identity management universität duisburg essenuwe blotevogel v e r w a l t u n g dfn-nutzergruppe...

DFN-Nutzergruppe Hochschulverwaltung 10.05.2005

1

Identity Management Universität Duisburg Essen Uwe Blotevogel

V E R W A L T U N G

Identity Management Universität Duisburg EssenEinheitlicher Zugang zu Diensten, Informationen und

Kommunikationspartnern in einer serviceorientierten, integrierten Informations- und Kommunikationsinfrastruktur

ThemaThema


2


V E R W A L T U N G

Bericht über die bisherige Umsetzung des Phasenmodells

Phase 1: Grobkonzept

Phase 2: Feinkonzepti. Problemdefinitionii. Zieldefinition iii. Analyse der Geschäftsprozesse

Phase 3: Aufbau eines ITIM-Prototypen / Schaffung der Voraussetzungen für die Implementierung /

Phase 4: Ausblick Implementierung

AgendaAgendaAgenda


3


V E R W A L T U N G

Phase 1: Grobkonzept

• Fusion der Universitäten Duisburg und Essen mit zusammen 36.000 Studierenden und 3500 Mitarbeitern

• Beteiligung am Ausschreibungsverfahren der DFG zu„Leistungszentren für Forschungsinformation“ 2003

Neue Ideen werden benötigt -> Geburtsstunde von ZIM, IM, etc.

Wer macht bereits was im Land?• Beschäftigung mit dem Grobkonzept aus Bielefeld/Paderborn

HintergrundHintergrundPhase 1: Grobkonzept


4


V E R W A L T U N G

Probleme an den Unis•Außerhalb der RZ sind neue netzbasierte Dienste entstanden (DV der Verwaltung, FB-Server, Webdienste/Portale von UB und ...)

•Alle Dienste haben eigene Nutzerverwaltung

•Nutzer (Studenten, Mitarbeiter,...) müssen sich bei jedem Dienst einzeln registrieren

•Betreiber der Dienste möchten deshalb die Nutzerdatenbank des RZ zur Authentifizierung nutzen (z.B Verwaltung HISLSF, POS-QIS)

•Die RZ-Nutzerverwaltung ist nicht vollständig (z. B. Campus Essen nur 13 von 22 Tausend Studenten)

•Studenten- und Mitarbeiterdaten werden überhaupt nicht oder nur „provisorisch“ mit der Verwaltung synchronisiert

MotivationMotivationPhase 1: Grobkonzept


5


V E R W A L T U N G

Zieldefinition für das Projekt Identity Management (IM)• Verbesserung der Dienstleistungsprozesse • Unterstützung des Neugründungsprozesses der Universität

Duisburg-Essen• Reduzierung der Infrastrukturkosten durch…

– … Schaffung von klaren eindeutigen Administrationsprozessen– … Verminderung von Datenredundanzen– … Automatische Synchronisation der Daten– ... Reduzierung der Administrationsaufwände für die Endbenutzer– ... Erhöhung der Sicherheit, Beschreibung der Datenflüsse– … Vereinheitlichung der Directories– … Vereinfachung der Integration zukünftiger Anwendungen

ZieldefinitionZieldefinitionPhase 1: Grobkonzept


9


V E R W A L T U N G

IM aus Nutzersicht I

• Nur eine AnlaufstelleBenutzerkennung und Initialpasswort sofort bei Einschreibung/Einstellung,damit Zugangsberechtigung auf „allen“ DV-Systemen

• Self care FunktionFreischaltung von ZugängenAktualisierung von Daten durch NutzerFreigabe/Sperrung von Daten für Verzeichnisse

• Datenschutz/DatensicherheitVollständiger Überblick über alle gespeicherten Daten (Inhalt, Ort, Zweck) und Datenflüsse

• Fachbereiche/FakultätenÜbernahme von Daten aus zentralen Verzeichnissen: keine Doppelerhebungen, Verwaltungsvereinfachung

• ->PortalEinheitlicher DienstezugangSingle Sign On



10


V E R W A L T U N G

IM aus Nutzersicht II

• Telefon- und Adressbücher, Emailverteiler• Darstellung Organisationsstruktur• System Management

Entzug von Berechtigungen bei AusscheidenAuslösen von Folgeprozessen bei Verwaisen von wichtigen Rollen (Administratoren) durch AusscheidenÜbersicht über wichtige Rollen (z.B. Administratoren)



11


V E R W A L T U N G

Marktanalyse Anbieter Phase 1: Grobkonzept• Bildung einer Arbeitsgruppe „Einheitlicher Dienstezugang und

Verzeichnisdienste“ aus Rechenzentren, Bibliotheken, Verwaltungen

MarktanalyseMarktanalysePhase 1: Grobkonzept

• Ein Anforderungspapier (Anlage) wird an mehrere Anbieter (IBM, SUN, Siemens, Siebel) versandt mit der Bitte, Vorstellungen zur Realisierung zu entwickeln

• Präsentationen der Hersteller mit Grobkonzepten zur Projektgestaltung (Phasen, Inhalte, Organisation), zur (herstellerneutralen) Systemarchitektur und zur Realisierung mit bestimmten Produkten.

• Auswahl eines Vorschlags/Grobkonzept als Basis für Feinkonzept


12


V E R W A L T U N G

Phase 2: Auswahl Anbieter Feinkonzept• Antrag an das Ministerium für Wissenschaft und Forschung NRW auf

Förderung eines ersten Teilprojekts

(Analyse von Administrationsprozessen, Informationsflüssen, Datenstrukturen, Rollenkonzepten, Berechtigungen, detaillierte Vorschläge für Systemarchitektur, Implementierung, Produkte)

• Bewilligung des Antrags in Höhe von 80.000 €, Beschränkte Ausschreibung

• Präsentationen der Anbieter und Bewertung

• Zuschlag und Vertragsabschluss

MarktanalyseMarktanalysePhase 2: Feinkonzept


13


V E R W A L T U N G

Projektführungsstruktur

Projektleitung Universität•Herr Blotevogel (zentraler Ansprechpartner)

ProzesseMargarete Nikol (IBM)

ProvisioningReinhard Stamms

(IBM)

Meta-Directory

Gunter Jahn (IBM)

VerwaltungMA

Universität

BibliothekMA

Universität

HRZMA

Universität

Projektleitung Gunter Jahn

(IBM)

QualitätssicherungDr. Oliver Ziehm

(IBM)

ProjektbeteiligteProjektbeteiligte

FachbereichMA

Universität

Phase 2: Feinkonzept


15


V E R W A L T U N G

Arbeitspakete

Ist-Analyse-Directories

Soll-EmpfehlungDirectories

Soll-Empfehlung

Prozesse

Empfehlungder Soll-

Datenflüsse

Empfehlungeiner Soll-Architektur

Produkt-empfehlung

Implemen-tierungs-vorschlag

Projektplan

Rollen

EinheitlicheBenutzer-ID &

Kennwort

Ist-Analyse-Prozesse

Empfehlungfür zentrales

DirectoryArbeitspaketeArbeitspakete

Phase 2: Feinkonzept


16


V E R W A L T U N G

IST-Analyse ProzesseIST-Analyse ProzessePhase 2: Feinkonzept

Student lässt sicheinschreiben als

Ersthörer, grosserZweithörer,Sommeruni

Eingabestudentische Datenlt. Einschreibebogen

HISSOS

Student isteingeschri

eben

StudentischesSekretariat bzw. AAA

Weiterleitung vonStudentendaten an

HRZ

Antrag aufEinschreibung

Studentbeantragt "die-universale.de"ohne Nutzung

SB-Station

Studentbeantragt "die-universale.de"

mit allenFunktionen

XOR

HRZ

1x pro Semesteralle Im- und ExMa

Ausstellung "dieuniversale.de"

And

Studierendenausweis

Student

Einschreibung eines Studenten - Standort Essen

Student


Bibliothek

And

Bibliothek

Studentendatenfür Bibliothek

täglich -gesamter Studentenbestand

ohne Ex-Ma

Studentendatenfür HRZ


Fachbereich


ASTA, Fachschaften,Bafög etc

Studentendatenfür Fachbereich

Fachbereich

1xpro SemesterDuisburg

tägliche Datenlieferungfür neue Accounts


17


V E R W A L T U N G

SOLL-Analyse ProzesseSOLL-Analyse ProzessePhase 2: Feinkonzept

Studierende/r lässtsich einschreiben

oder wirdzugelassen

Eingabestudentische Datenlt. Einschreibebogen

HIS-SOS

keine Benutzer IDsvorhanden

Studentensekretariat

Antrag aufEinschreibung

Soll-Prozessvorschlag - Einschreibung Studierende

Studierende/r

Weiterleitung vonDaten an das

Provisioningsystem

Studentendaten fürProvisioning

ProvisioningSystem

Benutzer ID undggf.STartpasswort

Studierende/r

And

Ermittlung ob bereitsBenutzer IDs der

Uni vorhanden sind

Private eMailAdresse nachfragen

Benutzer IDProvisioning System

erzeugen

And

Ausgabe Benutzer IDan Studierenden

XOR

Benutzer IDsvorhanden

BenutzerID aus demProvisioning System

zurückgemeldet


18


V E R W A L T U N G

Ergebnisse der Ist-Analyse der Prozesse

HISSOS

HISSVA

Aleph 500(Bibliotheks-

System)

Untersucht und dokumentiert wurden insgesamt 39 Prozesse

AUM / NIS Benutzer-

verwaltung

Essen 4 Prozesse

Duisburg 4 Prozesse

Bibliothek Duisburg und Essen gesamt 15 Prozesse

Essen 3 Prozesse

Duisburg 4 Prozesse

Essen 5 Prozesse

Duisburg 4 Prozesse

ProzessanalyseProzessanalysePhase 2: Feinkonzept


19


V E R W A L T U N G

Zusammenhang IST- und SOLL-Prozesse

Anlage neuer Mitarbeiter / Studierende

Bibliothek TelefonHRZ Accounts

IST-Prozesse SOLL-Prozesse

Provisioning System

Bibliothek TelefonAccounts

Anlage neuer Mitarbeiter/ Studierende

Viele manuelle und teilautomatische Prozesse.

Die Mehrzahl der manuellen und teilautomatischen Prozesse wird durch automatische Prozesse über das Provisioning System ersetzt, Prozesse wurden zusammengefasst.

IST- und Soll ProzesseIST- und Soll ProzessePhase 2: Feinkonzept


20


V E R W A L T U N G

Fachbereich/Fakultät

Ist-Prozess: Wie kommen Studierende zu ihren Berechtigungen?

Studierende

HRZBenutzerbüro

Bibliothek

Einschreibungtägliche Datenüberlei-tung (DU)

HISSOS

Aleph 500

Benutzer-verwaltung

/ NIS

Web FormularBenutzer Account,eMail (E)für HRZ

Fachbereich

1x pro Semester

Tägliche Da-tenüberlei-tung (E/DU)

Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek

Benutzerkennungund Passwort (DU)für HRZ


Studenten-sekretariat


21


V E R W A L T U N G

Personal-verwaltung

IST-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen

Mitarbeiter/inHISSVA

Bibliothek Aleph 500

FM

BuiSy

HRZ Benutzerbüro

AUM/NIS Benutzer

verwaltung

Wöchentliche Weiterleitung Daten an BuiSy (Du)Mitarbeiter/in

wird eingestellt

Studenten-sekretariat

Telefon

Benutzer Account,eMail (E)

Bibliotheksantrag

Telefonantrag

AntragDienst-ausweis (E)Verwaltungs

account

Verwaltung MS AD

Verwaltung



22


V E R W A L T U N G

Soll-Prozess: Wie kommen MitarbeiterInnnen und Studierende zu ihren Berechtigungen Mitarbeiter/in

StudierendeHISSVAHISSOS

Aleph 500 BuiSyTelefonMS ADVerwaltung

Self Care•Telefon-/Raumdaten•Erfassung Email-Daten•Erfassung IS•Passwort setzen

Initialkennung und Passwort

Identity Management

System


Verwaltung


25


V E R W A L T U N G

Technische Analyse der Directories Es wurden etwa 40 Directories darauf hin untersucht, ob sie

in der ersten Phase des Identity Management-Projektes berücksichtigt werden sollen.

Davon wurden 23 intensiver mit einem Analyse-Dokument beleuchtet.

12 Directories wurden einer Soll-Betrachtung unterzogen.

Es werden in der ersten Phase etwa 20 Ziel- und Quellsysteme am Identity Management teilnehmen.

Analyse der DirectoriesAnalyse der DirectoriesPhase 2: Feinkonzept


26


V E R W A L T U N G

Gesamtüberblick Datenfluss StudSek

GLAZ

Telefon

HISMBS

Bibliothek

HISPOSE nur FB1

HRZ

HISSVAHISSOS

Fachbereich

Dez 2

Stu MA

Dez5

Dez3

Dez2

Dez1

Dez4

Glaz

Adr

Rü

Die

1xper Sem

1xper SemBei Anlage

GLAZ

Telefon

HISMBS

Aleph 500

HISPOS NIS BenutzerVerwaltung

/ AUM

HISSVA

StudSekHISSOS

VerwaltungAccount

MA

MA Glaz

Adr

Rü

1xper Sem 1.6/1.12

1xper SemBei Anlage

wöch

BuiSy

TelDie?

Adr

Nicht übereinstimmend

EXMA

Fachbereich/Fakultät

Ex

Bei Anlagedes MA



31


V E R W A L T U N G

Identity Management ArchitekturIdentity Management ArchitekturPhase 2: Feinkonzept


32


V E R W A L T U N G

Geschätzter Personalaufwand für die Projektphase

Projektmanagement20 PT

Anforderungsanalyse

Administrationsprozesse

Rollen

Self Care

IDS

IDI

TAM

5 PT

5 PTDatenfeldmatrix5 PT

20PT

Hardware2 PT

TIM 25 PT

15 PT

10PT

27 PT

Gesamt: 196 PT

TIM 25 PT

10 PT

Projektmanagement20 PT

Anforderungsanalyse

Administrationsprozesse

Rollen

Self Care

IDS

IDI

TAM

5 PT

5 PTDatenfeldmatrix5 PT

20PT

Hardware2 PT

TIM 25 PT

15 PT

10PT

27 PT

Gesamt: 196 PT

TIM 25 PT

10 PT

Personalaufwand Phase 4Personalaufwand Phase 4Phase 2: Feinkonzept


33


V E R W A L T U N G

NRW Landeslizenz

• Die RWTH Aachen schließt Ende 2004 als Konsortialführer ein fünfjährigesLizenzabkommen mit IBM

- 11Hochschulen in NRW beabsichtigen IM auf der Basis der IBM Produkte einzuführen

1. DSH Köln, 2. Uni Bonn, 3. RWTH Aachen, 4. Uni Bielefeld, 5. Uni Duisburg-Essen,6. Uni Paderborn,7. Uni Münster,8. FH Lippe und Höxter, 9. FH Bielefeld, 10. FH Köln,11. FH Dortmund

RessourcenRessourcenPhase 3: Aufbau eines ITIM Prototypen


34


V E R W A L T U N G

Wo stehen wir heute?

Phase 3: Aufbau eines ITIM-Prototypen / Schaffung der Voraus- setzungen für die Implementierung

Phase 4: Implementierung

AgendaAgendaPhase 3: Aufbau eines ITIM Prototypen


35


V E R W A L T U N G

Phase 3: Aufbau eines ITIM-Prototypen / Schaffung der Voraussetzungen für die Implementierung

•Landesweite Abstimmung / Dokumente auf dem BSCW-Server UNI-DUE Einrichtung von Arbeitsgruppen z.B. Gästeverwaltung, eindeutige ID, Vorabkontrolle, Koordinierungd der Anfragen an die HIS

•Testinstallation TIM, Arbeiten mit dem Tivoli Directory Integrator, Schulung

•Rektoratsbeschluss zur Implementierung

•Beteiligung Datenschutz (Vorabkontrolle) und (Haupt)Personalräte

•Beteiligung Fachbereiche und Organisationseinheiten

•Projektpartner IBM: Herr StammsPhase 3Phase 3

Phase 3: Aufbau eines ITIM Prototypen


36


V E R W A L T U N G

Aufbau eines Prototypen / Unterstützung durch IBM / Hr. Stamms

Analyse der Stagingtabellen c:\daten\stagingtabellen.mmapFeldname, Feldname_flag, …. Operationtype (MOD, ADD, DEL)

Einarbeitung in den Tivoli Directory IntegratorErstellung einer AssemblyLine Einarbeitung in JavaScript (auch weitere Sprachen einbindbar)Telefonbuch und Mailverzeichnis der fusionierten Hochschule

Aufbau einer Pilotumgebung

Testinstallation TIM und Arbeiten mit dem Tivoli Directory Integrator

givenname givenname_flag

Oliver 1

Phase 3Phase 3Phase 3: Aufbau eines ITIM Prototypen

operationtype flag

MOD 1

ADD 1

DEL 1


37


V E R W A L T U N G

Identity Management ArchitekturIdentity Management ArchitekturPhase 2: Feinkonzept

HISSOS HISSVA

TIM

IBM Directory Integrator IDI

HISLSF

LDAP

IDI

IDI

HISPOS


38


V E R W A L T U N G

Phase 3Phase 3


39


V E R W A L T U N G

Phase 3Phase 3


40


V E R W A L T U N G

Phase 3Phase 3


41


V E R W A L T U N G

Phase 3Phase 3


42


V E R W A L T U N G

Phase 3: Aufbau eines ITIM Prototypen


43


V E R W A L T U N G

Wo stehen wir am Ende des Jahres?

Phase 4: Implementierung hat stattgefunden

1. Schritte• Einrichtung TIM Produktivsystem

• Feeds: AUM(Benutzerverwaltung HRZ), SOS, SVA• Autorisierung/ Zugang zu -HRZ Diensten (Email, login) -LSF, -QIS-POS• White-Pages der Universität

Ziel bis Ende des Jahres• Selfcare ist umgesetzt• Bibliotheksanbindung (Aleph) ist vorhanden• Anbindung von Pilotfachbereichen (AD) ist erfolgt

AusblickAusblickPhase 4: Impementierung


44


V E R W A L T U N G

DanksagungFür die Nutzung von Folien

•IBM •Herr Nastoll / HRZ

Für Ihre Mitarbeit in dem Projekt

•Herr Stamms IBM•Herr Nastoll / HRZ•Herr Wald / HRZ•Herr Conradshaus / DV der Verwaltung

Danksagung

identity management universität duisburg essenuwe blotevogel v e r w a l t u n g dfn-nutzergruppe...

Documents