Identity Management im Münchner Wissenschaftsnetz

Transkript

1 Professioneller IT-Betrieb in mittleren und großen Umgebungen Identity Management im Münchner Wissenschaftsnetz Dr. Ralf Ebner Leibniz-Rechenzentrum

2 Überblick Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM-Systeme Ausgewählte I&AM-Komponenten Identity Management im Münchner Wissenschaftsnetz TUMonline CampusLMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld DFN-AAI Aktueller Stand und Herausforderungen

3 Motivation Aus der Perspektive eines neuen Mitarbeiters Viele verschiedene Ansprechpartner Jede Menge neue Passwörter

4 Motivation Aus der Perspektive des Systemadministrators Frau Meier will Zugriff auf das Projektlaufwerk Atlas darf sie das überhaupt? Unklare Verantwortung Lästige Routine-Tätigkeit Oft Verzögerungen durch Abwesenheit Schon wieder neue Groupware-Accounts für 27 Mitarbeiter anlegen Müller mit 4 GB Transfervolumen in 2 Tagen! Gab es in meinem Urlaub nicht eine Rundmail, dass ihm fristlos gekündigt wurde?

5 Motivation Aus der Perspektive der Chef-Etage Wer hatte am Zugriff auf die Kundendatenbank? Wer war dafür verantwortlich? Können wir das in Audits und internen Revisionen nachweisen? Halten wir die Datenschutzgesetze ein? Werden unsere Sicherheitsrichtlinien von der IT-Abteilung überhaupt richtig umgesetzt?

6 Überblick Was bringt Identity & Access Management (I&AM)? Verwaltung von Personen, nicht nur Benutzerkonten Stamm- und dienstspezifische Benutzerdaten Rollen und Berechtigungen für alle Dienste einer Organisation Orientierung an den Geschäftsprozessen Neuer Mitarbeiter, neuer Kunde Änderung der Kontaktdaten und Berechtigungen Ausscheiden von Mitarbeitern, Kündigung eines Kunden Automatisierung des sog. User Provisionings Versorgung zentraler Authentifizierungsdienste (LDAP) Einspeisung der Benutzerdaten in nicht LDAP-fähige Systeme Anlegen von Homedirectories, Mailboxen, Webseiten,

7 Überblick LDAP-Verzeichnisdienste: Basis für I&AM LDAP-Protokoll TCP/IP-basiert, unterstützt SSL/TLS, Standard (RFC 4511 ff) Standardoperationen (bind, search, add, modify, delete, moddn) LDAP-Datenmodellierung Objektklassen mit Attributen (must/may, single/multi value) Einträge (Objekte) in Baumstruktur (DIT) Global eindeutige Identifikatoren (OIDs) für Syntax und Datenstruktur Strenge Zugriffsregulierung auf Objekte und Attribute (Access Control) LDAP-Anbindung Authentifizierungsmodule (z.b. Linux: pam_ldap; Apache: mod_auth_ldap) APIs in allen gängigen Programmiersprachen Weite Verbreitung in Identity-Management-Lösungen

8 Überblick Prinzipielle I&AM-Architektur

9 Überblick Typische I&AM-Architektur

10 I&AM-Komponenten (1/5) Konnektoren Unterscheidung nach Abgleich: unidirektional oder bidirektional Trigger: intervallgesteuert oder eventgesteuert Aufruf: Push-Verfahren oder Pull-Verfahren Integration: in Quelle oder in Ziel oder Stand-alone-Betrieb

11 I&AM-Komponenten (2/5) Provisionierungssysteme

12 I&AM-Komponenten (3/5) Virtueller Verzeichnisdienst

13 I&AM-Komponenten (4/5) Meta-Directory

14 I&AM-Bausteine (5/5) Self Services Passwort-Setzung, Benutzerzertifikat Mail-Konfiguration (Adressen, Aliase, Weiterleitungen, Abwesenheitsnotiz) Eigene Webseiten / Webserver Kontaktdaten Selbstauskunft / Dateneinsicht

15 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM-Systeme Ausgewählte I&AM-Komponenten Identity Management im Münchner Wissenschaftsnetz TUMonline CampusLMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld DFN-AAI Aktueller Stand und Herausforderungen

16 TUM I&AM Architektur (Stand 2011) Entwicklung: DFG-Projekt IntegraTUM ( ) Zentrales Campus- Mgmt-Systems TUMonline (2009) Hosting: LRZ Betrieb: TUM-ITSZ (2011) Kontinuierliche Weiterentwicklung

17 TUM I&AM Bewertung der TUM-Lösung Vorteile: Entkopplung in mehrere Verzeichnisse positiv für Change Management Sicherheit und Datenschutz Antwortzeiten und Performance Bereitstellung der Daten in dienstspezifischen Formaten Nur noch eine autoritative Datenquelle für zentrale IT-Dienste Flexibilität und Erweiterbarkeit gewährleistet Nachteil: Viele Komponenten (Verzeichnisse und Konnektoren) Implementierungs- und Betriebsaufwand!

18 TUM I&AM Technische Umsetzung Verzeichnis/LDAP: Novell edirectory 8.8 Auf SuSE-Linux (SLES) SNMP zum Service-Monitoring Dynamisches Access-Control-Management (ACL) Management-Frontend: imanager (webbasiert) I&AM: Novell Identity Manager 3.6 Event-Orientierung (z.b. add/modify/delete) Konnektoren-Framework (Novell IDM Treiber ) LDAP-Objekte und Events in XML-Darstellung Transformationen über XSLT, DirXML, auch Javascript und Java Entwicklungsumgebung: Novell Designer (Eclipse-basiert)

19 LMU I&AM Realisiert durch das Referat VI.4 (IT-Sicherheit und Verzeichnisdienste) der zentralen Verwaltung Integriert in Campus LMU Datenquellen und Zielsysteme prinzipiell vergleichbar mit TUM Softwarebasis ebenfalls Novell Identity Manager Synchronisation ausgewählter Objekte/Attribute mit LRZ für Studenten / Desktop Mgmt. für Mitarbeiter Weitergehende Berechtigungen für einzelne Fakultäten: Exchange (Tiermedizin), Mail/PC (Biologie), Linux-Compute-Cluster (Physik) VPN z.b. für Bibliotheksdienste eduroam für WLAN-Zugang Und immer: Übernahme von Kennung und Passwort

20 LMU/TUMLRZ Kopplung der Verzeichnisdienste

21 LMU/TUMLRZ Automatische Datenübernahme Vorteile für Benutzer nur eine Kennung, ein Passwort überall Kennung kann an neue Einrichtung mitgenommen werden Langjährige Erreichbarkeit per Kein umständliches Datenkopieren und Neu-Konfigurieren Vorteile für LMU/TUM und LRZ: Weniger Datenerfassungs- und Datenpflegeaufwand Aktuelle Personendaten Dadurch weniger Verwirrung und Anfragen von Benutzerseite Rechtssicherheit: Berechtigungsentzug / Deprovisionierung bei Ausscheiden

22 Datenschutz Zentraler Aspekt, insb. bei öffentlichen Einrichtungen Schlüsselkriterium für Benutzerakzeptanz Basis: 42(4) (Studentendaten) 55(2) (IuK-Unterstützung der Lehre) BayHSchG Zwingendes Einverständnis zur elektronischen Datenverarbeitung bei Immatrikulation / Einstellung Datenschutzfreigaben / Verfahrensbeschreibungen pro angebundenem System Enge Zusammenarbeit mit Datenschutzbeauftragtem Mitarbeitervertretung Studentenvertretung, Fachschaften Self Service zur Selbstauskunft im TUMonline- und LRZ-Portal, Korrekturmöglichkeit online bzw. über Service Desk

23 LRZ Eckdaten LRZ ist IT-Dienstleister der Münchner Hochschulen > Studenten > Mitarbeiter Wachsende Anzahl Alumni (z.b. lebenslange Mail-Weiterleitung) Supercomputing-Zentrum Bayernweite Nutzung der Compute-Plattformen Deutschlandweite Nutzung des Höchstleistungsrechners SuperMUC Europaweite Nutzung über Grid-Projekte (PRACE, LCG, ) I&AM ( LRZ-SIM ) 36 Dienste mit individueller Authentifizierung, Tendenz steigend Herausforderung: Sehr hohe Fluktuation!

24 LRZ I&AM Konzept für delegierte Administration

25 LRZ I&AM Eigenentwickeltes Portal

26 LRZ I&AM Architektur

27 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM-Systeme Ausgewählte I&AM-Komponenten Identity Management im Münchner Wissenschaftsnetz TUMonline CampusLMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld DFN-AAI Aktueller Stand und Herausforderungen

28 Motivation Hochschulübergreifendes I&AM Gemeinsame Studiengänge E-Learning Hochschul-Bibliotheken Software-Distribution Forschungsprojekte und Industriekooperationen Grid-Computing

29 FIM Was ist Federated Identity Management? Kennungen einer Institution (Identity Provider) für Nutzung von Diensten anderer Institutionen (Service Provider) Voraussetzung: Institutionen vertrauen sich gegenseitig schließen sich in Föderationen zusammen schließen Vertrag über Föderations-Mitgliedschaft ab Authentifizierung erfolgt immer bei der Heimat -Institution Authentifizierungsanfragen und -bestätigungen über ein sicheres, standardisiertes Protokoll (SAML) Jede Institution entscheidet über Freigabe bei Bedarf (Login) welche persönlichen Daten (Attribute) für welche Nutzer an welche Dienste/Dienstleister welcher Institution

30 FIM Konzepte und Ansätze Security Assertion Markup Language (SAML) Liberty Alliance ID-FF (SAML-basiert) WS-Federation (unterstützt SAML-Assertions) BBAE, DACS, Hurderos, Tequila, X-DAC,.. Nachrichten/Protokolle zum Datenaustausch zwischen IdP und SP

31 FIM Security Assertion Markup Language (SAML) Standardisiert durch OASIS, aktuelle Version 2.0 Definierte Syntax und Semantik von Authentication Assertions: Org.-übergreifendes Single Sign-On Authorization Assertions: Delegierte Administration Attribute Assertions: Benutzerdaten-Transfer Request-Response-Protokoll zwischen SP und IDP Bindings, z.b. für SOAP/HTTPS In den meisten kommerziellen FIM-Lösungen implementiert Diverse Open-Source-Implementierungen, z.b. OpenSAML

32 FIM in der DFN-AAI Authentifizierungs- und Autorisierungsinfrastruktur DFN-Verein übernimmt zentrale FIM-Aufgaben Mitgliederverwaltung Richtlinien Vertragsgestaltung Metadatenverwaltung Testumgebung Info-Portal Dokumentation Schulungen NEU: IdP-Hosting!

33 FIM in der DFN-AAI Workflow mit Shibboleth Service Provider (SP) Where are you from (WAYF) Identity Provider (IdP) Single Sing-on

34 FIM Informationelle Selbstbestimmung Gesetzliche Auflagen Föderationsweite Vorgaben Identity Provider Defaults Benutzergesteuerte Freigaben Visitenkarten- Metapher

35 FIM in der DFN-AAI Technik im Hintergrund: Shibboleth HTTP Request/Response HTTP Redirect Intern WAYF Service (where are you from?) SSO AuthSys Auth DB LDAP User DB LRZ Webserver Tomcat Shib Identity Provider Attrib Authory Uni/Bib... mod_shi b Shib Service Provider Shib Daemon Webserver Ressource App Web App/ Ressource

36 FIM Bewertung Technik Setzt lokales I&AM voraus Kein aufwändiges, klassisches User-Provisioning Single-Sign-on Technische Unterstützung durch DFN (Vertrag, Metadaten-Generierung, IdP-Hosting, Testumgebung, Verlässlichkeitsklassen) IdP-Hosting des DFN kostenlos! Nur für Web-Anwendungen (heutzutage aber die meisten wichtigen Anwendungen mit Web-Frontend!) Anwendung muss shibbolisiert sein; Eigenanpassung aufwändig! Neue Protokolle z.t. unausgereifte Software Komplexes, organisationsübergreifendes Change Mgmt

37 FIM Bewertung Sicherheit Benutzerdaten brauchen nicht auf Vorrat zu anderen Institutionen provisioniert werden Benutzer entscheidet in jedem Einzelfall / Dienst über Weitergabe seiner Daten Passwörter und im Allgemeinen auch die lokale Kennung gehen nicht an Dienstbetreiber Zwang zu https + SAML Zugriff auf vormals stark abgeschottete Datenbestände Single-Logout nicht oder nur rudimentär Restrisiko bei Cookies (evtl. persistente Sessions), offene Webbrowser in öffentlichen PC-Pools Ungelöste Datenschutzfragen: Profilbildung durch Identity Provider Keine Kontrolle der Zweckbindung beim Service Provider

38 Zusammenfassung Identity-Management-Architekturen LDAP-Verzeichnisdienste als Kernkomponenten Starke Orientierung an Geschäftsprozessen Konnektoren zur Synchronisation der Datenbestände Zentrale Verzeichnisdienste, Konnektoren Implementierung an TUM, LMU und LRZ Identitätsdatenübernahem ans LRZ als Dienstleister Organisationsübergreifendes Identity Management Hoher Bedarf auch im Hochschulumfeld DFN-AAI, Shibboleth aufbauend auf lokalem I&AM Noch starke technologische Weiterentwicklung