Identity-Management

Das Teilprojekt „Identity-Management" führt ein universitätsweites Identity-Management-System ein. Immer neue Anforderungen haben dazu geführt, dass die vom Rechenzentrum über Jahre hinweg erfolgreich betriebene, diensteübergreifende Benutzerverwaltung durch ein neu einzuführendes Identity-Management-System abgelöst werden muss. Zu diesen Anforderungen gehören in erster Linie die system- bzw. diensteübergreifende Verwaltung von Gruppen, eine mögliche Rollenvergabe für Benutzer und Gruppen und die Einbindung weiterer Dienste und Anwendungen innerhalb der Universität Augsburg.

Das im Rahmen dieses Teilprojekts entstehende Identity-Management-System (IM) ordnet jeder realen Person (d.h. allen Universitätsangehörigen und allen Gästen) eine eindeutige digitale Identität für den Zugang zu den personalisierten IT-Systemen bzw. den Zugriff auf die personalisierten IT-Ressourcen der Universität Augsburg zu. Ohne ein gut funktionierendes und ausgezeichnet gepflegtes IM-System kann den Anforderungen einer modernen, personalisierten IT-Landschaft heute nicht mehr Rechnun getragen werden. Dies betrifft sowohl lokal angebotene Dienstleistungen (z.B. E-Mail, CMS, Digicampus) als auch hochschulübergreifende und hochschulexterne Kooperationen. Das IM-System bildet damit auch die unverzichtbare Grundlage für alle in den anderen Teilprojekten entstehenden personalisierten IT-Dienste (z.B. Verwaltungs-Anwendungen, Learning-Management-Systeme, Adressverwaltung). Das maßgeschneiderte IM-System ist in der Lage, die Identitätsdaten aus den Fachanwendungen (HIS-SOS, VIVA-PRO) konsolidiert zu beziehen und die Endsysteme zu provisionieren. Das IM-System an der Universität Augsburg unterscheidet sich von vielen vergleichbaren Projekten anderer Hochschulen durch den Umfang der im System gespeicherten Daten, welcher auf ein Minimum reduziert ist, sowie durch den modularen, erweiterbaren Ansatz.

Der einzige Arbeitsbereich des Teilprojekts IM umfasst die  Einführung eines universitätsweiten Identity-Management-Systems. Der Arbeitsbereich beinhaltet grundsätzliche Analyseaufgaben, die Erfassung der Anforderungen und die Entwicklung eines Konzepts. Nach der Produktauswahl erfolgt die Umsetzung des Konzepts, die Implementierung und Einführung des Identity-Management-Systems und anschließend die Ablösung des Altsystems.

Mit der Hilfe von Identity-Management-Systemen können die verschiedenen digitalen Identitäten der Nutzer diensteübergreifend verwaltet werden. Im Idealfall ist einer realen Person nur noch eine einzige digitale Identität und damit ein einziges Paar aus Benutzername und Passwort zugeordnet. Identity-Management-Systeme spielen damit die zentrale Rolle bei der Verwaltung der digitalen Identitäten der Nutzer von IT-Diensten und werden damit auch zunehmend zu einem Kerndienst in der IT-Versorgungsstruktur an Hochschulen.

Ergebnisse und weitere Schritte

Aus den bisherigen Erfahrungen der bestehenden Benutzerverwaltung und einer Analyse der Anforderungen entstand ein Katalog von Grundsätzen für das IM-System. Des Weiteren wurde eine Marktanalyse durchgeführt und auf Basis der Kriterien aus dem Grundsatzkatalog eine Auswahl für ein IM-System getroffen. Die Entscheidung fiel auf ein eigenentwickeltes IM-System auf Basis des Open-Source-Verzeichnisdienstes OpenLDAP im Rahmen einer Zusammenarbeit mit der Firma DAASI International GmbH. Anschließend wurde aufbauend auf den Ergebnissen der Analysephase ein Konzept für das IM-System erarbeitet. Die Architektur wird in Form eines Schichtenmodells abgebildet. Es entstand eine grundlegende Dokumentation des Konzepts des IM-Systems, das die Grundlage für alle weiteren im Teilprojekt zu bearbeitenden Aufgaben bildet. Die Implementierung der einzelnen Komponenten des fertigen IM-Konzepts erfolgt schrittweise und in Zusammenarbeit mit der Firma DAASI. Zur dezentralen Verwaltung der Gruppen im IM-System wird eine Webschnittstelle benötigt. Dazu wurde ein Prototyp samt Dokumentation entworfen, der den Funktionsumfang und das Design darstellt, welche die Webschnittstelle zur Verfügung stellen soll. Für das IM-System wurde eine Testumgebung aufgebaut und mit den aktuellen Daten der bestehenden Benutzerdatenbank gefüllt. Auf dem Testsystem werden der Betrieb, die Administration und die Pflege eines OpenLDAP-Servers umgesetzt. Innerhalb der System-Integrationsschicht wurden eine OpenLDAP- und eine Kerberos-Infrastruktur zur Provisionierung der Endsysteme erstellt und evaluiert. Des Weiteren wurde das Zusammenspiel dieser OpenLDAP/Kerberos-Infrastruktur mit der OpenAFS-Testinstallation (siehe Teilprojekt FS) getestet. Die Evaluation der Testumgebung ist abgeschlossen. Als Grundlage für diverse Web-gestützte ITAnwendungen (Online-Prüfungsamt, Learning-Management-Systeme, Portallösungen) wird ein Web-Single-Sign-On-System eingeführt. Aufgrund des vorhandenen Bedarfs wurde bereits eine Referenzimplementierung erstellt, die das Digicampus-System anbindet (siehe PF-Projekt). Der Prototyp geht ab März 2008 in einen umfassenden Praxistest über. Anschließend wird evaluiert, ob er sich bewährt hat und auch für andere Webanwendungen eingesetzt werden kann.

Im nächsten Schritt wird die Schnittstelle zur Provisionierung durch den IM-Kern realisiert. Auf Basis des erstellten Prototyps wird die technische Umsetzung der Webschnittstelle zur Gruppenverwaltung an die Firma DAASI vergeben. Anschließend wird die automatisierte Anbindung der Studentendatenbank HIS-SOS an das IM-System realisiert. Die automatisierte Anbindung der Personaldatenbank wird erst zu einem späteren Zeitpunkt erfolgen. Das Einpflegen von Mitarbeitern in das IM-System wird vorerst händisch über eine Webschnittstelle oder einen LDAP-Browser erfolgen. Die verzögerte automatisierte Anbindung der Personaldatenbank geht auf die Überlegung zurück, das aktuelle System DIAPERS nicht mehr anzubinden, sondern die Umstellung auf VIVA-PRO (in 2009 geplant) abzuwarten. Für die Migration müssen die in der derzeitigen Benutzerverwaltung gespeicherten Identitätsinformationen mit den dazugehörigen, aus den Fachanwendungen stammenden Identitätsinformationen zusammengeführt und als digitale Identitäten in das neue IM-System übertragen werden. Die Implementierung des IM-Systems und die Migration sollen Ende 2008 abschlossen werden. Nach einem umfangreichen Funktionstest kann anschließend die schrittweise Einführung des IMSystems erfolgen. Auf Basis der bereitgestellten Techniken (IM-System, Web-SSO) können dann die verschiedenen IT-Anwendungen der Universität – darunter auch die Anwendungen aus den anderen Teilprojekten (u.a. Verwaltungs-Anwendungen, Learning- Management-Systeme, Adressverwaltung) – schrittweise an das IM-System angebunden werden. Um neben Studierenden und Mitarbeitern auch Gäste in einem eigenständigen System erfassen zu können, muss eine Gästeverwaltung eingeführt werden. Die Gästeverwaltung wirdüber eine Webschnittstelle dezentral befüllt und liefert Identitätsdaten an das IM-System. Ein wichtiger Schritt auf dem Weg zur hochschulübergreifenden Zusammenarbeit ist die Anbindung des IM-Systems an die DFN-AAI (Authentifizierungs- und Autorisierungs-Infrastruktur im Deutschen Forschungsnetz). Dafür müssen eine technisch notwendige Shibboleth-Infrastruktur an der Universität Augsburg aufgebaut sowie die Einbindung in die DFN-AAI umgesetzt werden.