Häufig von Administratoren gestellte Fragen zum IDM-System
Das IDM-System der TU Dresden (Novell Identity Manager) besteht aus verschiedenen Komponenten. Dazu gehört neben einem Application Server und einem Web-Server auch ein Verzeichnisserver. Dieser wird jedoch nur intern verwendet und kann von außerhalb nicht angesprochen werden. Der zentrale LDAP-Verzeichnisdienst der TU Dresden ist aus organisatorischen und technischen Gründen eine separate Server-Anwendung. Genau wie die anderen zentralen Authentifizierungsdienste der TU Dresden ist er aus Sicht des IDM-Systems nur ein Zielsystem neben anderen.
Dies ist grundsätzlich in der Ordnung zur Errichtung und zum Betrieb eines Identitätsmanagementsystems an der Technischen Universität Dresden geregelt. Übergreifender Grundsatz ist, dass nur Daten verwaltet werden, die mit Identitäten als Repräsentation von Personen in Verbindung gebracht werden können und von mindestens zwei angeschlossenen IT-Systemen benötigt werden.
Es werden vom IDM-System und den zentralen Authentifizierungsdiensten keine Daten zur freien Verfügung angeboten. Die Zielsysteme erhalten genau die Daten, die sie für den Betrieb benötigen. Das betrifft sowohl die Art (Welche Attribute eines Benutzers?) als auch den Umfang (Für welche Benutzer?) der Daten. Der Datenbedarf ist von den Zielsystemen in einem Verfahrensverzeichniseintrag zu beschreiben.
Die Übermittlung von Daten aus dem IDM-System ist von den potentiellen Zielsystemen gemäß dem standardisierten Prozess zum Anforderungsmanagement zu beantragen. Nach dem Eingang der Anforderung klären die Verantwortlichen für das IDM-System und das Zielsystem gemeinsam und unter Einbeziehung der Stabsstelle für Informationssicherheit, wie die Anforderung technisch und organisatorisch am besten umgesetzt werden kann. Eine notwendige Bedingung für die Übermittlung von Daten an das Zielsystem ist die Erstellung eines Verfahrensverzeichniseintrags und eines IT-Sicherheitskonzeptes.
Werden von einem IT-System zusätzliche Daten benötigt, die bisher noch nicht im IDM-System verwaltet werden, so ist der standardisierte Prozess zum Anforderungsmanagement zu durchlaufen. Nach dem Eingang einer solchen Anforderung sind insbesondere die Zuständigkeiten und Verantwortlichkeiten für die Pflege der angeforderten Daten sowie die datenschutzrechtlichen Grundlagen zu klären. Die Verantwortlichen für das IDM-System werden diese Klärung unterstützen.
Die Zielsysteme können auch über das zentrale Active Directory oder den Shibboleth-IDP angebunden werden. Über die Art der Anbindung wird individuell auf Basis des prozessualen und inhaltlichen Bedarfs des Zielsystems entschieden. Auch das IDM-System hat grundsätzlich verschiedene Möglichkeiten zur direkten Anbindung von Zielsystemen. Um ein effizientes Management sowie eine gute Performance zu gewährleisten, werden solche individuelle Anbindungen an das IDM-System aber nur in Ausnahmefällen zugelassen.
Das IDM-System bietet selbst keine Authentifizierungsdienste an, provisioniert jedoch verschiedene zentrale Authentifizierungsdienste. Dazu gehören der zentrale LDAP-Verzeichnisdienst, der Shibboleth-IDP und das zentrale Active Directory.
Jeder der verfügbaren Authentifizierungsdienste ist auf die Provisionierung bestimmter IT-Systeme spezialisiert. Für die Anbindung von Zielsystemen gelten daher folgende Regeln:
- Linux-basierte IT-Systeme: Anbindung über den zentralen LDAP-Verzeichnisdienst
- Windows-basierte IT-Systeme: Anbindung über das zentrale Active-Directory
- Web-basierte IT-Systeme: Anbindung über Shibboleth
Um ein effizientes Management sowie eine gute Performance zu gewährleisten, werden Abweichungen von diesen Regeln und die direkte Anbindung von Zielsystemen an das IDM-System nur in Ausnahmefällen zugelassen.
Das zentrale LDAP-Verzeichnis steht ausschließlich lesend zur Verfügung. Änderungen der Daten werden nur vom IDM-System vorgenommen. Über Verzeichnishierarchien kann es aber grundsätzlich schreibbare Verzeichnisse geben. Ob ein solcher Ansatz die Anforderungen eines Zielsystems am besten erfüllt, muss im Einzelfall abgestimmt werden.