Die Systembeschreibung und Datenfelder des ... - uni-erfurt.de · Dienstvereinbarung zu Einführung...

Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen

Anlage 1 – Hochschulspezifische Besonderheiten, Sicherheitskonzept,

Ansprechpartner des Systembetreibers und Struktur der Anlagen

1 Änderungshistorie Datum Bearbeiter Bemerkung

21.06.2011 Matthias Kühm Entwurf der Anlage 1

06.07.2011 Matthias Kühm Korrekturen nach Vorstellung im Personalrat

13.11.2012 Matthias Kühm Klarstellung Datenfelder, Verteilungspasswort, Erweiterung Shibboleth Identity Provider

2 Rahmendienstvereinbarung Die Systembeschreibung und Datenfelder des Meta Directory (MD) als zentralem Verzeichnis des

Identitätsmanagements (IdM) der Universität Erfurt sind Bestandteil der Anlage 1 der gleichnamigen

Rahmendienstvereinbarung (RDV) zwischen dem Thüringer Kultusministerium (TKM) und dem

Hauptpersonalrat beim TKM vom 26.08.2009.

3 Hochschulspezifische Besonderheiten In diesem Abschnitt wird der exemplarische Aufbau des MD mit den angeschlossenen Systemen der

RDV für die Universität Erfurt konkretisiert und die verwalteten Datenfelder aufgeführt.

3.1 Aufbau In Abbildung 1 ist der Aufbau des MD dargestellt. Als Quellsysteme, dargestellt im oberen Bereich,

dienen die operationellen Datenbanken der Hochschulverwaltung für Mitarbeiter (HIS-SVA) und

Studierende (HIS-SOS) sowie ein Organisationssystem für sonstige Personen (Handeingabe, THUAPOS

light). Informationen aus den Quellsystemen dienen als Basis für das Anlegen von Personen- und

Rollenobjekten im MD. Quellsysteme können umgekehrt aber auch Empfänger von Informationen

aus dem MD sein.

Im unteren Bereich von Abbildung 1 sind die Zielsysteme abgebildet. Das sind das Authentifizierungs-

system A1, der Verzeichnisdienst PHE, das Mail-System (IMAP), der Shibboleth Identity Provider (IdP)

sowie das System für die operative Auskunft OAS. In den Zielsystemen werden auf Basis von

Benutzer- und Rollenobjekten im MD Benutzerkonten angelegt und verwaltet. Zielsysteme können

umgekehrt aber auch Quelle von Informationen für das MD sein.

Der Zweck der Anbindung der genannten Systeme und die Datenaustauschbeziehung zum MD

werden in den weiteren Anlagen zur Dienstvereinbarung erläutert.

Abbildung 1 – Aufbau Meta-Directory an der Universität Erfurt

3.2 Datenfelder Nicht alle der in der Tabelle 1, Anlage 1 zur RDV aufgeführten Datenfelder werden für das MD der

Universität Erfurt verwendet. In nachfolgender Tabelle 1 sind die tatsächlich genutzten Datenfelder

zusammengefasst.

Lfd. Nr.

1

Daten Kurzbeschreibung

1. Familienname Identifizierung von Personen und Generierung von Basisdaten, z.B. Mailadresse, Login

2. Vornamen Siehe 1.

3. Namenszusätze Siehe 1.

4. Geburtsdatum Eindeutige Identifizierung von Personen beim Auftreten von Namenskonflikten

5. HISSVA-interne Personalnummer Eindeutige Abbildung von Personeneinträgen zwischen MD und HISSVA

6. Matrikelnummer Eindeutige Abbildung von Personeneinträgen zwischen MD und HISSOS

8. Personenidentifikator Abstrakter, anwendungsunabhängiger Identifikator für Personen innerhalb des MD

9. Benutzername Login-Name einer Person für die Benutzung von IT-Diensten der Hochschule

10. (Anfangs-)Passwort Initiales Passwort zur Synchronisation mit anderen Verzeichnissen als Voraussetzung für Single Sign On

11. E-Mail-Adresse Generierung einer E-Mail-Adresse für die Benutzer der IT-Dienste der Hochschule

13. Anrede Repräsentation des Geschlechts einer Person für eine korrekte Kontaktaufnahme

14. Akademischer Grad korrekte Abbildung der Bestandteile eines Namens: <Titel> <akademischer Grad> Vorname <Namenszusätze> Nachname zum Zwecke einer korrekten Kontaktaufnahme

15. Immatrikulationsdatum Einordnung von Studierenden in matrikelbezogene Verzeichnishierarchien und Generierung von Basisdaten; Berechtigungsvergabe, beispielsweise für Anmeldevorgänge

1 Nummerierung folgend Tabelle 1 der Anlage 1 zur RDV

22. Zugehörigkeit (Rolle) Bildung von Benutzergruppen und Vergabe von Rechten in den IT-Systemen der Hochschule

23. Primäre Zugehörigkeit (Rolle) Siehe 22. und Spezifikation der dominierenden Beziehung einer Person zur Hochschule

24. Personalkategorie Charakter der Beschäftigung zur Ermittlung der primären Zugehörigkeit bzw. der primären Rolle einer Person an der Hochschule

25. Strukturzugehörigkeit Ableitung von Rechten und Vergabe von Ressourcen in den jeweiligen Bereichen; Unterstützung der dezentralen Administration

26. Strukturschlüssel (RDV: Kostenstelle)

Ableitung der Strukturzugehörigkeit und Unterstützung von abrechnungsbezogenen Anwendungen

31. Hörerstatus Einordnung von Studierenden zur Abbildung auf Verzeichnishierarchien, Benutzergruppen und Mailing-Listen; Berechtigungsvergabe, beispielsweise für Anmeldevorgänge

32. Telefonnummer Dienstliche Telefonnummer für ein hochschulinternes elektronisches Telefonbuch und für das Facility Management

33. Telefaxnummer Dienstliche Telefaxnummer für ein hochschulinternes elektronisches Telefonbuch und für das Facility Management

34. Gebäude Identifizierung des Arbeitsplatzes eines Beschäftigten zur Koordinierung der Ressourcenverwaltung, inklusive des Netzwerkmanagements

35. Raum Siehe 34.

36. Gültigkeitsdatum/Beginn Beginn der Gültigkeit einer hochschulspezifischen Rolle, wie zum Beispiel „Student“, „Mitarbeiter“ oder „Gast“

37. Gültigkeitsdatum/Ende Ablauf der Gültigkeit einer hochschulspezifischen Rolle, wie zum Beispiel „Student“, „Mitarbeiter“ oder „Gast“

38. Status eines Personeneintrages Status eines Personeneintrages im MD für die Abbildung von Bearbeitungszuständen

39. Referenzen auf die Rollen Referenzen auf die Rollen einer Person im MD

40. Referenz auf die primäre Rolle Referenz auf die primäre Rolle einer Person im MD

41. Rollenidentifikator Abstrakter anwendungsunabhängiger Identifikator für Rollen innerhalb des MD

42. Referenz auf den Rolleninhaber Referenz auf den Inhaber (Person) einer Rolle im MD

43. Rollentyp Rollentyp, wie zum Beispiel „Mitarbeiter“ oder „Student“

44. Status eines Rolleneintrages Status eines Rolleneintrages im MD für die Abbildung von Bearbeitungszuständen

45. HISSVA-interner Beschäftigungsidentifikator

Objektassoziation zu den mit HIS vereinbarten Datenstrukturen für Beschäftigte

46. HISSVA-interner Identifikator für die organisatorische Zugehörigkeit

Objektassoziation zu den mit HIS vereinbarten Datenstrukturen für Beschäftigte

47. HISSOS-interne Studiengangsnummer

Objektassoziation zu den mit HIS vereinbarten Datenstrukturen für Studierende

50. Titel korrekte Abbildung der Bestandteile eines Namens: <Titel> <akademischer Grad> Vorname <Namenszusätze> Nachname zum Zwecke einer korrekten Kontaktaufnahme

Tabelle 1 – Verwaltete Daten gemäß Tabelle 1, Anlage 1 der RDV

Aus den Daten mit den laufenden Nummern 1, 2, 3, 13, 14 und 50 wird im MD das Datum

Anzeigename gebildet, welches in der Absenderadresse von Emails verwendet wird.

3.2.1 Posix-Attribute

Eine technisch orientierte Gruppe von Daten, die nicht in der Anlage 1 der RDV aufgeführt, aber im

MD der Universität Erfurt verwaltet werden, sind Posix-Attribute. Diese werden zur

Benutzerverwaltung in Unix-Betriebssystemen benötigt, an der Universität Erfurt beispielsweise für

den Betrieb der Terminals in der UB. Mit Einführung des IdM werden diese Daten nicht mehr beim

Anlegen von Benutzerkonten in der NDS PHE generiert, sondern beim Anlegen von Benutzerobjekten

im MD. Tabelle 2 gibt einen Überblick.

Die Daten mit den Lfd. Nr. 2-5 sind entweder Konstanten oder verwenden bereits im MD vorhandene

Informationen. Einzig die Benutzernummer (Lfd. Nr. 1) fügt den Personenobjekten im MD ein

zusätzliches Identifikationsmerkmal hinzu.

Lfd. Nr.

Datum Kurzbeschreibung

1. Benutzernummer (Posix) Attribut uidNumber; eindeutige Benutzernummer

2. Gruppennummer (Posix) Attribut gidNumber; fester Wert: 1000

3. Benutzerverzeichnis (Posix) Attribut homeDirectory; Pfad zu Benutzerverzeichnis mit Bildungsschema /home/<Benutzername>

4. Anmeldeumgebung (Posix) Attribute loginShell; fester Wert: /bin/bash

5. Kurzname (Posix) Attribut gecos; Bildungschema <Vornamen> <Nachname>

Tabelle 2 – Posix-Attribute

3.2.2 Verteilungspasswort

Über das MD kann das Password von Nutzern zwischen den Zielsystemen synchronisiert werden.

Dieses Verteilungspasswort ist im Gegensatz zum Anfangspasswort (Tabelle 1, Lfd. Nr. 10) nicht im

Klartext gespeichert und ist über die verwendeten Administrationswerkzeuge (LDAP-Browser,

iManager) nicht einsehbar.

4 Sicherheitskonzept Folgend den Vorgaben aus Anlage 1 der RDV wurde ein Sicherheitskonzept erstellt, welches den

Schutz der personenbezogenen Daten vor Ausspähung und Manipulation gewährleisten soll. Die

Anwendung des Sicherheitskonzepts für die Einführung und den Betrieb des MD an der Universität

Erfurt wird vom Sicherheitsbeauftragen des Universitätsrechen- und Medienzentrums (URMZ)

überwacht.

5 Ansprechpartner des Systembetreibers Das MD wird als zentraler Bestandteil des Identitätsmanagements vom URMZ betrieben.

Ansprechpartner für alle technischen und organisatorischen Belange sind

Der Leiter des URMZ und

der zuständige Mitarbeiter für das Identitätsmanagement

Die Kontaktdaten sind über die Präsenz des URMZ abrufbar oder beim Servicebüro des URMZ unter

der Durchwahl 5450 zu erfragen.

6 Struktur der weiteren Anlagen Die weiteren Anlagen der Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den

angeschlossenen Quell- und Zielsystemen an der Universität Erfurt beschreiben die Daten-

austauschbeziehung zwischen dem MD und dem jeweils betrachteten System. Die Anlagen besitzen

folgende Struktur:

1. Änderungshistorie

2. Zweckbestimmung

3. Datenaustauschbeziehung

3.1. Datenimport in das Meta Directory

3.2. Datenexport aus dem Meta Directory

4. Sicherheitskonzept

Tabelle 3 gibt einen Überblick zu den weiteren Anlagen.

Anlage (Nr) Titel

2 Datenaustauschbeziehung zwischen dem Meta Directory und dem Personalverwaltungs-system HIS-SVA

3 Datenaustauschbeziehung zwischen dem Meta Directory und dem Studierendenverwaltungs-system HIS-SOS

4 Datenaustauschbeziehung zwischen dem Meta Directory und dem Organisationssystem für sonstige Personen (THUAPOS light)

5 Datenaustauschbeziehung zwischen dem Meta Directory und dem Authentifizierungssystem (A1)

6 Datenaustauschbeziehung zwischen dem Meta Directory und dem Verzeichnisdienst NDS PHE

7 Datenaustauschbeziehung zwischen dem Meta Directory und dem Verzeichnisdienst des Email-Systems (IMAP)

8 Datenaustauschbeziehung zwischen dem Meta Directory und dem System für die operative Auskunft (OAS)

9 Datenaustauschbeziehung zwischen dem Meta Directory und dem Shibboleth Identity Provider (IdP)

Tabelle 3 – Überblick zu den weiteren Anlagen


Anlage 2 – Datenaustauschbeziehung zwischen dem Meta Directory und dem

Personalverwaltungssystem HIS-SVA



2 Zweckbestimmung Die Anbindung des Personalverwaltungssystems HIS-SVA erfolgt zum Zweck der Synchronisation von

Identitäts- und Rolleninformationen zwischen HIS-SVA und dem Meta Directory (MD). Auf Basis der

Synchronisation erfolgt die automatische Einrichtung und Verwaltung von Benutzerkonten für

Mitarbeiter der Universität Erfurt in den Zielsystemen A1, NDS PHE, Email und OAS.

3 Datenaustauschbeziehung Das Personalverwaltungssystem HIS-SVA ist Quellsystem für Identitäts- und Rolleninformationen im

MD. Für jede synchronisierte Identität (Person) wird genau ein Personenobjekt im MD erzeugt und

verwaltet. Aus der Kombination Beschäftigungsverhältnis und Finanzierung zu einer Person in HIS-

SVA wird jeweils eine Rolle im MD erzeugt und verwaltet. Personen, denen kein aktives

Beschäftigungsverhältnis zugeordnet ist, werden nicht synchronisiert. Einer Person kann im MD

grundsätzlich mehr als eine Rolle zugeordnet werden, auch aus anderen Quellsystemen (z.B.

Studierende als Hilfskräfte).

Im Rahmen des Identitätslebenszyklus werden Personen- und Rollenobjekte 12 Monate nach Ende

des Beschäftigungsverhältnisses aus dem MD entfernt und die Benutzerkonten in den Zielsystemen

bereinigt. Damit werden auch alle aus HIS-SVA synchronisierten personenbezogenen Daten aus dem

MD und den angeschlossenen Systemen entfernt. Ausgenommen sind Personenobjekte, denen noch

Rollen aus anderen Quellsystemen zugeordnet sind.

In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.

3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die aus HIS-SVA synchronisierten Daten mit Verweis auf das

Zielobjekt im MD und das Ursprungsdatum in HIS-SVA.

Lfd. Nr.

Datum Zielobjekt im MD

HIS-SVA Attribut (Tabelle)

1. Familienname Person pgd_name (pgd)

2. Vornamen Person pgd_vornamen (pgd)

3. Namenszusätze Person pgd_namenbestand (pgd)

4. Geburtsdatum Person pgd_geburtsdatum (pgd)

5. Geschlecht / Anrede Person pgd_geschlecht (pgd)

6. Titel Person pgd_titel (pgd) ‐> key_anredetitel (k_anredetitel) – kurz_anredetitel_m (k_anredetitel)

7. Akademischer Grad Person pgd_akad_grad (pgd) ‐> key_akad_grad (k_akad_grad) – text_akad_gradm (k_akad_grad)

8. HIS-SVA-interne Personalnummer

Person/ Rolle

pgd_join_id (pgd)

9. HIS-SVA-interner Beschäftigungsidentifikator

Rolle pbv_nr (pbv)

10. HIS-SVA-interner Identifikator für die org. Zugehörigkeit

Rolle pfi_serial (pfi)

11. Gültigkeitsdatum/Beginn Rolle pfi_von (pfi)

12. Gültigkeitsdatum/Ende Rolle pfi_bis (pfi) oder pbv_befr_bis (pbv)

13. Kostenstelle Rolle poz_institut (pfi)

14. Strukturzugehörigkeit Rolle poz_institut (pfi) ‐> inst_nr (inst) – dname (inst)

15. Personalkategorie Rolle pbv_art (pbv) ‐> key_vertragsart (k_vertragsart) – text_vertragsart_m (k_vertragsart)

Tabelle 1 – Datenimport

3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die nach HIS-SVA synchronisierten Daten mit Verweis auf das

Quellobjekt im MD und das Zieldatum in HIS-SVA. Der Export erfolgt nur, falls eine Assoziation des

Personenobjekts mit HIS-SVA besteht, d.h. ein dem MD bekannter Personeneintrag in HIS-SVA

vorliegt.

Lfd. Nr.

Datum Quellobjekt im MD

HIS-SVA Attribut (Tabelle)

1. Email-Adresse Person poz_email (pfi)

Tabelle 2 – Datenexport

4 Sicherheitskonzept Die Datenbank des Personalverwaltungssystems HIS-SVA und der MD-Server befinden sich in

eigenen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen.

Zur Realisierung der Synchronisation wird der Zugriff auf die Datenbank des

Personalverwaltungssystems für den MD-Server gestattet. Die Verbindung erfolgt mit SSL-

Verschlüsselung über einen Remote-Loader auf dem Datenbankserver.

Auf der Datenbank wird ein Benutzer eingerichtet, der nur über die für die Synchronisation

notwendigen Rechte verfügt. Der Zugriff erfolgt über Datenbanksichten für Identitäts- und

Rolleninformationen, die alle benötigten Daten zur Verfügungen stellen. Ein direkter Zugriff auf die

Tabellen der Datenbank erfolgt nicht.



Studierendenverwaltungssystem HIS-SOS



2 Zweckbestimmung Die Anbindung des Studierendenverwaltungssystems HIS-SOS erfolgt zum Zweck der Synchronisation

von Identitäts- und Rolleninformationen zwischen HIS-SOS und dem Meta Directory (MD). Auf Basis

der Synchronisation erfolgt die automatische Einrichtung und Verwaltung von Benutzerkonten für

Studierende der Universität Erfurt in den Zielsystemen A1, NDS PHE, Email und OAS.

3 Datenaustauschbeziehung Das Studierendenverwaltungssystem HIS-SOS ist Quellsystem für Identitäts- und Rollen-

informationen. Für jede synchronisierte Identität (Person) wird genau ein Personenobjekt im MD

erzeugt und verwaltet. Aus den Studiengängen zu einer Person in HIS-SOS wird jeweils eine Rolle im

MD erzeugt und verwaltet. Personen, die exmatrikuliert sind, werden nicht synchronisiert. Einer

Person kann im MD grundsätzlich mehr als eine Rolle zugeordnet werden, auch aus anderen

Quellsystemen (z.B. Studierende als Hilfskräfte).


3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die aus HIS-SOS synchronisierten Daten mit Verweis auf das

Zielobjekt im MD. Bei Identitäten, die sowohl in HIS-SOS als auch in HIS-SVA verwaltet werden,

erfolgt die Synchronisation auf das gleiche Personenobjekt im MD.

Lfd. Nr. Datum Zielobjekt im MD

1. Familienname Person

2. Vornamen Person

3. Namenszusätze Person

4. Geburtsdatum Person

5. Geschlecht / Anrede Person

6. akademischer Grad Person

7. Matrikelnummer Person/Rolle

8. HIS-SOS-interne Studiengangsnummer Rolle

9. Immatrikulationsdatum Rolle

10. Gültigkeitsbeginn Rolle

11. Gültigkeitsende Rolle

12. Hörerstatus Rolle


3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die nach HIS-SOS synchronisierten Daten mit Verweis auf das

Quellobjekt im MD. Der Export erfolgt nur, falls eine Assoziation des Personenobjekts mit HIS-SOS

besteht, d.h. ein dem MD bekannter Personeneintrag in HIS-SOS vorliegt. Bei Personen, die sowohl in

HIS-SOS als auch in HIS-SVA verwaltet werden, erfolgt die Synchronisation ausgehend vom gleichen

Personenobjekt im MD. In diesem Fall werden die in Tabelle 2 aufgeführten Daten von Mitarbeitern

nach HIS-SOS synchronisiert.

Lfd. Nr. Datum Quellobjekt im MD

1. Email-Adresse Person

2. Benutzername Person


4 Sicherheitskonzept Die Datenbank des Personalverwaltungssystems HIS-SOS und der MD-Server befinden sich in

eigenen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen.

Zur Realisierung der Synchronisation wird der Zugriff auf die Datenbank des

Studierendenverwaltungssystems für den MD-Server gestattet. Die Verbindung erfolgt mit SSL-

Verschlüsselung über einen Remote-Loader auf dem Datenbankserver.



Organisationssystem für sonstige Personen (THUAPOS light).



2 Zweckbestimmung Das Organisationssystem für sonstige Personen, THUAPOS light, wird vom URMZ betrieben und dient

der Verwaltung von Personen, die zur Nutzung von IT-Ressourcen gemäß der Benutzerordnung des

URMZ (BO-URMZ) berechtigt sind, aber nicht in den Verwaltungssystemen HIS-SVA oder HIS-SOS

verwaltet werden. Zugriffsberechtigt als Operatoren sind Mitarbeiter des URMZ, die mit der

Benutzerverwaltung betreut sind.

Die Anbindung von THUAPOS light an das MD erfolgt zum Zweck der Synchronisation von Identitäts-

und Rolleninformationen. Auf Basis der Synchronisation erfolgt die automatische Einrichtung und

Verwaltung von Benutzerkonten für sonstige Personen in den Zielsystemen A1, NDS PHE, Email und

OAS.

3 Datenaustauschbeziehung Das Organisationssystem für sonstige Personen ist Quellsystem für Identitäts- und Rollen-

informationen im MD. Für jede synchronisierte Identität (Person) wird genau ein Personenobjekt im

MD erzeugt und verwaltet. Zu jeder Rolle einer Person in THUAPOS light wird jeweils eine

korrespondierende Rolle im MD erzeugt und verwaltet. Für Personen- und Rollenobjekte, die im

Rahmen des Identitätslebenszyklus aus dem MD gelöscht werden, erfolgt automatisch auch die

Bereinigung in THUAPOS light.


3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die aus THUAPOS light synchronisierten Daten mit Verweis auf

das Zielobjekt im MD. Bei Identitäten, die sowohl in THUAPOS light als auch in anderen

Quellsystemen verwaltet werden, erfolgt die Synchronisation auf das gleiche Personenobjekt im MD.



2. Vornamen Person





7. Titel Person



10. Rollentyp Rolle

11. Personalkategorie Rolle

12. Gültigkeitsdatum/Beginn Rolle

13. Gültigkeitsdatum/Ende Rolle

14. Referenz auf den Rolleninhaber Rolle

15. Strukturzugehörigkeit Rolle

16. Telefonnummer Rolle

17. Telefaxnummer Rolle

18. Gebäude Rolle

19. Raum Rolle


Die Email-Adresse und der Benutzername (Lfd.Nr. 8-9) können bei der Neuanlage einer Person in

THUAPOS light angegeben werden, um die Verwendung bestehender Benutzerkonten in den

Zielsystemen zu erzwingen.

Für das Datum Rollentyp (Lfd.Nr. 10) sind die Belegungen Student und Mitarbeiter, die für Rollen aus

den Verwaltungssystemen HIS-SVA und HIS-SOS verwendet werden, nicht zulässig. Das Datum

Personalkategorie (Lfd.Nr. 11) wird zur weiteren Unterscheidung innerhalb eines Rollentyps

verwendet und unterscheidet sich in der Belegung von Rollen des Typs Mitarbeiter aus HIS-SVA

(keine Beschäftigungsverhältnisart).

3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die nach THUAPOS light synchronisierten Daten mit Verweis auf

das Quellobjekt im MD. Der Export erfolgt nur, falls eine Assoziation des Personen- bzw.

Rollenobjekts mit THUAPOS light besteht, d.h. ein dem MD bekannter Eintrag in THUAPOS light

vorliegt. Bei Personen, die sowohl in THUAPOS light als auch in HIS-SVA verwaltet werden, erfolgt die

Synchronisation ausgehend vom gleichen Personenobjekt im MD. In diesem Fall werden die in

Tabelle 2 aufgeführten Personendaten von Mitarbeitern nach THUAPOS light synchronisiert.



2. Vornamen Person





7. Titel Person



10. Passwort Person



13. Gebäude Rolle

14. Raum Rolle


In THUAPOS light kann für Personenobjekte im MD eine Assoziation über den Benutzernamen

hergestellt werden. Damit wird für eine Verlängerung der Nutzungsdauer im Rahmen der BO-URMZ

eine Person nach THUAPOS light importiert und eine entsprechende Rolle zugeordnet.

4 Sicherheitskonzept Die Datenbank des Personalverwaltungssystems THUAPOS light und der MD-Server befinden sich im

gleichen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netz. Zur

Realisierung der Synchronisation wird der Zugriff auf die Datenbank von THUAPOS light für den MD-

Server gestattet. Die Datenübertragung erfolgt mit SSL-Verschlüsselung über einen Remote-Loader

auf dem Datenbankserver.

Der Zugriff auf THUAPOS light für die Operatoren erfolgt über eine Web-Schnittstelle. Dazu wird der

Aufbau einer Verbindung zum entsprechenden Server über einen festgelegten Port aus dem Netz des

URMZ gestattet. Operatoren müssen zur Nutzung der Web-Schnittstelle zunächst zur Gruppe der

Operatoren in THUAPOS light hinzugefügt werden. Die Authentifizierung erfolgt dann mit

Benutzername und Passwort (Novell-Login).



Authentifizierungssystem (A1).



14.11.2012 Matthias Kühm Verteilungspasswort explizit in Datenexport

2 Zweckbestimmung Das Authentifizierungssystem A1 wird vom URMZ betrieben und erlaubt eine LDAP-basierte

Authentifizierung für verschiedene Dienste mit Benutzername und Passwort. Das Passwort wird über

das MD mit anderen Systemen synchronisiert.

Die Anbindung an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und Verwaltung von

Benutzerkonten im A1 für jede vom MD verwaltete Person. Der Betrieb des Authentifizierungs-

systems erfolgt als Testbetrieb.

3 Datenaustauschbeziehung Das Authentifizierungssystem A1 ist Zielsystem für Identitäts- und Rolleninformationen aus dem MD.

Für berechtigte Personen im MD wird automatisch ein Benutzerkonto im A1 angelegt und bei

Änderungen im MD aktualisiert. Mit Löschen des Benutzerobjekts im MD im Rahmen des

Identitätslebenszyklus werden auch das Benutzerkonto im A1 und damit alle aus dem MD

exportierten Daten gelöscht.


3.1 Datenimport in das Meta Directory Aus dem Authentifizierungssystem A1 werden keine Daten in das MD importiert.

3.2 Datenexport aus dem Meta Directory Tabelle 1 gibt einen Überblick über die in das Authentifizierungssystem A1 synchronisierten Daten

mit Verweis auf das Quellobjekt im MD. Bei Änderung des Verteilungspassworts im MD, wird das

Benutzerpasswort im A1 aktualisiert.



2. Vorname Person



5. Zugehörigkeit (Rolle) Person

6. Primäre Zugehörigkeit (Rolle) Person

7. Verteilungspasswort Person


4 Sicherheitskonzept Die Server des Authentifizierungssystems A1 und des MD befinden sich im gleichen, durch

verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netz. Die

Authentifizierung und Synchronisation zwischen den Systemen erfolgt gesichert mit SSL. Dazu wird

der bidirektionale Verbindungsaufbau für die Server über festgelegte Ports erlaubt.

Die LDAP-Authentifizierung über das A1 ist im Testbetrieb nur innerhalb des Rechnernetzes des

URMZ möglich. Das Organisationssystem für sonstige Personen nutzt das A1 zur Authentifizierung

der Operatoren.



Verzeichnisdienst NDS PHE .



06.07.2011 Matthias Kühm Korrekturen nach Vorstellung im Personalrat

14.11.2012 Matthias Kühm Passwort explizit in Datenimport/-export

2 Zweckbestimmung Der Verzeichnisdienst NDS „PHE“ ist der zentrale Dienst für die Datei- und Druckverwaltung der

Universität Erfurt. Alle Personen, die einen PC in den Poolräumen oder am Arbeitsplatz nutzen,

benötigen ein Benutzerkonto in der NDS PHE. Über das Benutzerkonto wird die Anmeldung an den

PCs ermöglicht, der persönliche Speicherbereich zur Verfügung gestellt aber auch die

Authentifizierung gegenüber verschiedenen Diensten, wie z.B. metacoon, realisiert. Betreiber des

Systems ist das URMZ.

Die Anbindung an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und Verwaltung von

Benutzerkonten für die im MD verwalteten Personen. Benutzerpasswörter werden über das MD mit

anderen angeschlossenen Systemen synchronisiert.

3 Datenaustauschbeziehung Der Verzeichnisdienst NDS PHE ist Zielsystem für Identitäts- und Rolleninformationen aus dem MD.

Für berechtigte Personen im MD wird automatisch ein Benutzerkonto im NDS PHE angelegt und bei

Änderungen im MD aktualisiert. Mit Löschen des Benutzerobjekts im MD im Rahmen des

Identitätslebenszyklus werden auch das Benutzerkonto in der NDS PHE und damit alle aus dem MD

exportierten Daten gelöscht.


3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die in das MD synchronisierten Daten mit Verweis auf das

Zielobjekt im MD. Auslöser für einen Import sind Änderungen durch Bereichsbetreuer des URMZ

oder die Passwortänderung durch den Nutzer.


1. Anzeigename Person





3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die aus dem MD synchronisierten Daten mit Verweis auf das

Quellobjekt im MD.



2. Vornamen Person




6. Benutzernummer (Posix) Person

7. Gruppennummer (Posix) Person

8. Benutzerverzeichnis (Posix) Person

9. Anmeldeumgebung (Posix) Person

10. Kurzname (Posix) Person

11 Anfangspasswort1 Person

12 Verteilungspasswort1 Person

13. Rollentyp Rolle

14. Gültigkeitsdatum/Ende Rolle


16. Matrikelnummer Rolle



19. Gebäude Rolle

20. Raum Rolle


4 Sicherheitskonzept Die Server (Replik) des Verzeichnisdienstes NDS PHE und des MD befinden sich in getrennten, durch

verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen. Zur Realisierung

des Datenaustauschs wird der beiderseitige Verbindungsaufbau über einen festgelegten Port

gestattet. Die Authentifizierung und Datenübertragung erfolgt gesichert mit SSL.

1 Beim Anlegen eines neuen Benutzerobjekts wird grundsätzlich das Anfangspasswort aus dem MD verwendet.

Bei Änderung des Verteilungspassworts im MD wird das Passwort im angeschlossenen System aktualisiert.



Verzeichnisdienst des Email-Systems (IMAP).



2 Zweckbestimmung Die universitäre Email-Adresse wird für alle Email-Nutzer der Universität Erfurt durch ein

Benutzerkonto im LDAP-Verzeichnisdienst des Email-Systems (Email-LDAP) verwaltet. Auch Nutzer

der Groupware-Lösung Groupwise erhalten dort ein Benutzerkonto, das allerdings als Weiterleitung

eingerichtet wird. Betreiber des Email-Systems ist das URMZ.

Die Anbindung des Email-LDAP an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und

Verwaltung von Emailkonten für die im MD verwalteten Personen. Benutzerpasswörter werden über

das MD in das Email-System synchronisiert.

3 Datenaustauschbeziehung Der Email-LDAP ist Zielsystem für Identitäts- und Rolleninformationen aus dem MD. Für berechtigte

Personen im MD wird automatisch ein Benutzerkonto angelegt und bei Änderungen im MD

aktualisiert. Mit Löschen des Benutzerobjekts im MD im Rahmen des Identitätslebenszyklus werden

auch das Benutzerkonto Email-LDAP und damit alle aus dem MD exportierten Daten gelöscht.


3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die in das MD synchronisierten Daten mit Verweis auf das

Zielobjekt im MD. Auslöser für einen Import sind Änderungen durch die Email-Betreuer des URMZ.




3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die aus dem MD synchronisierten Daten mit Verweis auf das

Quellobjekt im MD.



2. Vornamen Person





9. Matrikelnummer Rolle




4 Sicherheitskonzept Der Server (Replik) des Email-LDAP und der Server des MD befinden sich in getrennten, durch

verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen. Zur Realisierung

des Datenaustauschs wird der Verbindungsaufbau für das MD über einen festgelegten Port gestattet.

Die Authentifizierung und Datenübertragung erfolgt gesichert mit SSL.



System für die operative Auskunft (OAS)



14.11.2012 Matthias Kühm Verteilungspasswort explizit in Datenimport/-export

2 Zweckbestimmung Das System für die operative Auskunft erfüllt die Zwecke

Selbstauskunft gemäß §4 der RDV und

Auskunftssystem für Mitarbeiter, die mit der Verwaltung von Identitäten und

Berechtigungen betraut sind.

Die Anbindung des OAS an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und

Verwaltung von Benutzerkonten für die im MD verwalteten Personen. Über diese Benutzerkonten

erfolgt der lesende Zugriff auf Identitäts- und Rolleninformationen des MD ohne direkt auf das MD

zuzugreifen (Portal). Benutzerpasswörter werden über den Konnektor bidirektional synchronisiert.

Das OAS besteht aus zwei Komponenten: Einem Verzeichnis auf Basis des Produkts Novell eDirectory

(NDS) und einem Portal auf Basis der Benutzeranwendung aus dem Produktpaket Novell Identity

Manger. Mit der Anmeldung am Portal ist es möglich, die der jeweiligen Identität zugeordneten

Daten einzusehen und das Benutzerpasswort zu ändern. Den Benutzerbetreuern des URMZ wird

darüber hinaus eine Verzeichnissuche zur Verfügung gestellt. Die Verzeichnissuche erlaubt eine

Suche über Identitäten mit den Kriterien Name, Vorname, Benutzername, Email-Adresse und

Geburtsdatum, sowie über Rollen mit den Kriterien Rollentyp, Strukturzugehörigkeit,

Matrikelnummer und Immatrikulationsdatum.

3 Datenaustauschbeziehung Das Verzeichnis des operativen Auskunftssystems ist ein laufend aktualisiertes Abbild des MD. Mit

Löschen von Personen- und Rollenobjekten im MD werden diese auch im Verzeichnis des OAS wieder

entfernt.


3.1 Datenimport in das Meta Directory Es werden grundsätzlich keine Identitäts- und Rolleninformationen vom Verzeichnis des OAS in das

MD synchronisiert. Bei Änderung des Benutzerpassworts über das OAS-Portal wird das

Verteilungspasswort im MD aktualisiert.

3.2 Datenexport aus dem Meta Directory Der Konnektor zum Verzeichnis des OAS ist so konfiguriert, dass Identitäts- und Rolleninformationen

vollständig in das Verzeichnis des OAS synchronisiert werden. Mit Änderung des

Verteilungspassworts im MD wird auch das Benutzerpasswort im OAS aktualisiert.

4 Sicherheitskonzept Die Server des Verzeichnisses für das operative Auskunftssystem und die Server des MD befinden

sich im gleichen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-

Netzen. Zur Realisierung des Datenaustauschs zwischen den Verzeichnissen wird der bidirektionale

Verbindungsaufbau zwischen den Servern über festgelegte Ports gestattet. Die Authentifizierung und

Datenübertragung erfolgt gesichert mit SSL.

Das Portal greift über das Protokoll LDAPS verschlüsselt auf das Verzeichnis des OAS zu. Die Rechte

entsprechen dabei denen des angemeldeten Benutzers. Standardmäßig darf ein Benutzer nur auf

seine eigenen Identitäts- und Rolleninformationen (lesend) zugreifen. Für die Verwendung der

Verzeichnissuche zu operativen Zwecken muss ein Benutzer einer entsprechenden Gruppe

zugeordnet werden.



Shibboleth Identity Provider (IdP)



28.11.2012 Matthias Kühm Finale Fassung nach Vorstellung im Personalrat

2 Zweckbestimmung Der DFN-Verein betreibt eine Infrastruktur für Authentifizierung und Autorisierung (DFN-AAI), bei der

das Programmpaket Shibboleth zum Einsatz kommt. Shibboleth ist eine auf Standards basierende

Open-Source Software für die erleichterte Identitätskontrolle (Authentifizierung) und individuelle

Zugangsberechtigung (Autorisierung).

Shibboleth besteht aus drei Software-Komponenten

Identity Provider (IdP)

Service Provider (SP)

Discovery Service (DS)

Ein IdP wird von Einrichtungen betrieben, deren Nutzer auf geschützte Inhalte von Dienstanbietern

zugreifen sollen. Die Inhalte werden auf Seite des Anbieters von einem SP gesichert, der nach

Authentifizierung des Nutzers am IdP der Einrichtung die zur Verfügung gestellten Identitäts- und

Rollendaten zur Autorisierung auswertet. Der DS unterstützt bei der Anmeldung die Lokalisierung des

IdP der Einrichtung (URL) und wird im Rahmen der DFN-AAI vom DFN-Verein betrieben. Die

Anmeldedaten der Nutzer (Benutzername und Passwort) werden gegenüber dem IdP der Einrichtung

geprüft und sind für die Dienstanbieter nicht sichtbar.

Das Universitätsrechen und -Medienzentrum (URMZ) betreibt im Rahmen der DFN-AAI einen IdP für

Mitglieder und Angehörige der Universität Erfurt. Für die Erfüllung der vertraglich geregelten

Anforderungen an organisatorische Abläufe, insbesondere der Bereitstellung von tagaktuellen

Identitäts- und Rolleninformationen, erfolgt die Anbindung an das MD.

3 Datenaustauschbeziehung Die DFN-AAI definiert eine Reihe von Informationen, die in Form von Attributen von einem IdP zur

Verfügung gestellt werden sollten. Ausgangspunkt für die Bereitstellung des Shibboleth-IdP durch das

URMZ sind Anforderungen von Seiten der Universitätsbibliothek, den Online-Zugriff auf lizensierte

elektronische Medien (eMedien) ortsunabhängig zur ermöglichen. Dienstanbieter in diesem Umfeld

benötigen nur eine minimale Anzahl von Attributen, die vom IdP anbieterunabhängig in Form einer

Grundkonfiguration bereitgestellt werden. Tabelle 1 listet diese Attribute auf.

Attribut Beispielbelegung Quelle

Art der Zugehörigkeit plus Domäne

[email protected] Rollentyp, Personalkategorie, Strukturschlüssel der Rollen im MD

Berechtigung urn:mace:dir:entitlement:common-lib-terms fester Parameter oder abhängig von Rollentyp, Personalkategorie, Strukturschlüssel der Rollen im MD

Eindeutiges Pseudonym Cntb1RElxzrtSNIIRAbB Datenbank1

Tabelle 1 - Anbieterunabhängig bereitgestellte Attribute

Weitere Dienstanbieter in der DFN-AAI oder (zukünftig) vom URMZ betriebene lokale SPs können bei

Bedarf auf weitere Attribute zugreifen. Der Umfang an zusätzlichen Attributen wird dann abhängig

vom Anbieter in der Konfiguration des IdP festgelegt. Die in Tabelle 2 aufgeführten Attribute stehen

dabei zur Verfügung.

Attribut Beispielbelegung Quelle

Vorname(n) Martina Vornamen aus MD

Nachname Mustermann Familienname aus MD

Angezeigter Name Dr. Martina Mustermann Anzeigename aus MD

Email [email protected] E-Mail-Adresse aus MD

Netz-ID [email protected] Benutzername aus MD

Organisation Universität Erfurt fester Parameter

DN der Organisation o=Universität Erfurt,c=de fester Parameter

DN der Organisationseinheit ou=Standard,o=Universität Erfurt,c=de fester Parameter

Art der Zugehörigkeit employee Rollentyp, Personalkategorie, Strukturschlüssel der Rollen im MD

Tabelle 2 - Anbieterabhängig (selektiv) bereitgestellte Attribute

Vor der Weitergabe von Informationen an einen SP wird der Benutzer über die zu übertragenden

Attribute informiert und muss der Weitergabe zustimmen. Die Zustimmung erfolgt grundsätzlich

einmal pro Anbieter.

3.1 Datenimport in das Meta Directory Es werden keine Daten in das MD importiert.

1 Pro Dienstanbieter wird bei Erstanmeldung ein eindeutiges Pseudonym erzeugt und in einer Datenbank

verwaltet. Als unveränderlicher Schlüssel wird der Personenidentifikator aus dem MD verwendet.

3.2 Datenexport aus dem Meta Directory Der Konnektor zum Verzeichnis des IdP ist so konfiguriert, dass Personeninformationen aus dem MD

und feste Parameter auf das zugehörige Benutzerobjekt abgebildet werden. Für rollenabhängige

Informationen werden die dem Benutzerobjekt zugeordneten Rollen im MD ausgewertet und die

abgeleiteten Informationen synchronisiert. Die in Tabelle 3 aufgeführten Attribute aus dem MD

werden für Authentifizierung und die Bereitstellung von Identitäts- und Rolleninformationen über

den IdP verwendet.



2. Vorname Person



5. E-Mail-Adresse Person


7. Personenidentifikator Person

8. Rollentyp Rolle

9. Personalkategorie Rolle

10. Strukturschlüssel Rolle

Tabelle 3 - Datenexport

4 Sicherheitskonzept Die Server des IdP verfügen über öffentliche IP-Adressen und sind über das abgesicherte

Kommunikationsprotokoll HTTPS weltweit erreichbar. Für die Authentifizierung und Autorisierung

von Nutzern erfolgt kein direkter Zugriff auf das MD. Es wird ein eigenes Verzeichnis für den IdP als

Satellitensystem bereitgestellt, das den gesicherten Zugriff über LDAPS für den IdP erlaubt. Das

Verzeichnis stellt nur die vom IdP tatsächlich benötigten Informationen als Untermenge der Daten im

MD zur Verfügung (vgl. Tabelle 1 und Tabelle 2).

Die Server des IdP-Verzeichnisses und die Server des MD befinden sich im gleichen, durch

verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netz mit privaten IP-

Adressen. Zur Realisierung des Datenaustauschs zwischen den Verzeichnissen wird der bidirektionale

Verbindungsaufbau zwischen den Servern über festgelegte Ports gestattet. Die Authentifizierung und

Datenübertragung erfolgt gesichert mit SSL.

Die Systembeschreibung und Datenfelder des ... - uni-erfurt.de · Dienstvereinbarung zu Einführung...

Documents

Transcript of Die Systembeschreibung und Datenfelder des ... - uni-erfurt.de · Dienstvereinbarung zu Einführung...