Anbindung an die zentral bereitgestellten Verzeichnisdienste
Der Dienst ermöglicht es, in Einrichtungen auf die Daten der zentralen Verzeichnisdienste (Account, Passwort, Gruppenzugehörigkeiten, erweiterte Attribute) zuzugreifen.
Beantragung & Berechtigung
Beantragung:
- Berechtigt sind alle Struktureinheiten der TU Dresden
Berechtigung:
- The request is submitted to the Service Desk
- Verwenden Sie dabei folgende Anträge bei der Beantragung
Identitätsmanagement an der TU Dresden
Ein zentrales Identitätsmanagement (IDM) wird vom IT-Konzept der TU Dresden als wichtiger Baustein einer effektiven IT-Versorgung der Universität vorgeschrieben. Dieses wird durch das ZIH bereitgestellt. An einer zentralen Stelle werden somit einerseits Personenstammdaten aller Angehörigen und Gäste effizient verwaltet, sowie eine kontrollierte und sichere Verwaltung von Berechtigungen zur Nutzung der IT-Dienste an der TU Dresden sichergestellt. Der Betrieb des IDM-Systems dient damit im Einzelnen folgenden Zwecken:
-
Optimierung und Automatisierung der Prozesse im Rahmen der IT-Benutzerverwaltung
-
Schaffung einer zentralen Datenbasis zur Speicherung aller Personenstammdaten
-
Bereitstellung von definierten Schnittstellen zum Zugriff auf diese Daten
-
Umsetzung eines Rollen- und Rechtekonzeptes
Durch die zentrale Verwaltung der Personenstammdaten im IDM-System wird sichergestellt, dass allen angeschlossenen IT-Systemen stets aktuelle Daten zur Verfügung stehen. Etwaige Datenänderungen müssen nur einmal eingepflegt werden und sind danach in allen Zielsystemen bekannt. Allerdings werden den Zielsystemen nicht automatisch alle verwalteten Informationen bereitgestellt. Die einzelnen Zielsysteme erhalten lediglich Zugriff auf die Daten, die sie benötigen und auf die sie nach datenschutzrechtlichen Vorschriften auch zugreifen dürfen. Der Betrieb des IDM-Systems bewirkt damit im Einzelnen folgende Verbesserungen:
- Optimierung der Administrationsarbeit
- Verbesserung der Datenqualität
- Gewährleistung des Datenschutzes
Weiterentwicklung des IDM-Systems
Prozess zum Anforderungsmanagement
Zusätzliche Anforderungen an das IDM-System und Änderungswünsche sind unter Verwendung des IDM-Antragformulars einzureichen und werden per Mail unter der Adresse entgegengenommen. Der AbschnittFragen zur Anforderung kann hierbei als Leitfaden benutzt werden, um eine umfassende Beschreibung der Anforderung zu erstellen. Nach dem Eingang der Anforderung erfolgen eine Rücksprache zur Klärung der noch offenen Fragen und eine Bewertung durch das IDM-Team. Die Entscheidung über die Umsetzung und Priorisierung der eingegangenen Anforderungen trifft anschließend die ZIH-Leitung.
Nach welchem Prozess werden Anforderungen und Änderungswünsche umgesetzt?
- Versand der Anforderung per Mail an unter Verwendung des IDM-Antragformulars
- Dokumentation der Anforderung im OTRS der TU Dresden
- Kurzfristige Rücksprache beim im IDM-Antragsformular genannten Ansprechpartner zur Klärung von noch offenen Fragen
- Bewertung der Anforderung durch das IDM-Team
- Ergänzung der Dokumentation der Anforderung im OTRS der TU Dresden
- Entscheidung zur Umsetzung durch die ZIH-Leitung
- Priorisierung und Einordnung der Umsetzung in den Zeitplan
- Erstellung und Ratifizierung eines Designdokuments
- Vervollständigung und Ratifizierung des IDM-Antragformulars
Welche Unterlagen müssen vor der Umsetzung der Anforderung vorliegen?
- Verfahrensbeschreibung gemäß der MPrP 2/2015 und IT-Sicherheitskonzept
- Prozessbeschreibung inklusive der Zuständigkeiten und Verantwortlichkeiten für die einzelnen Prozessschritte je Prozess
- Prozessbeschreibung für Beantragung, Vergabe und Entzug inklusive der Verantwortlichkeiten und Zuständigkeiten je Rolle
Welche Regeln gelten für die Anbindung von Zielsystemen?
- Eine Direktanbindung von Zielsystemen erfolgt nur im Ausnahmefall
- Stattdessen erfolgt die Anbindung über eines der Authentifizierungssysteme
- Windows-Systeme über das zentrale Active Directory
- Web-Anwendungen über den Shibboleth IDP
- Linux-Systeme über den zentralen LDAP-Verzeichnisdienst
Fragen zur Anforderung
Um eine optimale Lösung für die Umsetzung der Anforderung zu finden, werden umfassende Informationen benötigt. Die hier aufgeführten Fragen sollen als Leitfaden für die Beschreibung der Anforderung dienen.
Informationen über das Zielsystem
- Beschreibung des Zielsystems:
- Welchen Zweck erfüllt das Zielsystem?
- Werden derzeit Benutzerdaten aus anderen Systemen importiert und ggf. über welche Schnittstellen?
- Wie werden die Benutzerdaten im Zielsystem verwaltet?
- Wie unterstützt die Umsetzung der Anforderung an das IDM-System diesen Zweck?
- Schnittstellen des Zielsystems:
- Welche Schnittstellen stellt das Zielsystem für die Anbindung an das IDM-System zur Verfügung? (Beispiele: LDAP, Datei, Datenbank, Shibboleth)
- Welches ist die bevorzugte Schnittstelle des Zielsystems für die Anbindung an das IDM-System?
- Datenschutz und IT-Sicherheit:
- Existiert für das Zielsystem ein Verfahrensverzeichniseintrag?
- Existiert für das Zielsystem ein IT-Sicherheitskonzept?
Modalitäten der Anbindung
- Wer ist nach der Anbindung für das Zielsystem verantwortlich?
- Welche IP-Adresse benutzt das Zielsystem zur Verbindung mit dem IDM-System?
- Wird ein Manager-Account benötigt der Leserechte auf die Daten besitzt?
- In welchem Zeitraum ist die Anbindung erforderlich?
Informationen zu benötigten Daten, Rollen und Prozessen
- Eingrenzung des betroffenen Benutzerkreises:
- Werden die Daten von Mitarbeitern, Studenten und / oder Gästen benötigt?
- Kann die Menge der betroffenen Mitarbeiter anhand der zugeordneten Struktureinheit (Institut, Sachgebiet, ...) weiter eingegrenzt werden?
- Kann die Menge der betroffenen Studenten anhand der Studiengänge weiter eingegrenzt werden?
- Kann der betroffene Benutzerkreis anhand gemeinsamer Attributwerte weiter eingegrenzt werden?
- Eingrenzung der benötigten Informationen:
- Welche Attribute werden zu welchem Benutzerkreis benötigt?
- Sind statt der Attribute eventuell daraus abgeleitete Informationen ausreichend? (z.B. Volljährigkeit statt Geburtstag)
- Beschreibung von Zielsystem-Spezifika:
- Welche zielsystemspezifischen Prozesse müssen implementiert werden?
- Wie sind die Verantwortlichkeiten für die einzelnen Prozessschritte geregelt?
- Welche zielsystemspezifischen Rollen sind notwendig?
- Wie sind die Verantwortlichkeiten für Beantragung, Vergabe und Entzug der Rollen geregelt?
Weiterführende Informationen zum IDM-System sind für die Benutzer der zentralen IT-Dienste der TU Dresden und für die Administratoren der Zielsysteme auf folgenden Webseiten bereitgestellt: