Studienfortschritt Studiensimulation Notenauszug +

Transcription

Dienste-orientiertes föderiertes
Identitätsmanagement im KIM
Prof. Dr. Hannes Hartenstein
Die Kooperation von Forschungszentrum Karlsruhe GmbH
und Universität Karlsruhe (TH)
Anwendungsdienste: Beispiele
Notenauszug + Leistungsnachweise
Studienfortschritt
Studiensimulation
Prüfungsanmeldung
E-Mail Erreichbarkeit
Kompetenzfeldeinordnung
Handy-Freigeräte-Vergabe
Passwortänderung
Voraussetzung dafür?
2 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007
KIM
1
Voraussetzung – Herausforderung

Wissen, wer auf Dienste zugreifen will

Wissen, wer auf Dienste zugreifen darf
Prüfung beantragen
Voraussetzungen?
Termin
...
Raum
Identitäten
„Das Schöne an Standards ist es,
dass es so viele davon gibt.“
[Andrew Tanenbaum zugeschrieben]
KIM
Identitätsmanagement: Problemstellung
Natürliche Person
(allg. „Entität“)
Digitale Identitäten
{U3412,
meier,
max,
... }
rz474
MeierM
MM21
Integration ?
Effizienz, Sicherheit ?
Benutzerverwaltung
Dienste, Ressourcen
SVA
RZ
UB
IWR
KIM
2
Integriertes IDM: Aufgaben und Mehrwerte
Mindestanforderung: die lokalen digitalen Identitäten einer
Person (Entität) müssen – wenn erlaubt und gewünscht – in
Beziehung zueinander gebracht werden können
Provisionierung, Deprovisionierung, Synchronisation
über lokale Einrichtungsgrenzen hinweg
Personalisierung, Zugriffskontrolle und Single-Sign-on
für übergreifende Diensterbringung
Basis für „lebendige Dienstevielfalt“
Effektives und effizientes Arbeiten
Sicherheitsgewinn
KIM
Einige Feststellungen
Identität als Basis für

Personalisierung von Diensten
Zugriffskontrolle
Erreichbarkeit
Rechtskonformität („Compliance“)
Digitaler Identitätsbegriff ist „relativ“
Leibnizsches Gesetz der „Identität des Ununterscheidbaren“ nur
in Bezug auf Nutzerpopulation (nicht universell)
Haltung von Attributen zur Unterscheidbarkeit der Nutzer und
als Basis zur Berechtigungsüberprüfung
Verschiedene Sichten
Nutzersicht: persönliches IDM
Betreibersicht: IDM von Mitarbeiter und ‚Kunden‘
KIM
3
Nicht „ob“ sondern „wie“ ist die Frage ...
Veränderungs-Ungleichung
(“Change equation”, Beckhard, Gleicher):
U×Z×E>W
U: Unzufriedenheit mit aktueller Situation
Æ Vorhanden
Z: Zielvorstellung, was möglich sein könnte
Æ Dienste
E: Erste Schritte
Æ Umsetzbarkeit
W: Widerstand gegenüber Veränderung
KIM
Keine (allgemeine) Lösung: komplette Zentralität
„2. Generation“: alle Daten in ein Verzeichnis
„Metadirectory“ zur Synchronisation
Nachteile
„E“: schrittweise Umsetzung und Adaption ist schwierig
„W“: Datenschutzrechtliche Bedenken Æ Erhöhung des
Widerstands
KIM
4
Unser Ansatz: IDM der dritten Generation
... die Universität als dienstorientiertes Bündnis
FZK
Lokale Kennungen,
Dienste bleiben bestehen...
Services
Accounts
Identity Information
... werden aber
‚verknüpfbar‘ gemacht.
KIM
Vorteile eines föderativen Ansatzes
Universität als Föderation
„Autarkie“ und Expertise der Einheiten bleibt
erhalten
Hohe Akzeptanz, da bestehende IntraProzesse bestehen bleiben können
Verantwortung / Zugriffsberechtigung der
Daten bleibt bei Einheit (Datenschutz)
Flexibel bzgl. organisatorischen Änderungen
Schrittweise Umsetzbarkeit
KIM
5
Dienstorientierung
Service-orientierte Architektur (SOA)
Dienstleistungssystem
Dienstebaukasten
Prüfung beantragen
Voraussetzungen?
Termin
Raum
...
Notwendig:
Standardisierte Kommunikation zwischen Diensten
Standardisierte Dienstbeschreibung
Standardisierte Dienste-Registratur („Dienste-IDM“)
Identitätsbezogene Daten und Dienste über dezentrale
Dienstschnittstellen
KIM
KIM iSOA

KIM: Karlsruher Integriertes InformationsManagement

iSOA: integrierte Service-orientierte Architektur
SelbstbedienungsSelbstbedienungs- Service-Portal
Forschung und
Entwicklung
Integrationsschicht I
Lehre, Studium und
Weiterbildung
Informationsversorgung
Integrationsschicht II
Anwendungsdienste
„Landkarte“
Verwaltung
AuthentifizierungsAuthentifizierungs- AbbildungsIntegrationsAbbildungs
Basisdienste
schicht III
ProvisionierungsProvisionierungsSynchronisationsSynchronisationsIntegrationsschicht IV
Technische Infrastruktur
-dienst
KIM
6
Erster Schritt: Abbildungsdienst
User
logged in
MOSS 2007
SUN
Identity
Manager
KIM IDM
ZUV
FZK
RZ
KIM
Abbildungsdienst: Aufbau

Wie werden lokale digitale Identitäten, die zu einer Entität
gehören, miteinander in Beziehung gesetzt?

Optionen

Automatisch
Manuell vom Administrator
Manuell vom Nutzer

Nutzer meldet sich am Portal an (unter ‚zentralem‘ Account)
und authentifiziert sich gegen verschiedene Einheiten
Lediglich die Abbildungen werden zentral abgelegt

Anreiz z.B. Freischaltung einer neuen E-Mailadresse der
Form [email protected] oder
[email protected] usw.
KIM
7
KIM
Ca. 50% aller KIT-Mitarbeiter
haben sich mittlerweile registriert
KIM
8
Erfahrungen (1)
„Menschliche Probleme lassen sich nicht durch technische
Mittel lösen“
Prof. Dr. Joseph Weizenbaum
IDM ist vorrangig eine organisatorische Aufgabe

Erarbeitung und Aushandlung von Richtlinien
Festlegung von (Zugriffs-) Rechten
Mitbestimmungsrechte
Prüfung des Datenschutzes etc., z.B. durch ZENDAS
IDM ist kein Produkt
Gute Werkzeuge sind nützlich, aber
Integrationsaufgabe in jedem Fall vorhanden
Verlangt effektive Strukturen und Koordination
Vielzahl von Gruppierungen beteiligt
Prozessverantwortliche/r nötig
KIM
Erfahrungen (2)

ECAR/EUNIS Studie zu Sicherheits-und
Identitätsmanagement 2007: „What are the challenges to
your institution in pursuing identity management?“

[ ] 2.39 No challenges at this time
...
[ ] 2.49 Difficulty developing campus policies and procedures
[ ] 2.50 Lack of ownership of identity management by a central group
Auf technischer Ebene trotz „SOA“ viele Interoperabilitätsherausforderungen
Verlangt „hochqualifiziertes“ Personal
IT nicht immer als Kostensenker, sondern als „Ermöglicher“
betrachten
Anbindung von „Legacy Systems“ oft aufwendig
KIM
9
Erfahrungen (3)
Faktor Mensch:

Zeitdauer zwischen Versendung Login-Information –
Bereitstellung attraktiver Dienste sollte kurz sein

sonst hohe Kosten beim Passwort-Ändern
Unterstützung bei der Umsetzung der Passwort-Richtlinie (siehe
nächste Folie)
Herausforderung an die Organisation:

Dienstqualität bei „integrierten Diensten“: schwächstes Glied?

Wer ist in Verantwortung für Dienstequalität?
KIM
KIM
10
Über den Tellerrand geschaut

Persönliches IDM:
Microsoft Windows
CardSpace
DFN AAI: Authentifizierung- und Autorisierungs-Infrastruktur
Nationale und internationale Bündnisse
ePA: der elektronische Personalausweis
European Citizen Card
Geplante Einführung 2008/2009
Verantwortlich: Bundesministerium des Innern
KIM
Sorry, keine Zeit für technische Details ...

X.500, X.509, LDAP, AD, ADFS, Kerberros, CRL, OSCP, SSO,
Passport, Live ID, CoT, ID-FF, ID-WSF, ID-SIS, SAML, SPML,
WS-Addressing, WS-Policy, WS-PolicyAttachment, WSMetadataExchange, WS-Resource Framework, WS-Notification,
WS-Security, WS-SecureConversation, WS-Trust, WSReliableMessaging, WS-Reliability, WS-Federation, BPEL,
Shibboleth, WCF, ...
KIM
11
Fazit

Identitätsmanagement ist Fundament für „interessante“
Dienste

Integriertes Identitätsmanagement: ein „Muss“ für
Universitäten

Unser KIM-Konzept: die Universität als dienstorientiertes
Bündnis

Dienstorientiertheit und Föderation auch Basis für IDM

Am KIT hat das Zeitalter der iSOA begonnen

Investition in Koordination und Qualifikation notwendig

Basis für Nutzung von DFN-AAI und zukünftigen
Entwicklungen im Bereich E-Government
Dank an Thorsten Höllrigl, Frank Schell und Axel Maurer
KIM
12