Eigener Verzeichnisdienst
Inhaltsverzeichnis
Anbindung an die zentral bereitgestellten Verzeichnisdienste
Der Dienst ermöglicht es, in Einrichtungen auf die Daten der zentralen Verzeichnisdienste (Account, Passwort, Gruppenzugehörigkeiten, erweiterte Attribute) zuzugreifen.
Leistungsumfang
- Nutzung der zentral bereitgestellten Accounts zur Anmeldung / Rechtevergabe am Endsystem (Nutzung von ZIH-Login)
- Zentrale Passwortverwaltung über das IDM
Optionen
- Anbindung über Microsoft Active Directory
- Möglichkeit einer Trust-Stellung innerhalb des Active Directories für lokale Domänen
- Möglichkeit einer Sub-Domain
- Anbindung über Zentrale IDM-LDAP Serverfarm
- Allgemeiner Datenbezug über den OpenLDAP Dienst
- Möglichkeit eines eigenen OpenLDAP Servers (Push/Pull Verfahren)
- Optionale Verwendung: ZIH LDAP Schema
Beantragung:
- Berechtigt sind alle Struktureinheiten der TU Dresden
Berechtigung:
- Die Beantragung erfolgt aktuell noch über das IDM-Antragsformular, welches an den Service-Desk geschickt wird
Für eine Windows Domänen Trust-Stellung muss ein eigenes Active Directory in Eigenverantwortung betrieben werden (inkl. Verfahrensbeschreibung gem. Rundschreiben D3/3/2018 und IT Sicherheitskonzept gem. BSI-Grundschutz).
Der Dienst ist kostenfrei.
Bereitstellungszeiten
Wenn alle erforderlichen Genehmigungen vorliegen und die technischen Voraussetzungen erfüllt sind, erfolgt die Bereitstellung in der Regel innerhalb eines Werktages.
Betriebs- und Supportzeiten
© ZIH
Service Desk
Eine verschlüsselte E-Mail über das SecureMail-Portal versenden (nur für TUD-externe Personen).
Besuchsadresse:
Andreas-Pfitzmann-Bau, E036 Nöthnitzer Straße 46
01187 Dresden
Postadresse:
Technische Universität Dresden
Support Center Digitalisierung
Service Desk
01062 Dresden
Öffnungszeiten:
- Montag bis Freitag:
- 08:00 - 19:00
Identitätsmanagement an der TU Dresden
Ein zentrales Identitätsmanagement (IDM) wird vom IT-Konzept der TU Dresden als wichtiger Baustein einer effektiven IT-Versorgung der Universität vorgeschrieben. Dieses wird durch das ZIH bereitgestellt. An einer zentralen Stelle werden somit einerseits Personenstammdaten aller Angehörigen und Gäste effizient verwaltet, sowie eine kontrollierte und sichere Verwaltung von Berechtigungen zur Nutzung der IT-Dienste an der TU Dresden sichergestellt. Der Betrieb des IDM-Systems dient damit im Einzelnen folgenden Zwecken:
-
Optimierung und Automatisierung der Prozesse im Rahmen der IT-Benutzerverwaltung
-
Schaffung einer zentralen Datenbasis zur Speicherung aller Personenstammdaten
-
Bereitstellung von definierten Schnittstellen zum Zugriff auf diese Daten
-
Umsetzung eines Rollen- und Rechtekonzeptes
Durch die zentrale Verwaltung der Personenstammdaten im IDM-System wird sichergestellt, dass allen angeschlossenen IT-Systemen stets aktuelle Daten zur Verfügung stehen. Etwaige Datenänderungen müssen nur einmal eingepflegt werden und sind danach in allen Zielsystemen bekannt. Allerdings werden den Zielsystemen nicht automatisch alle verwalteten Informationen bereitgestellt. Die einzelnen Zielsysteme erhalten lediglich Zugriff auf die Daten, die sie benötigen und auf die sie nach datenschutzrechtlichen Vorschriften auch zugreifen dürfen. Der Betrieb des IDM-Systems bewirkt damit im Einzelnen folgende Verbesserungen:
- Optimierung der Administrationsarbeit
- Verbesserung der Datenqualität
- Gewährleistung des Datenschutzes
Weiterentwicklung des IDM-Systems
Prozess zum Anforderungsmanagement
Zusätzliche Anforderungen an das IDM-System und Änderungswünsche sind unter Verwendung des IDM-Antragformulars einzureichen und werden per Mail unter der Adresse entgegengenommen. Der AbschnittFragen zur Anforderung kann hierbei als Leitfaden benutzt werden, um eine umfassende Beschreibung der Anforderung zu erstellen. Nach dem Eingang der Anforderung erfolgen eine Rücksprache zur Klärung der noch offenen Fragen und eine Bewertung durch das IDM-Team. Die Entscheidung über die Umsetzung und Priorisierung der eingegangenen Anforderungen trifft anschließend die ZIH-Leitung.
- Anschluss eines zusätzlichen Zielsystems an das IDM-System
- Änderung von existierenden Schnittstellen zum IDM-System
- Verwaltung zusätzlicher Daten im IDM-System
- Überarbeitung von Prozessen im IDM-System
- Überarbeitung von Rollen im IDM-System
- Versand der Anforderung per Mail an unter Verwendung des IDM-Antragformulars
- Dokumentation der Anforderung im OTRS der TU Dresden
- Kurzfristige Rücksprache beim im IDM-Antragsformular genannten Ansprechpartner zur Klärung von noch offenen Fragen
- Bewertung der Anforderung durch das IDM-Team
- Ergänzung der Dokumentation der Anforderung im OTRS der TU Dresden
- Entscheidung zur Umsetzung durch die ZIH-Leitung
- Priorisierung und Einordnung der Umsetzung in den Zeitplan
- Erstellung und Ratifizierung eines Designdokuments
- Vervollständigung und Ratifizierung des IDM-Antragformulars
- Verfahrensbeschreibung gemäß der MPrP 2/2015 und IT-Sicherheitskonzept
- Prozessbeschreibung inklusive der Zuständigkeiten und Verantwortlichkeiten für die einzelnen Prozessschritte je Prozess
- Prozessbeschreibung für Beantragung, Vergabe und Entzug inklusive der Verantwortlichkeiten und Zuständigkeiten je Rolle
- Stabsstelle für Informationssicherheit (Datenschutzbeauftragter, IT-Sicherheitsbeauftragter)
- Leitung des ZIH
- Eine Direktanbindung von Zielsystemen erfolgt nur im Ausnahmefall
- Stattdessen erfolgt die Anbindung über eines der Authentifizierungssysteme
- Windows-Systeme über das zentrale Active Directory
- Web-Anwendungen über den Shibboleth IDP
- Linux-Systeme über den zentralen LDAP-Verzeichnisdienst
Fragen zur Anforderung
Um eine optimale Lösung für die Umsetzung der Anforderung zu finden, werden umfassende Informationen benötigt. Die hier aufgeführten Fragen sollen als Leitfaden für die Beschreibung der Anforderung dienen.
- Beschreibung des Zielsystems:
- Welchen Zweck erfüllt das Zielsystem?
- Werden derzeit Benutzerdaten aus anderen Systemen importiert und ggf. über welche Schnittstellen?
- Wie werden die Benutzerdaten im Zielsystem verwaltet?
- Wie unterstützt die Umsetzung der Anforderung an das IDM-System diesen Zweck?
- Schnittstellen des Zielsystems:
- Welche Schnittstellen stellt das Zielsystem für die Anbindung an das IDM-System zur Verfügung? (Beispiele: LDAP, Datei, Datenbank, Shibboleth)
- Welches ist die bevorzugte Schnittstelle des Zielsystems für die Anbindung an das IDM-System?
- Datenschutz und IT-Sicherheit:
- Existiert für das Zielsystem ein Verfahrensverzeichniseintrag?
- Existiert für das Zielsystem ein IT-Sicherheitskonzept?
- Wer ist nach der Anbindung für das Zielsystem verantwortlich?
- Welche IP-Adresse benutzt das Zielsystem zur Verbindung mit dem IDM-System?
- Wird ein Manager-Account benötigt der Leserechte auf die Daten besitzt?
- In welchem Zeitraum ist die Anbindung erforderlich?
- Eingrenzung des betroffenen Benutzerkreises:
- Werden die Daten von Mitarbeitern, Studenten und / oder Gästen benötigt?
- Kann die Menge der betroffenen Mitarbeiter anhand der zugeordneten Struktureinheit (Institut, Sachgebiet, ...) weiter eingegrenzt werden?
- Kann die Menge der betroffenen Studenten anhand der Studiengänge weiter eingegrenzt werden?
- Kann der betroffene Benutzerkreis anhand gemeinsamer Attributwerte weiter eingegrenzt werden?
- Eingrenzung der benötigten Informationen:
- Welche Attribute werden zu welchem Benutzerkreis benötigt?
- Sind statt der Attribute eventuell daraus abgeleitete Informationen ausreichend? (z.B. Volljährigkeit statt Geburtstag)
- Beschreibung von Zielsystem-Spezifika:
- Welche zielsystemspezifischen Prozesse müssen implementiert werden?
- Wie sind die Verantwortlichkeiten für die einzelnen Prozessschritte geregelt?
- Welche zielsystemspezifischen Rollen sind notwendig?
- Wie sind die Verantwortlichkeiten für Beantragung, Vergabe und Entzug der Rollen geregelt?
Weiterführende Informationen zum IDM-System sind für die Benutzer der zentralen IT-Dienste der TU Dresden und für die Administratoren der Zielsysteme auf folgenden Webseiten bereitgestellt: