Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger

Veröffentlicht von:Grete Stiglitz Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger"—  Präsentation transkript:

1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext
20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger ATIS, Universität Karlsruhe (TH) Dipl. Inform. Horst Wenske Rechenzentrum, Universität Karlsruhe (TH))

2 Vorstellung Klaus Scheibenberger, Leiter der Abteilung technische Infrastruktur der Fakultät für Informatik (ATIS). Die ATIS ... ist eine zentrale Fakultätseinrichtung. ... betreibt zentrale IT-Dienste für die Informatik (lokaler = fakultativer Kontext). ... erprobt neue Szenarien/Technologien, im Bereich der Informatik. ... bildet die Schnittstelle zum Rechenzentrum der Universität.

3 Agenda Einführung Entwicklungsschritte
... im fakultativen/lokalen Kontext ... im universitätsweiten Kontext hin zu einem integrierten Identitätsmanagement Aktuelle Schritte und Ausblick

4 Themeneinführung Dienste benötigen Identitätsinformationen von Nutzern
... zur Authentisierung (Zugang) ... zur Autorisierung (Rollen, Rechte) Identitätsmanagement hat zu tun mit der systematischen Bereitstellung und Pflege von Identitätsinformationen. In die Dienste eingebunden Systeme benötigen Identitätsdaten. Unterschiedliche technologische Ansätze für die Bereitstellung. Vorgestellt werden fünf Entwicklungsschritte (Phasen) für die Bereitstellung (und Pflege) von Identitätsdaten ... ausgehend von einem lokalen Ansatz ... ... hin zu einem universitätsweiten, kooperierenden Ansatz

5 Begriffe Lokaler (fakultativer) Kontext:
Dienste eines Betreibers, die für eine oder mehrere Fakultäten bereitstellt werden („geschlossene Nutzergruppe“). Universitätsweiter Kontext: In universitätsweiten Prozessen interagieren Dienste unterschiedlicher Betreiber. Identität: Menge der Identitätsattribute die einem Nutzer von einem Betreiber zugeordnet sind. Teilidentität: Teilmenge einer Identität. Identitätenbasis: Menge von einheitlich strukturierten Identitäten.

6 Entwicklungsschritte
Lokaler Kontext: Drei Phasen in der Bereitstellung von Identitätsdaten: Hochgradige Verteilung Reduzierung der Verteilung Eliminierung der Verteilung Hintergrund: Lokalen Betrieb optimieren. Universitätsweiter Kontext: Zwei weitere Phasen: Kopplung heterogener Identitätenbasen Integriertes Identitätsmanagement Hintergrund: Flexibilität universitätsweiter Prozesse optimieren.

7 Teil I – Lokaler Kontext

8 Phase 1: Typisches Szenario
File- server Nutzer Linux Windows Authentifizierung / Autorisierung Arbeits- plätze Mail- Server RADIUS ADS NIS (+) Dial-In VPN Dienste „Passwd“ Problemzone Administrator(en) Datenbank für Nutzerkonten Verteilung per Skript Pflege der Benutzerverwaltung Identitätsdaten Management

9 Defizite Sicherheitsrelevante Defizite
Unverschlüsselte Passwörter in der zentralen Nutzerdatenbank. Verteilung = Vervielfachung Betriebliche Defizite Speziell angepasste Verfahren (z.B. scripts) Spezielle Synchronisationsmechanismen erforderlich. Defizite aus Nutzersicht Häufig keine zeitnahen Änderungen verfügbar.

10 LDAP-Orientierung Die ATIS setzt für zentrale Dienste nahezu ausschließlich Solaris-/ Linux-basierte Systeme ein. Orientierung zu LDAP als einheitlicher Ansatz für verschiedene Dienste Andere Betreiber tendieren aufgrund anderer Randbedingungen zum Active Directory Service. „Viele Wege führen nach Rom“.

11 Phase 2: Reduzierung der Verteilung
Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB

12 Defizite – Vorteil Sicherheitsrelevante Defizite
Voneinander unabhängige Datenbestände mit Identitätsdaten. Betriebliche Defizite Unterschiedlich strukturierte LDAP-Verzeichnisse. Anpassungsaufwand für neue Dienste. Defizite aus Nutzersicht Unterschiedliche Authentisierungsdaten. Vorteil: Zunehmende Nutzung einer standardisierten Schnittstelle um die Verteilung von Identitätsdaten zu reduzieren.

13 (Forschungsbereiche)
Übergang Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS Verbesserungs- potential Zentrales LDAP- Verzeichnis SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB

14 Phase 3: Zielarchitektur
... Replikate Mail Studenten- pool Dial-In Zentrales LDAP- Verzeichnis Dienste Identitätsdaten/ Nutzerkonten Web- interface Management dezentral zentral

15 Dienstorientierte LDAP-Struktur
dc = Einrichtung B Fakultät dc = Stud ou = Groups ou = People dc = Einrichtung A Nutzerkonten Nutzerkonto Vorname Nachname Institut ... Mail-Server Mail-Aliase Benutzerkennung Passwort VPN-IP-Adresse Nutzerzertifikat Attribute Person Unix-Zugang Dial-In-Dienst VPN-Dienst Mail-Dienst Klassen

16 Einbindung neuer Dienste
Beispiel VPN: Eigene Klasse enthält die VPN-spezifischen Attribute: Nutzerspezifische VPN-IP-Adresse Nutzer-Zertifikat nach X.509-Standard Test Name Mail URL

17 LDAP und Active Directory
Ablösung von AD durch LDAP im Studentenpool: Derzeit Synchronisation von Accounts über Scripts von LDAP nach AD. Passwortänderungen über SfU. Aufwändiger und damit „fehleranfälliger“ Prozess. Einsatz von Samba 3.x als Domaincontroller. Tests bzgl. Windows-Grouppolicies

18 Lokaler Kontext – Aktueller Stand
VPN – ok Mailsystem – ok Studentenpool – ok (Windows / LDAP – Testphase) Wireless (802.1x) – To Do Dial-In – To Do Umstellung von Einrichtungen in der Fakultät – Testphase (entspricht i.P. Studentenpool) Konsequente Ausrichtung in Richtung LDAP im lokalen Kontext

19 Teil II - Universitärer Kontext

20 KIM-LPS KIM-Projekt Karlsruher integriertes InformationsManagement
( Beispiele für universitätsweite Prozesse: Lehrveranstaltungsmanagement Prüfungsmanagement Studienassistenz Teilprojekt KIM-LPS

21 KIM-LPS – Architektur (Ausschnitt)
Legacy- System Anwendungs- Dienste Basisdienste <<Task>> Prozesse Infrastrukturdienste (Verzeichnisdienste, Sicherheit, ...) WS-Wrapper WS- ... <<Prozess>> Betreiber2 Betreiber1 Idenitätenbasis1 Idenitätenbasis2 Identitäten? Identitätsmanagement als wichtiger Faktor Teilprojekt KIM-IdM

22 Integration von Identitätenbasen
Ausrichtung an den eigenen Anforderungen, nicht an einem Produkt. Zunächst: Einfachheit der Architektur Tests, erste Implementierungsschritte mit einfachen Tools um generelle Zusammenhänge zu verifizieren. Spätere Flexibilität in der Produktauswahl.

23 Begriffe Satellit: Organisatorische Einheit (Betreiber) die eine eigenständige Identitätenbasis pflegt (z.B. ATIS). Gesamtidentität: Zusammenfassung aller, in den Satelliten, einem Nutzer zugeordneten Identitäten. Identität: Menge der Identitätsattribute die einem Nutzer in einem Satelliten zugeordnet sind. Teilidentität: Teilmenge einer Identität.

24 Anforderungen Heterogenität: Unterschiedliche Satelliten.
Selbstverwaltung: Lokale Flexibilität. Autonomie: Dezentrale Identitätenbasen. aber Eindeutigkeit: Identitäten in verschiedenen Satelliten. Datenharmonisierung: Synchronisation und Sicherstellung der Konsistenz im gesamten Verbund. Datenminimalität, Datenschutz: Nur notwendige Informationen.

25 Zentrale Kernidentität
GUID Name Vorname Matrikel- nummer Titel Externer erbt von „Person“ Objektklasse „Person“ Mitarbeiter Student

26 Phase 4: Verteilte Identitätenbasen
Verwaltung Initiale Datensätze Satellit HIS RZ Satellit ADS UB Updates Satellit LDAP Zentrale Kernidentität Mitarbeiter Student Externer GUID ATIS Student ATIS-Student Satellit LDAP WiWi CIP Satellit ADS

27 Phase 5: Gesamtszenario
KIM Lokaler Kontext Informatik Studierender/ Mitarbeiter ATIS-Dienste VPN Mail Drucken Zugriff auf lokale Dienste (Home, Mail) Windows Unix Zugriff auf KIM-Dienste im Prozessablauf KIM-Kontext Basis- dienst Anwendungs- dienste Trust Relation Planungs- Noten- erfassung Anwendungsdienste – KIM-LPS Zentrale Kern- identitäten ADS WiWi LDAP RZ UB Verw. Verwaltung z.B. LDAP-Verzeichnisse (oder ADS) ATIS Direkte Authentisierung und Autorisierung Identitätsmanagement – KIM-IdM WS Autorisierung

28 Aktuelle Schritte

29 Fricard Datendistribution
Nur erforderlicher Attribute werden synchronisiert. Chip- number Satellit Verwaltung HIS Fricard Personalisierung Syn Satellit RZ ADS Siport Syn Selektiver Synchronisationslayer Kernidentitaten Synchronisationsschnittstelle eines Satelliten Satellit LDAP Syn

30 Ausblick

31 IDM Architektur

32 Phasenplanung

33 Untergang der (Informations-)Inseln !
Ziele Integriertes Informationsmanagement bedeutet: Untergang der (Informations-)Inseln ! (s. unikath 01/2006) Eine notwendige Grundlage: Integriertes Identitätsmanagement d.h. Übergang von unabhängigen Identitäten-Inseln zu einem kooperierenden System !

34 Vielen Dank für Ihre Aufmerksamkeit
Fragen?

Herunterladen ppt "20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger"

Ähnliche Präsentationen

Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.

Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.
Server- und Dienstestruktur an der Uni Paderborn

Server- und Dienstestruktur an der Uni Paderborn
ReDI als Pilotanwendung für Shibboleth

ReDI als Pilotanwendung für Shibboleth
Terminalserver-Dienste für die HU

Terminalserver-Dienste für die HU
Copyright MS Global Consulting GmbH. E-Mail Andresen Abteilung Konfigurationen Port- nummern Faxnummern Zugriffsrechte URLs Adressen Namen Telefon -nummern.

Copyright MS Global Consulting GmbH. Andresen Abteilung Konfigurationen Port- nummern Faxnummern Zugriffsrechte URLs Adressen Namen Telefon -nummern.
1 06.02.2003 21:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.

:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
Projektentwicklung im IntegraTUM Projekt

Projektentwicklung im IntegraTUM Projekt
DINI Workshop „Informationsmanagement an Hochschulen“ - Duisburg

DINI Workshop „Informationsmanagement an Hochschulen“ - Duisburg
DINI Symposium Wiss. Publizieren in der Zukunft – Open Access, 23./24.5.2005B. Diekmann Ein Dokumentenserver kostet ? Ökonomische Aspekte für Serverbetreiber.

DINI Symposium Wiss. Publizieren in der Zukunft – Open Access, 23./ B. Diekmann Ein Dokumentenserver kostet ? Ökonomische Aspekte für Serverbetreiber.
Softwareverteilung.

Softwareverteilung.
Pflege der Internetdienste

Pflege der Internetdienste
Web-CMS der Universität Ulm

Web-CMS der Universität Ulm
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Rechnungswesen und Finanzierung

Rechnungswesen und Finanzierung
Lightweight Directory Access Protocol

Lightweight Directory Access Protocol
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung

Ähnliche Präsentationen

Google-Anzeigen