Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Identity Management für die Max-Planck- Institute Andreas Ißleiber (GWDG) 0551/201-1815.

Ähnliche Präsentationen


Präsentation zum Thema: "Identity Management für die Max-Planck- Institute Andreas Ißleiber (GWDG) 0551/201-1815."—  Präsentation transkript:

1 Identity Management für die Max-Planck- Institute Andreas Ißleiber (GWDG) 0551/

2 Ziele eines Identity Managements Eckdaten des IdM der GWDG Angebundene Verzeichnisse Bausteine des IdM der GWDG MPG-weites Verzeichnis Anbindung von Max-Planck-Instituten Zwei Modelle der Anbindung Ablaufbeispiel: Anlage eines Benutzers Ausblick, Fazit 2 Inhalt

3 Ziele eines/des Identity Managements Aggregierung von existierenden Identitäten und Accounts Die Schaffung von Konvergenz in den Bereichen Verzeichnisdienste und Benutzerkonten Abbildung und Konsolidierung von Prozessen für die Benutzeranlage und Deprovisionierung Regelung von Zugriffsrechten in den angebundenen Verzeichnissen Abbildung von Rollen und Gruppen in den Zielverzeichnissen Aufbau eines föderativen zentralen Verzeichnisses der Max-Planck Nutzung zentraler Max-Planck Dienste über das IdM

4 Eckdaten des IdM bei der GWDG

5 Einführung des IdM im Juni 2005, mit der Anbindung lokaler Verzeichnisse der GWDG (Windows AD, LDAP) sowie Verzeichnisse der Studierenden (2006) Max-Planck Institute in Göttingen (2008) Derzeit insgesamt ca Identitäten und 41 angebundener Verzeichnisse/Verzeichnisdienste InstitutionAnzahl Identitäten Anzahl angebundener Verzeichnisse GWDG Max-Planck Studierende Universität Universitätsmedizin81002 Summe:

6 Eckdaten des IdM bei der GWDG Produkt: Novell/NetIQ Identity Manager 4.02 (incl. eDirectory) Kommunikation, sowie Programmierung XML (DirXML) Ereignisse/Modifikationen ca – / Tag Angebundene Systeme: Windows AD ( ) LDAP SQL-Datenbanken (PostgreSQL, MySQL, Informix) Webschnittstellen (Soap) SAP Command-Schnittstellen: Shell Scripts, PowerShell (Windows) Konnektoren für viele weitere Systeme bereits vorhanden In Größe und Umfang größter Verzeichnisdienst im Bereich der Wissenschaft/Forschung in Niedersachsen

7 Angebundene Verzeichnisse am IdM

8 Diverse Prozesse und Scripts Windows Exchange der GWDG MetaDirectory (Identity Vault) Windows AD der GWDG Diverse Max-Planck-Institute Windows AD, LDAP, db Datenquelle Datensenke Legende Angebundene Verzeichnisse am IdM LDAP der GWDG Benutzer-Portal Diverse Universitäts-Institute Sudierende (HIS) Sudierende (FlexNow) IdM-Portal Klinikum (UMG) der Universität SAP der Universität In 2011: Einführung der Mandantentrennung (Max-Planck/Universität) im IdM Trennung der Bereiche in unterschiedliche Partitionen

9 Bausteine des IdM der GWDG (Technische Zusammenhänge)

10 Bausteine des IdM bei der GWDG Entwicklungsumgebung MetaDirectoryPeriphäre Systeme Zentrale Authentifizierung

11 11 eDirectory Replica-Ring idm1 MetaDir idm2 MetaDir Master-Replica MetaDirectory Main Server IdM-Driver Management Read/Write-Replica IdM-Driver (failover) MetaDirectory Productive eDirectory 1 MetaDirectory als Basis (zentraler Verzeichnisdienst) Vollständig redundante Auslegung des Verzeichnisdienstes (eDirectory) (durch zwei Server: idm1 & idm2) Idm1 & idm2 laufen in der Servervirtualisierung (vmWare) Vorteile: Failover, verteilte Standorte, Lastverteilung, Snapshots Permanente Replikation zwischen Master Replica (idm1) read/write Replica (idm2) Alle Verzeichnisse sind an idm1/idm2 direkt über Remote-Loader angebunden Auf idm1 läuft die Logik sämtlicher Prozesse in Form von Treibern Das MetaDirectory

12 12 IdM Portal Web-Portal Reporting & Monitoring Periphäre Systeme Syslog Server SelfService Managing Monitoring Reporting Logging Tracing Subversion Server SVN 2 Idm-portal Selfservice (Passwortänderungen etc.) Administration für die Kunden Anlage, Modifikation der Benutzer Eigene Arbeitsumgebung für jeden Kunden Monitoring,Reporting-Server Überwachung der Treiber und Prozesse Automatisierte Warnungen bei kritischen Zuständen Bildung von Statistiken & Reports Logging-Server Erzeugung von Logfiles der wesentlichen Treiber/Prozesse Tracefiles der Treiber Syslog Subversion SVN Server zur Versionskontrolle bei der Treiberentwicklung Möglichkeit zu älteren Treiberversionen zurück zu kehren Periphäre IdM-Systeme

13 13 Idm1 (devel) MetaDir Idm2 (devel) MetaDir Master-Replica Driver Developing Testing Read/Write-Replica Entwicklungsumgebung Development eDirectory SAP Developing Master-Replica SAP IdM Developing 3 Eigenschaften der Entwicklungsumgebung: Realistische Arbeitsumgebung (>= User) Treiberentwicklung Testläufe/Last-Tests z.B. vor Produktivsetzung im Realsystem Bulk change Manipulationen am eDirectory Test von Software Update/Upgrades SAP-Treiber Entwicklung Getrennter Bereich für die Entwicklung der Anbindung von SAP am IdM Entwicklungsumgebung IdM-Entwicklungsumgebung getrennt/isoliert vom Produktivsystem

14 14 Idm1.backup MetaDir Idm2.backup MetaDir Master-Replica IdM-Driver (offline) IdM Management Read/Write-Replica (offline) Disaster-Recovery Backup eDirectory 4 TSM Backup GWDG Backupsystem Disaster Recovery/Backup Backup-System Tägliche exakte Kopie des Produktivsystem Recovery innerhalb von ca. 1-2 Stunden Events während der offline-phase gehen nicht verloren (RemoteLoader) Daten-Backup Tägliches Voll-Backup des eDirectory zum TSM Server der GWDG Zusätzliches Backup des eDirectory auf zwei weiteren IdM Server eDirectory Backup History 20 Tage Zusätzliches LDIF Backup der Identitäten/Attribute (20 Tage History) Backupdaten liegen auf örtlich getrennten Systemen

15 15 Windows AD LDAP RADIUS GWDG Authentication Servers Authentifizierung 5 Authentifizierungsserver Zentrale Authentifizierungssysteme Windows AD der GWDG LDAP der GWDG RADIUS Server der GWDG Zugang zu zentralen Diensten der GWDG über … Windows AD der GWDG LDAP der GWDG RADIUS Server der GWDG Zentrale Dienste der GWDG

16 Umsetzung eines MPG-weiten föderativen Verzeichnisses

17 17 Umsetzung des Ergebnis des MPG-IT-Verantwortlichen Treffen 4/2013 in Gera Bestandteile der Anbindung: Anbindung an das zentrale IdM der GWDG und damit Integration in ein gemeinsames MPG Verzeichnis Gemeinsame Dokumentation der Anbindung an das IdM, zusammen mit dem Institut Standardisierung der Anbindung

18 18 Optionale Dienstleistung der GWDG: IdM as a Service Bestandteile von IdM as a Service: Analyse der lokalen Verzeichnisdienste sowie der Benutzerverwaltung und ggf. Vorschläge zur deren Optimierung Abbildung der lokalen Prozesse des Instituts im Rahmen der IdM Anbindung Gemeinsame Dokumentation der Prozesse bei der Anbindung an das IdM, mit dem Institut Standardisierung und Optimierung von Prozessabläufen Anbindung etwaiger weiterer Verzeichnisse im Institut (LDAP etc.)

19 19 Vorteile für das Institut Keine manuellen Benutzeranträge für jede Account bei der GWDG erforderlich (Problem vergessene Deprovisionierung) Nutzung von zentralen Diensten der Max-Planck (MPG-weites Verzeichnis) Diensteanbieter aus der MPG können das Verzeichnis nutzen Die Autonomie der Benutzerverwaltung bleibt auf Seiten des Instituts Harmonisierung der UID im zentralen Verzeichnis Nutzung von zentralen Diensten, basierend auf der Anbindung an das IdM (Eduroam, Sharepoint, Exchange, Cloud share Dienste) Optional (IdM as a Service): Entlastung der lokalen Benutzerverwaltung des Institut Nutzung des zentralen Web-Portals (http://idm.gwdg.de) zur Administration von Gruppen und Accountshttp://idm.gwdg.de

20 Anbindung von Max-Planck Instituten am IdM der GWDG

21 21 Anbindung eines Instituts an das IdM 1)Voraussetzung auf Seiten des Instituts (Institut) Bevorzugt Windows AD (2003,2008R2,2012) oder alternativ LDAP als lokaler Verzeichnisdienst im Institut Hierfür existieren bei der GWDG einsatzfähige Templates als Treiber, bei diesen lediglich die Umgebungsparameter definiert werden müssen Netzzugang (durch Instituts-Firewall) für TCP-Port )RemoteLoader (GWDG/Institut) Client-Software (Java), welche alle Änderungen im Verzeichnis erkennt und die Daten, wenn erforderlich, zum IdM überträgt Der RemoteLoader wird als Dienst auf dem lokalen Server (Verzeichnisdienst) des Instituts Installiert und sichert die Kommunikation zum IdM 3)Gemeinsame Beantwortung unseres Fragenkataloges (GWDG/Institut) Die GWDG hat ein Fragenkatalog ausgearbeitet, in welchem die Umgebungsparameter des lokalen Verzeichnisses definiert werden Dieser Fragenkatalog kann gemeinsam mit der GWDG ausgefüllt werden

22 22 Anbindung eines Instituts an das IdM 4)Ausschnitt aus dem Fragenkatalog Welche Benutzer/Gruppen sollen berücksichtigt werden Welche Dienste sollen mit der Anbindung an das IdM genutzt werden ? Welche Attribute sollen (ggf. zusätzlich) berücksichtigt werden Welche Benutzer/Administratoren sollen vom IdM über den Zustand automatisch informiert werden ( ) 5)Programmierung/Anpassung des Treibers und Dokumentation (GWDG) Basierend auf dem Fragenkatalog wird der Treiber installiert/angepasst Gleichzeitig wird mir der Dokumentation der Anbindung begonnen 6)Installation des Treibers in der IdM Testumgebung Zunächst wird der Treiber und die Anbindung in der IdM-Testumgebung hinreichend geprüft Die Netzwerkanbindung wird geprüft (Firewall-Einstellungen des Instituts) Hierbei werden auch Produktivdaten aus dem Quellverzeichnis importiert (Synchronisation)

23 23 Anbindung eines Instituts an das IdM 7)Einrichten der Arbeitsumgebung am IdM-Portal Für die Administratoren des Instituts wird die Arbeitsumgebung den Wünschen des Instituts entsprechend eingerichtet 8)Produktivsetzung der Anbindung am MetaDirectory der GWDG (idm1) Der Treiber wird von der Entwicklungs- und Test-Umgebung in die Produktivumgebung migriert Initiale Synchronisation der Quellverzeichnisses (bereits gesetzte Passwörter können hierbei nicht synchronisiert werden) Während der Startphase erhöhtes Monitoring in der Produktivumgebung für die Anbindung

24 24 Remote loader MetaDirectory Verschlüsselte Verbindung Verzeichnisdienst des Instituts IdM-Treiber Internet Firewall (TCP:8090) GWDG Firewall MPI-Institut IdM Server Technische Anbindung eines Instituts RemoteLoader Client-Software (Java), welche die Ereignisse im Verzeichnis erkennt und die Daten (Änderungen) zum IdM überträgt IdM-Treiber An das Verzeichnis angepasster Treiber, der die gesamte Logik der Verarbeitung beinhaltet

25 Zwei Modelle für die Anbindung

26 26 Verzeichnisdienst des Instituts (z.B. Windows AD) IdM-Portal: (https://idm.gwdg.de) Benutzerverwaltung Administration SelfService Zentrale Dienste der GWDG IdM-Portal Institut MetaDirectory Zentrale Dienste der MPG MPG-weite Authentifizierung Modell 1: Institutsverzeichnis als führendes Quellverzeichnis Modifikationen an Identitäten erfolgen nur und ausschliesslich im Quellverzeichnis des Instituts optional

27 27 Verzeichnisdienst des Instituts (z.B. Windows AD) IdM-Portal: (https://idm.gwdg.de) Benutzerverwaltung Administration SelfService Zentrale Dienste der GWDG IdM-Portal Institut MetaDirectory Zentrale Dienste der MPG MPG-weite Authentifizierung Benutzerverwaltung Modell 2: IdM (eDirectory) als Quelle für Identitäten Institutsverzeichnis als Ziel Anlage/Löschen/Modifizieren von Identitäten erfolgen primär im IdM (über das Portal) und münden im Zielverzeichnis des Instituts Sinnvoll, wenn auch mehrere Zielverzeichnisse existieren

28 Beispiel-Ablauf: IdM-Treiber, Anlage eines Benutzers

29 29 Benutzer wird lokal angelegt Vorname: Karl Nachname: Testuser UID: k.testuser Passwort: ******* RemoteLoader erkennt Änderungen Daten/Attribute des Benutzer werden über RemoteLoader zum IdM übertragen MetaDirectory verarbeitet Daten Vorname: Karl Nachname: Testuser UID: TestUser Passwort: ******* IdM bildet lokale UID aus Vor-, Nach-name aus Vorname: Karl und Nachname: Testuser wird UID: karl.testuser User wird im IdM angelegt User: karl.testuser wird über das IdM in allen Zielsystemen der GWDG angelegt (Windows AD, LDAP etc.) UPN wird im IdM gebildet aus UID + Realm wird der UPN gebildet Administrator des Instituts bekommt über Anlage des Benutzers Institut IdM der GWDG

30 30 Zentrales Verzeichnis (eDirectory) Regelwerk, Policies Filter für die Attribute (welche Attribut werden berücksichtigt) Mapping: Attributszuordnung (Bsp: samAccountName = Unique ID) Angebundenes Verzeichnis des Instituts (hier am Beispiel Windows AD) eDirectory IdM-Treiber

31 Ausblick, Fazit, weitere Infos

32 32 Anbindung weiterer Max-Planck-Institute Umsetzung der Nutzung des UPN in allen Diensten parallel zur UID Die Anbindung an das IKT (GV, SAP/Netweaver) ist primäres Ziel Auf- und Ausbau einer MPG-weiten, föderierten IAM Lösung Einführung standardisierter Rollen Zukunft, Ausblick, Entwicklung …

33 33 Ein zentrales, MPG-weites Verzeichnis ist die Voraussetzung für die effektive Nutzung gemeinsamer Dienste und Ressourcen Die Anbindung von Instituten an das IdM ermöglicht den raschen Zugang zu zentralen Diensten Die Anbindung ist für das Institut i.d.R mit wenig Aufwand verbunden Die lokale Benutzerverwaltung kann dadurch entlastet werden Die Institute behalten Ihre Autonomie bei der Benutzerverwaltung

34 34 GWDG-Nachrichten: Ausgabe 9/2013 (Identity Management bei der GWDG) Ausgabe 8/2013 (Identity Management als Dienstleistung) Ausgabe 3/2013 (Das IdM-Portal) Das GWDG IdM Team: mail: weitere Infos zum Thema

35 … Fragen ? 35 Andreas Ißleiber (GWDG) 0551/ Vielen Dank! …


Herunterladen ppt "Identity Management für die Max-Planck- Institute Andreas Ißleiber (GWDG) 0551/201-1815."

Ähnliche Präsentationen


Google-Anzeigen