www.atis.uni-karlsruhe.de 1 integriertes management von identitäten im fakultativen und...
Post on 05-Apr-2015
104 Views
Preview:
TRANSCRIPT
www.atis.uni-karlsruhe.de1
Integriertes Management von Identitäten im fakultativen und Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontextuniversitätsweiten Kontext
20.DFN-Arbeitstagung
Dipl. Math. Klaus Scheibenberger
ATIS, Universität Karlsruhe (TH)
Dipl. Inform. Horst Wenske
Rechenzentrum, Universität Karlsruhe (TH))
www.atis.uni-karlsruhe.de2
VorstellungVorstellung
(1) Klaus Scheibenberger, Leiter der Abteilung technische Infrastruktur der Fakultät für Informatik (ATIS).
(2) Die ATIS
(1) ... ist eine zentrale Fakultätseinrichtung.
(2) ... betreibt zentrale IT-Dienste für die Informatik (lokaler = fakultativer Kontext).
(3) ... erprobt neue Szenarien/Technologien, im Bereich der Informatik.
(4) ... bildet die Schnittstelle zum Rechenzentrum der Universität.
www.atis.uni-karlsruhe.de3
AgendaAgenda
(1) Einführung
Entwicklungsschritte
(1) ... im fakultativen/lokalen Kontext
(2) ... im universitätsweiten Kontext
hin zu einem integrierten Identitätsmanagement
(1) Aktuelle Schritte und Ausblick
www.atis.uni-karlsruhe.de4
ThemeneinführungThemeneinführung
(1) Dienste benötigen Identitätsinformationen von Nutzern
(1) ... zur Authentisierung (Zugang)
(2) ... zur Autorisierung (Rollen, Rechte)
(2) Identitätsmanagement hat zu tun mit der systematischen Bereitstellung und Pflege von Identitätsinformationen.
(3) In die Dienste eingebunden Systeme benötigen Identitätsdaten.
(4) Unterschiedliche technologische Ansätze für die Bereitstellung.
(5) Vorgestellt werden fünf Entwicklungsschritte (Phasen) für die Bereitstellung (und Pflege) von Identitätsdaten
(1) ... ausgehend von einem lokalen Ansatz ...
(2) ... hin zu einem universitätsweiten, kooperierenden Ansatz
www.atis.uni-karlsruhe.de5
BegriffeBegriffe
(1) Lokaler (fakultativer) Kontext:
(1) Dienste eines Betreibers, die für eine oder mehrere Fakultäten bereitstellt werden („geschlossene Nutzergruppe“).
(2) Universitätsweiter Kontext:
(1) In universitätsweiten Prozessen interagieren Dienste unterschiedlicher Betreiber.
(3) Identität:
(1) Menge der Identitätsattribute die einem Nutzer von einem Betreiber zugeordnet sind.
(4) Teilidentität:
(1) Teilmenge einer Identität.
(5) Identitätenbasis:
(1) Menge von einheitlich strukturierten Identitäten.
www.atis.uni-karlsruhe.de6
EntwicklungsschritteEntwicklungsschritte
(1) Lokaler Kontext:(1) Drei Phasen in der Bereitstellung von Identitätsdaten:
(1) Hochgradige Verteilung(2) Reduzierung der Verteilung(3) Eliminierung der Verteilung
Hintergrund: Lokalen Betrieb optimieren.
(2) Universitätsweiter Kontext:(1) Zwei weitere Phasen:
(1) Kopplung heterogener Identitätenbasen(2) Integriertes Identitätsmanagement
Hintergrund: Flexibilität universitätsweiter Prozesse optimieren.
www.atis.uni-karlsruhe.de7
Teil I – Lokaler KontextTeil I – Lokaler Kontext
www.atis.uni-karlsruhe.de8
Phase 1Phase 1: Typisches Szenario: Typisches Szenario
File-server
Nutzer
Linux Windows
Authentifizierung /Autorisierung
Arbeits-plätze
Mail-Server
RADIUSADSNIS (+)
Dial-InVPN
File-server
Arbeits-plätze
Administrator(en) Datenbank für Nutzerkonten
Verteilungper
Skript
Pflege derBenutzerverwaltung
„Passwd“
Problemzone
Dienste
Identitätsdaten
Management
www.atis.uni-karlsruhe.de9
DefiziteDefizite
(1) Sicherheitsrelevante Defizite
(1) Unverschlüsselte Passwörter in der zentralen Nutzerdatenbank.
(2) Verteilung = Vervielfachung
(2) Betriebliche Defizite
(1) Speziell angepasste Verfahren (z.B. scripts)
(2) Spezielle Synchronisationsmechanismen erforderlich.
(3) Defizite aus Nutzersicht
(1) Häufig keine zeitnahen Änderungen verfügbar.
www.atis.uni-karlsruhe.de10
LDAP-Orientierung LDAP-Orientierung
(1) Die ATIS setzt für zentrale Dienste nahezu ausschließlich Solaris-/ Linux-basierte Systeme ein.
Orientierung zu LDAP als einheitlicher Ansatz für verschiedene Dienste
(2) Andere Betreiber tendieren aufgrund anderer Randbedingungen zum Active Directory Service.
„Viele Wege führen nach Rom“.
www.atis.uni-karlsruhe.de11
Phase 2Phase 2: Reduzierung der Verteilung: Reduzierung der Verteilung
SQL-DB
Web-interface
Management:
dezentral(Forschungsbereiche)
zentral (ATIS)
Nutzerkonten
Web-interface
Web-interface
2. SQL-DB
MailStudenten-
pool
LDAPStudenten-
pool
Dienste
Identitätsdaten LDAPMail
Dial-In
LDAPDial-In
ADS
RADIUS
www.atis.uni-karlsruhe.de12
Defizite – VorteilDefizite – Vorteil
(1) Sicherheitsrelevante Defizite
(1) Voneinander unabhängige Datenbestände mit Identitätsdaten.
(2) Betriebliche Defizite
(1) Unterschiedlich strukturierte LDAP-Verzeichnisse.
(2) Anpassungsaufwand für neue Dienste.
(3) Defizite aus Nutzersicht
(1) Unterschiedliche Authentisierungsdaten.
Vorteil:
(1) Zunehmende Nutzung einer standardisierten Schnittstelle um die Verteilung von Identitätsdaten zu reduzieren.
www.atis.uni-karlsruhe.de13
MailStudenten-
pool
LDAPStudenten-
pool
Dienste
Identitätsdaten LDAPMail
Dial-In
LDAPDial-In
ADS
RADIUS
ÜbergangÜbergang
SQL-DB
Web-interface
Management:
dezentral(Forschungsbereiche)
zentral (ATIS)
Nutzerkonten
Web-interface
Web-interface
2. SQL-DB
Verbesserungs-potential
Zentrales LDAP-Verzeichnis
www.atis.uni-karlsruhe.de14
Phase 3:Phase 3: Zielarchitektur Zielarchitektur
Web-interface
Web-interface
Management
dezentral
zentral
...
Replikate
MailStudenten-
poolDial-In
Zentrales LDAP-Verzeichnis
Dienste ...
Identitätsdaten/Nutzerkonten
www.atis.uni-karlsruhe.de15
Dienstorientierte LDAP-StrukturDienstorientierte LDAP-Struktur
dc = Einrichtung B
Fakultät
dc = Stud
ou = Groups
ou = People
dc = Einrichtung A
ou = People
Nutzerkonten Nutzerkonten
ou = Groups
Nutzerkonto
VornameNachname
Institut...
Mail-ServerMail-Aliase
...
BenutzerkennungPasswort
...
...
VPN-IP-AdresseNutzerzertifikat
AttributePerson
AttributeUnix-Zugang
AttributeDial-In-Dienst
AttributeVPN-Dienst
AttributeMail-Dienst
Klassen
www.atis.uni-karlsruhe.de16
Einbindung neuer DiensteEinbindung neuer Dienste
(1) Beispiel VPN: Eigene Klasse enthält die VPN-spezifischen Attribute:
(1) Nutzerspezifische VPN-IP-Adresse
(2) Nutzer-Zertifikat nach X.509-Standard
Test
Name
URL
www.atis.uni-karlsruhe.de17
LDAP und Active DirectoryLDAP und Active Directory
(1) Ablösung von AD durch LDAP im Studentenpool:
(1) Derzeit Synchronisation von Accounts über Scripts von LDAP nach AD.
(2) Passwortänderungen über SfU. Aufwändiger und damit „fehleranfälliger“ Prozess. Einsatz von Samba 3.x als Domaincontroller.
(1) Tests bzgl. Windows-Grouppolicies
www.atis.uni-karlsruhe.de18
Lokaler Kontext – Aktueller StandLokaler Kontext – Aktueller Stand
(1) VPN – ok
(2) Mailsystem – ok
(3) Studentenpool – ok (Windows / LDAP – Testphase)
(4) Wireless (802.1x) – To Do
(5) Dial-In – To Do
(6) Umstellung von Einrichtungen in der Fakultät – Testphase
(entspricht i.P. Studentenpool)
Konsequente Ausrichtung in Richtung LDAP
im lokalen Kontext
www.atis.uni-karlsruhe.de19
Teil II - Universitärer Kontext Teil II - Universitärer Kontext
www.atis.uni-karlsruhe.de20
KIM-LPSKIM-LPS
(1) KIM-Projekt
(1) Karlsruher integriertes InformationsManagement
(www.kim.uni-karlsruhe.de)
(2) Beispiele für universitätsweite Prozesse:
(1) Lehrveranstaltungsmanagement
(2) Prüfungsmanagement
(3) Studienassistenz
Teilprojekt KIM-LPS
www.atis.uni-karlsruhe.de21
KIM-LPS – Architektur (Ausschnitt) KIM-LPS – Architektur (Ausschnitt)
Identitätsmanagement als wichtiger Faktor Teilprojekt KIM-IdM
Un
ivers
ität
Ka
rlsru
he
(T
H)
KIM Karlsruher Integriertes InformationsManagementGaedke
Architektur / Realisierungsplattform - 22.02.2005 - 6
Lösungsvorschlag – Architektur
Legacy-System
Legacy-System
Anwendungs-Dienste
Basisdienste
<<Task>>
Prozesse
Infrastrukturdienste(Verzeichnisdienste,
Sicherheit, ...)
WS-Wrapper
WS-System
... ...
<<Prozess>>
<<Prozess>>
Identitäten?Betreiber2Betreiber1
Idenitätenbasis1 Idenitätenbasis2
www.atis.uni-karlsruhe.de22
Integration von IdentitätenbasenIntegration von Identitätenbasen
(1) Ausrichtung an den eigenen Anforderungen, nicht an einem Produkt.
(2) Zunächst: Einfachheit der Architektur
(3) Tests, erste Implementierungsschritte mit einfachen Tools um generelle Zusammenhänge zu verifizieren.
(4) Spätere Flexibilität in der Produktauswahl.
www.atis.uni-karlsruhe.de23
BegriffeBegriffe
(1) Satellit:
(1) Organisatorische Einheit (Betreiber) die eine eigenständige Identitätenbasis pflegt (z.B. ATIS).
(2) Gesamtidentität:
(1) Zusammenfassung aller, in den Satelliten, einem Nutzer zugeordneten Identitäten.
(3) Identität:
(1) Menge der Identitätsattribute die einem Nutzer in einem Satelliten zugeordnet sind.
(4) Teilidentität:
(1) Teilmenge einer Identität.
www.atis.uni-karlsruhe.de24
Anforderungen Anforderungen
(1) Heterogenität: Unterschiedliche Satelliten.
(2) Selbstverwaltung: Lokale Flexibilität.
(3) Autonomie: Dezentrale Identitätenbasen.
aber
(1) Eindeutigkeit: Identitäten in verschiedenen Satelliten.
(2) Datenharmonisierung: Synchronisation und Sicherstellung der Konsistenz im gesamten Verbund.
(3) Datenminimalität, Datenschutz: Nur notwendige Informationen.
www.atis.uni-karlsruhe.de25
Zentrale KernidentitätZentrale Kernidentität
GUIDName
VornameEmail
Matrikel-nummerTitel
Externer
erbt von „Person“
Objektklasse „Person“
MitarbeiterStudent
www.atis.uni-karlsruhe.de26
Phase 4:Phase 4: Verteilte Identitätenbasen Verteilte Identitätenbasen
Mitarbeiter Student Externer
… … …Zentrale Kernidentität
Verwaltung
Initiale Datensätze
Satellit
HIS
UBUpdates
Satellit
LDAP
ATIS
Student
ATIS-Student
Satellit
LDAP
RZSatellit
ADS
WiWi CIP
Satellit
ADS
GUID
www.atis.uni-karlsruhe.de27
Phase 5:Phase 5: Gesamtszenario Gesamtszenario
KIMKIM Informatik
Studierender/Mitarbeiter
ATIS-Dienste
VPN Mail Drucken
Zugriff auf lokaleDienste (Home, Mail)
Windows Unix
Zugriff auf KIM-Diensteim Prozessablauf
KIM-KontextBasis-dienst
Basis-dienst
Anwendungs-dienste
TrustRelation
Basis-dienst
Planungs-dienst
Noten-erfassung
Anwendungsdienste – KIM-LPS
ZentraleKern-
identitäten
ADSWiWi
LDAPRZ
LDAPUB
LDAPVerw.
Verwaltung
z.B. LDAP-Verzeichnisse(oder ADS)
LDAPATIS
DirekteAuthentisierung
und Autorisierung
Identitätsmanagement – KIM-IdM
WS AuthentisierungAutorisierung
Loka
ler
Konte
xt
www.atis.uni-karlsruhe.de28
Aktuelle SchritteAktuelle Schritte
www.atis.uni-karlsruhe.de29
Fricard DatendistributionFricard Datendistribution
(1) Nur erforderlicher Attribute werden synchronisiert.
Synchronisationsschnittstelleeines Satelliten
Satellit…
LDAP
Syn
SatellitRZ
ADS
Siport
Syn
SatellitVerwaltung
HISFricard
Personalisierung
Syn
Selektiver Synchronisationslayer
Kernidentitaten
Chip-number
www.atis.uni-karlsruhe.de30
AusblickAusblick
www.atis.uni-karlsruhe.de31
IDM ArchitekturIDM Architektur
www.atis.uni-karlsruhe.de32
PhasenplanungPhasenplanung
www.atis.uni-karlsruhe.de33
ZieleZiele
(1) Integriertes Informationsmanagement bedeutet:
(1) Untergang der (Informations-)Inseln !(s. unikath 01/2006)
(2) Eine notwendige Grundlage:
(1) Integriertes Identitätsmanagement
d.h.
(1) Übergang von unabhängigen Identitäten-Inseln zu einem kooperierenden System !
www.atis.uni-karlsruhe.de34
Vielen Dank für Ihre AufmerksamkeitVielen Dank für Ihre Aufmerksamkeit
Fragen?Fragen?
top related