Identity Managemnet Universität Duisburg Essen Einheitlicher Zugang zu Diensten, Informationen und Kommunikationspartnern in einer serviceorientierten, integrierten Informations- und Kommunikationsinfrastruktur Thema Bommerholz 29.10.2004

Identity Managemnet Universität Duisburg Essen Motivation und Zieldefinition Erstellung eines Feinkonzept Identity Management für die Universität Duisburg-Essen Analyse der Prozesse Agenda Bommerholz 29.10.2004

Quelle: aktuelle Computerwoche Motivation Bommerholz 29.10.2004

Quelle: aktuelle Computerwoche Dynamische IT Bommerholz 29.10.2004

Probleme Neue netzbasierte Dienste sind außerhalb der RZ entstanden (CIP-Pools, FB-Server, Webdienste/Portale von UB und Verwaltung, ...) Alle Dienste haben eigene Nutzerverwaltung Nutzer (Studenten, Mitarbeiter,...) müssen sich bei jedem Dienst einzeln registrieren Betreiber der Dienste möchten deshalb die Nutzerdatenbank des RZ zur Authentifizierung nutzen Die RZ-Nutzerverwaltung ist nicht vollständig (Campus Essen nur 13 von 22 Tausend Studenten) Studenten- und Mitarbeiterdaten werden überhaupt nicht oder nur „provisorisch“ mit der Verwaltung synchronisiert Motivation Bommerholz 29.10.2004

Zieldefinition für das Projekt Identity Management (IM) Verbesserung der Dienstleistungsprozesse des HRZ an seine Kunden Unterstützung des Neugründungsprozesses der Universität Duisburg-Essen Reduzierung der Infrastrukturkosten durch… … Schaffung von klaren eindeutigen Administrationsprozessen … Verminderung von Datenredundanzen … Automatische Synchronisation der Daten ... Reduzierung der Administrationsaufwände für die Endbenutzer ... Erhöhung der Sicherheit … Vereinheitlichung der Directories … Vereinfachung der Integration zukünftiger Anwendungen Zieldefinition Bommerholz 29.10.2004 Basic text slide

Was ist Identity Management? Einheitliche Verwaltung von Personen, Rollen, Adressen, (Zugriffs)Rechten, Ressourcen Zieldefinition Bommerholz 29.10.2004 Basic text slide

Wozu Identity Management? Zur wirksamen Unterstützung von Forschung, Lehre, Studium, Verwaltung und Öffentlichkeitsarbeit soll jedem , der in oder mit der Hochschule zu tun hat, ein einheitlicher, direkter und vollständiger Zugang zu allen Diensten, Informationsquellen und Kommunikationspartnern angeboten werden unter Berücksichtigung der Rolle(n), Aufgaben und persönlichen Berechtigungen eines jeden. Notwendige Grundlage: IM Zieldefinition Bommerholz 29.10.2004 Basic text slide

IM aus Nutzersicht I Basic text slide Nur eine Anlaufstelle Benutzerkennung und Initialpasswort sofort bei Einschreibung/Einstellung, damit Zugangsberechtigung auf „allen“ DV-Systemen Self care Funktion Freischaltung von Zugängen Aktualisierung von Daten durch Nutzer Freigabe/Sperrung von Daten für Verzeichnisse Datenschutz/Datensicherheit Vollständiger Überblick über alle gespeicherten Daten (Inhalt, Ort, Zweck) Fachbereiche/Fakultäten Übernahme von Daten aus zentralen Verzeichnissen: keine Doppelerhebungen, Verwaltungsvereinfachung ->Portal Einheitlicher Dienstezugang Single Sign On Zieldefinition Bommerholz 29.10.2004 Basic text slide

IM aus Nutzersicht II Telefon- und Adressbücher, Emailverteiler Darstellung Organisationsstruktur System Management Entzug von Berechtigungen bei Ausscheiden Auslösen von Folgeprozessen bei Verwaisen von wichtigen Rollen (Administratoren) durch Ausscheiden Übersicht über wichtige Rollen (z.B. Administratoren) Zieldefinition Bommerholz 29.10.2004 Basic text slide

Marktanalyse Anbieter Suchraum Hochschullandschaft NRW (Bielefeld, Paderborn), Deutschland und Europa Anbieter von Beratungsdienstleistung und Lösungsanbieter IBM SUN Siemens, Siebel Compunet Marktanalyse Bommerholz 29.10.2004

Marktanalyse Anbieter Phase 1: Grobkonzept Mai 2003 Bildung einer Gemeinsamen Arbeitsgruppe „Einheitlicher Dienstezugang und Verzeichnisdienste“ aus Rechenzentren, Bibliotheken, Verwaltungen Lauren States, Vice President IBM/Tivoli Technical Sales Support worldwide wird executive sponsor Juli 2003 Ein Anforderungspapier (Anlage) wird an mehrere Anbieter (IBM, SUN, Siemens, Siebel) versandt mit der Bitte, Vorstellungen zur Realisierung zu entwickeln Juli/Aug 2003 Präsentationen der Hersteller mit Grobkonzepten zur Projektgestaltung (Phasen, Inhalte, Organisation), zur (herstellerneutralen) Systemarchitektur und zur Realisierung mit bestimmten Produkten. Auswahl eines Vorschlags/Grobkonzept als Basis für Feinkonzept Marktanalyse Bommerholz 29.10.2004

Phase 2: Auswahl Anbieter Feinkonzept August 2003 Antrag an das Ministerium für Wissenschaft und Forschung NRW auf Förderung eines ersten Teilprojekts (Analyse von Administrationsprozessen, Informationsflüssen, Datenstrukturen, Rollenkonzepten, Berechtigungen, detaillierte Vorschläge für Systemarchitektur, Implementierung, Produkte) Oktober 2003 Bewilligung des Antrags in Höhe von 80.000 €, Beschränkte Ausschreibung 12. Nov. 2003 Präsentationen der Anbieter und Bewertung 15. Nov. 2003 Zuschlag und Vertragsabschluss Marktanalyse Bommerholz 29.10.2004

Projektführungsstruktur Projektleitung Universität Herr Blotevogel (zentraler Ansprechpartner) Projektleitung Gunter Jahn (IBM) Qualitätssicherung Dr. Oliver Ziehm (IBM) HRZ MA Universität Verwaltung MA Universität Bibliothek MA Universität Prozesse Margarete Nikol (IBM) Meta-Directory Gunter Jahn (IBM) Provisioning Reinhard Stamms (IBM) Projektbeteiligte Bommerholz 29.10.2004

Projektplan Projektplan 51 Phasen / Kalenderwoche 47 48 49 50 02 03 Kick-Off – Vorbereitung und Durchführung - Kick-Off 18.11.2003 - Vorbereitung und Fragebögen IST-Aufnahme - Prozesse - Rollen - Directories IT-Architektur, Soll-Prozesse und - Directories - IT-Architektur, SOLL-Prozesse und -Aufbau Directories Weiteres Vorgehen - Konzepte Standardberechtigungen und Datenbereinigung - weiteres Vorgehen und Priorisierung Präsentation - Abschlusspräsentation und Übergabe Abschlussdokumentation KW 49 IST-Prozesse und IST-Directories KW 51 IT Architektur SOLL-Prozesse und Directories Kick-Off 18.11.2003 Abschluss- präsentation Projektplan Bommerholz 29.10.2004

Identity Management Architektur Bommerholz 29.10.2004

Vorgehen (Präsentation Meilenstein 18.12.2003) bearbeitet Ist-Analyse- Directories Ist-Analyse- Prozesse In Arbeit ausstehend Soll- Empfehlung Directories Soll- Empfehlung Prozesse Rollen Empfehlung der Soll- Datenflüsse Empfehlung einer Soll- Architektur Produkt- empfehlung Implemen- tierungs- vorschlag Projektplan Empfehlung für zentrales Directory Einheitliche Benutzer-ID & Kennwort Vorgehen Bommerholz 29.10.2004

Technische Analyse der Directories Es wurden etwa 40 Directories darauf hin untersucht, ob sie in der ersten Phase des Identity Management-Projektes berücksichtigt werden sollen. Davon wurden 23 intensiver mit einem Analyse-Dokument beleuchtet. 12 Directories wurden einer Soll-Betrachtung unterzogen. Es werden in der ersten Phase etwa 20 Ziel- und Quellsysteme am Identity Management teilnehmen. Analyse der Directories Bommerholz 29.10.2004

Ergebnisse der Ist-Analyse der Prozesse Untersucht und dokumentiert wurden insgesamt 39 Prozesse HISSOS Essen 4 Prozesse Duisburg 4 Prozesse HISSVA Essen 3 Prozesse Duisburg 4 Prozesse Aleph 500 (Bibliotheks- System) Bibliothek Duisburg und Essen gesamt 15 Prozesse AUM / NIS Benutzer- verwaltung Essen 5 Prozesse Duisburg 4 Prozesse Prozessanalyse Bommerholz 29.10.2004

Zusammenhang IST- und SOLL-Prozesse IST-Prozesse SOLL-Prozesse Anlage neuer Mitarbeiter Anlage neuer Mitarbeiter Provisioning System Bibliothek HRZ Accounts Telefon Bibliothek Accounts Telefon Die Mehrzahl der manuellen und teilautomatischen Prozesse wird durch automatische Prozesse über das Provisioning System ersetzt, Prozesse wurden zusammengefasst. Viele manuelle und teilautomatische Prozesse. IST- und Soll Prozesse Bommerholz 29.10.2004

Ist-Prozess: Wie kommen Studierende zu ihren Berechtigungen? Studenten- sekretariat HISSOS Einschreibung tägliche Datenüberlei-tung (DU) 1x pro Semester Benutzerkennung und Passwort (DU) für HRZ Tägliche Da-tenüberlei-tung (E/DU) Web Formular HRZ Benutzerbüro Benutzer- verwaltung / NIS Benutzer Account, eMail (E) für HRZ Fachbereich/ Fakultät Fachbereich Bibliothek Aleph 500 Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek Prozessanalyse Bommerholz 29.10.2004

Soll-Prozess: Wie kommen Studierende zu ihren Berechtigungen? Studenten- sekretariat HISSOS Identity Management System Einschreibung Initialkennung und Passwort Self Care eMail Adresse und Account können über eine Initialkennung und Initialpasswort abgerufen werden Fachbereich/ Fakultät AD Bibliothek Aleph 500 Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek Prozessanalyse Bommerholz 29.10.2004

Identity Feed Prozess: HISSOS 1/2 Bei der Einschreibung wird eine Initialkennung und ein Initialkennwort generiert. Im Rahmen des Self Care erzeugt sich der Student seinen Account-Name und die eMail Adresse. Nach der Erzeugung des Accounts und seiner Mail wird die Initialkennung verworfen. Da der Account und die eMail Adresse nur auf Anforderung erzeugt wird, werden keine ungenutzten Accounts und E-Mails erzeugt. Prozessanalyse Bommerholz 29.10.2004

Identity Feed Prozess: HISSOS 2/2 Zwischen HISSOS und HISSVA gibt es keine Verfahren um Personengleichheit zu erkennen Der Identity Feed Job versucht selbst einen Abgleich über Name, Vorname, Geburtsdatum, Geburtsort zu schaffen. Falls keine wirkliche Eindeutigkeit vorhanden ist, werden die Personen nicht zusammengeführt. Bei Änderungen erfolgt die eindeutige Zuordnung über die Matrikelnummer.Ehemalige Studenten werden zu Alumnis und bleiben weiterhin gespeichert. Bei der Einschreibung oder Zulassung werden den Studenten entsprechende Rollen zugeordnet, diese sind abhängig vom Studentenstatus und der Zuordnung zum Fachbereich. Prozessanalyse Bommerholz 29.10.2004

IST-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen Wöchentliche Weiterleitung Daten an BuiSy (Du) Mitarbeiter/in Personal- verwaltung BuiSy Mitarbeiter/in wird eingestellt HISSVA FM Telefonantrag Telefon Bibliotheksantrag Bibliothek Aleph 500 Antrag Dienst-ausweis (E) Benutzer Account, eMail (E) Verwaltungs account Verwaltung MS AD HRZ Benutzer büro AUM/NIS Benutzer verwaltung Studenten- sekretariat Prozessanalyse Bommerholz 29.10.2004

Soll-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen Mitarbeiter/in wird eingestellt Personal- verwaltung Identity Management System HISSVA Initialkennung und Passwort Telefon-/Raumdaten Erfassung Email-Daten Erfassung IS Passwort setzen Self Care Antrag Dienst-ausweis (E) Studenten- sekretariat MS AD Verwaltung Aleph 500 Telefon BuiSy Prozessanalyse Bommerholz 29.10.2004

Legende zu den Überblicksfolien StudSek HISSOS Stu Dezx Die Glaz Rü Adr Tel EX MA Organisation Anwendungssystem Datenfluss Duisburg Datenfluss Essen Gleitzeitantrag Telefonantrag Antrag Dienstausweis Rückläufer Post Meldung neuer Adresse Dezernat mit Dezernatsnummer Antrag Mitarbeiter Antrag Externe Person Antrag Student HISSVA Prozessanalyse Bommerholz 29.10.2004

Nicht übereinstimmend Gesamtüberblick StudSek GLAZ Telefon HISMBS Bibliothek HISPOS E nur FB1 HRZ HISSVA HISSOS Fachbereich Dez 2 Stu MA Dez5 Dez3 Dez2 Dez1 Dez4 Glaz Adr Rü Die 1xper Sem Bei Anlage Aleph 500 NIS Benutzer Verwaltung / AUM Verwa ltung Account 1xper Sem 1.6/1.12 wöch BuiSy Tel Die? Nicht übereinstimmend EX Fachbereich/ Fakultät Ex Bei Anlage des MA Prozessanalyse Bommerholz 29.10.2004

Gesamtüberblick Essen Nicht übereinstimmend StudSek Adr Dez1 Aleph 500 HISSVA GLAZ HISSOS Rü Dez2 Dez3 MA Ex Glaz Adr MA Bei Anlage des MA 1xper Sem Dez5 HISPOS E nur FB1 AUM Verwa ltung Account HISMBS Dez4 Die Stu MA Ex 1xper Sem Fachbereich Telefon Prozessanalyse Bommerholz 29.10.2004

Gesamtüberblick Duisburg StudSek Adr Aleph 500 HISSVA GLAZ HISSOS Rü MA Ex Glaz Adr MA Bei Anlage des MA 1xper Sem HISPOS NIS Benutzer Verwaltung Verwa ltung Account HISMBS wöch Die? MA Ex Tel Fakultät BuiSy Telefon 1xper Sem 1.6/1.12 Prozessanalyse Bommerholz 29.10.2004

HISSVA – Personalverwaltung Essen Formular „Personalveränderungen“ Antrag: Bibliothekssys Mitarbeiter Aleph 500 (Bibliothek) Bibliotheks ausweis HISMBS Antrag Dienstausweis Wird im Studenten Sekretariat erstellt Dienst- ausweis Kostenstellen werden in HISSVA übernommen Antrag/ Verlängerung Account AUM Web Account email Adresse Plattenplatz HISSVA Verwaltung Account Verwaltung Account Antrag Account Gleitzeitsystem / Schliess System (Personalabteilung) GLAZ Karte Antrag GLAZ Raumzugangs karten Antrag KeyCode Karte Antrag/Änderung Telefon Telefon Telefon gerät Prozessanalyse Bommerholz 29.10.2004

Geschätzter Personalaufwand für die Projektphase Personalaufwand Phase 4 Bommerholz 29.10.2004

Weitere Ressourcen Softwarelizenzen abhängig von Landeslizenz 15.000 – 750.000 € (ca. 47.000€ Stand 09/04 für DuE ) Hardware 10.000 – 20.000 € Ressourcen Bommerholz 29.10.2004

Landesweite Abstimmung Aachen, Bielefeld, Duisburg-Essen, Paderborn, Bonn, Münster Wuppertal, FH Köln MWF DV-Infrastrukturausschuss Abstimmungsprozess Bommerholz 29.10.2004

Phase 3: Voraussetzungen Landesweite Abstimmung Rektoratsbeschluss Implementierung Beteiligung Datenschutz und (Haupt)Personalräte Beteiligung Fachbereiche und Organisationseinheiten Landeslizenz Phase 3 Bommerholz 29.10.2004

Vorgehensmodell Phase 1: Grobkonzept Phase 2: Feinkonzept Phase 3: Schaffung der Voraussetzungen für die Implementierung Phase 4: Implementierung Phasenmodell Bommerholz 29.10.2004

Danksagung Für die Nutzung von Folien IBM Herr Nastoll /HRZ Bommerholz 29.10.2004