Identity Management im Münchner Wissenschaftsnetz

Transkript

1 Professioneller IT-Betrieb in mittleren und großen Umgebungen Identity Management im Münchner Wissenschaftsnetz Dr. Ralf Ebner Leibniz-Rechenzentrum Überblick Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM-Systeme Ausgewählte I&AM-Komponenten Identity Management im Münchner Wissenschaftsnetz TUMonline CampusLMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld DFN-AAI Aktueller Stand und Herausforderungen 2 1

2 Aus der Perspektive eines neuen Mitarbeiters Viele verschiedene Ansprechpartner Jede Menge neue Passwörter 3 Aus der Perspektive des Systemadministrators Frau Meier will Zugriff auf das Projektlaufwerk Atlas darf sie das überhaupt? Unklare Verantwortung Lästige Routine-Tätigkeit Oft Verzögerungen durch Abwesenheit Schon wieder neue Groupware-Accounts für 27 Mitarbeiter anlegen Müller mit 4 GB Transfervolumen in 2 Tagen! Gab es in meinem Urlaub nicht eine Rundmail, dass ihm fristlos gekündigt wurde? Identity Management im MWN 4 2

3 Aus der Perspektive des Vorstands Wer hatte am Zugriff auf die Kundendatenbank? Wer war dafür verantwortlich? Können wir das in Audits und internen Revisionen nachweisen? Halten wir die Datenschutzgesetze ein? Werden meine Sicherheitsrichtlinien von der IT-Abteilung überhaupt richtig umgesetzt? Identity Management im MWN 5 Was bringt Identity & Access Management (I&AM)? Verwaltung von Personen, nicht nur Benutzerkonten Stamm- und dienstspezifische Benutzerdaten Rollen und Berechtigungen für alle Dienste einer Organisation Orientierung an den Geschäftsprozessen Neuer Mitarbeiter, neuer Kunde Änderung der Kontaktdaten und Berechtigungen Ausscheiden von Mitarbeitern, Kündigung eines Kunden Automatisierung des sog. User Provisionings Versorgung zentraler Authentifizierungsdienste (LDAP) Einspeisung der Benutzerdaten in nicht LDAP-fähige Systeme Anlegen von Homedirectories, Mailboxen, Webseiten, Identity Management im MWN 6 3

4 LDAP-Verzeichnisdienste: Basis für I&AM LDAP-Protokoll TCP/IP-basiert, unterstützt SSL/TLS, Standard (RFC 4511 ff) Standardoperationen (bind, search, add, modify, delete, moddn) LDAP-Datenmodellierung Objektklassen mit Attributen (must/may, single/multi value) Einträge (Objekte) in Baumstruktur (DIT) Global eindeutige Identifikatoren (OIDs) für Syntax und Datenstruktur Strenge Zugriffsregulierung auf Objekte und Attribute (Access Control) LDAP-Anbindung Authentifizierungsmodule (z.b. pam_ldap, mod_auth_ldap) APIs in allen gängigen Programmiersprachen Weite Verbreitung in Identity-Management-Lösungen 7 Prinzipielle I&AM-Architektur 8 4

5 Typische I&AM-Architektur 9 I&AM-Bausteine (1/5): Konnektoren Unterscheidung nach Abgleich: unidirektional oder bidirektional Trigger: intervallgesteuert oder eventgesteuert Aufruf: Pull-Verfahren oder Push-Verfahren Integration: in Quelle oder in Ziel oder Stand-alone-Betrieb 10 5

6 I&AM-Bausteine (2/5): Provisionierungssystem 11 I&AM-Bausteine(3/5): Virtueller Verzeichnisdienst 12 6

7 I&AM-Bausteine (4/5): Meta-Directory 13 I&AM-Bausteine (5/5): Self Services Passwort-Setzung, Benutzerzertifikat Mail-Konfiguration (Adressen, Aliase, Weiterleitungen, Abwesenheitsnotiz) Eigene Webseiten / Webserver Kontaktdaten Selbstauskunft / Dateneinsicht 14 7

8 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM-Systeme Ausgewählte I&AM-Komponenten Identity Management im Münchner Wissenschaftsnetz TUMonline CampusLMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld DFN-AAI Aktueller Stand und Herausforderungen 15 TUM I&AM: Architektur (Stand 2010) Entwicklung: DFG-Projekt IntegraTUM ( ) Weitere Zentralisierung durch Einführung des Campus- Mgmt-Systems TUMonline (ab 2009) 16 8

9 TUM I&AM-Architektur: Features Vorteile der IntegraTUM-Lösung: Entkopplung positiv für Change Management Sicherheit und Datenschutz Antwortzeiten und Performance Bereitstellung der Daten in dienstspezifischen Formaten Nur noch eine autoritative Datenquelle für zentrale IT-Dienste Flexibilität und Erweiterbarkeit gewährleistet Nachteil: Viele Komponenten (Verzeichnisse und Konnektoren) mehr Implementierungs- und Betriebsaufwand 17 TUM I&AM: Technische Umsetzung Verzeichnis/LDAP: Novell edirectory 8.8 Langjährige Erfahrung unter Novell Netware Seit SuSE-Akquisition auf Linux-Basis SNMP zum Service-Monitoring Dynamisches Access-Control-Management (ACL) Management-Frontend: imanager (webbasiert) I&AM: Novell Identity Manager 3.6 Event-Orientierung (z.b. add/modify/delete) Konnektoren-Framework (Novell IDM Treiber ) LDAP-Objekte und Events in XML-Darstellung Transformationen über XSLT, DirXML, auch Javascript und Java Entwicklungsumgebung: Novell Designer (Eclipse-basiert) 18 9

10 TUM I&AM: Datenschutz Zentraler Aspekt, insb. bei öffentlichen Einrichtungen Schlüsselkriterium für Benutzerakzeptanz Basis: 42(4) (Studentendaten) und 55(2) (IuK-Unterstützung der Lehre) BayHSchG Zwingendes Einverständnis zur elektronischen Datenverarbeitung bei Immatrikulation / Einstellung Datenschutzfreigaben / Verfahrensbeschreibungen pro angebundenem System Enge Zusammenarbeit mit Datenschutzbeauftragtem (Prof. Baumgarten) Mitarbeitervertretung Studentenvertretung, Fachschaften Self Service zur Selbstauskunft im TUMonline-Portal, Korrekturmöglichkeit online bzw. über Service Desk 19 I&AM an der LMU Realisiert durch das Referat VI.4 (IT-Sicherheit und Verzeichnisdienste) der zentralen Verwaltung Integriert in Campus LMU Datenquellen und Zielsysteme prinzipiell vergleichbar mit TUM Softwarebasis ebenfalls Novell Identity Manager Synchronisation ausgewählter Objekte/Attribute mit LRZ für Studenten / Desktop Mgmt. für Mitarbeiter Weitergehende Berechtigungen für einzelne Fakultäten: Exchange (Tiermedizin), Mail/PC (Biologie), Linux-Compute- Cluster (Physik) Und immer: Übernahme von Kennung und Passwort 20 10

11 IDM-Architektur CampusLMU und LRZ 21 Automatische Datenübernahme LMU/TUMLRZ Vorteile für Benutzer nur eine Kennung, ein Passwort überall Kennung kann an neue Einrichtung mitgenommen werden Langjährige Erreichbarkeit per Kein umständliches Datenkopieren und Neu-Konfigurieren Vorteile für LMU/TUM und LRZ: Weniger Datenerfassungs- und Datenpflegeaufwand Aktuelle Personendaten Dadurch weniger Verwirrung und Anfragen von Benutzerseite Rechtssicherheit: Berechtigungsentzug / Deprovisionierung bei Ausscheiden 22 11

12 LRZ: Eckdaten LRZ ist IT-Dienstleister der Münchner Hochschulen > Studenten, > Mitarbeiter Wachsende Anzahl Alumni (z.b. lebenslange Mail-Weiterleitung) Supercomputing-Zentrum Bayernweite Nutzung der Compute-Plattformen Deutschlandweite Nutzung des Höchstleistungsrechners Europaweite Nutzung 2011 neuer Höchstleistungsrechner SuperMUC aktuell schon durch Beteiligung an internationalen Grid-Projekten (DEISA, LCG,...) I&AM ( LRZ-SIM ) 30 Dienste mit individueller Authentifizierung, Tendenz steigend Herausforderung: Sehr hohe Fluktuation! 23 LRZ: Konzept für delegierte Administration 24 12

13 LRZ: I&AM über eigenentwickeltes Portal 25 LRZ I&AM: Architektur 26 13

14 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM-Systeme Ausgewählte I&AM-Komponenten Identity Management im Münchner Wissenschaftsnetz TUMonline CampusLMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld DFN-AAI Aktueller Stand und Herausforderungen 27 Motivation für hochschulübergreifendes I&AM Gemeinsame Studiengänge E-Learning Hochschul-Bibliotheken Software-Distribution Forschungsprojekte und Industriekooperationen Grid-Computing Identity Management im MWN 28 14

15 Ansätze für Federated Identity Management (FIM) Security Assertion Markup Language (SAML) Liberty Alliance ID-FF (SAML-basiert) WS-Federation (unterstützt SAML-Assertions) BBAE, DACS, Hurderos, Tequila, X-DAC,.. Nachrichten/Protokolle zum Datenaustausch zwischen IdP und SP 29 Security Assertion Markup Language (SAML) Standardisiert durch OASIS, aktuelle Version 2.0 Definiert Syntax und Semantik von Authentication Assertions: Org.-übergreifendes Single Sign-On Authorization Assertions: Delegierte Administration Attribute Assertions: Benutzerdaten-Transfer Request-Response-Protokoll zwischen SP und IDP Bindings, z.b. für SOAP/HTTPS In den meisten kommerziellen FIM-Lösungen implementiert Diverse Open-Source-Implementierungen, z.b. OpenSAML 30 15

16 FIM: Workflow mit Shibboleth Service Provider (SP) Where are you from (WAYF) Identity Provider (IdP) Single Sing-on 31 Die DFN-AAI: Shibboleth Authentifizierungs- und Autorisierungsinfrastruktur DFN-Verein übernimmt zentrale FIM-Aufgaben Mitgliederverwaltung Richtlinien Vertragsgestaltung Metadatenverwaltung Testumgebung Info-Portal Dokumentation Schulungen NEU: IdP-Hosting! Identity Management im MWN 32 16

17 FIM: Herausforderungen bei der Integration in die eigene Infrastruktur Security Zugriff auf vormals stark abgeschottete Datenbestände Neue Protokolle, z.t. unausgereifte Software Datenschutz Nur selektive Übermittlung von Daten an SPs Sensibilisierung der Benutzer, Steuerungsmöglichkeiten Noch fehlende Funktionalität Nur Lesezugriff Datenabruf nur während Dienstnutzung möglich IT Service Management Komplexes, organisationsübergreifendes Change Mgmt. 33 FIM: Datenfreigabe-Regeln und informationelle Selbstbestimmung Gesetzliche Auflagen Föderationsweite Vorgaben Identity Provider Defaults Benutzergesteuerte Freigaben Visitenkarten- Metapher 34 17

18 FIM: Ungelöste Datenschutzprobleme Profilbildung durch Identity-Provider möglich über: Ziel-URLs, Entitlements des Benutzers Keine Kontrolle der Einhaltung der Zweckbindung beim SP 35 Zusammenfassung Identity-Management-Architekturen LDAP-Verzeichnisdienste als Kernkomponenten Starke Orientierung an Geschäftsprozessen Konnektoren zur Synchronisation der Datenbestände Identity Management im MWN Auf andere Hochschulen übertragbare I&AM-Lösungen aus DFG-Projekts IntegraTUM Enge Kooperation zwischen LMU, TUM und LRZ Organisationsübergreifendes Identity Management Hoher Bedarf auch im Hochschulumfeld Noch starke technologische Weiterentwicklung 36 18