identity management universität duisburg essenuwe blotevogel v e r w a l t u n g dfn-nutzergruppe...
TRANSCRIPT
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
1
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Identity Management Universität Duisburg EssenEinheitlicher Zugang zu Diensten, Informationen und
Kommunikationspartnern in einer serviceorientierten, integrierten Informations- und Kommunikationsinfrastruktur
ThemaThema
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
2
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Bericht über die bisherige Umsetzung des Phasenmodells
Phase 1: Grobkonzept
Phase 2: Feinkonzepti. Problemdefinitionii. Zieldefinition iii. Analyse der Geschäftsprozesse
Phase 3: Aufbau eines ITIM-Prototypen / Schaffung der Voraussetzungen für die Implementierung /
Phase 4: Ausblick Implementierung
AgendaAgendaAgenda
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
3
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 1: Grobkonzept
• Fusion der Universitäten Duisburg und Essen mit zusammen 36.000 Studierenden und 3500 Mitarbeitern
• Beteiligung am Ausschreibungsverfahren der DFG zu„Leistungszentren für Forschungsinformation“ 2003
Neue Ideen werden benötigt -> Geburtsstunde von ZIM, IM, etc.
Wer macht bereits was im Land?• Beschäftigung mit dem Grobkonzept aus Bielefeld/Paderborn
HintergrundHintergrundPhase 1: Grobkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
4
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Probleme an den Unis•Außerhalb der RZ sind neue netzbasierte Dienste entstanden (DV der Verwaltung, FB-Server, Webdienste/Portale von UB und ...)
•Alle Dienste haben eigene Nutzerverwaltung
•Nutzer (Studenten, Mitarbeiter,...) müssen sich bei jedem Dienst einzeln registrieren
•Betreiber der Dienste möchten deshalb die Nutzerdatenbank des RZ zur Authentifizierung nutzen (z.B Verwaltung HISLSF, POS-QIS)
•Die RZ-Nutzerverwaltung ist nicht vollständig (z. B. Campus Essen nur 13 von 22 Tausend Studenten)
•Studenten- und Mitarbeiterdaten werden überhaupt nicht oder nur „provisorisch“ mit der Verwaltung synchronisiert
MotivationMotivationPhase 1: Grobkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
5
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Zieldefinition für das Projekt Identity Management (IM)• Verbesserung der Dienstleistungsprozesse • Unterstützung des Neugründungsprozesses der Universität
Duisburg-Essen• Reduzierung der Infrastrukturkosten durch…
– … Schaffung von klaren eindeutigen Administrationsprozessen– … Verminderung von Datenredundanzen– … Automatische Synchronisation der Daten– ... Reduzierung der Administrationsaufwände für die Endbenutzer– ... Erhöhung der Sicherheit, Beschreibung der Datenflüsse– … Vereinheitlichung der Directories– … Vereinfachung der Integration zukünftiger Anwendungen
ZieldefinitionZieldefinitionPhase 1: Grobkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
9
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
IM aus Nutzersicht I
• Nur eine AnlaufstelleBenutzerkennung und Initialpasswort sofort bei Einschreibung/Einstellung,damit Zugangsberechtigung auf „allen“ DV-Systemen
• Self care FunktionFreischaltung von ZugängenAktualisierung von Daten durch NutzerFreigabe/Sperrung von Daten für Verzeichnisse
• Datenschutz/DatensicherheitVollständiger Überblick über alle gespeicherten Daten (Inhalt, Ort, Zweck) und Datenflüsse
• Fachbereiche/FakultätenÜbernahme von Daten aus zentralen Verzeichnissen: keine Doppelerhebungen, Verwaltungsvereinfachung
• ->PortalEinheitlicher DienstezugangSingle Sign On
ZieldefinitionZieldefinitionPhase 1: Grobkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
10
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
IM aus Nutzersicht II
• Telefon- und Adressbücher, Emailverteiler• Darstellung Organisationsstruktur• System Management
Entzug von Berechtigungen bei AusscheidenAuslösen von Folgeprozessen bei Verwaisen von wichtigen Rollen (Administratoren) durch AusscheidenÜbersicht über wichtige Rollen (z.B. Administratoren)
ZieldefinitionZieldefinitionPhase 1: Grobkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
11
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Marktanalyse Anbieter Phase 1: Grobkonzept• Bildung einer Arbeitsgruppe „Einheitlicher Dienstezugang und
Verzeichnisdienste“ aus Rechenzentren, Bibliotheken, Verwaltungen
MarktanalyseMarktanalysePhase 1: Grobkonzept
• Ein Anforderungspapier (Anlage) wird an mehrere Anbieter (IBM, SUN, Siemens, Siebel) versandt mit der Bitte, Vorstellungen zur Realisierung zu entwickeln
• Präsentationen der Hersteller mit Grobkonzepten zur Projektgestaltung (Phasen, Inhalte, Organisation), zur (herstellerneutralen) Systemarchitektur und zur Realisierung mit bestimmten Produkten.
• Auswahl eines Vorschlags/Grobkonzept als Basis für Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
12
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 2: Auswahl Anbieter Feinkonzept• Antrag an das Ministerium für Wissenschaft und Forschung NRW auf
Förderung eines ersten Teilprojekts
(Analyse von Administrationsprozessen, Informationsflüssen, Datenstrukturen, Rollenkonzepten, Berechtigungen, detaillierte Vorschläge für Systemarchitektur, Implementierung, Produkte)
• Bewilligung des Antrags in Höhe von 80.000 €, Beschränkte Ausschreibung
• Präsentationen der Anbieter und Bewertung
• Zuschlag und Vertragsabschluss
MarktanalyseMarktanalysePhase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
13
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Projektführungsstruktur
Projektleitung Universität•Herr Blotevogel (zentraler Ansprechpartner)
ProzesseMargarete Nikol (IBM)
ProvisioningReinhard Stamms
(IBM)
Meta-Directory
Gunter Jahn (IBM)
VerwaltungMA
Universität
BibliothekMA
Universität
HRZMA
Universität
Projektleitung Gunter Jahn
(IBM)
QualitätssicherungDr. Oliver Ziehm
(IBM)
ProjektbeteiligteProjektbeteiligte
FachbereichMA
Universität
Phase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
15
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Arbeitspakete
Ist-Analyse-Directories
Soll-EmpfehlungDirectories
Soll-Empfehlung
Prozesse
Empfehlungder Soll-
Datenflüsse
Empfehlungeiner Soll-Architektur
Produkt-empfehlung
Implemen-tierungs-vorschlag
Projektplan
Rollen
EinheitlicheBenutzer-ID &
Kennwort
Ist-Analyse-Prozesse
Empfehlungfür zentrales
DirectoryArbeitspaketeArbeitspakete
Phase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
16
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
IST-Analyse ProzesseIST-Analyse ProzessePhase 2: Feinkonzept
Student lässt sicheinschreiben als
Ersthörer, grosserZweithörer,Sommeruni
Eingabestudentische Datenlt. Einschreibebogen
HISSOS
Student isteingeschri
eben
StudentischesSekretariat bzw. AAA
Weiterleitung vonStudentendaten an
HRZ
Antrag aufEinschreibung
Studentbeantragt "die-universale.de"ohne Nutzung
SB-Station
Studentbeantragt "die-universale.de"
mit allenFunktionen
XOR
HRZ
1x pro Semesteralle Im- und ExMa
Ausstellung "dieuniversale.de"
And
Studierendenausweis
Student
Einschreibung eines Studenten - Standort Essen
Student
Weiterleitung vonStudentendaten an
Bibliothek
And
Bibliothek
Studentendatenfür Bibliothek
täglich -gesamter Studentenbestand
ohne Ex-Ma
Studentendatenfür HRZ
Weiterleitung vonStudentendaten an
Fachbereich
Weiterleitung vonStudentendaten an
ASTA, Fachschaften,Bafög etc
Studentendatenfür Fachbereich
Fachbereich
1xpro SemesterDuisburg
tägliche Datenlieferungfür neue Accounts
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
17
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
SOLL-Analyse ProzesseSOLL-Analyse ProzessePhase 2: Feinkonzept
Studierende/r lässtsich einschreiben
oder wirdzugelassen
Eingabestudentische Datenlt. Einschreibebogen
HIS-SOS
keine Benutzer IDsvorhanden
Studentensekretariat
Antrag aufEinschreibung
Soll-Prozessvorschlag - Einschreibung Studierende
Studierende/r
Weiterleitung vonDaten an das
Provisioningsystem
Studentendaten fürProvisioning
ProvisioningSystem
Benutzer ID undggf.STartpasswort
Studierende/r
And
Ermittlung ob bereitsBenutzer IDs der
Uni vorhanden sind
Private eMailAdresse nachfragen
Benutzer IDProvisioning System
erzeugen
And
Ausgabe Benutzer IDan Studierenden
XOR
Benutzer IDsvorhanden
BenutzerID aus demProvisioning System
zurückgemeldet
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
18
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Ergebnisse der Ist-Analyse der Prozesse
HISSOS
HISSVA
Aleph 500(Bibliotheks-
System)
Untersucht und dokumentiert wurden insgesamt 39 Prozesse
AUM / NIS Benutzer-
verwaltung
Essen 4 Prozesse
Duisburg 4 Prozesse
Bibliothek Duisburg und Essen gesamt 15 Prozesse
Essen 3 Prozesse
Duisburg 4 Prozesse
Essen 5 Prozesse
Duisburg 4 Prozesse
ProzessanalyseProzessanalysePhase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
19
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Zusammenhang IST- und SOLL-Prozesse
Anlage neuer Mitarbeiter / Studierende
Bibliothek TelefonHRZ Accounts
IST-Prozesse SOLL-Prozesse
Provisioning System
Bibliothek TelefonAccounts
Anlage neuer Mitarbeiter/ Studierende
Viele manuelle und teilautomatische Prozesse.
Die Mehrzahl der manuellen und teilautomatischen Prozesse wird durch automatische Prozesse über das Provisioning System ersetzt, Prozesse wurden zusammengefasst.
IST- und Soll ProzesseIST- und Soll ProzessePhase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
20
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Fachbereich/Fakultät
Ist-Prozess: Wie kommen Studierende zu ihren Berechtigungen?
Studierende
HRZBenutzerbüro
Bibliothek
Einschreibungtägliche Datenüberlei-tung (DU)
HISSOS
Aleph 500
Benutzer-verwaltung
/ NIS
Web FormularBenutzer Account,eMail (E)für HRZ
Fachbereich
1x pro Semester
Tägliche Da-tenüberlei-tung (E/DU)
Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek
Benutzerkennungund Passwort (DU)für HRZ
ProzessanalyseProzessanalysePhase 2: Feinkonzept
Studenten-sekretariat
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
21
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Personal-verwaltung
IST-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen
Mitarbeiter/inHISSVA
Bibliothek Aleph 500
FM
BuiSy
HRZ Benutzerbüro
AUM/NIS Benutzer
verwaltung
Wöchentliche Weiterleitung Daten an BuiSy (Du)Mitarbeiter/in
wird eingestellt
Studenten-sekretariat
Telefon
Benutzer Account,eMail (E)
Bibliotheksantrag
Telefonantrag
AntragDienst-ausweis (E)Verwaltungs
account
Verwaltung MS AD
Verwaltung
ProzessanalyseProzessanalysePhase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
22
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Soll-Prozess: Wie kommen MitarbeiterInnnen und Studierende zu ihren Berechtigungen Mitarbeiter/in
StudierendeHISSVAHISSOS
Aleph 500 BuiSyTelefonMS ADVerwaltung
Self Care•Telefon-/Raumdaten•Erfassung Email-Daten•Erfassung IS•Passwort setzen
Initialkennung und Passwort
Identity Management
System
ProzessanalyseProzessanalysePhase 2: Feinkonzept
Verwaltung
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
25
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Technische Analyse der Directories Es wurden etwa 40 Directories darauf hin untersucht, ob sie
in der ersten Phase des Identity Management-Projektes berücksichtigt werden sollen.
Davon wurden 23 intensiver mit einem Analyse-Dokument beleuchtet.
12 Directories wurden einer Soll-Betrachtung unterzogen.
Es werden in der ersten Phase etwa 20 Ziel- und Quellsysteme am Identity Management teilnehmen.
Analyse der DirectoriesAnalyse der DirectoriesPhase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
26
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Gesamtüberblick Datenfluss StudSek
GLAZ
Telefon
HISMBS
Bibliothek
HISPOSE nur FB1
HRZ
HISSVAHISSOS
Fachbereich
Dez 2
Stu MA
Dez5
Dez3
Dez2
Dez1
Dez4
Glaz
Adr
Rü
Die
1xper Sem
1xper SemBei Anlage
GLAZ
Telefon
HISMBS
Aleph 500
HISPOS NIS BenutzerVerwaltung
/ AUM
HISSVA
StudSekHISSOS
VerwaltungAccount
MA
MA Glaz
Adr
Rü
1xper Sem 1.6/1.12
1xper SemBei Anlage
wöch
BuiSy
TelDie?
Adr
Nicht übereinstimmend
EXMA
Fachbereich/Fakultät
Ex
Bei Anlagedes MA
ProzessanalyseProzessanalysePhase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
31
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Identity Management ArchitekturIdentity Management ArchitekturPhase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
32
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Geschätzter Personalaufwand für die Projektphase
Projektmanagement20 PT
Anforderungsanalyse
Administrationsprozesse
Rollen
Self Care
IDS
IDI
TAM
5 PT
5 PTDatenfeldmatrix5 PT
20PT
Hardware2 PT
TIM 25 PT
15 PT
10PT
27 PT
Gesamt: 196 PT
TIM 25 PT
10 PT
Projektmanagement20 PT
Anforderungsanalyse
Administrationsprozesse
Rollen
Self Care
IDS
IDI
TAM
5 PT
5 PTDatenfeldmatrix5 PT
20PT
Hardware2 PT
TIM 25 PT
15 PT
10PT
27 PT
Gesamt: 196 PT
TIM 25 PT
10 PT
Personalaufwand Phase 4Personalaufwand Phase 4Phase 2: Feinkonzept
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
33
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
NRW Landeslizenz
• Die RWTH Aachen schließt Ende 2004 als Konsortialführer ein fünfjährigesLizenzabkommen mit IBM
- 11Hochschulen in NRW beabsichtigen IM auf der Basis der IBM Produkte einzuführen
1. DSH Köln, 2. Uni Bonn, 3. RWTH Aachen, 4. Uni Bielefeld, 5. Uni Duisburg-Essen,6. Uni Paderborn,7. Uni Münster,8. FH Lippe und Höxter, 9. FH Bielefeld, 10. FH Köln,11. FH Dortmund
RessourcenRessourcenPhase 3: Aufbau eines ITIM Prototypen
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
34
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Wo stehen wir heute?
Phase 3: Aufbau eines ITIM-Prototypen / Schaffung der Voraus- setzungen für die Implementierung
Phase 4: Implementierung
AgendaAgendaPhase 3: Aufbau eines ITIM Prototypen
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
35
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3: Aufbau eines ITIM-Prototypen / Schaffung der Voraussetzungen für die Implementierung
•Landesweite Abstimmung / Dokumente auf dem BSCW-Server UNI-DUE Einrichtung von Arbeitsgruppen z.B. Gästeverwaltung, eindeutige ID, Vorabkontrolle, Koordinierungd der Anfragen an die HIS
•Testinstallation TIM, Arbeiten mit dem Tivoli Directory Integrator, Schulung
•Rektoratsbeschluss zur Implementierung
•Beteiligung Datenschutz (Vorabkontrolle) und (Haupt)Personalräte
•Beteiligung Fachbereiche und Organisationseinheiten
•Projektpartner IBM: Herr StammsPhase 3Phase 3
Phase 3: Aufbau eines ITIM Prototypen
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
36
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Aufbau eines Prototypen / Unterstützung durch IBM / Hr. Stamms
Analyse der Stagingtabellen c:\daten\stagingtabellen.mmapFeldname, Feldname_flag, …. Operationtype (MOD, ADD, DEL)
Einarbeitung in den Tivoli Directory IntegratorErstellung einer AssemblyLine Einarbeitung in JavaScript (auch weitere Sprachen einbindbar)Telefonbuch und Mailverzeichnis der fusionierten Hochschule
Aufbau einer Pilotumgebung
Testinstallation TIM und Arbeiten mit dem Tivoli Directory Integrator
givenname givenname_flag
Oliver 1
Phase 3Phase 3Phase 3: Aufbau eines ITIM Prototypen
operationtype flag
MOD 1
ADD 1
DEL 1
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
37
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Identity Management ArchitekturIdentity Management ArchitekturPhase 2: Feinkonzept
HISSOS HISSVA
TIM
IBM Directory Integrator IDI
HISLSF
LDAP
IDI
IDI
HISPOS
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
38
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3Phase 3
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
39
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3Phase 3
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
40
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3Phase 3
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
41
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3Phase 3
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
42
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3: Aufbau eines ITIM Prototypen
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
43
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Wo stehen wir am Ende des Jahres?
Phase 4: Implementierung hat stattgefunden
1. Schritte• Einrichtung TIM Produktivsystem
• Feeds: AUM(Benutzerverwaltung HRZ), SOS, SVA• Autorisierung/ Zugang zu -HRZ Diensten (Email, login) -LSF, -QIS-POS• White-Pages der Universität
Ziel bis Ende des Jahres• Selfcare ist umgesetzt• Bibliotheksanbindung (Aleph) ist vorhanden• Anbindung von Pilotfachbereichen (AD) ist erfolgt
AusblickAusblickPhase 4: Impementierung
DFN-Nutzergruppe Hochschulverwaltung 10.05.2005
44
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
DanksagungFür die Nutzung von Folien
•IBM •Herr Nastoll / HRZ
Für Ihre Mitarbeit in dem Projekt
•Herr Stamms IBM•Herr Nastoll / HRZ•Herr Wald / HRZ•Herr Conradshaus / DV der Verwaltung
Danksagung