Integriertes Management von Identit - PowerPoint PPT Presentation

1 / 34
About This Presentation
Title:

Integriertes Management von Identit

Description:

20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger ATIS, Universit t Karlsruhe (TH) Dipl. Inform. Horst Wenske Rechenzentrum, Universit t Karlsruhe (TH)) – PowerPoint PPT presentation

Number of Views:157
Avg rating:3.0/5.0
Slides: 35
Provided by: Scheibe
Category:

less

Transcript and Presenter's Notes

Title: Integriertes Management von Identit


1
Integriertes Management von Identitäten im
fakultativen und universitätsweiten Kontext
  • 20.DFN-Arbeitstagung
  • Dipl. Math. Klaus Scheibenberger
  • ATIS, Universität Karlsruhe (TH)
  • Dipl. Inform. Horst Wenske
  • Rechenzentrum, Universität Karlsruhe (TH))

2
Vorstellung
  1. Klaus Scheibenberger, Leiter der Abteilung
    technische Infrastruktur der Fakultät für
    Informatik (ATIS).
  2. Die ATIS
  3. ... ist eine zentrale Fakultätseinrichtung.
  4. ... betreibt zentrale IT-Dienste für die
    Informatik (lokaler fakultativer Kontext).
  5. ... erprobt neue Szenarien/Technologien, im
    Bereich der Informatik.
  6. ... bildet die Schnittstelle zum Rechenzentrum
    der Universität.

3
Agenda
  • Einführung
  • Entwicklungsschritte
  • ... im fakultativen/lokalen Kontext
  • ... im universitätsweiten Kontext
  • hin zu einem integrierten Identitätsmanagement
  • Aktuelle Schritte und Ausblick

4
Themeneinführung
  1. Dienste benötigen Identitätsinformationen von
    Nutzern
  2. ... zur Authentisierung (Zugang)
  3. ... zur Autorisierung (Rollen, Rechte)
  4. Identitätsmanagement hat zu tun mit der
    systematischen Bereitstellung und Pflege von
    Identitätsinformationen.
  5. In die Dienste eingebunden Systeme benötigen
    Identitätsdaten.
  6. Unterschiedliche technologische Ansätze für die
    Bereitstellung.
  7. Vorgestellt werden fünf Entwicklungsschritte
    (Phasen) für die Bereitstellung (und Pflege) von
    Identitätsdaten
  8. ... ausgehend von einem lokalen Ansatz ...
  9. ... hin zu einem universitätsweiten,
    kooperierenden Ansatz

5
Begriffe
  1. Lokaler (fakultativer) Kontext
  2. Dienste eines Betreibers, die für eine oder
    mehrere Fakultäten bereitstellt werden
    (geschlossene Nutzergruppe).
  3. Universitätsweiter Kontext
  4. In universitätsweiten Prozessen interagieren
    Dienste unterschiedlicher Betreiber.
  5. Identität
  6. Menge der Identitätsattribute die einem Nutzer
    von einem Betreiber zugeordnet sind.
  7. Teilidentität
  8. Teilmenge einer Identität.
  9. Identitätenbasis
  10. Menge von einheitlich strukturierten Identitäten.

6
Entwicklungsschritte
  • Lokaler Kontext
  • Drei Phasen in der Bereitstellung von
    Identitätsdaten
  • Hochgradige Verteilung
  • Reduzierung der Verteilung
  • Eliminierung der Verteilung
  • Hintergrund Lokalen Betrieb optimieren.
  • Universitätsweiter Kontext
  • Zwei weitere Phasen
  • Kopplung heterogener Identitätenbasen
  • Integriertes Identitätsmanagement
  • Hintergrund Flexibilität universitätsweiter
    Prozesse optimieren.

7
Teil I Lokaler Kontext
8
Phase 1 Typisches Szenario
Dienste
Identitätsdaten
Management
9
Defizite
  1. Sicherheitsrelevante Defizite
  2. Unverschlüsselte Passwörter in der zentralen
    Nutzerdatenbank.
  3. Verteilung Vervielfachung
  4. Betriebliche Defizite
  5. Speziell angepasste Verfahren (z.B. scripts)
  6. Spezielle Synchronisationsmechanismen
    erforderlich.
  7. Defizite aus Nutzersicht
  8. Häufig keine zeitnahen Änderungen verfügbar.

10
LDAP-Orientierung
  • Die ATIS setzt für zentrale Dienste nahezu
    ausschließlich Solaris-/ Linux-basierte Systeme
    ein.
  • Orientierung zu LDAP als einheitlicher Ansatz
    für verschiedene Dienste
  • Andere Betreiber tendieren aufgrund anderer
    Randbedingungen zum Active Directory Service.
  • Viele Wege führen nach Rom.

11
Phase 2 Reduzierung der Verteilung
12
Defizite Vorteil
  • Sicherheitsrelevante Defizite
  • Voneinander unabhängige Datenbestände mit
    Identitätsdaten.
  • Betriebliche Defizite
  • Unterschiedlich strukturierte LDAP-Verzeichnisse.
  • Anpassungsaufwand für neue Dienste.
  • Defizite aus Nutzersicht
  • Unterschiedliche Authentisierungsdaten.
  • Vorteil
  • Zunehmende Nutzung einer standardisierten
    Schnittstelle um die Verteilung von
    Identitätsdaten zu reduzieren.

13
Übergang
Verbesserungs- potential
Zentrales LDAP- Verzeichnis
14
Phase 3 Zielarchitektur
15
Dienstorientierte LDAP-Struktur
16
Einbindung neuer Dienste
  1. Beispiel VPN Eigene Klasse enthält die
    VPN-spezifischen Attribute
  2. Nutzerspezifische VPN-IP-Adresse
  3. Nutzer-Zertifikat nach X.509-Standard

17
LDAP und Active Directory
  • Ablösung von AD durch LDAP im Studentenpool
  • Derzeit Synchronisation von Accounts über Scripts
    von LDAP nach AD.
  • Passwortänderungen über SfU.
  • Aufwändiger und damit fehleranfälliger Prozess.
  • Einsatz von Samba 3.x als Domaincontroller.
  • Tests bzgl. Windows-Grouppolicies

18
Lokaler Kontext Aktueller Stand
  • VPN ok
  • Mailsystem ok
  • Studentenpool ok (Windows / LDAP Testphase)
  • Wireless (802.1x) To Do
  • Dial-In To Do
  • Umstellung von Einrichtungen in der Fakultät
    Testphase
  • (entspricht i.P. Studentenpool)
  • Konsequente Ausrichtung in Richtung LDAP
  • im lokalen Kontext

19
Teil II - Universitärer Kontext
20
KIM-LPS
  • KIM-Projekt
  • Karlsruher integriertes InformationsManagement
  • (www.kim.uni-karlsruhe.de)
  • Beispiele für universitätsweite Prozesse
  • Lehrveranstaltungsmanagement
  • Prüfungsmanagement
  • Studienassistenz
  • Teilprojekt KIM-LPS

21
KIM-LPS Architektur (Ausschnitt)
Identitäten?
  • Identitätsmanagement als wichtiger Faktor
  • Teilprojekt KIM-IdM

22
Integration von Identitätenbasen
  1. Ausrichtung an den eigenen Anforderungen, nicht
    an einem Produkt.
  2. Zunächst Einfachheit der Architektur
  3. Tests, erste Implementierungsschritte mit
    einfachen Tools um generelle Zusammenhänge zu
    verifizieren.
  4. Spätere Flexibilität in der Produktauswahl.

23
Begriffe
  1. Satellit
  2. Organisatorische Einheit (Betreiber) die eine
    eigenständige Identitätenbasis pflegt (z.B.
    ATIS).
  3. Gesamtidentität
  4. Zusammenfassung aller, in den Satelliten, einem
    Nutzer zugeordneten Identitäten.
  5. Identität
  6. Menge der Identitätsattribute die einem Nutzer in
    einem Satelliten zugeordnet sind.
  7. Teilidentität
  8. Teilmenge einer Identität.

24
Anforderungen
  • Heterogenität Unterschiedliche Satelliten.
  • Selbstverwaltung Lokale Flexibilität.
  • Autonomie Dezentrale Identitätenbasen.
  • aber
  • Eindeutigkeit Identitäten in verschiedenen
    Satelliten.
  • Datenharmonisierung Synchronisation und
    Sicherstellung der Konsistenz im gesamten
    Verbund.
  • Datenminimalität, Datenschutz Nur notwendige
    Informationen.

25
Zentrale Kernidentität
26
Phase 4 Verteilte Identitätenbasen
Zentrale Kernidentität
Mitarbeiter
Student
Externer



GUID
27
Phase 5 Gesamtszenario
KIM
28
Aktuelle Schritte
29
Fricard Datendistribution
  1. Nur erforderlicher Attribute werden
    synchronisiert.

30
Ausblick
31
IDM Architektur
32
Phasenplanung
33
Ziele
  • Integriertes Informationsmanagement bedeutet
  • Untergang der (Informations-)Inseln !
  • (s. unikath 01/2006)
  • Eine notwendige Grundlage
  • Integriertes Identitätsmanagement
  • d.h.
  • Übergang von unabhängigen Identitäten-Inseln zu
    einem kooperierenden System !

34
Vielen Dank für Ihre Aufmerksamkeit
  • Fragen?
Write a Comment
User Comments (0)
About PowerShow.com