Identitätsmanagement an der CAU

yes/jaStudierende yes/jaBeschäftigte yes/jaEinrichtungen yes/jastud. Gruppen

 

Die Einführung eines Identitätsmanagements (IdM) an der CAU soll bestehende Verfahren der Nutzer- und Ressourcenverwaltung weiterentwickeln und verbessern.

Wozu ein Identitätsmanagement?

Mit Hilfe eines Identitätsmanagements werden Zugangsberechtigungen zu IT-Systemen, Diensten und Anwendungen zentral gesteuert. Ziel ist es, dass alle Studierenden und CAU-Beschäftigten zukünftig bei Immatrikulation oder Einstellung automatisch Zugänge zu IT-Systemen bekommen, und wichtige benötigte Dienste zur Verfügung gestellt werden. Dadurch entfallen für viele Nutzerinnen und Nutzer die jährlichen Verlängerungen. Auch Gäste und Partner der CAU sollen in einem späteren Schritt über dieses System Zugang zu Diensten bekommen.

Wie funktioniert ein Identitätsmanagement? 

Aus Quellsystemen (Siehe Grafik) erhält ein Identitätsmanagement Informationen über Personen und Rollen, diese werden „identifiziert“. Über ihre Eintritts- und Austrittsdaten werden Zugangsberechtigungen in den angeschlossenen Zielsystemen gesteuert. Es werden also aufgrund der Eintrittsdaten Zugänge zu Systemen und Diensten vorsorglich ermöglicht („provisioniert“) bzw. aufgrund der Austrittsdaten entzogen („deprovisioniert“). Transparenz wird geschaffen über Selbstauskunftsfunktionen. Nutzerinnen und Nutzer können alle über sie hinterlegten Daten einsehen („informieren“).

Grundlegende Funktionen eines IdM
Im CAU-Identitätsmanagement (CIM) sind als Quellsysteme das Campusmanagementsystem (HISinOne) für Studierende und das CAU-Personalmanagement für Beschäftigte angebunden. Das CIM „identifiziert“ also Personen mit ihren Beschäftigten- und Studierenden-Rollen.
Angeschlossene Zielsysteme sind die Verzeichnisdienste Active Directory und OpenLDAP. In ihnen werden Zugangsberechtigungen zu Diensten (z.B. E-Mail-Dienste, WLAN, E-Learning) bei Immatrikulation Studierender bzw. Vertragsbeginn Beschäftigter hinterlegt. Bei Exmatrikulation bzw. Vertragsende werden hinterlegte Berechtigungen wieder abgebaut.

Im Rechenzentrum und in anderen CAU-Einrichtungen können zukünftig die in den Verzeichnisdiensten hinterlegten Berechtigungen für Anmeldungen (Login, Authentifizierung) zu IT-Systemen, Diensten und Anwendungen genutzt werden. Durch den hohen Automatisierungs- und Aktualisierungsgrad des CIM ergeben sich weitere Vorteile: Es sind die Voraussetzungen für den Beitritt der CAU zur DFN-AAI, der Authentifizierungs- und Autorisierungs-Infrastruktur im Deutschen Forschungsnetz, erfüllt.

Single Sign-on für Web-Anwendungen (Shibboleth)

Durch den Beitritt der CAU zur DFN-AAI (Authentifizierungs- und Autorisierungs-Infrastruktur im Deutschen Forschungsnetz) wird allen CAU-Mitgliedern der Weg in die „Single Sign-on“-Welt für föderierte Web-Dienste ermöglicht. Es sind die technischen Voraussetzungen (Shibboleth) geschaffen, um über Kooperationen mit anderen Hochschulen, mit kommerziellen und nicht kommerziellen Partnern, webbasierte Anwendungen übergreifend zu nutzen. Die DFN-AAI „schafft das notwendige Vertrauensverhältnis sowie einen organisatorischen und technischen Rahmen für den Austausch von Benutzerinformationen“ (https://www.aai.dfn.de/).
Die CAU ist seit Mai 2016 Teilnehmer der DFN-AAI-Föderation.

CIM-Service-Portal

Das CIM-Service-Portal ist zukünftig die zentrale CIM-Einstiegsseite für alle Nutzerinnen und Nutzer. Hier finden sich wichtige Passwort-Funktionen, hier können persönliche Kontaktdaten selbst gepflegt werden. Auch können zukünftig alle Nutzerinnen und Nutzer sehen, welche Daten über sie im CIM hinterlegt sind, so ist insbesondere auch die Gültigkeitsdauer jeder Kennung ersichtlich.

CIM-Service-Portal

Was ändert sich, was bleibt?

Für alle Rechenzentrums-Nutzerinnen und -Nutzer soll die CIM-Einführung so einfach wie möglich gestaltet werden. Deshalb ändert sich aus Nutzerinnen-Sicht zunächst wenig: Alle bisherigen RZ-Kennungen behalten ihre bisherige Gültigkeit, alle mit den bisherigen RZ-Kennungen verbundenen Dienste und Zugänge bleiben so erhalten. Also kein Handlungsbedarf auf Seiten der Nutzerinnen und Nutzer! Auch bestehende Verfahren der RZ-Benutzerverwaltung gelten unverändert, Nutzungs-Änderungen sind wie bisher zu beantragen. 

Personen, Rollen und Konten in CIM

Neu ist, dass das CIM für jede Person genau eine zentrale Kennung vergibt, die nach und nach so weit wie möglich bestehende ersetzen soll.

Diese Personen-Kennung besteht unabhängig von der Rollenzugehörigkeit der Person (studierend oder beschäftigt). Personen-Kennungen setzen sich aus 3 Kleinbuchstaben und 3 Ziffern zusammen (Bsp. „abc123“). Studierende haben weiterhin zusätzlich und unverändert ihre Rollen-Kennung, die sog. stu-Kennung (Bsp. „stu123456“). Falls nötig, können auch für Beschäftigte weitere Rollen-Kennungen angelegt werden.

Diese neuen CIM-Kennungen werden unmittelbar nach Einführung für „Single Sign-on“-Zugänge (Siehe DFN-AAI) und für den Zugang zum CIM-Service-Portal genutzt. Schrittweise und so weit wie möglich sollen vorrangig die Person-Kennungen bestehende RZ-Kennungen ersetzen.

Gäste und Partner

Auch für Beschäftigte angegliederter Einrichtungen und externer Kooperationspartner gelten die bestehenden Verfahren der RZ-Benutzerverwaltung unverändert. Nutzungs-Änderungen sowie jährliche Verlängerungen – ohne Quellsystemanbindung (s.o.) werden Zugangsberechtigungen für maximal ein Jahr gewährt – sind wie bisher zu beantragen. 

Ein Zugang zum CIM-Service-Portal wird ebenfalls mit den bestehenden RZ-Kennungen möglich sein. Für diese Kennungen müssen die Voraussetzungen für ein „Single Sign-on“ zu föderierten Diensten allerdings von der entsprechenden Heimatorganisation der Person selbst geschaffen werden.

Kontakt: idmadmin@rz.uni-kiel.de

Verantwortliche

Diese Liste der verantwortlichen Dienstbetreuer wird automatisch generiert.