Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger

Ähnliche Präsentationen


Präsentation zum Thema: "20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger"—  Präsentation transkript:

1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext
20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger ATIS, Universität Karlsruhe (TH) Dipl. Inform. Horst Wenske Rechenzentrum, Universität Karlsruhe (TH))

2 Vorstellung Klaus Scheibenberger, Leiter der Abteilung technische Infrastruktur der Fakultät für Informatik (ATIS). Die ATIS ... ist eine zentrale Fakultätseinrichtung. ... betreibt zentrale IT-Dienste für die Informatik (lokaler = fakultativer Kontext). ... erprobt neue Szenarien/Technologien, im Bereich der Informatik. ... bildet die Schnittstelle zum Rechenzentrum der Universität.

3 Agenda Einführung Entwicklungsschritte
... im fakultativen/lokalen Kontext ... im universitätsweiten Kontext hin zu einem integrierten Identitätsmanagement Aktuelle Schritte und Ausblick

4 Themeneinführung Dienste benötigen Identitätsinformationen von Nutzern
... zur Authentisierung (Zugang) ... zur Autorisierung (Rollen, Rechte) Identitätsmanagement hat zu tun mit der systematischen Bereitstellung und Pflege von Identitätsinformationen. In die Dienste eingebunden Systeme benötigen Identitätsdaten. Unterschiedliche technologische Ansätze für die Bereitstellung. Vorgestellt werden fünf Entwicklungsschritte (Phasen) für die Bereitstellung (und Pflege) von Identitätsdaten ... ausgehend von einem lokalen Ansatz ... ... hin zu einem universitätsweiten, kooperierenden Ansatz

5 Begriffe Lokaler (fakultativer) Kontext:
Dienste eines Betreibers, die für eine oder mehrere Fakultäten bereitstellt werden („geschlossene Nutzergruppe“). Universitätsweiter Kontext: In universitätsweiten Prozessen interagieren Dienste unterschiedlicher Betreiber. Identität: Menge der Identitätsattribute die einem Nutzer von einem Betreiber zugeordnet sind. Teilidentität: Teilmenge einer Identität. Identitätenbasis: Menge von einheitlich strukturierten Identitäten.

6 Entwicklungsschritte
Lokaler Kontext: Drei Phasen in der Bereitstellung von Identitätsdaten: Hochgradige Verteilung Reduzierung der Verteilung Eliminierung der Verteilung Hintergrund: Lokalen Betrieb optimieren. Universitätsweiter Kontext: Zwei weitere Phasen: Kopplung heterogener Identitätenbasen Integriertes Identitätsmanagement Hintergrund: Flexibilität universitätsweiter Prozesse optimieren.

7 Teil I – Lokaler Kontext

8 Phase 1: Typisches Szenario
File- server Nutzer Linux Windows Authentifizierung / Autorisierung Arbeits- plätze Mail- Server RADIUS ADS NIS (+) Dial-In VPN Dienste „Passwd“ Problemzone Administrator(en) Datenbank für Nutzerkonten Verteilung per Skript Pflege der Benutzerverwaltung Identitätsdaten Management

9 Defizite Sicherheitsrelevante Defizite
Unverschlüsselte Passwörter in der zentralen Nutzerdatenbank. Verteilung = Vervielfachung Betriebliche Defizite Speziell angepasste Verfahren (z.B. scripts) Spezielle Synchronisationsmechanismen erforderlich. Defizite aus Nutzersicht Häufig keine zeitnahen Änderungen verfügbar.

10 LDAP-Orientierung Die ATIS setzt für zentrale Dienste nahezu ausschließlich Solaris-/ Linux-basierte Systeme ein. Orientierung zu LDAP als einheitlicher Ansatz für verschiedene Dienste Andere Betreiber tendieren aufgrund anderer Randbedingungen zum Active Directory Service. „Viele Wege führen nach Rom“.

11 Phase 2: Reduzierung der Verteilung
Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB

12 Defizite – Vorteil Sicherheitsrelevante Defizite
Voneinander unabhängige Datenbestände mit Identitätsdaten. Betriebliche Defizite Unterschiedlich strukturierte LDAP-Verzeichnisse. Anpassungsaufwand für neue Dienste. Defizite aus Nutzersicht Unterschiedliche Authentisierungsdaten. Vorteil: Zunehmende Nutzung einer standardisierten Schnittstelle um die Verteilung von Identitätsdaten zu reduzieren.

13 (Forschungsbereiche)
Übergang Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS Verbesserungs- potential Zentrales LDAP- Verzeichnis SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB

14 Phase 3: Zielarchitektur
... Replikate Mail Studenten- pool Dial-In Zentrales LDAP- Verzeichnis Dienste Identitätsdaten/ Nutzerkonten Web- interface Management dezentral zentral

15 Dienstorientierte LDAP-Struktur
dc = Einrichtung B Fakultät dc = Stud ou = Groups ou = People dc = Einrichtung A Nutzerkonten Nutzerkonto Vorname Nachname Institut ... Mail-Server Mail-Aliase Benutzerkennung Passwort VPN-IP-Adresse Nutzerzertifikat Attribute Person Unix-Zugang Dial-In-Dienst VPN-Dienst Mail-Dienst Klassen

16 Einbindung neuer Dienste
Beispiel VPN: Eigene Klasse enthält die VPN-spezifischen Attribute: Nutzerspezifische VPN-IP-Adresse Nutzer-Zertifikat nach X.509-Standard Test Name Mail URL

17 LDAP und Active Directory
Ablösung von AD durch LDAP im Studentenpool: Derzeit Synchronisation von Accounts über Scripts von LDAP nach AD. Passwortänderungen über SfU. Aufwändiger und damit „fehleranfälliger“ Prozess. Einsatz von Samba 3.x als Domaincontroller. Tests bzgl. Windows-Grouppolicies

18 Lokaler Kontext – Aktueller Stand
VPN – ok Mailsystem – ok Studentenpool – ok (Windows / LDAP – Testphase) Wireless (802.1x) – To Do Dial-In – To Do Umstellung von Einrichtungen in der Fakultät – Testphase (entspricht i.P. Studentenpool) Konsequente Ausrichtung in Richtung LDAP im lokalen Kontext

19 Teil II - Universitärer Kontext

20 KIM-LPS KIM-Projekt Karlsruher integriertes InformationsManagement
(www.kim.uni-karlsruhe.de) Beispiele für universitätsweite Prozesse: Lehrveranstaltungsmanagement Prüfungsmanagement Studienassistenz Teilprojekt KIM-LPS

21 KIM-LPS – Architektur (Ausschnitt)
Legacy- System Anwendungs- Dienste Basisdienste <<Task>> Prozesse Infrastrukturdienste (Verzeichnisdienste, Sicherheit, ...) WS-Wrapper WS- ... <<Prozess>> Betreiber2 Betreiber1 Idenitätenbasis1 Idenitätenbasis2 Identitäten? Identitätsmanagement als wichtiger Faktor Teilprojekt KIM-IdM

22 Integration von Identitätenbasen
Ausrichtung an den eigenen Anforderungen, nicht an einem Produkt. Zunächst: Einfachheit der Architektur Tests, erste Implementierungsschritte mit einfachen Tools um generelle Zusammenhänge zu verifizieren. Spätere Flexibilität in der Produktauswahl.

23 Begriffe Satellit: Organisatorische Einheit (Betreiber) die eine eigenständige Identitätenbasis pflegt (z.B. ATIS). Gesamtidentität: Zusammenfassung aller, in den Satelliten, einem Nutzer zugeordneten Identitäten. Identität: Menge der Identitätsattribute die einem Nutzer in einem Satelliten zugeordnet sind. Teilidentität: Teilmenge einer Identität.

24 Anforderungen Heterogenität: Unterschiedliche Satelliten.
Selbstverwaltung: Lokale Flexibilität. Autonomie: Dezentrale Identitätenbasen. aber Eindeutigkeit: Identitäten in verschiedenen Satelliten. Datenharmonisierung: Synchronisation und Sicherstellung der Konsistenz im gesamten Verbund. Datenminimalität, Datenschutz: Nur notwendige Informationen.

25 Zentrale Kernidentität
GUID Name Vorname Matrikel- nummer Titel Externer erbt von „Person“ Objektklasse „Person“ Mitarbeiter Student

26 Phase 4: Verteilte Identitätenbasen
Verwaltung Initiale Datensätze Satellit HIS RZ Satellit ADS UB Updates Satellit LDAP Zentrale Kernidentität Mitarbeiter Student Externer GUID ATIS Student ATIS-Student Satellit LDAP WiWi CIP Satellit ADS

27 Phase 5: Gesamtszenario
KIM Lokaler Kontext Informatik Studierender/ Mitarbeiter ATIS-Dienste VPN Mail Drucken Zugriff auf lokale Dienste (Home, Mail) Windows Unix Zugriff auf KIM-Dienste im Prozessablauf KIM-Kontext Basis- dienst Anwendungs- dienste Trust Relation Planungs- Noten- erfassung Anwendungsdienste – KIM-LPS Zentrale Kern- identitäten ADS WiWi LDAP RZ UB Verw. Verwaltung z.B. LDAP-Verzeichnisse (oder ADS) ATIS Direkte Authentisierung und Autorisierung Identitätsmanagement – KIM-IdM WS Autorisierung

28 Aktuelle Schritte

29 Fricard Datendistribution
Nur erforderlicher Attribute werden synchronisiert. Chip- number Satellit Verwaltung HIS Fricard Personalisierung Syn Satellit RZ ADS Siport Syn Selektiver Synchronisationslayer Kernidentitaten Synchronisationsschnittstelle eines Satelliten Satellit LDAP Syn

30 Ausblick

31 IDM Architektur

32 Phasenplanung

33 Untergang der (Informations-)Inseln !
Ziele Integriertes Informationsmanagement bedeutet: Untergang der (Informations-)Inseln ! (s. unikath 01/2006) Eine notwendige Grundlage: Integriertes Identitätsmanagement d.h. Übergang von unabhängigen Identitäten-Inseln zu einem kooperierenden System !

34 Vielen Dank für Ihre Aufmerksamkeit
Fragen?


Herunterladen ppt "20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger"

Ähnliche Präsentationen


Google-Anzeigen