- Universität »
- Einrichtungen »
- ITS »
- Teilprojekte »
- Identity-Management »
- Analyse
Analyse und Anforderungen (IM1)
Darstellung
Das erste Arbeitspaket befasste sich mit Analyseaufgaben und mit der Erfassung der Anforderungen an das Identity-Management. In einer Bestandsaufnahme wurde ein Überblick über die derzeitige Situation der IdM-Systeme anderer deutscher Hochschulen zusammengestellt, es wurden die internen Anforderungen aufgenommen und die Prozesse aus dem Umfeld des Identity-Managements sind bekannt. Ferner wurde die Notwendigkeit zu Änderungen in den organisatorischen Abläufen aufgezeigt. Dieses Arbeitspaket wurde im ersten Projektjahr bearbeitet.
Arbeitsschritte und Ergebnisse
Im Folgenden wird das Arbeitspaket IM1 detaillierter in einzelnen Arbeitsfeldern erläutert:
Anforderungen aus der Universität
Zuerst wurde aus den bisherigen Erfahrungen ein „Katalog von Grundsätzen“ für das zukünftige Identity-Management formuliert. Dieser Katalog beschreibt neben der technischen Struktur auch die Datenquellen (Datenbanken der Fachenwendungen), die an das IdM-System angebunden werden. Zudem werden die wenigen Anwendungen der System-Integrationsschicht, auch Datensenken genannt, beschrieben, die vom Identity-Management-System direkt versorgt werden. Alle weiteren IT-Systeme nutzen für Namensdienste und zur Authentifizierung diese Datensenken. Ferner werden Regeln aufgestellt, die den Betrieb und die Administration der Systeme und die Sicherheit der bzw. den Umgang mit den Daten kontrollieren.
Des Weiteren wurde in Zusammenarbeit mit den DV-Betreuern der verschiedenen Fakultäten und Einrichtungen der Universität Augsburg ein Katalog von Anforderungen an das Identity-Management-System zusammengestellt. Die geäusserten Anregungen beziehen sich im Wesentlichen auf Möglichkeiten und Wünsche einer dezentralen Administration und Pflege der Daten des Identity-Management-Systems. Die angesprochenen Themen beziehen sich v.a. auf die Verwaltung von Benutzergruppen, grafische Bedienoberflächen für Administratoren, standardisierte Programmierschnittstellen und Komfortfunktionen.
Bestandsaufnahme und Bedarfsanalyse
In Gesprächen mit anderen Hochschulen und in Arbeitskreissitzungen wurde ein Überblick über die verschiedenen in der deutschen Hochschullandschaft eingesetzten Identity-Management-Systeme und -Strategien gewonnen. Folgende Ergebnisse und Rückschlüsse bleiben festzuhalten:
- Ein Identity-Management-System einzuführen ist in jedem Fall ein aufwändiges Projekt. Abgesehen von den Kosten hält der Aufwand für den Betrieb einer kommerziellen Lösung für IdM-Systeme gerade kleinere Hochschulen von einer Einführung oft ab. Sie wagen sich eher selten an ein kommerzielles System und setzen dafür auf eine Eigenentwicklung mit reduziertem, aber überschaubarem und handhabbarem Funktionsumfang.
- Was die Produktauswahl anbetrifft, gibt es prinzipiell keine einheitliche Linie in der deutschen Hochschullandschaft. Der Trend geht, abgesehen von Übergangslösungen, aber deutlich in Richtung kommerzieller Lösungen anstelle von reinen Eigenentwicklungen.
- Die Entscheidung für ein bestimmtes kommerzielles Produkt wird meist von vorhandenen oder angestrebten Landeslizenzen bestimmt, da andernfalls die entstehenden Kosten für eine Hochschule kaum finanzierbar wären. In Nordrhein-Westfalen etwa wird der Tivoli Identity Manager eingesetzt und seit der Einführung der SUN-Landeslizenz auch der SUN Identity Manager. Dagegen wird in Thüringen und Bayern der Novell Identity Manager bevorzugt. Einige Hochschulen haben sich, meist auf Landesebene, zu Verbünden zusammengefunden (z. B. in NRW und Thüringen), die aufgrund des Einsatzes des gleichen Produkts zusammenarbeiten.
- Es bleibt dennoch zu beobachten, dass Identity-Management-Systeme immer einen individuellen Zuschnitt haben, da sie genau auf die Strukturen und Anforderungen der entsprechenden Universität angepasst werden. Diese Anpassungen werden meist durch teure Consultingleistungen erkauft und führen oft zu individuellen Softwarekomponenten, die wiederum einen hohen Pflegeaufwand bedeuten können. Trotzdem sind Synergien zwischen zusammenarbeitenden Hochschulen nicht auszuschließen.
- Die sorgfältige Analyse der Prozesse ist neben der Einführung des Identity-Management-Systems sehr wichtig und bildet die Basis für einen reibungslosen Einsatz. Dies stellt einen hohen Aufwand dar, da man dafür sowohl mit verschiedenen Einrichtungen der Universität zusammenarbeiten muss, als auch gewisse Änderungen in den organisatorischen Abläufen benötigt.
Ergänzt wurde diese „externe“ Bestandsaufnahme durch die interne Aufnahme bestehender und für die Zukunft geplanter IT-Systeme, zu denen der Zugang über persönliche Benutzerkennungen realisiert ist. Dabei entstand eine Liste dieser IT-Systeme mit jeweils relevanten Angaben, wie z.B. den Daten, die zu einer Benutzerkennung gespeichert werden.
Prozessanalyse- und optimierung
Es gibt eine Reihe von Prozessen, die sowohl für das Beziehen von Daten aus den Datenquellen als auch für das Provisionieren der Anwendungen mit Benutzerdaten relevant sind. Dazu zählen das Einrichten eines neuen Benutzers (Student, Mitarbeiter oder Gast), der Rollenwechsel bestehender Benutzer (Student wird studentische Hilfskraft oder Mitarbeiter) und das Ausscheiden eines Benutzers. Neben der Dokumentation dieser Prozesse werden auch die entsprechenden Berechtigungen der einzelnen Gruppen überarbeitet.
Mehrere dieser bestehenden Prozesse bedürfen einer Überarbeitung. Beispielsweise sieht der heutige Prozess für das Eintragen eines neuen Studenten in die Benutzerverwaltung folgendermaßen aus:
Schritt 1: Persönliche Daten des Studenten werden in der Studentenkanzlei erfasst und in HIS-SOS eingetragen.
Schritt 2: Von der DV-Gruppe der Verwaltung wird dem Rechenzentrum regelmäßig eine Austauschdatei mit einem Teil der persönlichen Daten (Ereignis (Neueinschreibung, Rückmeldung, Exmatrikulation), Matrikelnummer, Vor- und Nachname, Fakultät) der Studierenden zugänglich gemacht. Die Datei wird dem Rechenzentrum telefonisch angekündigt.
Schritt 3: Im Rechenzentrum werden die gelieferten Daten von einem Programm weiterverarbeitet. Hierbei wird folgendes erledigt:
- Eindeutige Kennung generieren
- Initialpasswort generieren
- Eindeutige E-Mail-Adresse generieren
- Neueintragen des Benutzers in den entsprechenden Systemen des Rechenzentrums
- Anlegen eines Mailkontos
Schritt 4: Vom Rechenzentrum wird der DV-Gruppe der Verwaltung eine Datei mit Name, Matrikelnummer, der neu generierten RZ-Benutzerkennung samt Passwort zugänglich gemacht und telefonisch angekündigt.
Schritt 5: Von der DV-Gruppe der Verwaltung werden diese Daten (RZBenutzerkennung samt Passwort) in den Druckauftrag für Studentenausweise eingebracht und auf die Ausweise aufgedruckt. Schließlich werden die Ausweise von der Studentenkanzlei an die Studenten verschickt.
Bei diesem heute praktizierten Verfahren treten vereinzelt Fehler auf, da der zugrundeliegende Prozess nicht vollständig automatisch abgearbeitet wird. Treten beispielsweise Unregelmäßigkeiten bei der manuellen Erzeugung der Austauschdatei auf (etwa durch Änderung des Datenschemas nach Software-Update von HIS-SOS), so werden die neuen Benutzer unter Umständen nicht korrekt angelegt.
Wie am oben beschriebenen Prozess aufgezeigt, bedürfen eine Reihe von Abläufen im Umfeld des IdMs einer Überarbeitung. Dabei sind zwei Gruppen von Prozessen zu unterscheiden: Zum einen diejenigen Prozesse, die sich mit technischen Hilfsmitteln anpassen und automatisieren lassen und zum anderen die Prozesse, die Änderungen in den organisatorischen Abläufen voraussetzen. Bei den Lösungen zur Prozessoptimierung arbeitet die Projektgruppe eng mit den Verwaltungsprojekten (IV, IL, AV) zusammen, die sich ebenfalls mit der Optimierung der Prozessabläufe auseinandersetzen.
Marktübersicht und Eigenentwicklung
Schließlich wurden verschiedene kommerzielle Identity-Management-Systeme auf ihre Architektur und ihren Funktionsumfangs hin überprüft. Dabei wurden insbesondere die Kriterien aus dem Katalog der Grundsätze berücksichtigt. Bei dieser Evaluation wurde deutlich, dass es eine relativ große Spanne von unterschiedlichen Ansätzen an IdM-Lösungen gibt. Zum einen gibt es kommerzielle Lösungen, die einen sehr großen Funktionsumfang besitzen und einen neuen, komplett eigenständigen Datenspeicher aufbauen. Zum anderen gibt es Lösungen, die lediglich Verweise auf vorhandene Datenquellen speichern, anstatt das System durch redundante Datenspeicherung als weiteren großen Datenspeicher zu etablieren. Und schließlich finden sich noch kleine eigenentwickelte Lösungen, die an die speziellen Bedürfnisse einer Hochschule angepasst werden können.
Die Produktentscheidung an der Universität Augsburg wird zwischen einem kommerziellen Produkt und einer auf OpenLDAP basierten Minimallösung fallen. Ein kommerzielles Produkt hat den Vorteil, Synergieeffekte durch die Zusammenarbeit mit anderen Hochschulen nutzen zu können, welche ebenfalls dieses Produkt einsetzen. Wie jedoch den Erfahrungen anderer Hochschulen bei der Einführung solcher IdM-Systeme zu entnehmen ist, ist im Rahmen der Anpassung des Systems an die lokalen Gegebenheiten im Gegenzug mit einem sehr hohen Aufwand an Consultingleistung und an Anpassungsarbeiten zu rechnen. Neben dem Einarbeitungsaufwand sind diese kommerziellen Systeme außerdem wesentlich umfangreicher, als es nach den von uns festgestellten Anforderungen notwendig wäre. Der Vorteil eines Minimalsystems auf Basis von OpenLDAP ist dagegen die leichte Anpassbarkeit an die bestehende Umgebung. Die bereits heute bei uns eingesetzten Mechanismen zur Provisionierung der System-Integrationsschicht können in ein solches Produkt leicht integriert werden. Diese Lösung erfordert allerdings im Gegenzug einen erhöhten Aufwand an Entwicklungskosten.
Zentrales Ergebnis
Als zentrales Ergebnis des Arbeitspakets IM1 entstand ein Konzept für das Identity-Management der Universität Augsburg.
Weitere Schritte
In der nächsten Phase erfolgt die Produkteinführung, wie in Arbeitspaket IM2 beschrieben.
- [Impressum]
- [Datenschutz]
- [E-Mail]
- 27.02.2007