Mit Hilfe von Rollen können die Zugriffsrechte in IT-Anwendungen auf einfache Weise verwaltet werden. HU-IAM bildet dafür die Grundlage und unterstützt IT-Verantwortliche dabei durch den „HU-IAM-Authorization-Manager“
Das Identitätsmanagementsystem der Humboldt-Universität (HU-IAM) ist der Teil der IT-Infrastruktur, der es erlaubt, personenidentifizierende Daten korrekt, konsistent und permanent vorzuhalten und diese Daten anderen Systemen zur Verfügung zu stellen.
Eine Grundvoraussetzung für den Betrieb einer IT-Anwendung ist die Möglichkeit, den Zugriff darauf zu kontrollieren. Dafür werden den Nutzern bestimmte Rechte innerhalb der Anwendung zugewiesen. Dabei kann die Granularität der zugewiesenen Rechte stark schwanken: von streng individuellen Rechten, wie z. B. dem Zugriff auf den persönlichen E-Mail-Account, bis zu sehr generischen Rechten, wie z. B. dem Recht, auf eine organisationsinterne Intranet-Seite zugreifen zu können. Um die angebotenen IT-Dienste einer Einrichtung nutzen zu können, werden eine Vielzahl von solchen Einzelrechten benötigt, die jeweils einzeln der Person oder deren Account zugewiesen werden müssen. Weil das ab einer gewissen Anzahl von Einzelanwendungen sehr unübersichtlich wird, wurde die sogenannte „rollenbasierte Zugriffskontrolle“ (role-based-access-control – RBAC) entwickelt. Dabei können mehrere Einzelrechte gemeinsam einer Rolle zugeordnet werden. Die Rollen können wiederum Personen bzw. deren Accounts zugewiesen werden. Da nun die Rechte nicht mehr einzeln zugewiesen werden müssen, sondern alle Rechte aus den Rollen abgeleitet werden, vereinfacht sich die Rechteverwaltung auf eine Zuweisung der passenden Rolle an die Person bzw. den Account. Um das Rollen-Design weiter zu vereinfachen, werden die Rollen in einer Vererbungshierarchie angeordnet (als gerichteter azyklischer Graph – DAG), so dass Rechte der Eltern-Rollen, für die Kind-Rollen implizit ebenfalls gelten. Der folgende Auszug aus der aktuellen Rollenhierarchie demonstriert das:
Durch dieses Rollendesign kann also abgebildet werden, dass es bestimmte Rechte für alle Universitätsmitglieder gibt, für Mitarbeiterinnen und Mitarbeitern andere Rechte als für Studierende und für Professorinnen und Professoren wiederum andere Rechte als für wissenschaftliche Mitarbeiterinnen und Mitarbeiter. Um auch den Sachverhalt abbilden zu können, dass bestimmte Rollen (nur) innerhalb bestimmter Einrichtungen gelten, wird aktuell das Konzept der „Funktionsrollen“ entwickelt und umgesetzt.
In HU-IAM werden die Rollen immer zunächst der Person zugewiesen, erst danach können die Rollen komplett oder teilweise sowohl automatisch als auch manuell den eigenen Accounts zugewiesen werden. Durch diese Zuweisung werden die Rollen für die Accounts wirksam und können von den Anwendungen ausgewertet werden. Die Rollen werden z. B. bei der Anmeldung über Shibboleth frei Haus (im „eduPersonEntitlement“-Attribut) geliefert, werden bei Bedarf aber auch in das HU-LDAP exportiert. Ein Entzug einer Rolle an der Person führt automatisch zum Entzug der Rolle an ihren Accounts. HU-IAM unterstützt die Pflege der Rollen(-hierarchie) und die einfache teilweise automatisierte Zuweisung oder den Entzug von Rollen. Während sich die Oberfläche für die Verwaltung der Rollen an den eigenen Accounts noch in der Entwicklung befindet, gibt es für Systemverantwortliche mittlerweile eine Weboberfläche, die es ihnen erlaubt, Zuweisung und Entzug von Rollen für den jeweiligen IT-Dienst selbst vorzunehmen.
Dazu werden von der/dem Systemverantwortlichen eine oder mehrere Rollen beantragt und diese vom HU-IAM-Team eingerichtet. Dem/der Systemverantwortlichen (und evtl. zu benennenden Stellvertretenden) wird dann auch der Zugang zum „Authorization-Manager“ (AM) freigeschaltet. Die Anmeldung beim AM erfolgt mit Hilfe des HU-Accounts über Shibboleth – wobei das Zugriffsrecht für den AM selbst natürlich rollenbasiert gesteuert wird. Über die Oberfläche wählt man ein Account aus und diesem können nun die zu verwaltenden Rollen zugewiesen bzw. wieder entzogen werden.
Ansprechpartnerin und Ansprechpartner:
Michail Bachmann | Petra Berg | idmadmin@cms.hu-berlin.de