Eigener Verzeichnisdienst

Anbindung an die zentral bereitgestellten Verzeichnisdienste

Der Dienst ermöglicht es, in Einrichtungen auf die Daten der zentralen Verzeichnisdienste (Account, Passwort, Gruppenzugehörigkeiten, erweiterte Attribute) zuzugreifen.

Leistungsumfang & Optionen

Leistungsumfang 

  • Nutzung der zentral bereitgestellten Accounts zur Anmeldung / Rechtevergabe am Endsystem (Nutzung von ZIH-Login)
  • Zentrale Passwortverwaltung über das IDM

Optionen

  • Anbindung über Microsoft Active Directory
  • Möglichkeit einer Trust-Stellung innerhalb des Active Directories für lokale Domänen
  • Anbindung über openLDAP
Beantragung & Berechtigung

Beantragung:

  • Berechtigt sind alle Struktureinheiten der TU Dresden

Berechtigung:

  • Die Beantragung erfolgt aktuell noch über das IDM-Antragsformular, welches an den Service-Desk geschickt wird
Mitwirkungspflichten & Voraussetzungen

Für eine Windows Domänen Trust-Stellung muss ein eigenes Active Directory in Eigenverantwortung betrieben werden (inkl. Verfahrensbeschreibung gem. MPrP 2/2015 und IT Sicherheitskonzept gem. BSI-Grundschutz).

Abrechnung / Kosten

Der Dienst ist kostenfrei.

Dienstqualität (Bereitstellungs- /Supportzeiten / Status)

Bereitstellungszeiten

Wenn alle erforderlichen Genehmigungen vorliegen und die technischen Voraussetzungen erfüllt sind, erfolgt die Bereitstellung in der Regel innerhalb eines Werktages.

Betriebs- und Supportzeiten

Telefon © ZIH
Name

Service Desk

Kontaktinformationen
Adresse work

Besucheradresse:

Andreas-Pfitzmann-Bau, Raum E036 Nöthnitzer Straße 46

01187 Dresden

Adresse postal

Postadresse:

Technische Universität Dresden Service Desk

01062 Dresden

work Tel.
+49 351 463-40000
fax Fax
+49 351 463-42328

Öffnungszeiten:

Montag bis Freitag:
08:00 - 19:00

Identitätsmanagement an der TU Dresden


Im IT-Konzept der TU Dresden ist die Etablierung eines zentralen Identitätsmanagements (IDM) als wichtiger Baustein einer effektiven IT-Versorgung der Universität vorgesehen. Als technische Basis dafür wird am ZIH ein IDM-System betrieben, das unter der Adresse https://idm-service.tu-dresden.de erreichbar ist. Das ermöglicht eine effiziente Verwaltung der Personenstammdaten aller Angehörigen und Gäste der Universität an einer zentralen Stelle und ist die Voraussetzung für eine kontrollierte und sichere Verwaltung von Berechtigungen zur Nutzung der IT-Dienste an der TU Dresden. Der Betrieb des IDM-Systems dient damit im Einzelnen folgenden Zwecken:

  • Optimierung und Automatisierung der Prozesse im Rahmen der IT-Benutzerverwaltung

  • Schaffung einer zentralen Datenbasis zur Speicherung aller Personenstammdaten

  • Bereitstellung von definierten Schnittstellen zum Zugriff auf diese Daten

  • Umsetzung eines Rollen- und Rechtekonzeptes

Durch die zentrale Verwaltung der Personenstammdaten im IDM-System wird sichergestellt, dass allen angeschlossenen IT-Systemen stets aktuelle Daten zur Verfügung stehen. Etwaige Datenänderungen müssen nur einmal eingepflegt werden und sind danach in allen Zielsystemen bekannt. Allerdings werden den Zielsystemen nicht automatisch alle verwalteten Informationen bereitgestellt. Die einzelnen Zielsysteme erhalten lediglich Zugriff auf die Daten, die sie benötigen und auf die sie nach datenschutzrechtlichen Vorschriften auch zugreifen dürfen. Der Betrieb des IDM-Systems bewirkt damit im Einzelnen folgende Verbesserungen:

  • Optimierung der Administrationsarbeit
  • Verbesserung der Datenqualität
  • Gewährleistung des Datenschutzes

Weiterentwicklung des IDM-Systems

Prozess zum Anforderungsmanagement

Zusätzliche Anforderungen an das IDM-System und Änderungswünsche sind unter Verwendung des IDM-Antragformulars einzureichen und werden per Mail unter der Adresse idm@tu-dresden.de entgegengenommen. In dieser Mail sollte bereits eine umfassende Beschreibung der Anforderung geliefert werden, wobei der Abschnitt [Fragen zur Anforderung] als Leitfaden benutzt werden kann. Nach dem Eingang der Anforderung erfolgen eine Rücksprache zur Klärung der noch offenen Fragen und eine Bewertung durch das IDM-Team. Die Entscheidung über die Umsetzung und Priorisierung der eingegangenen Anforderungen trifft anschließend die ZIH-Leitung.

Aus welchen Bereichen können die Anforderungen und Änderungswünsche stammen?
  • Anschluss eines zusätzlichen Zielsystems an das IDM-System
  • Änderung von existierenden Schnittstellen zum IDM-System
  • Verwaltung zusätzlicher Daten im IDM-System
  • Überarbeitung von Prozessen im IDM-System
  • Überarbeitung von Rollen im IDM-System
Nach welchem Prozess werden Anforderungen und Änderungswünsche umgesetzt?
  • Versand der Anforderung per Mail an idm@tu-dresden.de unter Verwendung des IDM-Antragformulars
  • Dokumentation der Anforderung im OTRS der TU Dresden
  • Kurzfristige Rücksprache beim im IDM-Antragsformular genannten Ansprechpartner zur Klärung von noch offenen Fragen
  • Bewertung der Anforderung durch das IDM-Team
  • Ergänzung der Dokumentation der Anforderung im OTRS der TU Dresden
  • Entscheidung zur Umsetzung durch die ZIH-Leitung
  • Priorisierung und Einordnung der Umsetzung in den Zeitplan
  • Erstellung und Ratifizierung eines Designdokuments
  • Vervollständigung und Ratifizierung des IDM-Antragformulars
Welche Unterlagen müssen vor der Umsetzung der Anforderung vorliegen?
  • Verfahrensbeschreibung gemäß der MPrP 2/2015 und IT-Sicherheitskonzept, eine detaillierte Beschreibung gibt es hier unter Punkt 6.: BSI IT Grundschutz (insbesondere IDM-Anbindung)
  • Prozessbeschreibung inklusive der Zuständigkeiten und Verantwortlichkeiten für die einzelnen Prozessschritte je Prozess
  • Prozessbeschreibung für Beantragung, Vergabe und Entzug inklusive der Verantwortlichkeiten und Zuständigkeiten je Rolle
Wessen Zustimmung muss vor der Umsetzung der Anforderung vorliegen?
  • Stabsstelle für Informationssicherheit (Datenschutzbeauftragter, IT-Sicherheitsbeauftragter)
  • Leitung des ZIH
Welche Regeln gelten für die Anbindung von Zielsystemen?
  • Eine Direktanbindung von Zielsystemen erfolgt nur im Ausnahmefall
  • Stattdessen erfolgt die Anbindung über eines der Authentifizierungssysteme 
    • ​Windows-Systeme über das zentrale Active Directory
    • Web-Anwendungen über den Shibboleth IDP
    • Linux-Systeme über den zentralen LDAP-Verzeichnisdienst

Fragen zur Anforderung

Um eine optimale Lösung für die Umsetzung der Anforderung zu finden, werden umfassende Informationen benötigt. Die hier aufgeführten Fragen sollen als Leitfaden für die Beschreibung der Anforderung dienen.

Informationen über das Zielsystem
  • Beschreibung des Zielsystems:
    • Welchen Zweck erfüllt das Zielsystem?
    • Werden derzeit Benutzerdaten aus anderen Systemen importiert und ggf. über welche Schnittstellen?
    • Wie werden die Benutzerdaten im Zielsystem verwaltet?
    • Wie unterstützt die Umsetzung der Anforderung an das IDM-System diesen Zweck?
  • Schnittstellen des Zielsystems:
    • Welche Schnittstellen stellt das Zielsystem für die Anbindung an das IDM-System zur Verfügung? (Beispiele: LDAP, Datei, Datenbank, Shibboleth)
    • Welches ist die bevorzugte Schnittstelle des Zielsystems für die Anbindung an das IDM-System?
  • Datenschutz und IT-Sicherheit:
    • Existiert für das Zielsystem ein Verfahrensverzeichniseintrag?
    • Existiert für das Zielsystem ein IT-Sicherheitskonzept?
Modalitäten der Anbindung
  • Wer ist nach der Anbindung für das Zielsystem verantwortlich?
  • Welche IP-Adresse benutzt das Zielsystem zur Verbindung mit dem IDM-System?
  • Wird ein Manager-Account benötigt der Leserechte auf die Daten besitzt?
  • In welchem Zeitraum ist die Anbindung erforderlich?
Informationen zu benötigten Daten, Rollen und Prozessen
  • Eingrenzung des betroffenen Benutzerkreises:
    • Werden die Daten von Mitarbeitern, Studenten und / oder Gästen benötigt?
    • Kann die Menge der betroffenen Mitarbeiter anhand der zugeordneten Struktureinheit (Institut, Sachgebiet, ...) weiter eingegrenzt werden?
    • Kann die Menge der betroffenen Studenten anhand der Studiengänge weiter eingegrenzt werden?
    • Kann der betroffene Benutzerkreis anhand gemeinsamer Attributwerte weiter eingegrenzt werden?
  • Eingrenzung der benötigten Informationen:
    • Welche Attribute werden zu welchem Benutzerkreis benötigt?
    • Sind statt der Attribute eventuell daraus abgeleitete Informationen ausreichend? (z.B. Volljährigkeit statt Geburtstag)
  • Beschreibung von Zielsystem-Spezifika:
    • Welche zielsystemspezifischen Prozesse müssen implementiert werden?
    • Wie sind die Verantwortlichkeiten für die einzelnen Prozessschritte geregelt?
    • Welche zielsystemspezifischen Rollen sind notwendig?
    • Wie sind die Verantwortlichkeiten für Beantragung, Vergabe und Entzug der Rollen geregelt?

Weiterführende Informationen zum IDM-System sind für die Benutzer der zentralen IT-Dienste der TU Dresden und für die Administratoren der Zielsysteme auf folgenden Webseiten bereitgestellt:

Zu dieser Seite

ZIH Web
Letzte Änderung: 29.09.2017