Folke-Gert StümpelFebruar 2009

PSV – aktueller Stand in HISinOneRollen und RechteShibboleth

2PSV – aktueller Stand in HISinOne

Gliederung

PSVPersonen / KontakteGebäude / RäumeEinrichtungenLDAP-ExportMigration bestehender Daten

Rollen und RechteShibboleth

3PSV – aktueller Stand in HISinOne

Personen / Kontakte

Verwaltung von:Personendaten / AnschriftenAccounts / Rollen und RechtenChipkartenzusätzliche Attribute

4PSV – aktueller Stand in HISinOne

5PSV – aktueller Stand in HISinOne

Gebäude / Räume

Verwaltung von:Räume / GebäudeAnschriften zu RäumenGebäude mit Etagen

6PSV – aktueller Stand in HISinOne

7PSV – aktueller Stand in HISinOne

8PSV – aktueller Stand in HISinOne

Einrichtungen

Verwaltung von:Einrichtungsstruktur als BaumKontaktdaten für einzelne Knoten (z. B.

Institute)Zuordnung von Personen zu EinrichtungenZuordnung von Räumen / Gebäuden zu

Einrichtungen

9PSV – aktueller Stand in HISinOne

10PSV – aktueller Stand in HISinOne

LDAP-Export

Personen und Kontaktdaten

Accountdaten

Schema eduPerson

Externe Systeme können die Daten dort lesen

Kein Auslesen aus dem LDAP in die HISinOne-DB!

11PSV – aktueller Stand in HISinOne

LDAP-Export

dc=his,dc=de

ou=people

cn=admin cn=hans mueller………

12PSV – aktueller Stand in HISinOne

Migration

Mirgration von bestehendem Datenbestand

SOSPOS, SVA, LSF

Personen und Kontaktdaten, Accounts und Rollen

HISinOne

SVA

LSF

SOSPOS

Import / Migration

13PSV – aktueller Stand in HISinOne

Aktuelle Tätigkeiten

Dublettensuche (Personen)

Konzeption und Umsetzung von Rollen und Rechten

Verwaltung von Bildern

14PSV – aktueller Stand in HISinOne

Nächste Schritte

Konfigurierbarer LDAP-Export

15PSV – aktueller Stand in HISinOne

Rollen und Rechte

Eine Rolle wird definiert durch

- einen Namen

- einen Identifikator

- und eine Menge von Rechten

16PSV – aktueller Stand in HISinOne

Rollen und Rechte

Rollen werden in der Regel im Zusammenhang mit einem Kontext (einer Organisationseinheit) eingenommen.

Beispiel: „Administrator des Fachbereichs Physik“

Anmerkung: Die Organisationseinheit der Rolle ist nicht zwangsläufig die gleiche, die der Person zugeordnet ist.

17PSV – aktueller Stand in HISinOne

Rollen und Rechte

Die Verknüpfung von Rollen und Rechten kann mit einem oder mehreren Parametern versehen werden.

Beispiel: Zuständigkeit für Personen, deren erster Buchstabe des Nachnamens in einem definierten Bereich liegt.

18PSV – aktueller Stand in HISinOne

Rollen und Rechte

rightsdefinitionrole

rightsinrole rightsparameter

19PSV – aktueller Stand in HISinOne

Rollen und Rechte

Die Identifizierung einer Person erfolgt durch einen oder mehrere Nutzernamen

Für die Authentifizierung wird ein Passwortmechanismus oder ein Zertifikat verwendet

Je nachdem wie man sich anmeldet, erhält die Person einen Authentifizierungsgrad

20PSV – aktueller Stand in HISinOne

Rollen und Rechte

Einer Person können eine oder mehrere Rollen zugeordnet werden

Anmerkung: Durch diesen Rollenmechanismus ist es eigentlich nicht notwendig, einer Person mehrere Nutzernamen zuzuordnen

21PSV – aktueller Stand in HISinOne

Rollen und Rechte

Die Verknüpfung von Rollen und Personen kann mit einem Parameter versehen werden

Über diesen Parameter können Einschränkungen definiert werden. Es können unterschiedliche Typen von Einschränkungen definiert werden

22PSV – aktueller Stand in HISinOne

Rollen und Rechte

person account

orgrole

orgunit

role

roleparameter

23PSV – aktueller Stand in HISinOne

Shibboleth (Pilotierung)

Die Implementierung des Shibboleth-Authentifizierungs-Plugins ist ein Beitrag der Universität Freiburg zur Entwicklung von HISinOne

24PSV – aktueller Stand in HISinOne

Shibboleth (Ziele)

HISinOne soll als Service Provider für Shibboleth fungieren

HISinOne soll den Identity Provider mit Daten versorgen

25PSV – aktueller Stand in HISinOne

Shibboleth (Stand)

An der Uni Freiburg existiert ein Prototyp in dem HISinOne als Service Provider für Shibboleth eingesetzt wird