Identity Management Universität Duisburg EssenHRZ / D 2.2 Bommerholz 29.10.2004 1 Identity...

Bommerholz 29.10.20041

Identity Management Universität Duisburg Essen HRZ / D 2.2

Identity Managemnet Universität Duisburg Essen

Einheitlicher Zugang zu Diensten, Informationen und

Kommunikationspartnern in einer serviceorientierten, integrierten

Informations- und Kommunikationsinfrastruktur

ThemaThema



Identity Managemnet Universität Duisburg Essen

1. Motivation und Zieldefinition

2. Erstellung eines Feinkonzept Identity Management für die Universität

Duisburg-Essen

3. Analyse der Prozesse

AgendaAgenda


Identity Management Universität Duisburg Essen HRZ / D 2.2MotivationMotivationQuelle: aktuelle Computerwoche


Identity Management Universität Duisburg Essen HRZ / D 2.2Dynamische ITDynamische ITQuelle: aktuelle Computerwoche



Probleme•Neue netzbasierte Dienste sind außerhalb der RZ entstanden (CIP-Pools, FB-Server, Webdienste/Portale von UB und Verwaltung, ...)

•Alle Dienste haben eigene Nutzerverwaltung

•Nutzer (Studenten, Mitarbeiter,...) müssen sich bei jedem Dienst einzeln registrieren

•Betreiber der Dienste möchten deshalb die Nutzerdatenbank des RZ zur Authentifizierung nutzen

•Die RZ-Nutzerverwaltung ist nicht vollständig (Campus Essen nur 13 von 22 Tausend Studenten)

•Studenten- und Mitarbeiterdaten werden überhaupt nicht oder nur „provisorisch“ mit der Verwaltung synchronisiert

MotivationMotivation



Zieldefinition für das Projekt Identity Management (IM)

• Verbesserung der Dienstleistungsprozesse des HRZ an seine Kunden

• Unterstützung des Neugründungsprozesses der Universität Duisburg-Essen

• Reduzierung der Infrastrukturkosten durch…

– … Schaffung von klaren eindeutigen Administrationsprozessen– … Verminderung von Datenredundanzen– … Automatische Synchronisation der Daten– ... Reduzierung der Administrationsaufwände für die Endbenutzer– ... Erhöhung der Sicherheit– … Vereinheitlichung der Directories– … Vereinfachung der Integration zukünftiger Anwendungen

ZieldefinitionZieldefinition



Was ist Identity Management?

Einheitliche Verwaltung von

– Personen, – Rollen, – Adressen, – (Zugriffs)Rechten, – Ressourcen




Wozu Identity Management?

Zur wirksamen Unterstützung von Forschung, Lehre, Studium, Verwaltung und Öffentlichkeitsarbeit soll jedem , der in oder mit der Hochschule zu tun hat, ein einheitlicher, direkter und vollständiger Zugang zu allen Diensten, Informationsquellen und Kommunikationspartnern angeboten werden unter Berücksichtigung der Rolle(n), Aufgaben und persönlichen Berechtigungen eines jeden.

Notwendige Grundlage: IM




IM aus Nutzersicht I

• Nur eine AnlaufstelleBenutzerkennung und Initialpasswort sofort bei Einschreibung/Einstellung,damit Zugangsberechtigung auf „allen“ DV-Systemen

• Self care FunktionFreischaltung von ZugängenAktualisierung von Daten durch NutzerFreigabe/Sperrung von Daten für Verzeichnisse

• Datenschutz/DatensicherheitVollständiger Überblick über alle gespeicherten Daten (Inhalt, Ort, Zweck)

• Fachbereiche/FakultätenÜbernahme von Daten aus zentralen Verzeichnissen: keine Doppelerhebungen, Verwaltungsvereinfachung

• ->PortalEinheitlicher DienstezugangSingle Sign On




IM aus Nutzersicht II

• Telefon- und Adressbücher, Emailverteiler• Darstellung Organisationsstruktur• System Management

Entzug von Berechtigungen bei AusscheidenAuslösen von Folgeprozessen bei Verwaisen von wichtigen Rollen (Administratoren) durch AusscheidenÜbersicht über wichtige Rollen (z.B. Administratoren)




Marktanalyse Anbieter

Suchraum Hochschullandschaft

• NRW (Bielefeld, Paderborn), Deutschland und Europa

Anbieter von Beratungsdienstleistung und Lösungsanbieter

• IBM

• SUN

• Siemens,

• Siebel

• Compunet

MarktanalyseMarktanalyse



Marktanalyse Anbieter Phase 1: Grobkonzept

• Mai 2003 Bildung einer Gemeinsamen Arbeitsgruppe „Einheitlicher Dienstezugang und Verzeichnisdienste“ aus Rechenzentren, Bibliotheken, Verwaltungen

• Lauren States, Vice President IBM/Tivoli Technical Sales Support worldwidewird executive sponsor

• Juli 2003 Ein Anforderungspapier (Anlage) wird an mehrere Anbieter (IBM, SUN, Siemens, Siebel) versandt mit der Bitte, Vorstellungen zur Realisierung zu entwickeln

• Juli/Aug 2003 Präsentationen der Hersteller mit Grobkonzepten zur Projektgestaltung (Phasen, Inhalte, Organisation), zur (herstellerneutralen) Systemarchitektur und zur Realisierung mit bestimmten Produkten.

• Auswahl eines Vorschlags/Grobkonzept als Basis für FeinkonzeptMarktanalyseMarktanalyse



Phase 2: Auswahl Anbieter Feinkonzept

• August 2003 Antrag an das Ministerium für Wissenschaft und Forschung NRW auf Förderung eines ersten Teilprojekts

(Analyse von Administrationsprozessen, Informationsflüssen, Datenstrukturen, Rollenkonzepten, Berechtigungen, detaillierte Vorschläge für Systemarchitektur, Implementierung, Produkte)

• Oktober 2003 Bewilligung des Antrags in Höhe von 80.000 €, Beschränkte Ausschreibung

• 12. Nov. 2003 Präsentationen der Anbieter und Bewertung

• 15. Nov. 2003 Zuschlag und Vertragsabschluss

MarktanalyseMarktanalyse



Projektführungsstruktur

Projektleitung Universität•Herr Blotevogel (zentraler Ansprechpartner)

ProzesseMargarete Nikol (IBM)

ProvisioningReinhard Stamms

(IBM)

Meta-Directory

Gunter Jahn (IBM)

VerwaltungMA

Universität

BibliothekMA

Universität

HRZMA

Universität

Projektleitung Gunter Jahn

(IBM)

QualitätssicherungDr. Oliver Ziehm

(IBM)

ProjektbeteiligteProjektbeteiligte



Projektplan

51Phasen / Kalenderwoche 47 48 49 50 02 03

Kick-Off – Vorbereitung und Durchführung - Kick-Off 18.11.2003 - Vorbereitung und Fragebögen

IST-Aufnahme - Prozesse - Rollen - Directories

IT-Architektur, Soll-Prozesse und - Directories - IT-Architektur, SOLL-Prozesse und -Aufbau Directories

Weiteres Vorgehen - Konzepte Standardberechtigungen und Datenbereinigung - weiteres Vorgehen und Priorisierung

Präsentation - Abschlusspräsentation und Übergabe Abschlussdokumentation

KW 49 IST-Prozesse undIST-Directories

KW 51 IT ArchitekturSOLL-Prozesse

und Directories

Kick-Off 18.11.2003

Abschluss-präsentation

ProjektplanProjektplan


Identity Management Universität Duisburg Essen HRZ / D 2.2Identity Management ArchitekturIdentity Management Architektur



Vorgehen (Präsentation Meilenstein 18.12.2003)

Ist-Analyse-Directories

Soll-EmpfehlungDirectories

Soll-Empfehlung

Prozesse

Empfehlungder Soll-

Datenflüsse

Empfehlungeiner Soll-Architektur

Produkt-empfehlung

Implemen-tierungs-vorschlag

Projektplan

Rollen

EinheitlicheBenutzer-ID &

Kennwort

Ist-Analyse-Prozesse

bearbeitet

In Arbeit

ausstehend

Empfehlungfür zentrales

Directory

VorgehenVorgehen



Technische Analyse der Directories Es wurden etwa 40 Directories darauf hin untersucht, ob sie

in der ersten Phase des Identity Management-Projektes berücksichtigt werden sollen.

Davon wurden 23 intensiver mit einem Analyse-Dokument beleuchtet.

12 Directories wurden einer Soll-Betrachtung unterzogen.

Es werden in der ersten Phase etwa 20 Ziel- und Quellsysteme am Identity Management teilnehmen.

Analyse der DirectoriesAnalyse der Directories



Ergebnisse der Ist-Analyse der Prozesse

HISSOS

HISSVA

Aleph 500(Bibliotheks-

System)

Untersucht und dokumentiert wurden insgesamt 39 Prozesse

AUM / NIS Benutzer-

verwaltung

Essen 4 Prozesse

Duisburg 4 Prozesse

Bibliothek Duisburg und Essen gesamt 15 Prozesse

Essen 3 Prozesse

Duisburg 4 Prozesse

Essen 5 Prozesse

Duisburg 4 Prozesse

ProzessanalyseProzessanalyse



Zusammenhang IST- und SOLL-Prozesse

Anlage neuer Mitarbeiter


BibliothekBibliothek TelefonTelefonHRZ Accounts

HRZ Accounts

IST-Prozesse SOLL-Prozesse

Provisioning System

Provisioning System

BibliothekBibliothek TelefonTelefonAccountsAccounts



Viele manuelle und teilautomatische Prozesse.

Die Mehrzahl der manuellen und teilautomatischen Prozesse wird durch automatische Prozesse über das Provisioning System ersetzt, Prozesse wurden zusammengefasst.

IST- und Soll ProzesseIST- und Soll Prozesse



Fachbereich/Fakultät

Studenten-sekretariat

Ist-Prozess: Wie kommen Studierende zu ihren Berechtigungen?

Studierende

HRZBenutzerbüro

Bibliothek

Einschreibungtägliche Datenüberlei-tung (DU)

HISSOS

Aleph 500

Benutzer-verwaltung

/ NIS

Web Formular

Benutzer Account,eMail (E)für HRZ

Fachbereich

1x pro Semester

Tägliche Da-tenüberlei-tung (E/DU)

Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek

Benutzerkennungund Passwort (DU)für HRZ




Bibliothek


Soll-Prozess: Wie kommen Studierende zu ihren Berechtigungen?

HISSOS

Self CareeMail Adresse und Account können über eine Initialkennung und Initialpasswort abgerufen werden

Studierende

AD


Aleph 500Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek

EinschreibungIdentity

ManagementSystem

Initialkennung und Passwort




Personal-verwaltung

IST-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen

Mitarbeiter/inHISSVA

Bibliothek Aleph 500

FM

BuiSy

HRZ Benutzerbüro

AUM/NIS Benutzer

verwaltung

Wöchentliche Weiterleitung Daten an BuiSy (Du)

Mitarbeiter/in wird eingestellt


Telefon

Benutzer Account,eMail (E)

Bibliotheksantrag

Telefonantrag

AntragDienst-ausweis (E)Verwaltungs

account

Verwaltung

MS ADVerwaltung




Personal-verwaltung

Soll-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen

Mitarbeiter/inHISSVA

Aleph 500 BuiSy

Mitarbeiter/in wird eingestellt


TelefonMS AD

Verwaltung

Self Care•Telefon-/Raumdaten•Erfassung Email-Daten•Erfassung IS•Passwort setzen

Antrag Dienst-ausweis (E)

Initialkennung und Passwort

Identity Management

System




Legende zu den Überblicksfolien

StudSek

HISSOS

Stu

Dezx

Die

Glaz

Rü

Adr

Tel

EX

MA

Organisation

Anwendungssystem

Datenfluss Duisburg

Datenfluss Essen

Gleitzeitantrag

Telefonantrag

Antrag Dienstausweis

Rückläufer Post

Meldung neuer Adresse

Dezernat mit Dezernatsnummer

Antrag Mitarbeiter

Antrag Externe Person

Antrag Student

HISSVA Anwendungssystem




Gesamtüberblick

StudSek

GLAZ

Telefon

HISMBS

Bibliothek

HISPOSE nur FB1

HRZ

HISSVAHISSOS

Fachbereich

Dez 2

Stu MA

Dez5

Dez3

Dez2

Dez1

Dez4

Glaz

Adr

Rü

Die

1xper Sem

1xper SemBei Anlage

GLAZ

Telefon

HISMBS

Aleph 500

HISPOSNIS BenutzerVerwaltung

/ AUM

HISSVA

StudSekHISSOS

VerwaltungAccount

MA

MA Glaz

Adr

Rü

1xper Sem 1.6/1.12

1xper SemBei Anlage

wöch

BuiSy

TelDie?

Adr

Nicht übereinstimmend

EXMA


Ex

Bei Anlagedes MA




Gesamtüberblick Essen

StudSek

GLAZ

Telefon

HISMBS

Aleph 500

HISPOSE nur FB1

AUM

HISSVAHISSOS

VerwaltungAccount

Stu MA

MA

Dez5

Dez3

Dez2

Dez1

Dez4

Glaz

Adr

Rü

Die

1xper Sem

1xper SemAdr

Nicht übereinstimmend

Ex

Ex

MA

Fachbereich

Bei Anlagedes MA




Gesamtüberblick Duisburg

StudSek

GLAZ

Telefon

HISMBS

Aleph 500

HISPOS NIS BenutzerVerwaltung

HISSVAHISSOS

VerwaltungAccount

MA

MA Glaz

Adr

Rü

1xper Sem 1.6/1.12

1xper SemBei Anlage

des MA

wöch

BuiSy

TelDie?

AdrEx

Ex

MA

Fakultät




HISSVA – Personalverwaltung Essen

HISSVA

Aleph 500(Bibliothek)

AUMAntrag/

Verlängerung Account

Wird im Studenten Sekretariat erstellt

Telefon

Dienst-ausweis

Bibliotheksausweis

Web Account-email Adresse

-Plattenplatz

Telefongerät

Antrag/Änderung Telefon

Antrag: Bibliothekssys

Mitarbeiter

Gleitzeitsystem / Schliess System (Personalabteilung)

Antrag GLAZ GLAZ Karte

Verwaltung Account Verwaltung Account

HISMBS

Kostenstellenwerden in HISSVA

übernommen

Antrag Dienstausweis

AntragAccount

For

mul

ar „

Per

sona

lver

ände

rung

en“

Antrag KeyCodeKarte

Raumzugangskarten


Identity Management Universität Duisburg EssenHRZ / D 2.2 Bommerholz 29.10.2004 1 Identity...

Documents

Transcript of Identity Management Universität Duisburg EssenHRZ / D 2.2 Bommerholz 29.10.2004 1 Identity...