Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger ATIS, Universität Karlsruhe (TH) Dipl. Inform. Horst Wenske Rechenzentrum, Universität Karlsruhe (TH))
Vorstellung Klaus Scheibenberger, Leiter der Abteilung technische Infrastruktur der Fakultät für Informatik (ATIS). Die ATIS ... ist eine zentrale Fakultätseinrichtung. ... betreibt zentrale IT-Dienste für die Informatik (lokaler = fakultativer Kontext). ... erprobt neue Szenarien/Technologien, im Bereich der Informatik. ... bildet die Schnittstelle zum Rechenzentrum der Universität.
Agenda Einführung Entwicklungsschritte ... im fakultativen/lokalen Kontext ... im universitätsweiten Kontext hin zu einem integrierten Identitätsmanagement Aktuelle Schritte und Ausblick
Themeneinführung Dienste benötigen Identitätsinformationen von Nutzern ... zur Authentisierung (Zugang) ... zur Autorisierung (Rollen, Rechte) Identitätsmanagement hat zu tun mit der systematischen Bereitstellung und Pflege von Identitätsinformationen. In die Dienste eingebunden Systeme benötigen Identitätsdaten. Unterschiedliche technologische Ansätze für die Bereitstellung. Vorgestellt werden fünf Entwicklungsschritte (Phasen) für die Bereitstellung (und Pflege) von Identitätsdaten ... ausgehend von einem lokalen Ansatz ... ... hin zu einem universitätsweiten, kooperierenden Ansatz
Begriffe Lokaler (fakultativer) Kontext: Dienste eines Betreibers, die für eine oder mehrere Fakultäten bereitstellt werden („geschlossene Nutzergruppe“). Universitätsweiter Kontext: In universitätsweiten Prozessen interagieren Dienste unterschiedlicher Betreiber. Identität: Menge der Identitätsattribute die einem Nutzer von einem Betreiber zugeordnet sind. Teilidentität: Teilmenge einer Identität. Identitätenbasis: Menge von einheitlich strukturierten Identitäten.
Entwicklungsschritte Lokaler Kontext: Drei Phasen in der Bereitstellung von Identitätsdaten: Hochgradige Verteilung Reduzierung der Verteilung Eliminierung der Verteilung Hintergrund: Lokalen Betrieb optimieren. Universitätsweiter Kontext: Zwei weitere Phasen: Kopplung heterogener Identitätenbasen Integriertes Identitätsmanagement Hintergrund: Flexibilität universitätsweiter Prozesse optimieren.
Teil I – Lokaler Kontext
Phase 1: Typisches Szenario File- server Nutzer Linux Windows Authentifizierung / Autorisierung Arbeits- plätze Mail- Server RADIUS ADS NIS (+) Dial-In VPN Dienste „Passwd“ Problemzone Administrator(en) Datenbank für Nutzerkonten Verteilung per Skript Pflege der Benutzerverwaltung Identitätsdaten Management
Defizite Sicherheitsrelevante Defizite Unverschlüsselte Passwörter in der zentralen Nutzerdatenbank. Verteilung = Vervielfachung Betriebliche Defizite Speziell angepasste Verfahren (z.B. scripts) Spezielle Synchronisationsmechanismen erforderlich. Defizite aus Nutzersicht Häufig keine zeitnahen Änderungen verfügbar.
LDAP-Orientierung Die ATIS setzt für zentrale Dienste nahezu ausschließlich Solaris-/ Linux-basierte Systeme ein. Orientierung zu LDAP als einheitlicher Ansatz für verschiedene Dienste Andere Betreiber tendieren aufgrund anderer Randbedingungen zum Active Directory Service. „Viele Wege führen nach Rom“.
Phase 2: Reduzierung der Verteilung Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB
Defizite – Vorteil Sicherheitsrelevante Defizite Voneinander unabhängige Datenbestände mit Identitätsdaten. Betriebliche Defizite Unterschiedlich strukturierte LDAP-Verzeichnisse. Anpassungsaufwand für neue Dienste. Defizite aus Nutzersicht Unterschiedliche Authentisierungsdaten. Vorteil: Zunehmende Nutzung einer standardisierten Schnittstelle um die Verteilung von Identitätsdaten zu reduzieren.
(Forschungsbereiche) Übergang Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS Verbesserungs- potential Zentrales LDAP- Verzeichnis SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB
Phase 3: Zielarchitektur ... Replikate Mail Studenten- pool Dial-In Zentrales LDAP- Verzeichnis Dienste Identitätsdaten/ Nutzerkonten Web- interface Management dezentral zentral
Dienstorientierte LDAP-Struktur dc = Einrichtung B Fakultät dc = Stud ou = Groups ou = People dc = Einrichtung A Nutzerkonten Nutzerkonto Vorname Nachname Institut ... Mail-Server Mail-Aliase Benutzerkennung Passwort VPN-IP-Adresse Nutzerzertifikat Attribute Person Unix-Zugang Dial-In-Dienst VPN-Dienst Mail-Dienst Klassen
Einbindung neuer Dienste Beispiel VPN: Eigene Klasse enthält die VPN-spezifischen Attribute: Nutzerspezifische VPN-IP-Adresse Nutzer-Zertifikat nach X.509-Standard Test Name Mail URL
LDAP und Active Directory Ablösung von AD durch LDAP im Studentenpool: Derzeit Synchronisation von Accounts über Scripts von LDAP nach AD. Passwortänderungen über SfU. Aufwändiger und damit „fehleranfälliger“ Prozess. Einsatz von Samba 3.x als Domaincontroller. Tests bzgl. Windows-Grouppolicies
Lokaler Kontext – Aktueller Stand VPN – ok Mailsystem – ok Studentenpool – ok (Windows / LDAP – Testphase) Wireless (802.1x) – To Do Dial-In – To Do Umstellung von Einrichtungen in der Fakultät – Testphase (entspricht i.P. Studentenpool) Konsequente Ausrichtung in Richtung LDAP im lokalen Kontext
Teil II - Universitärer Kontext
KIM-LPS KIM-Projekt Karlsruher integriertes InformationsManagement (www.kim.uni-karlsruhe.de) Beispiele für universitätsweite Prozesse: Lehrveranstaltungsmanagement Prüfungsmanagement Studienassistenz Teilprojekt KIM-LPS
KIM-LPS – Architektur (Ausschnitt) Legacy- System Anwendungs- Dienste Basisdienste <<Task>> Prozesse Infrastrukturdienste (Verzeichnisdienste, Sicherheit, ...) WS-Wrapper WS- ... <<Prozess>> Betreiber2 Betreiber1 Idenitätenbasis1 Idenitätenbasis2 Identitäten? Identitätsmanagement als wichtiger Faktor Teilprojekt KIM-IdM
Integration von Identitätenbasen Ausrichtung an den eigenen Anforderungen, nicht an einem Produkt. Zunächst: Einfachheit der Architektur Tests, erste Implementierungsschritte mit einfachen Tools um generelle Zusammenhänge zu verifizieren. Spätere Flexibilität in der Produktauswahl.
Begriffe Satellit: Organisatorische Einheit (Betreiber) die eine eigenständige Identitätenbasis pflegt (z.B. ATIS). Gesamtidentität: Zusammenfassung aller, in den Satelliten, einem Nutzer zugeordneten Identitäten. Identität: Menge der Identitätsattribute die einem Nutzer in einem Satelliten zugeordnet sind. Teilidentität: Teilmenge einer Identität.
Anforderungen Heterogenität: Unterschiedliche Satelliten. Selbstverwaltung: Lokale Flexibilität. Autonomie: Dezentrale Identitätenbasen. aber Eindeutigkeit: Identitäten in verschiedenen Satelliten. Datenharmonisierung: Synchronisation und Sicherstellung der Konsistenz im gesamten Verbund. Datenminimalität, Datenschutz: Nur notwendige Informationen.
Zentrale Kernidentität GUID Name Vorname Email Matrikel- nummer Titel Externer erbt von „Person“ Objektklasse „Person“ Mitarbeiter Student
Phase 4: Verteilte Identitätenbasen Verwaltung Initiale Datensätze Satellit HIS RZ Satellit ADS UB Updates Satellit LDAP Zentrale Kernidentität Mitarbeiter Student Externer … GUID … … ATIS Student ATIS-Student Satellit LDAP WiWi CIP Satellit ADS
Phase 5: Gesamtszenario KIM Lokaler Kontext Informatik Studierender/ Mitarbeiter ATIS-Dienste VPN Mail Drucken Zugriff auf lokale Dienste (Home, Mail) Windows Unix Zugriff auf KIM-Dienste im Prozessablauf KIM-Kontext Basis- dienst Anwendungs- dienste Trust Relation Planungs- Noten- erfassung Anwendungsdienste – KIM-LPS Zentrale Kern- identitäten ADS WiWi LDAP RZ UB Verw. Verwaltung z.B. LDAP-Verzeichnisse (oder ADS) ATIS Direkte Authentisierung und Autorisierung Identitätsmanagement – KIM-IdM WS Autorisierung
Aktuelle Schritte
Fricard Datendistribution Nur erforderlicher Attribute werden synchronisiert. Chip- number Satellit Verwaltung HIS Fricard Personalisierung Syn Satellit RZ ADS Siport Syn Selektiver Synchronisationslayer Kernidentitaten Synchronisationsschnittstelle eines Satelliten Satellit … LDAP Syn
Ausblick
IDM Architektur
Phasenplanung
Untergang der (Informations-)Inseln ! Ziele Integriertes Informationsmanagement bedeutet: Untergang der (Informations-)Inseln ! (s. unikath 01/2006) Eine notwendige Grundlage: Integriertes Identitätsmanagement d.h. Übergang von unabhängigen Identitäten-Inseln zu einem kooperierenden System !
Vielen Dank für Ihre Aufmerksamkeit Fragen?