• Zielgruppen
  • Suche
 

IdM: Anbindung neuer Zielsysteme

Grundsätzlich sollen an das IdM möglichst viele zentrale Systeme zur Provisionierung (Anlegen) und Deprovisionierung (Löschung) von Accounts oder auch nur zur Authentifizierung (z.B. "gehört zur LUH") angebunden werden. Eine solche Anbindung ist meist technisch nicht ganz einfach, weshalb der Schwerpunkt auf solchen Systemen liegt, bei denen viele Nutzer verwaltet werden müssen.

Derzeit (2017) liegt der Fokus auf den großen zentralen Diensten, insbesondere im LUIS.

Einfache Art der Anbindung über WebSSO

Wenn nur eine Authentifizierung und keine große Nutzerverwaltung mit (De-)Provisionierung notwendig ist, so kann gerade bei Webanwendungen eine Anbindung an das IdM relativ einfach sein. Jedoch sind auch dabei mehrere Dinge zu beachten:

  • Es ist immer eine Absprache mit dem IdM-Fachteam im LUIS notwendig. Am besten vor der Planung mit dem LUIS beraten.
  • Authentifizierungen, die nicht benutzerbezogen sind (z.B. nur "gehört zu LUH", "ist Student der LUH"), sind eher einfach.
  • Gewisse Eigenschaften von Nutzern können über Attribute mit der eigentlichen Authentifizerung mitgeliefert werden, falls das für die Anwendung nötig ist.
  • Werden bei der Authentifizierung implizit Accounts angelegt, ist immer auch an eine Deprovisionierung zu denken (ggf. zeitgesteuert). Auch können sich Daten zwischendurch ändern (z.B. Namen oder Mail-Adressen).
  • Alt-Accounts müssen bei bestehenden Anwendungen überführt werden.
  • Evtl. ist eine Weiche einzubauen: WebSSO für IdM-Nutzer, zusätzliche Login-Möglichkeit für lokale Accounts.
  • Datenschutz und Mitbestimmung sind, wie bei jedem IT-System, zu berücksichtigen.

Technisch wird derzeit die WebSSO-Technologie SAML (Shibboleth) bevorzugt. OpenID wird auch angeboten.

Anbindung von Windows- & Linux-Systemen

Windows-Systeme werden eigentlich nicht direkt an das IdM angebunden. Sie brauchen ähnlich wie beim WebSSO einen Authentifizierungsdienst, nämlich ein Active-Directory. Wir werden ein zentrales Active-Directory aufbauen, dieses wird aber aufgrund der Komplexität und anderer Arbeiten noch etwas dauern. Auch wird das Active-Directory zunächst für zentrale Systeme (Dateiservices / Laufwerksfreigaben, PC-Pools) genutzt werden, da die Aufnahme dezentraler Windows-Rechner eine zusätzliche Schwierigkeit darstellt.

Für Linux haben wir auch zentrale Kerberos- und LDAP-Systeme vorgesehen, die bereits für PC-Pools benutzt werden (Dienst Campus-PC). Ähnlich wie bei Windows ist die Aufnahme dezentraler Rechner zwar Ziel, derzeit aber noch nicht realisierbar.

Anbindung anderer Systeme

IT-Systeme bieten leider für die (De-)Provisionierung keine einheitlichen Schnittstellen. Nicht mal das Vorgehen ist gleich (z.B. gibt es häufig aber nicht immer neben der Nutzerkennung noch eine interne numerische ID, die ist wiederum nicht immer setzbar sondern wird manchmal vom System generiert). Gerade bei der Deprovisionierung unterscheiden sich Systeme sehr stark: was sind Übergangsfristen, sind Daten abzuräumen, sollen Daten archiviert werden und sind diese benutzer- oder organisationsbezogen ...?

Wir sind zwar dabei, mangels eines echten Standards, einen Message-Bus mit bestimmten Nachrichten für uns zu definieren, aber auch dieser stellt kein generelles Rezept dar. Und das wäre auch nur die Technik, organisatorische Absprachen und Regelungen sind auch notwendig. Bitte nehmen Sie bei Interesse daher Kontakt mit dem LUIS auf, so dass wir in einem Gespräch verstehen, was Sie benötigen, und die Möglichkeiten des IdM vorstellen können.

Haben Sie bitte Verständnis, dass wir derzeit den Fokus aber auf zentrale Systeme mit vielen Nutzern legen.

Beschränkungen des IdM

Einige Dinge sind derzeit über das IdM nicht möglich:

  • Für Mitarbeiter werden uns noch nicht die genauen Zugehörigkeiten zu Instituten etc. übermittelt. Daher können wir keine Autorisierung vornehmen, die z.B. auf einer Institutszugehörigkeit aufbauen soll, oder entsprechende Gruppen in zentralen Systemen anlegen.
  • Für Studierende kennen wir zwar die eingeschriebenen Fakultäten, nicht aber ob sie z.B. wegen eines Mathekurses den Mathe-PC-Pool nutzen dürfen.
  • Wir haben nicht alle möglichen Nutzer im IdM: Studienkollegiaten, bestimmte Gaststudierende, z.T. Gäste fehlen im IdM, da sie nicht in SAP-SLcM oder SAP-HR verwaltet werden.
  • Freigabeworkflows oder manuelle Autorisierungen von Nutzern sind nicht vorgesehen.