Identity Management Universität Duisburg EssenHRZ / D 2.2 Bommerholz 29.10.2004 1 Identity...
-
Upload
adalwolf-weitekamp -
Category
Documents
-
view
110 -
download
2
Transcript of Identity Management Universität Duisburg EssenHRZ / D 2.2 Bommerholz 29.10.2004 1 Identity...
Bommerholz 29.10.20041
Identity Management Universität Duisburg Essen HRZ / D 2.2
Identity Managemnet Universität Duisburg Essen
Einheitlicher Zugang zu Diensten, Informationen und
Kommunikationspartnern in einer serviceorientierten, integrierten
Informations- und Kommunikationsinfrastruktur
ThemaThema
Bommerholz 29.10.20042
Identity Management Universität Duisburg Essen HRZ / D 2.2
Identity Managemnet Universität Duisburg Essen
1. Motivation und Zieldefinition
2. Erstellung eines Feinkonzept Identity Management für die Universität
Duisburg-Essen
3. Analyse der Prozesse
AgendaAgenda
Bommerholz 29.10.20043
Identity Management Universität Duisburg Essen HRZ / D 2.2MotivationMotivationQuelle: aktuelle Computerwoche
Bommerholz 29.10.20044
Identity Management Universität Duisburg Essen HRZ / D 2.2Dynamische ITDynamische ITQuelle: aktuelle Computerwoche
Bommerholz 29.10.20045
Identity Management Universität Duisburg Essen HRZ / D 2.2
Probleme•Neue netzbasierte Dienste sind außerhalb der RZ entstanden (CIP-Pools, FB-Server, Webdienste/Portale von UB und Verwaltung, ...)
•Alle Dienste haben eigene Nutzerverwaltung
•Nutzer (Studenten, Mitarbeiter,...) müssen sich bei jedem Dienst einzeln registrieren
•Betreiber der Dienste möchten deshalb die Nutzerdatenbank des RZ zur Authentifizierung nutzen
•Die RZ-Nutzerverwaltung ist nicht vollständig (Campus Essen nur 13 von 22 Tausend Studenten)
•Studenten- und Mitarbeiterdaten werden überhaupt nicht oder nur „provisorisch“ mit der Verwaltung synchronisiert
MotivationMotivation
Bommerholz 29.10.20046
Identity Management Universität Duisburg Essen HRZ / D 2.2
Zieldefinition für das Projekt Identity Management (IM)
• Verbesserung der Dienstleistungsprozesse des HRZ an seine Kunden
• Unterstützung des Neugründungsprozesses der Universität Duisburg-Essen
• Reduzierung der Infrastrukturkosten durch…
– … Schaffung von klaren eindeutigen Administrationsprozessen– … Verminderung von Datenredundanzen– … Automatische Synchronisation der Daten– ... Reduzierung der Administrationsaufwände für die Endbenutzer– ... Erhöhung der Sicherheit– … Vereinheitlichung der Directories– … Vereinfachung der Integration zukünftiger Anwendungen
ZieldefinitionZieldefinition
Bommerholz 29.10.20047
Identity Management Universität Duisburg Essen HRZ / D 2.2
Was ist Identity Management?
Einheitliche Verwaltung von
– Personen, – Rollen, – Adressen, – (Zugriffs)Rechten, – Ressourcen
ZieldefinitionZieldefinition
Bommerholz 29.10.20048
Identity Management Universität Duisburg Essen HRZ / D 2.2
Wozu Identity Management?
Zur wirksamen Unterstützung von Forschung, Lehre, Studium, Verwaltung und Öffentlichkeitsarbeit soll jedem , der in oder mit der Hochschule zu tun hat, ein einheitlicher, direkter und vollständiger Zugang zu allen Diensten, Informationsquellen und Kommunikationspartnern angeboten werden unter Berücksichtigung der Rolle(n), Aufgaben und persönlichen Berechtigungen eines jeden.
Notwendige Grundlage: IM
ZieldefinitionZieldefinition
Bommerholz 29.10.20049
Identity Management Universität Duisburg Essen HRZ / D 2.2
IM aus Nutzersicht I
• Nur eine AnlaufstelleBenutzerkennung und Initialpasswort sofort bei Einschreibung/Einstellung,damit Zugangsberechtigung auf „allen“ DV-Systemen
• Self care FunktionFreischaltung von ZugängenAktualisierung von Daten durch NutzerFreigabe/Sperrung von Daten für Verzeichnisse
• Datenschutz/DatensicherheitVollständiger Überblick über alle gespeicherten Daten (Inhalt, Ort, Zweck)
• Fachbereiche/FakultätenÜbernahme von Daten aus zentralen Verzeichnissen: keine Doppelerhebungen, Verwaltungsvereinfachung
• ->PortalEinheitlicher DienstezugangSingle Sign On
ZieldefinitionZieldefinition
Bommerholz 29.10.200410
Identity Management Universität Duisburg Essen HRZ / D 2.2
IM aus Nutzersicht II
• Telefon- und Adressbücher, Emailverteiler• Darstellung Organisationsstruktur• System Management
Entzug von Berechtigungen bei AusscheidenAuslösen von Folgeprozessen bei Verwaisen von wichtigen Rollen (Administratoren) durch AusscheidenÜbersicht über wichtige Rollen (z.B. Administratoren)
ZieldefinitionZieldefinition
Bommerholz 29.10.200411
Identity Management Universität Duisburg Essen HRZ / D 2.2
Marktanalyse Anbieter
Suchraum Hochschullandschaft
• NRW (Bielefeld, Paderborn), Deutschland und Europa
Anbieter von Beratungsdienstleistung und Lösungsanbieter
• IBM
• SUN
• Siemens,
• Siebel
• Compunet
MarktanalyseMarktanalyse
Bommerholz 29.10.200412
Identity Management Universität Duisburg Essen HRZ / D 2.2
Marktanalyse Anbieter Phase 1: Grobkonzept
• Mai 2003 Bildung einer Gemeinsamen Arbeitsgruppe „Einheitlicher Dienstezugang und Verzeichnisdienste“ aus Rechenzentren, Bibliotheken, Verwaltungen
• Lauren States, Vice President IBM/Tivoli Technical Sales Support worldwidewird executive sponsor
• Juli 2003 Ein Anforderungspapier (Anlage) wird an mehrere Anbieter (IBM, SUN, Siemens, Siebel) versandt mit der Bitte, Vorstellungen zur Realisierung zu entwickeln
• Juli/Aug 2003 Präsentationen der Hersteller mit Grobkonzepten zur Projektgestaltung (Phasen, Inhalte, Organisation), zur (herstellerneutralen) Systemarchitektur und zur Realisierung mit bestimmten Produkten.
• Auswahl eines Vorschlags/Grobkonzept als Basis für FeinkonzeptMarktanalyseMarktanalyse
Bommerholz 29.10.200413
Identity Management Universität Duisburg Essen HRZ / D 2.2
Phase 2: Auswahl Anbieter Feinkonzept
• August 2003 Antrag an das Ministerium für Wissenschaft und Forschung NRW auf Förderung eines ersten Teilprojekts
(Analyse von Administrationsprozessen, Informationsflüssen, Datenstrukturen, Rollenkonzepten, Berechtigungen, detaillierte Vorschläge für Systemarchitektur, Implementierung, Produkte)
• Oktober 2003 Bewilligung des Antrags in Höhe von 80.000 €, Beschränkte Ausschreibung
• 12. Nov. 2003 Präsentationen der Anbieter und Bewertung
• 15. Nov. 2003 Zuschlag und Vertragsabschluss
MarktanalyseMarktanalyse
Bommerholz 29.10.200414
Identity Management Universität Duisburg Essen HRZ / D 2.2
Projektführungsstruktur
Projektleitung Universität•Herr Blotevogel (zentraler Ansprechpartner)
ProzesseMargarete Nikol (IBM)
ProvisioningReinhard Stamms
(IBM)
Meta-Directory
Gunter Jahn (IBM)
VerwaltungMA
Universität
BibliothekMA
Universität
HRZMA
Universität
Projektleitung Gunter Jahn
(IBM)
QualitätssicherungDr. Oliver Ziehm
(IBM)
ProjektbeteiligteProjektbeteiligte
Bommerholz 29.10.200415
Identity Management Universität Duisburg Essen HRZ / D 2.2
Projektplan
51Phasen / Kalenderwoche 47 48 49 50 02 03
Kick-Off – Vorbereitung und Durchführung - Kick-Off 18.11.2003 - Vorbereitung und Fragebögen
IST-Aufnahme - Prozesse - Rollen - Directories
IT-Architektur, Soll-Prozesse und - Directories - IT-Architektur, SOLL-Prozesse und -Aufbau Directories
Weiteres Vorgehen - Konzepte Standardberechtigungen und Datenbereinigung - weiteres Vorgehen und Priorisierung
Präsentation - Abschlusspräsentation und Übergabe Abschlussdokumentation
KW 49 IST-Prozesse undIST-Directories
KW 51 IT ArchitekturSOLL-Prozesse
und Directories
Kick-Off 18.11.2003
Abschluss-präsentation
ProjektplanProjektplan
Bommerholz 29.10.200416
Identity Management Universität Duisburg Essen HRZ / D 2.2Identity Management ArchitekturIdentity Management Architektur
Bommerholz 29.10.200417
Identity Management Universität Duisburg Essen HRZ / D 2.2
Vorgehen (Präsentation Meilenstein 18.12.2003)
Ist-Analyse-Directories
Soll-EmpfehlungDirectories
Soll-Empfehlung
Prozesse
Empfehlungder Soll-
Datenflüsse
Empfehlungeiner Soll-Architektur
Produkt-empfehlung
Implemen-tierungs-vorschlag
Projektplan
Rollen
EinheitlicheBenutzer-ID &
Kennwort
Ist-Analyse-Prozesse
bearbeitet
In Arbeit
ausstehend
Empfehlungfür zentrales
Directory
VorgehenVorgehen
Bommerholz 29.10.200418
Identity Management Universität Duisburg Essen HRZ / D 2.2
Technische Analyse der Directories Es wurden etwa 40 Directories darauf hin untersucht, ob sie
in der ersten Phase des Identity Management-Projektes berücksichtigt werden sollen.
Davon wurden 23 intensiver mit einem Analyse-Dokument beleuchtet.
12 Directories wurden einer Soll-Betrachtung unterzogen.
Es werden in der ersten Phase etwa 20 Ziel- und Quellsysteme am Identity Management teilnehmen.
Analyse der DirectoriesAnalyse der Directories
Bommerholz 29.10.200419
Identity Management Universität Duisburg Essen HRZ / D 2.2
Ergebnisse der Ist-Analyse der Prozesse
HISSOS
HISSVA
Aleph 500(Bibliotheks-
System)
Untersucht und dokumentiert wurden insgesamt 39 Prozesse
AUM / NIS Benutzer-
verwaltung
Essen 4 Prozesse
Duisburg 4 Prozesse
Bibliothek Duisburg und Essen gesamt 15 Prozesse
Essen 3 Prozesse
Duisburg 4 Prozesse
Essen 5 Prozesse
Duisburg 4 Prozesse
ProzessanalyseProzessanalyse
Bommerholz 29.10.200420
Identity Management Universität Duisburg Essen HRZ / D 2.2
Zusammenhang IST- und SOLL-Prozesse
Anlage neuer Mitarbeiter
Anlage neuer Mitarbeiter
BibliothekBibliothek TelefonTelefonHRZ Accounts
HRZ Accounts
IST-Prozesse SOLL-Prozesse
Provisioning System
Provisioning System
BibliothekBibliothek TelefonTelefonAccountsAccounts
Anlage neuer Mitarbeiter
Anlage neuer Mitarbeiter
Viele manuelle und teilautomatische Prozesse.
Die Mehrzahl der manuellen und teilautomatischen Prozesse wird durch automatische Prozesse über das Provisioning System ersetzt, Prozesse wurden zusammengefasst.
IST- und Soll ProzesseIST- und Soll Prozesse
Bommerholz 29.10.200421
Identity Management Universität Duisburg Essen HRZ / D 2.2
Fachbereich/Fakultät
Studenten-sekretariat
Ist-Prozess: Wie kommen Studierende zu ihren Berechtigungen?
Studierende
HRZBenutzerbüro
Bibliothek
Einschreibungtägliche Datenüberlei-tung (DU)
HISSOS
Aleph 500
Benutzer-verwaltung
/ NIS
Web Formular
Benutzer Account,eMail (E)für HRZ
Fachbereich
1x pro Semester
Tägliche Da-tenüberlei-tung (E/DU)
Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek
Benutzerkennungund Passwort (DU)für HRZ
ProzessanalyseProzessanalyse
Bommerholz 29.10.200422
Identity Management Universität Duisburg Essen HRZ / D 2.2
Bibliothek
Studenten-sekretariat
Soll-Prozess: Wie kommen Studierende zu ihren Berechtigungen?
HISSOS
Self CareeMail Adresse und Account können über eine Initialkennung und Initialpasswort abgerufen werden
Studierende
AD
Fachbereich/Fakultät
Aleph 500Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek
EinschreibungIdentity
ManagementSystem
Initialkennung und Passwort
ProzessanalyseProzessanalyse
Bommerholz 29.10.200425
Identity Management Universität Duisburg Essen HRZ / D 2.2
Personal-verwaltung
IST-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen
Mitarbeiter/inHISSVA
Bibliothek Aleph 500
FM
BuiSy
HRZ Benutzerbüro
AUM/NIS Benutzer
verwaltung
Wöchentliche Weiterleitung Daten an BuiSy (Du)
Mitarbeiter/in wird eingestellt
Studenten-sekretariat
Telefon
Benutzer Account,eMail (E)
Bibliotheksantrag
Telefonantrag
AntragDienst-ausweis (E)Verwaltungs
account
Verwaltung
MS ADVerwaltung
ProzessanalyseProzessanalyse
Bommerholz 29.10.200426
Identity Management Universität Duisburg Essen HRZ / D 2.2
Personal-verwaltung
Soll-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen
Mitarbeiter/inHISSVA
Aleph 500 BuiSy
Mitarbeiter/in wird eingestellt
Studenten-sekretariat
TelefonMS AD
Verwaltung
Self Care•Telefon-/Raumdaten•Erfassung Email-Daten•Erfassung IS•Passwort setzen
Antrag Dienst-ausweis (E)
Initialkennung und Passwort
Identity Management
System
ProzessanalyseProzessanalyse
Bommerholz 29.10.200427
Identity Management Universität Duisburg Essen HRZ / D 2.2
Legende zu den Überblicksfolien
StudSek
HISSOS
Stu
Dezx
Die
Glaz
Rü
Adr
Tel
EX
MA
Organisation
Anwendungssystem
Datenfluss Duisburg
Datenfluss Essen
Gleitzeitantrag
Telefonantrag
Antrag Dienstausweis
Rückläufer Post
Meldung neuer Adresse
Dezernat mit Dezernatsnummer
Antrag Mitarbeiter
Antrag Externe Person
Antrag Student
HISSVA Anwendungssystem
ProzessanalyseProzessanalyse
Bommerholz 29.10.200428
Identity Management Universität Duisburg Essen HRZ / D 2.2
Gesamtüberblick
StudSek
GLAZ
Telefon
HISMBS
Bibliothek
HISPOSE nur FB1
HRZ
HISSVAHISSOS
Fachbereich
Dez 2
Stu MA
Dez5
Dez3
Dez2
Dez1
Dez4
Glaz
Adr
Rü
Die
1xper Sem
1xper SemBei Anlage
GLAZ
Telefon
HISMBS
Aleph 500
HISPOSNIS BenutzerVerwaltung
/ AUM
HISSVA
StudSekHISSOS
VerwaltungAccount
MA
MA Glaz
Adr
Rü
1xper Sem 1.6/1.12
1xper SemBei Anlage
wöch
BuiSy
TelDie?
Adr
Nicht übereinstimmend
EXMA
Fachbereich/Fakultät
Ex
Bei Anlagedes MA
ProzessanalyseProzessanalyse
Bommerholz 29.10.200429
Identity Management Universität Duisburg Essen HRZ / D 2.2
Gesamtüberblick Essen
StudSek
GLAZ
Telefon
HISMBS
Aleph 500
HISPOSE nur FB1
AUM
HISSVAHISSOS
VerwaltungAccount
Stu MA
MA
Dez5
Dez3
Dez2
Dez1
Dez4
Glaz
Adr
Rü
Die
1xper Sem
1xper SemAdr
Nicht übereinstimmend
Ex
Ex
MA
Fachbereich
Bei Anlagedes MA
ProzessanalyseProzessanalyse
Bommerholz 29.10.200430
Identity Management Universität Duisburg Essen HRZ / D 2.2
Gesamtüberblick Duisburg
StudSek
GLAZ
Telefon
HISMBS
Aleph 500
HISPOS NIS BenutzerVerwaltung
HISSVAHISSOS
VerwaltungAccount
MA
MA Glaz
Adr
Rü
1xper Sem 1.6/1.12
1xper SemBei Anlage
des MA
wöch
BuiSy
TelDie?
AdrEx
Ex
MA
Fakultät
ProzessanalyseProzessanalyse
Bommerholz 29.10.200431
Identity Management Universität Duisburg Essen HRZ / D 2.2
HISSVA – Personalverwaltung Essen
HISSVA
Aleph 500(Bibliothek)
AUMAntrag/
Verlängerung Account
Wird im Studenten Sekretariat erstellt
Telefon
Dienst-ausweis
Bibliotheksausweis
Web Account-email Adresse
-Plattenplatz
Telefongerät
Antrag/Änderung Telefon
Antrag: Bibliothekssys
Mitarbeiter
Gleitzeitsystem / Schliess System (Personalabteilung)
Antrag GLAZ GLAZ Karte
Verwaltung Account Verwaltung Account
HISMBS
Kostenstellenwerden in HISSVA
übernommen
Antrag Dienstausweis
AntragAccount
For
mul
ar „
Per
sona
lver
ände
rung
en“
Antrag KeyCodeKarte
Raumzugangskarten
ProzessanalyseProzessanalyse