Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Www.atis.uni-karlsruhe.de 1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus.

Ähnliche Präsentationen


Präsentation zum Thema: "Www.atis.uni-karlsruhe.de 1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus."—  Präsentation transkript:

1 1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger ATIS, Universität Karlsruhe (TH) Dipl. Inform. Horst Wenske Rechenzentrum, Universität Karlsruhe (TH))

2 2 Vorstellung (1) Klaus Scheibenberger, Leiter der Abteilung technische Infrastruktur der Fakultät für Informatik (ATIS). (2) Die ATIS (1)... ist eine zentrale Fakultätseinrichtung. (2)... betreibt zentrale IT-Dienste für die Informatik (lokaler = fakultativer Kontext). (3)... erprobt neue Szenarien/Technologien, im Bereich der Informatik. (4)... bildet die Schnittstelle zum Rechenzentrum der Universität.

3 3 Agenda (1) Einführung Entwicklungsschritte (1)... im fakultativen/lokalen Kontext (2)... im universitätsweiten Kontext hin zu einem integrierten Identitätsmanagement (1) Aktuelle Schritte und Ausblick

4 4 Themeneinführung (1) Dienste benötigen Identitätsinformationen von Nutzern (1)... zur Authentisierung (Zugang) (2)... zur Autorisierung (Rollen, Rechte) (2) Identitätsmanagement hat zu tun mit der systematischen Bereitstellung und Pflege von Identitätsinformationen. (3) In die Dienste eingebunden Systeme benötigen Identitätsdaten. (4) Unterschiedliche technologische Ansätze für die Bereitstellung. (5) Vorgestellt werden fünf Entwicklungsschritte (Phasen) für die Bereitstellung (und Pflege) von Identitätsdaten (1)... ausgehend von einem lokalen Ansatz... (2)... hin zu einem universitätsweiten, kooperierenden Ansatz

5 5 Begriffe (1) Lokaler (fakultativer) Kontext: (1) Dienste eines Betreibers, die für eine oder mehrere Fakultäten bereitstellt werden (geschlossene Nutzergruppe). (2) Universitätsweiter Kontext: (1) In universitätsweiten Prozessen interagieren Dienste unterschiedlicher Betreiber. (3) Identität: (1) Menge der Identitätsattribute die einem Nutzer von einem Betreiber zugeordnet sind. (4) Teilidentität: (1) Teilmenge einer Identität. (5) Identitätenbasis: (1) Menge von einheitlich strukturierten Identitäten.

6 6 Entwicklungsschritte (1) Lokaler Kontext: (1) Drei Phasen in der Bereitstellung von Identitätsdaten: (1) Hochgradige Verteilung (2) Reduzierung der Verteilung (3) Eliminierung der Verteilung Hintergrund: Lokalen Betrieb optimieren. (2) Universitätsweiter Kontext: (1) Zwei weitere Phasen: (1) Kopplung heterogener Identitätenbasen (2) Integriertes Identitätsmanagement Hintergrund: Flexibilität universitätsweiter Prozesse optimieren.

7 7 Teil I – Lokaler Kontext Teil I – Lokaler Kontext

8 8 Phase 1Phase 1: Typisches Szenario Phase 1 File- server Nutzer LinuxWindows Authentifizierung / Autorisierung Arbeits- plätze Mail- Server RADIUS ADSNIS (+) Dial-In VPN File- server Arbeits- plätze Administrator(en) Datenbank für Nutzerkonten Verteilung per Skript Pflege der Benutzerverwaltung Passwd Problemzone Dienste Identitätsdaten Management

9 9 Defizite (1) Sicherheitsrelevante Defizite (1) Unverschlüsselte Passwörter in der zentralen Nutzerdatenbank. (2) Verteilung = Vervielfachung (2) Betriebliche Defizite (1) Speziell angepasste Verfahren (z.B. scripts) (2) Spezielle Synchronisationsmechanismen erforderlich. (3) Defizite aus Nutzersicht (1) Häufig keine zeitnahen Änderungen verfügbar.

10 10 LDAP-Orientierung (1) Die ATIS setzt für zentrale Dienste nahezu ausschließlich Solaris-/ Linux-basierte Systeme ein. Orientierung zu LDAP als einheitlicher Ansatz für verschiedene Dienste (2) Andere Betreiber tendieren aufgrund anderer Randbedingungen zum Active Directory Service. Viele Wege führen nach Rom.

11 11 Phase 2Phase 2: Reduzierung der Verteilung Phase 2 SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten Web- interface Web- interface 2. SQL-DB Mail Studenten- pool LDAP Studenten- pool Dienste Identitätsdaten LDAP Mail Dial-In LDAP Dial-In ADS RADIUS

12 12 Defizite – Vorteil (1) Sicherheitsrelevante Defizite (1) Voneinander unabhängige Datenbestände mit Identitätsdaten. (2) Betriebliche Defizite (1) Unterschiedlich strukturierte LDAP-Verzeichnisse. (2) Anpassungsaufwand für neue Dienste. (3) Defizite aus Nutzersicht (1) Unterschiedliche Authentisierungsdaten. Vorteil: (1) Zunehmende Nutzung einer standardisierten Schnittstelle um die Verteilung von Identitätsdaten zu reduzieren.

13 13 Mail Studenten- pool LDAP Studenten- pool Dienste Identitätsdaten LDAP Mail Dial-In LDAP Dial-In ADS RADIUS Übergang SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten Web- interface Web- interface 2. SQL-DB Verbesserungs- potential Zentrales LDAP- Verzeichnis

14 14 Phase 3: Zielarchitektur Web- interface Web- interface Management dezentral zentral... Replikate Mail Studenten- pool Dial-In Zentrales LDAP- Verzeichnis Dienste... Identitätsdaten/ Nutzerkonten

15 15 Dienstorientierte LDAP-Struktur dc = Einrichtung B Fakultät dc = Stud ou = Groups ou = People dc = Einrichtung A ou = People Nutzerkonten ou = Groups Nutzerkonto Vorname Nachname Institut... Mail-Server Mail-Aliase... Benutzerkennung Passwort... VPN-IP-Adresse Nutzerzertifikat Attribute Person Attribute Unix-Zugang Attribute Dial-In-Dienst Attribute VPN-Dienst Attribute Mail-Dienst Klassen

16 16 Einbindung neuer Dienste (1) Beispiel VPN: Eigene Klasse enthält die VPN-spezifischen Attribute: (1) Nutzerspezifische VPN-IP-Adresse (2) Nutzer-Zertifikat nach X.509-Standard Test Name Mail URL

17 17 LDAP und Active Directory (1) Ablösung von AD durch LDAP im Studentenpool: (1) Derzeit Synchronisation von Accounts über Scripts von LDAP nach AD. (2) Passwortänderungen über SfU. Aufwändiger und damit fehleranfälliger Prozess. Einsatz von Samba 3.x als Domaincontroller. (1) Tests bzgl. Windows-Grouppolicies

18 18 Lokaler Kontext – Aktueller Stand (1) VPN – ok (2) Mailsystem – ok (3) Studentenpool – ok (Windows / LDAP – Testphase) (4) Wireless (802.1x) – To Do (5) Dial-In – To Do (6) Umstellung von Einrichtungen in der Fakultät – Testphase (entspricht i.P. Studentenpool) Konsequente Ausrichtung in Richtung LDAP im lokalen Kontext

19 19 Teil II - Universitärer Kontext

20 20 KIM-LPS (1) KIM-Projekt (1) Karlsruher integriertes InformationsManagement (www.kim.uni-karlsruhe.de)www.kim.uni-karlsruhe.de (2) Beispiele für universitätsweite Prozesse: (1) Lehrveranstaltungsmanagement (2) Prüfungsmanagement (3) Studienassistenz Teilprojekt KIM-LPS

21 21 KIM-LPS – Architektur (Ausschnitt) Identitätsmanagement als wichtiger Faktor Teilprojekt KIM-IdM Legacy- System Legacy- System Anwendungs- Dienste Basisdienste > Prozesse Infrastrukturdienste (Verzeichnisdienste, Sicherheit,...) WS-Wrapper WS- System... > Identitäten? Betreiber2 Betreiber1 Idenitätenbasis1 Idenitätenbasis2

22 22 Integration von Identitätenbasen (1) Ausrichtung an den eigenen Anforderungen, nicht an einem Produkt. (2) Zunächst: Einfachheit der Architektur (3) Tests, erste Implementierungsschritte mit einfachen Tools um generelle Zusammenhänge zu verifizieren. (4) Spätere Flexibilität in der Produktauswahl.

23 23 Begriffe (1) Satellit: (1) Organisatorische Einheit (Betreiber) die eine eigenständige Identitätenbasis pflegt (z.B. ATIS). (2) Gesamtidentität: (1) Zusammenfassung aller, in den Satelliten, einem Nutzer zugeordneten Identitäten. (3) Identität: (1) Menge der Identitätsattribute die einem Nutzer in einem Satelliten zugeordnet sind. (4) Teilidentität: (1) Teilmenge einer Identität.

24 24 Anforderungen (1) Heterogenität: Unterschiedliche Satelliten. (2) Selbstverwaltung: Lokale Flexibilität. (3) Autonomie: Dezentrale Identitätenbasen. aber (1) Eindeutigkeit: Identitäten in verschiedenen Satelliten. (2) Datenharmonisierung: Synchronisation und Sicherstellung der Konsistenz im gesamten Verbund. (3) Datenminimalität, Datenschutz: Nur notwendige Informationen.

25 25 Zentrale Kernidentität GUID Name Vorname Matrikel- nummer Titel Externer erbt von Person Objektklasse Person Mitarbeiter Student

26 26 Phase 4: Verteilte Identitätenbasen MitarbeiterStudentExterner ……… Zentrale Kernidentität Verwaltung Initiale Datensätze Satellit HIS UB Updates Satellit LDAP ATIS Student ATIS-Student Satellit LDAP RZ Satellit ADS WiWi CIP Satellit ADS GUID

27 27 Phase 5: Gesamtszenario KIM Informatik Studierender/ Mitarbeiter ATIS-Dienste VPNMail Drucken Zugriff auf lokale Dienste (Home, Mail) Windows Unix Zugriff auf KIM-Dienste im Prozessablauf KIM-Kontext Basis- dienst Basis- dienst Anwendungs- dienste Trust Relation Basis- dienst Planungs- dienst Noten- erfassung Anwendungsdienste – KIM-LPS Zentrale Kern- identitäten ADS WiWi LDAP RZ LDAP UB LDAP Verw. Verwaltung z.B. LDAP-Verzeichnisse (oder ADS) LDAP ATIS Direkte Authentisierung und Autorisierung Identitätsmanagement – KIM-IdM WS Authentisierung Autorisierung Lokaler Kontext

28 28 Aktuelle Schritte

29 29 Fricard Datendistribution (1) Nur erforderlicher Attribute werden synchronisiert. Synchronisationsschnittstelle eines Satelliten Satellit … LDAP Syn Satellit RZ ADS Siport Syn Satellit Verwaltung HIS Fricard Personalisierung Syn Selektiver Synchronisationslayer Kernidentitaten Chip- number

30 30 Ausblick

31 31 IDM Architektur

32 32 Phasenplanung

33 33 Ziele (1) Integriertes Informationsmanagement bedeutet: (1) Untergang der (Informations-)Inseln ! (s. unikath 01/2006) (2) Eine notwendige Grundlage: (1) Integriertes Identitätsmanagement d.h. (1) Übergang von unabhängigen Identitäten- Inseln zu einem kooperierenden System !

34 34 Vielen Dank für Ihre Aufmerksamkeit Fragen?


Herunterladen ppt "Www.atis.uni-karlsruhe.de 1 Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus."

Ähnliche Präsentationen


Google-Anzeigen