Studienfortschritt Studiensimulation Notenauszug +
Transcription
Studienfortschritt Studiensimulation Notenauszug +
Dienste-orientiertes föderiertes Identitätsmanagement im KIM Prof. Dr. Hannes Hartenstein Die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) Anwendungsdienste: Beispiele Notenauszug + Leistungsnachweise Studienfortschritt Studiensimulation Prüfungsanmeldung E-Mail Erreichbarkeit Kompetenzfeldeinordnung Handy-Freigeräte-Vergabe Passwortänderung Voraussetzung dafür? 2 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 1 Voraussetzung – Herausforderung Wissen, wer auf Dienste zugreifen will Wissen, wer auf Dienste zugreifen darf Prüfung beantragen Voraussetzungen? Termin ... Raum Identitäten „Das Schöne an Standards ist es, dass es so viele davon gibt.“ [Andrew Tanenbaum zugeschrieben] KIM 3 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 Identitätsmanagement: Problemstellung Natürliche Person (allg. „Entität“) Digitale Identitäten {U3412, meier, max, ... } rz474 MeierM MM21 Integration ? Effizienz, Sicherheit ? Benutzerverwaltung Dienste, Ressourcen SVA 4 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 RZ UB IWR KIM 2 Integriertes IDM: Aufgaben und Mehrwerte Mindestanforderung: die lokalen digitalen Identitäten einer Person (Entität) müssen – wenn erlaubt und gewünscht – in Beziehung zueinander gebracht werden können Provisionierung, Deprovisionierung, Synchronisation über lokale Einrichtungsgrenzen hinweg Personalisierung, Zugriffskontrolle und Single-Sign-on für übergreifende Diensterbringung Basis für „lebendige Dienstevielfalt“ Effektives und effizientes Arbeiten Sicherheitsgewinn 5 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM Einige Feststellungen Identität als Basis für Personalisierung von Diensten Zugriffskontrolle Erreichbarkeit Rechtskonformität („Compliance“) Digitaler Identitätsbegriff ist „relativ“ Leibnizsches Gesetz der „Identität des Ununterscheidbaren“ nur in Bezug auf Nutzerpopulation (nicht universell) Haltung von Attributen zur Unterscheidbarkeit der Nutzer und als Basis zur Berechtigungsüberprüfung Verschiedene Sichten Nutzersicht: persönliches IDM Betreibersicht: IDM von Mitarbeiter und ‚Kunden‘ 6 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 3 Nicht „ob“ sondern „wie“ ist die Frage ... Veränderungs-Ungleichung (“Change equation”, Beckhard, Gleicher): U×Z×E>W U: Unzufriedenheit mit aktueller Situation Æ Vorhanden Z: Zielvorstellung, was möglich sein könnte Æ Dienste E: Erste Schritte Æ Umsetzbarkeit W: Widerstand gegenüber Veränderung 7 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM Keine (allgemeine) Lösung: komplette Zentralität „2. Generation“: alle Daten in ein Verzeichnis „Metadirectory“ zur Synchronisation Nachteile „E“: schrittweise Umsetzung und Adaption ist schwierig „W“: Datenschutzrechtliche Bedenken Æ Erhöhung des Widerstands 8 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 4 Unser Ansatz: IDM der dritten Generation ... die Universität als dienstorientiertes Bündnis FZK Lokale Kennungen, Dienste bleiben bestehen... Services Accounts Identity Information 9 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 ... werden aber ‚verknüpfbar‘ gemacht. KIM Vorteile eines föderativen Ansatzes Universität als Föderation „Autarkie“ und Expertise der Einheiten bleibt erhalten Hohe Akzeptanz, da bestehende IntraProzesse bestehen bleiben können Verantwortung / Zugriffsberechtigung der Daten bleibt bei Einheit (Datenschutz) Flexibel bzgl. organisatorischen Änderungen Schrittweise Umsetzbarkeit 10 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 5 Dienstorientierung Service-orientierte Architektur (SOA) Dienstleistungssystem Dienstebaukasten Prüfung beantragen Voraussetzungen? Termin Raum ... Notwendig: Standardisierte Kommunikation zwischen Diensten Standardisierte Dienstbeschreibung Standardisierte Dienste-Registratur („Dienste-IDM“) Identitätsbezogene Daten und Dienste über dezentrale Dienstschnittstellen KIM 11 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM iSOA KIM: Karlsruher Integriertes InformationsManagement iSOA: integrierte Service-orientierte Architektur SelbstbedienungsSelbstbedienungs- Service-Portal Forschung und Entwicklung Integrationsschicht I Lehre, Studium und Weiterbildung Informationsversorgung Integrationsschicht II Anwendungsdienste „Landkarte“ Verwaltung AuthentifizierungsAuthentifizierungs- AbbildungsIntegrationsAbbildungs Basisdienste schicht III ProvisionierungsProvisionierungsSynchronisationsSynchronisationsIntegrationsschicht IV Technische Infrastruktur -dienst 12 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 6 Erster Schritt: Abbildungsdienst User logged in MOSS 2007 SUN Identity Manager KIM IDM ZUV 13 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 FZK RZ KIM Abbildungsdienst: Aufbau Wie werden lokale digitale Identitäten, die zu einer Entität gehören, miteinander in Beziehung gesetzt? Optionen Automatisch Manuell vom Administrator Manuell vom Nutzer Nutzer meldet sich am Portal an (unter ‚zentralem‘ Account) und authentifiziert sich gegen verschiedene Einheiten Lediglich die Abbildungen werden zentral abgelegt Anreiz z.B. Freischaltung einer neuen E-Mailadresse der Form [email protected] oder [email protected] usw. 14 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 7 15 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM Ca. 50% aller KIT-Mitarbeiter haben sich mittlerweile registriert 16 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 8 Erfahrungen (1) „Menschliche Probleme lassen sich nicht durch technische Mittel lösen“ Prof. Dr. Joseph Weizenbaum IDM ist vorrangig eine organisatorische Aufgabe Erarbeitung und Aushandlung von Richtlinien Festlegung von (Zugriffs-) Rechten Mitbestimmungsrechte Prüfung des Datenschutzes etc., z.B. durch ZENDAS IDM ist kein Produkt Gute Werkzeuge sind nützlich, aber Integrationsaufgabe in jedem Fall vorhanden Verlangt effektive Strukturen und Koordination Vielzahl von Gruppierungen beteiligt Prozessverantwortliche/r nötig 17 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM Erfahrungen (2) ECAR/EUNIS Studie zu Sicherheits-und Identitätsmanagement 2007: „What are the challenges to your institution in pursuing identity management?“ [ ] 2.39 No challenges at this time ... [ ] 2.49 Difficulty developing campus policies and procedures [ ] 2.50 Lack of ownership of identity management by a central group Auf technischer Ebene trotz „SOA“ viele Interoperabilitätsherausforderungen Verlangt „hochqualifiziertes“ Personal IT nicht immer als Kostensenker, sondern als „Ermöglicher“ betrachten Anbindung von „Legacy Systems“ oft aufwendig 18 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 9 Erfahrungen (3) Faktor Mensch: Zeitdauer zwischen Versendung Login-Information – Bereitstellung attraktiver Dienste sollte kurz sein sonst hohe Kosten beim Passwort-Ändern Unterstützung bei der Umsetzung der Passwort-Richtlinie (siehe nächste Folie) Herausforderung an die Organisation: Dienstqualität bei „integrierten Diensten“: schwächstes Glied? Wer ist in Verantwortung für Dienstequalität? 19 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 20 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 10 Über den Tellerrand geschaut Persönliches IDM: Microsoft Windows CardSpace DFN AAI: Authentifizierung- und Autorisierungs-Infrastruktur Nationale und internationale Bündnisse ePA: der elektronische Personalausweis European Citizen Card Geplante Einführung 2008/2009 Verantwortlich: Bundesministerium des Innern 21 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM Sorry, keine Zeit für technische Details ... X.500, X.509, LDAP, AD, ADFS, Kerberros, CRL, OSCP, SSO, Passport, Live ID, CoT, ID-FF, ID-WSF, ID-SIS, SAML, SPML, WS-Addressing, WS-Policy, WS-PolicyAttachment, WSMetadataExchange, WS-Resource Framework, WS-Notification, WS-Security, WS-SecureConversation, WS-Trust, WSReliableMessaging, WS-Reliability, WS-Federation, BPEL, Shibboleth, WCF, ... 22 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 11 Fazit Identitätsmanagement ist Fundament für „interessante“ Dienste Integriertes Identitätsmanagement: ein „Muss“ für Universitäten Unser KIM-Konzept: die Universität als dienstorientiertes Bündnis Dienstorientiertheit und Föderation auch Basis für IDM Am KIT hat das Zeitalter der iSOA begonnen Investition in Koordination und Qualifikation notwendig Basis für Nutzung von DFN-AAI und zukünftigen Entwicklungen im Bereich E-Government Dank an Thorsten Höllrigl, Frank Schell und Axel Maurer 23 | Hannes Hartenstein | KfR-Symposium, Freiburg | 15. Oktober 2007 KIM 12