch)
 Bologna, E-Learning spezifische Erweiterungen in Bezug auf das
Schema (lokal)
 Rollenmodell des RUS ( Rollenmodell der UNI)
 Diskussion der Rollen
 Weiteres Vorgehen / Folgetermine
 Themen: Admin-Portal und Rechtemanagement
 Verabschiedung Rollendokument / Funktionalitäten Admin
Admin-Portal
Portal
 Nächster Termin:… 1.7. / 8.7. Alt: im September
22.04.2010
Projekt SIAM
Herunterladen