Identity Management@GSIIdentity Management@GSI

Identity Management

für GSIMichael Dahlinger, GSI

m.dahlinger@gsi.de

Mission Identity Management (IdM)@ GSIMission Identity Management (IdM)@ GSI

• Gemeinsame Datenbasis der Identity Daten für alle Anwendungen, die Personendaten benötigen bei GSI + …

• Transparenz: Ich sehe meine gespeicherten Daten

• Prozessdefinitionen: Erstellen klarer Regeln und definierter Abläufe

• Synergie: Verwaltungsvereinfachung, Beenden der redundanten Prozesse, Automatisierung von Prozessen • Kosteneinsparung• Serviceverbesserung (Wartezeiten!)• Anwendungen sollen mit existierendem IdM zusammenarbeiten!!

(HGF-Koordinierungsausschuss Datenverarbeitung)

Verwaltungsprozesse

• Benutzer (User)• E-Mail, Name,…

– Verantwortung externe: bei GSI-Mitarbeiter

– GSI-MA• Personaldaten (PA)• Kostenstelle (SAP)

–Hierarchie

• Accounts

IdM Class Design 1IdM Class Design 1

+Email+Name-...

USER

ACCOUNT

-hat1

0..*

GSI-Mitarbeiter

-Personen-Verantw

10..*

OS account Mailbox

-Kostenstelle-Austritt-Eintritt

PersonaldatenKostenstelle

-Hierarchie

1

0..* -hat 1*

11

externer User

-Anmeldename-Passwort

GSI Weblogin

IdM Class Design 2

-Email

USER PROJECT

ACCOUNT

-hat1

0..*

-hat1

*

-Projekt-Verantw

1 0..*

GSI-Mitarbeiter

-Personen-Verantw

1

0..*

OS account MailboxDB-account

Windows Posix

central Linux : Posix Linux System Oracle : Posix

* ***

Exchange Server : Mailbox

db : DB-account

db-hades : DB-account

**

**

Weblogin

-Kostenstelle-Austritt-Eintritt

PersonaldatenKostenstelle

-Hierarchie

1

0..* -hat 1*

11

Listserv Listen

Email Adressen

*

*

LDAPNIS

LDAP

IdM based IT-Services

IdM

E-MailAdressen

Personaldaten

USER

Geräte+IP-DB

Gerät Netzwerk

Netzwerk MACAuthentifizierung

DHCP Server

DNS Server

MTA (Mail)

Spam AssasinSpam Assasin

Spam Assasin

NIS Server

ACCOUNT

LDAP ServerWeblogin

via TTS+Synchronisation

Windows DC

Telefon

AlcatelTelefonanlage

Exchange (Mail)LDAP Server Posix

User:

Summe 2924

Accounts:

Summe 14413

Rechner:

Summe 9331

IP Adressen: 9183

StatistikStatistik

Benutzer und Accounts

Rechner:

Linux 1818

Windows 2515

MAC OS 120

Sonstige+unbek. 4878

Summe 9331

IP Adressen: 9183

User:

GSI-Mitarbeiter 1088

externe 1836

Summe 2924

Accounts:

Linux2673

Windows 2907

Web Login2040

Postfächer2429

E-Mailadressen4004

Oracle DB 360

Summe 14413

Web-Anwendungen: GSI Web LoginWeb-Anwendungen: GSI Web Login

• einheitliches Login (Single Sign-On SSO): GSI Web Login• in Aufbau: ChemA (Gefahrstoff-DB, CAFM (Raumplanung), Zutrittsberechtigung (+Gleitzeiterfassung) IdM

Projektzeiterfass.

GSI-MA

Controller

AuswertungErfassung Weblogin

Personaldaten

USER

Dienstreise OnlineAntrag

Sicherheits-Belehrung Online

Eingabe

CMS www.gsi.deEditieren

Zertifikat

Genemigung, AbrechnungIdM + Account

+Geräte Verwaltung

Information

Editieren

BeschleunigerLogbook

div. Datenbanken(Elektronik,...)

Editieren

Information

«verwendet»

«verwendet»

«verwendet»«erweitert»

«erweitert»

«verwendet»«erweitert»

IT-Trouble Ticket

«erweitert»

Hardware Basis Oracle DB

coyote2

had3p_ha

pcora5:

DatenbankserverRAC 10.1.0.3.0

pcora6:

DatenbankserverRAC 10.1.0.3.0

shared disk:

* Oracle data 10.1.0.3.0 (RAC)* Oracle ASDB2P(10.2.0.3.0)(RAC) für LDAP

had3p1 had3p2db-hades:

cbm1p_ha

cbm1p1 cbm1p2db-cbm:db-panda:

gsi4p_ha

gsi4p1 gsi4p2db:db-alice:

gsi4t_ha

gsi4t1 gsi4t2db-test:

pcoraas1:

Internet directoryserver (ldap)

Application Server10.1.2.3 (http)

SQL Net

Oracle DatenbankInstanzen +

services

@ GSI

pcora7

ManagementServer Grid Control

+RMAN

10g Agent traffic

Stand 31/8/2010

pcoraas2:

Internet directoryserver (ldap)

Application Server10.1.2.3 (http)

local disk:System

Oracle Softwaredb 10.2.0.3.0

local disk:System

Oracle Softwaredb 10.2.0.3.0

local disk:System

Oracle Software

local disk:System

Oracle Software

HW-Loadbalancer

coyote1

http

10.2.0.4.0

pcoraas3Testserver

Internet directoryserver (ldap)

Application Server10.1.2.3 (http)

Transp.:

• Transparenz: • Web-Anwendungen• Service Portal

http://www-oracle.gsi.de

Transp.:

• Transparenz: • Web-Anwendungen• Service Portal

Transp.:

• Transparenz: • Web-Anwendungen• Service Portal

Transp.:

• Self-Service

Prozesse

• Prozesse: • workflow festlegen•„Business Logic“ inPL/SQL Prozeduren undTriggern auf Datenbank-Objekten

–500 Prozeduren, Trigger, etc.–119.000 LoC SQL

• 3-tier Model: database (SQL), process (PL/SQL), web-presentation layer (PL/SQL+http) • Webbasierte Formulareals Mensch-MaschineInterface (via Application Server)• Mailbenachrichtigungen als Kommunikationsinstrument• Skripte auf Maschinen (manuell, nach TTS Ticket)• Zukunft: Webservice basierte Services auf Maschinen (z.B. service „home directory erstellen“), aufgerufen von Oracle DB.

add

aktiv

modify

/ A_ACC.ACC_ADD

/ Knopf "Account bearbeiten"/ A_ACC.ACC_MOD

delete

/ Knopf "Account löschen"

/ A_ACC.ACC_DEL(id)

set_inaktiv

/ automatische Expiry Aktion

inaktiv

/ A_ACC.ACC_DISABLE

/ Knopf "Account löschen"

set_disabled

disabled

/ A_ACC.ACC_DISABLE(id)/ Knopf "Account disablen"

/ A_ACC.ACC_ARCH

set_enabled

/ Knopf "Account aktivieren"

/ Knopf "Account disablen"

/ A_SCRIPTS.LINUX_ACC_DELETED(id)

Friedhof

/ A_ACC.ACC_DEL_DONE

/ Knopf "Account reaktivieren"

/ Knopf "Account reaktivieren"

/ A_ACC.ACC_RESURRECT

/ A_SCRIPTS.MAIL_ACC_DELETED(id)

/ Knopf "Account löschen"

/ A_ACC.ACC_ENABLE / Knopf "Account aktivieren"

/ Knopf "Account disablen"

/ ,Knopf "Account hinzufügen"

*

-Ticket erstellen

*

set_archive2

set_archive1

archive

/ PASSW_RESET

/ PASSW_RESET

A_ACC.ACC_DEL

MAIL_ACC_DELMAILBOX_ACC_DEL (nur noch für verwaiste)POSIX_ACC_DEL

/ A_ACC.ACC_ARCHFriedhof

ZustandsdiagrammACC_STATUS

Thema:Account löschen(delete -> archive)

Rev. 1.0 M.D. 22/6/09Rev. 1.1 M.D. 25/6/09Rev. 2.0 M.D. 3/8/09

Rev. 2.1 M.D. 18/8/09Rev. 2.2 M.D. 2/9/09Rev. 2.3 M.D. 8/9/09

Rev. 3.0 M.D. 2/12/09

\\winfilesve\IT$Root\Dahlinge\EigeneDateien\GSI\Oracle\Benutzerdatenbank\

Benutzer-DB UML.VSD

/ A_ACC.ACC_DEL(id)

set inaktiv

/ A_ACC.ACC_DISABLE

Ticket: OS/etxerneAktivität

(Archivierung)

MAILADR in alterdb löschen

Ticket: OS/etxerneAktivität

(Archivierung)

A_ACC.ACC_DEL_DONE

DB_ACC_DELOID_ACC_DEL

LDAP.ACC_ACTION

(id,’delete’)

A_ADMIN_MAIL.MAIL_OID_ACC_DEL

LDAP(OS_ACC_TYP_ID

=5)

NIS(OS_ACC_TYP_ID

=1)A_ACC.ACC_DISABLE

PosixLDAP(OS_ACC_TYP_ID

=5) NIS(OS_ACC_TYP_ID

=1)LDAP.ACC_ACTION

(id,’set_archive2’)

A_ADMIN_MAIL.MAIL_POSIX_ACC_

DEL

A_SCRIPTS.LINUX_ACC_DELETED

set_archive2

/ A_ACC.ACC_DEL_DONE

A_SCRIPTS.DB_ACC_DELETED

A_ADMIN_MAIL.MAIL_MAIL_BOX

_DEL

A_ADMIN_MAIL.MAIL_POSIX_ACC_

DEL

ExchangeListserv

(Mail_server_id=2)

A_ADMIN_MAIL.MAIL_MAIL_BOX

_DEL

alle anderenACC_TYP_ID

delete

archive archive

archive archive

archive

ACC_TYP_ID = 1

archive

inaktiv

Ticket: OS/etxerneAktivität

(Archivierung)

set_archive2

set_archive1

set_archive1

set_archive1

Ticket: OS/etxerneAktivität

(Archivierung)

Exchange

ACC_TYP_ID = 1

MAIL_ACC_DEL_DONE

(Exchange)

set_archive1(Mailbox+Mailadresse)

Listserv(Mail_server_id=2)

A_ADMIN_MAIL.MAIL_MAIL_BOX

_DEL

archive

keine Mailbox

A_ADMIN_MAIL_MAIL_ADR_DEL

//

A_ADMIN_MAIL.MAIL_ACC_DEL

archive (Mailbox+Mailadresse)

Ticket zu

DB_ACC_DEL_DONE

Ticket zu

A_ADMIN_MAIL.DB_ACC_DEL

A_SCRIPTS.MAIL_ACC_DELETED

set_archive2 (Mailbox+Mailadresse)

A_SCRIPTS.MAILBOX_ACC_DELETED

set_archive2

archive

Ticket zuTicket zu

Automatisierung von Prozessen

• Automatisierung von Standard Prozessen, Einsparung von User Help Desk Personal, Service Verbesserung

• Beispiele– Passwort Reset durch User (GSI Web Login, Linux LDAP

basiert) (ca. 550x seit 2009)– Automatische Account-Erstellung für neue GSI Mitarbeiter

(Datenübernahme von PA) (GSI Web Login) (alle GSI MA + 260 neue seit 2009)

– Automatisierter workflow: per Emails (Projektzeiterfassung, DIO, Accounts, Verantwortlichkeiten,..) (108.000x seit 2009)

– Self-Service Konsole, am Beispiel Geräteverwaltung

• In Arbeit: Accountanträge, Passwort-Expiry, Account-Expiry, Austritt von MA,…

Zusammenfassung

• IdM Entwicklungsprojekt

• IdM durch HGF KoDa gefordert

• IdM vernetzt mit vielen weiteren Applikationen

• Technische Basis: Oracle Datenbank, Oracle PL/SQL, Oracle Applicationserver und SSO

• Manpower: IdM + Datenbank: 2.4 FTE + 2 Studenten (0.5 FTE), davon ca. 1.2 FTE IdM Entwicklung (ausbaufähig!!)

• Ausblick:– Kompletten lifecycle accounts mit Web-Interface– LDAP basierte Linux Authentifizierung (mit HPC)– Weitere Systeme (Wiki, Forum, Shiboleth, kaufm.

Anwendungen,…???