Im Fokus: Identitätsmanagement

Das Identitätsmanagementsystem (IdM) ist der Teil der IT-Infrastruktur, der es erlaubt, personenidentifizierende Daten korrekt, konsistent und permanent vorzuhalten und diese Daten anderen Systemen zur Verfügung zu stellen. Der folgende Text soll eine kurze Beschreibung zu HU-IAM – dem IdM-System der HU – geben.

Die Universität ist eine komplexe Organisation, die durch eine Vielzahl von Prozessen gesteuert wird. Viele dieser Prozesse werden durch IT-Systeme unterstützt, in einigen von ihnen werden Personeninformationen verarbeitet und gespeichert. Untereinander sind diese Systeme jedoch selten gekoppelt, was dazu führt, dass an mehreren Stellen immer wieder manuell Daten zu einer Person erfasst werden. Die Mehrfachhaltung dieser Informationen erfordert einen hohen Pflegeaufwand, da z. B. Namensänderungen aufwendig in allen zu der Person gehörenden Datensätzen parallel aktualisiert werden müssen. Durch ausbleibende Aktualisierungen und fehlerhafte Eingaben entstehen so schnell widersprüchliche Daten. Wird dieser Aufwand nicht betrieben, verschlechtert sich die Qualität des Datenbestandes im Laufe der Zeit rapide. Auch die (IT-)Sicherheit der Organisation als Ganzes sinkt, da durch fehlerhafte Daten zu einer Person gezielt Informationen unentdeckt für Angriffe auf die IT-Systeme missbraucht werden können. Durch die automatisierte Übernahme und Zusammenführung der Daten aus den verschiedenen Quellsystemen stellt HU-IAM sowohl eine konsolidierte Sicht auf diese Daten als auch die passenden Prozesse und Schnittstellen für den Zugriff bereit. Neben den Daten, die aus den einzelnen Quellen stammen, ist es darüber hinaus auch möglich, zusätzliche Informationen zur Person abzulegen.

Wenn von Identifizierungsdaten in Bezug auf IT-Systeme gesprochen wird, ist in den meisten Fällen ein Benutzerkonto (Account), bestehend aus einem Benutzernamen und einem Nutzerkennwort, gemeint. Erfahrungsgemäß kann ein idealisiertes Modell einer 1:1-Zuordnung zwischen Account und Person in der Praxis nicht lange aufrechterhalten werden. So sollte beispielsweise unter dem Aspekt der Sicherheit für den Zugriff auf den Webmailer von unterwegs nicht der gleiche Account genutzt werden wie für den Zugriff auf die Personaldatenbank. Umgekehrt sollte auch die Nutzung eines Accounts durch mehr als eine Person möglich sein, notwendig z. B. bei der Verwendung eines gemeinsam nutzbaren Funktionsaccounts für die Pflege von Webseiten. Außerdem ist es manchmal erforderlich, bestimmte Accounts einer anderen Person temporär zur Nutzung zu überlassen, ohne die Verantwortung für diesen Account abzugeben. Das ist z. B. bei Praktikantenaccounts der Fall, die zwar jeweils wechselnden Praktikanten zugewiesen werden, jedoch immer in der Verantwortung des Praktikumsbetreuers bleiben.
HU-IAM wurde so gestaltet, dass die Person direkt als zentrales Element verwendet wird und die Accounts der Person lediglich zugeordnet werden. Auf diese Weise sind die oben angedeuteten Szenarien in HU-IAM umsetzbar.

Damit nicht jede Web-Applikation die Identifizierung und Authentifizierung ihrer Nutzer immer wieder von Grund auf selbst neu entwickeln muss, wird im Rahmen von HU-IAM das webbasierte Single-Sign-On-System Shibboleth als eine Art „Authentifizierung as-a-service“ angeboten. Auf diese Weise können der Applikation auch zusätzliche Daten, wie z. B. der Name des Nutzers oder ob die Person an der Universität studiert, zur Verfügung gestellt werden. Der Benutzer muss sich nur einmal bei seiner Heimateinrichtung authentisieren und kann danach auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen.

Eine Grundvoraussetzung für den Betrieb einer IT-Anwendung ist die Möglichkeit, den Zugriff zu kontrollieren und darauf basierend den Nutzern bestimmte Rechte innerhalb der Anwendung zuzuweisen. Dabei kann die Granularität der zugewiesenen Rechte stark schwanken: von streng individuellen Rechten, wie z. B. dem Zugriff auf den persönlichen E-Mail-Account, bis zu sehr generischen Rechten, wie z. B. dem Recht, auf eine organisationsinterne Intranetseite zugreifen zu können. Die einfache Zuweisung und der Entzug von Zugriffsrechten werden von HU-IAM über das Zusammenfassen von einzelnen Rechten zu Rollen und der Pflege dieser Rollen im System unterstützt.

Ansprechpartner:
Michail Bachmann, Petra Berg  | idmadmin@cms.hu-berlin.de

17. Mai 2017 | Veröffentlicht von cmsredakteur
Veröffentlicht unter CMS-Jahresbroschüre 2016/17

Schreiben Sie einen Kommentar

(erforderlich)