Identity Management im Münchner Wissenschafts-Netz RBP-Begleitseminar, 05. November 2009

Transkript

1 Identity Management im Münchner Wissenschafts-Netz RBP-Begleitseminar, 05. November 2009 Dr. Wolfgang Hommel, Leibniz-Rechenzentrum

2 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM Systeme Ausgewählte I&AM Komponenten Identity Management an Münchner Hochschuleinrichtungen Projekt IntegraTUM Campus LMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld Aktueller Stand und Herausforderungen 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 2

3 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM Systeme Ausgewählte I&AM Komponenten Identity Management an Münchner Hochschuleinrichtungen Projekt IntegraTUM Campus LMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld Aktueller Stand und Herausforderungen 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 3

4 Aus der Perspektive eines neuen Mitarbeiters Viele verschiedene Ansprechpartner Jede Menge neue Passwörter 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 4

5 Aus der Perspektive des Systemadministrators Frau Meier will Zugriff auf das Projektlaufwerk Atlas darf sie das überhaupt? Lästige Routinetätigkeiten Oft Verzögerungen durch Abwesenheit und Überlastung Schon wieder neue Groupware Accounts für 27 Mitarbeiter anlegen Müller mit 4 GB Datentransfer in zwei Tagen gab es in meinem Urlaub nicht eine Rundmail, dass ihm fristlos gekündigt wurde? 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 5

6 Aus der Perspektive des Vorstands... Wer hatte am Zugriff auf die Kundendatenbank? Wer war dafür verantwortlich? Können wir das in Audits und internen Revisionen nachweisen? Halten wir die Datenschutzgesetze ein? Werden meine Sicherheitsrichtlinien von der IT-Abteilung überhaupt richtig umgesetzt? 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 6

7 Paradigma Identity Management Personen, nicht nur Benutzerkonten verwalten Stamm- und dienstspezifische Benutzerdaten Rollen und Berechtigungen für alle Dienste einer Organisation Orientierung an den Geschäftsprozessen, z.b. Neuer Mitarbeiter/Kunde kommt Änderungen an Kontaktdaten und Berechtigungen Ausscheiden von Mitarbeitern/Kunden Automatisierung des sog. User Provisionings Einspeisen der Benutzerdaten in nicht LDAP-fähige Systeme Anlegen von Homedirectories, Mailboxen, November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 7

8 Prinzipielle Identity Management Architektur 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 8

9 Typische Identity & Access Management Architektur 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 9

10 Bausteine für I&AM-Architekturen (1/5): Konnektoren Unterscheidung nach: Abgleich: unidirektional oder bidirektional Trigger: Intervall- oder eventgesteuert Aufruf: Pull- oder Push-Mechanismus Integration: In Quelle bzw. Ziel oder stand-alone Betrieb 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 10

11 Bausteine für I&AM-Architekturen (2/5): Meta-Directory 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 11

12 Bausteine für I&AM-Architekturen (3/5): Provisioningsystem 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 12

13 Bausteine für I&AM-Architekturen (4/5): Virtueller Verz.-dienst 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 13

14 Bausteine für I&AM-Architekturen (5/5): Self Services 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 14

15 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM Systeme Ausgewählte I&AM Komponenten Identity Management an Münchner Hochschuleinrichtungen Projekt IntegraTUM Campus LMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld Aktueller Stand und Herausforderungen 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 15

16 DFG-gefördertes Projekt IntegraTUM 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 16

17 Ausgewählte IntegraTUM-Ziele Prämisse: Benutzerfreundliche und nahtlose IuK-Infrastruktur Rezentralisierter Betrieb, dezentrale Administration Rezentralisierung von > 100 Mail-Servern Zentraler File-Server für Home- und Projekt-Verzeichnisse (NAS-Filer, Zugriff über CIFS, NFSv4 oder Web-Interface) Modernisierung der Softwareverteilung Migration von Web-Content ins TUM-Portal Ausbau der E-Learning Plattform (electum) Ausweitung elektronischer Angebote der Bibliothek 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 17

18 IntegraTUM Identity Management: Ursprüngliches Konzept 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 18

19 IntegraTUM: I&AM-Architektur (Stand: September 2009) 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 19

20 IntegraTUM: I&AM-Architektur (Stand: September 2009) Vorteile dieser Lösung: Entkopplung positiv für Change Management und aus Sicherheits-/Datenschutzperspektive Flexibilität und Erweiterbarkeit gewährleistet Bereitstellung der Daten in dienstspezifischen Formaten Nur noch eine, autoritative Datenquelle für zentrale IT-Dienste 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 20

21 IntegraTUM Identity Management: Technische Umsetzung Softwarebasis: Novell Identity Manager 3.6 Langjährige Erfahrung unter Novell Netware Seit SuSE-Akquisition auf Linux-Basis LDAP-Server: Novell edirectory Event-Orientierung (z.b. add/modify/delete) imanager als webbasiertes Management-Frontend SNMP zum Service-Monitoring Dynamisches ACL-Management Konnektorenframework DirXML LDAP-Objekte in XML-Darstellung Transformationen über XSLT-Stylesheets 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 21

22 IntegraTUM Identity Management: Datenschutz Zentraler Aspekt, insb. bei öffentlichen Einrichtungen Schlüsselkriterium für Benutzerakzeptanz Basis: 42(4) (Studentendaten) und 55(2) (IuK-Unterstützung der Lehre) BayHSchG Zwingendes Einverständnis zur elektronischen Datenverarbeitung bei Immatrikulation / Einstellung Datenschutzfreigaben / Verfahrensbeschreibungen pro angebundenem System Enge Zusammenarbeit mit Mitarbeitervertretung Datenschutzbeauftragtem (Prof. Radig) Self Service zur Selbstauskunft im TUMonline-Portal, Korrekturmöglichkeit online bzw. über Service Desk 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 22

23 Identity Management an der LMU Realisiert durch das Referat VI.4 (IT-Sicherheit und Verzeichnisdienste) der zentralen Verwaltung Integriert in Datenquellen und Zielsysteme prinzipiell vergleichbar mit IntegraTUM Softwarebasis ebenfalls Novell Identity Manager Synchronisation ausgewählter Objekte/Attribute mit LRZ für Studenten / Desktop Mgmt. für Mitarbeiter 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 23

24 Benutzerverwaltung am LRZ - Eckdaten LRZ ist IT-Dienstleister der Münchner Hochschulen > Studenten, > Mitarbeiter Wachsende Anzahl Alumni (z.b. lebenslange Mail-Weiterleitung) Hochleistungsrechenzentrum Bayernweite Nutzung der Compute-Plattformen Deutschlandweite Nutzung des Höchstleistungsrechners Beteiligung an internationalen Grid-Projekten (DEISA, LCG,...) > 20 Dienste mit individueller Authentifizierung Herausforderung für das Identity Management: Sehr hohe Fluktuation! 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 24

25 Konzept für delegierte Administration: Master User 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 25

26 LRZ Identity Management Architektur (Auszug) 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 26

27 Übersicht Identity Management: Grundlagen und Architekturen Motivation für Identity & Access Management (I&AM) Überblick über I&AM Systeme Ausgewählte I&AM Komponenten Identity Management an Münchner Hochschuleinrichtungen Projekt IntegraTUM Campus LMU Zentrale Benutzerverwaltung am LRZ Organisationsübergreifendes Identity Management Motivation für das Hochschulumfeld Aktueller Stand und Herausforderungen 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 27

28 Motivation für hochschulübergreifendes Identity Management Gemeinsame Studiengänge und Bologna-Prozess Hochschulbibliotheken: Elektronische Medien E-Learning Softwaredistribution Grid-Computing Forschungsprojekte und Industriekooperationen 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 28

29 Ansätze für Federated Identity Management Security Assertion Markup Language (SAML) Liberty Alliance ID-FF (SAML-basiert) WS-Federation (unterstützt SAML-Assertions) BBAE, DACS, Hurderos, Tequila, X-DAC, November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 29

30 Security Assertion Markup Language (SAML) Standardisiert durch OASIS, aktuelle Version 2.0 Definiert Syntax und Semantik von Authentication Assertions: Org.-übergr. Single Sign-On Authorization Assertions: Attribute Assertions: Delegierte Administration Benutzerdaten-Transfer Request-Response-Protokoll zwischen SP und IDP Bindings, z.b. für SOAP/HTTPS In den meisten kommerziellen FIM-Lösungen implementiert Diverse Open Source Implementierungen, z.b. OpenSAML 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 30

31 Workflow bei der Nutzung von Diensten 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 31

32 Die DFN-AAI (Authentifizierungs- und Autorisierungsinfrastruktur) DFN-Verein übernimmt zentrale Aufgaben: Testumgebung Richtlinien Info-Portal und Dokumentation Mitgliederverwaltung Vertragsgestaltung Schulungen 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 32

33 Herausforderungen bei der Integration in die Infrastruktur Security: Zugriff auf vormals stark abgeschottete Datenbestände Neue Protokolle, z.t. unausgereifte Software Datenschutz: Nur selektive Übermittlung von Daten an SPs Sensibilisierung der Benutzer, Steuerungsmöglichkeiten Noch fehlende Funktionalität Nur Lesezugriff Datenabruf nur während Dienstnutzung möglich IT Service Management Komplexes, organisationsübergreifendes Change Management 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 33

34 Datenfreigabe-Regeln und Informationelle Selbstbestimmung Gesetzliche Auflagen Föderationsweite Vorgaben Identity Provider Defaults Benutzergesteuerte Freigaben Visitenkarten-Metapher: 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 34

35 Ungelöste FIM-Datenschutzprobleme Profilbildung durch Identity Provider möglich: Keine Kontrolle der Einhaltung der Zweckbindung: 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 35

36 Zusammenfassung Identity Management Architekturen LDAP-Verzeichnisdienste als Kernkomponenten Starke Orientierung an Geschäftsprozessen Konnektoren zur Synchronisation der Datenbestände Identity Management im MWN Auf andere Hochschulen übertragbare I&AM-Lösungen im Rahmen des DFG-Projekts IntegraTUM Enge Kooperation zwischen LMU, TUM und LRZ Organisationsübergreifendes Identity Management Hoher Bedarf auch im Hochschulumfeld Noch starke technologische Weiterentwicklung 05. November 2009 RBP: Identity Management im Münchner Wissenschafts-Netz 36