Embed Size (px)
Mission Identity Management (IdM)@ GSIMission Identity Management (IdM)@ GSI
• Gemeinsame Datenbasis der Identity Daten für alle Anwendungen, die Personendaten benötigen bei GSI + …
• Transparenz: Ich sehe meine gespeicherten Daten
• Prozessdefinitionen: Erstellen klarer Regeln und definierter Abläufe
• Synergie: Verwaltungsvereinfachung, Beenden der redundanten Prozesse, Automatisierung von Prozessen • Kosteneinsparung• Serviceverbesserung (Wartezeiten!)• Anwendungen sollen mit existierendem IdM zusammenarbeiten!!
(HGF-Koordinierungsausschuss Datenverarbeitung)
Verwaltungsprozesse
• Benutzer (User)• E-Mail, Name,…
– Verantwortung externe: bei GSI-Mitarbeiter
– GSI-MA• Personaldaten (PA)• Kostenstelle (SAP)
–Hierarchie
• Accounts
IdM Class Design 1IdM Class Design 1
+Email+Name-...
USER
ACCOUNT
-hat1
0..*
GSI-Mitarbeiter
-Personen-Verantw
10..*
OS account Mailbox
-Kostenstelle-Austritt-Eintritt
PersonaldatenKostenstelle
-Hierarchie
1
0..* -hat 1*
11
externer User
-Anmeldename-Passwort
GSI Weblogin
IdM Class Design 2
USER PROJECT
ACCOUNT
-hat1
0..*
-hat1
*
-Projekt-Verantw
1 0..*
GSI-Mitarbeiter
-Personen-Verantw
1
0..*
OS account MailboxDB-account
Windows Posix
central Linux : Posix Linux System Oracle : Posix
* ***
Exchange Server : Mailbox
db : DB-account
db-hades : DB-account
**
**
Weblogin
-Kostenstelle-Austritt-Eintritt
PersonaldatenKostenstelle
-Hierarchie
1
0..* -hat 1*
11
Listserv Listen
Email Adressen
*
*
LDAPNIS
LDAP
IdM based IT-Services
IdM
E-MailAdressen
Personaldaten
USER
Geräte+IP-DB
Gerät Netzwerk
Netzwerk MACAuthentifizierung
DHCP Server
DNS Server
MTA (Mail)
Spam AssasinSpam Assasin
Spam Assasin
NIS Server
ACCOUNT
LDAP ServerWeblogin
via TTS+Synchronisation
Windows DC
Telefon
AlcatelTelefonanlage
Exchange (Mail)LDAP Server Posix
User:
Summe 2924
Accounts:
Summe 14413
Rechner:
Summe 9331
IP Adressen: 9183
StatistikStatistik
Benutzer und Accounts
Rechner:
Linux 1818
Windows 2515
MAC OS 120
Sonstige+unbek. 4878
Summe 9331
IP Adressen: 9183
User:
GSI-Mitarbeiter 1088
externe 1836
Summe 2924
Accounts:
Linux2673
Windows 2907
Web Login2040
Postfächer2429
E-Mailadressen4004
Oracle DB 360
Summe 14413
Web-Anwendungen: GSI Web LoginWeb-Anwendungen: GSI Web Login
• einheitliches Login (Single Sign-On SSO): GSI Web Login• in Aufbau: ChemA (Gefahrstoff-DB, CAFM (Raumplanung), Zutrittsberechtigung (+Gleitzeiterfassung) IdM
Projektzeiterfass.
GSI-MA
Controller
AuswertungErfassung Weblogin
Personaldaten
USER
Dienstreise OnlineAntrag
Sicherheits-Belehrung Online
Eingabe
CMS www.gsi.deEditieren
Zertifikat
Genemigung, AbrechnungIdM + Account
+Geräte Verwaltung
Information
Editieren
BeschleunigerLogbook
div. Datenbanken(Elektronik,...)
Editieren
Information
«verwendet»
«verwendet»
«verwendet»«erweitert»
«erweitert»
«verwendet»«erweitert»
IT-Trouble Ticket
«erweitert»
Hardware Basis Oracle DB
coyote2
had3p_ha
pcora5:
DatenbankserverRAC 10.1.0.3.0
pcora6:
DatenbankserverRAC 10.1.0.3.0
shared disk:
* Oracle data 10.1.0.3.0 (RAC)* Oracle ASDB2P(10.2.0.3.0)(RAC) für LDAP
had3p1 had3p2db-hades:
cbm1p_ha
cbm1p1 cbm1p2db-cbm:db-panda:
gsi4p_ha
gsi4p1 gsi4p2db:db-alice:
gsi4t_ha
gsi4t1 gsi4t2db-test:
pcoraas1:
Internet directoryserver (ldap)
Application Server10.1.2.3 (http)
SQL Net
Oracle DatenbankInstanzen +
services
@ GSI
pcora7
ManagementServer Grid Control
+RMAN
10g Agent traffic
Stand 31/8/2010
pcoraas2:
Internet directoryserver (ldap)
Application Server10.1.2.3 (http)
local disk:System
Oracle Softwaredb 10.2.0.3.0
local disk:System
Oracle Softwaredb 10.2.0.3.0
local disk:System
Oracle Software
local disk:System
Oracle Software
HW-Loadbalancer
coyote1
http
10.2.0.4.0
pcoraas3Testserver
Internet directoryserver (ldap)
Application Server10.1.2.3 (http)
Transp.:
• Transparenz: • Web-Anwendungen• Service Portal
http://www-oracle.gsi.de
Transp.:
• Transparenz: • Web-Anwendungen• Service Portal
Transp.:
• Transparenz: • Web-Anwendungen• Service Portal
Transp.:
• Self-Service
Prozesse
• Prozesse: • workflow festlegen•„Business Logic“ inPL/SQL Prozeduren undTriggern auf Datenbank-Objekten
–500 Prozeduren, Trigger, etc.–119.000 LoC SQL
• 3-tier Model: database (SQL), process (PL/SQL), web-presentation layer (PL/SQL+http) • Webbasierte Formulareals Mensch-MaschineInterface (via Application Server)• Mailbenachrichtigungen als Kommunikationsinstrument• Skripte auf Maschinen (manuell, nach TTS Ticket)• Zukunft: Webservice basierte Services auf Maschinen (z.B. service „home directory erstellen“), aufgerufen von Oracle DB.
add
aktiv
modify
/ A_ACC.ACC_ADD
/ Knopf "Account bearbeiten"/ A_ACC.ACC_MOD
delete
/ Knopf "Account löschen"
/ A_ACC.ACC_DEL(id)
set_inaktiv
/ automatische Expiry Aktion
inaktiv
/ A_ACC.ACC_DISABLE
/ Knopf "Account löschen"
set_disabled
disabled
/ A_ACC.ACC_DISABLE(id)/ Knopf "Account disablen"
/ A_ACC.ACC_ARCH
set_enabled
/ Knopf "Account aktivieren"
/ Knopf "Account disablen"
/ A_SCRIPTS.LINUX_ACC_DELETED(id)
Friedhof
/ A_ACC.ACC_DEL_DONE
/ Knopf "Account reaktivieren"
/ Knopf "Account reaktivieren"
/ A_ACC.ACC_RESURRECT
/ A_SCRIPTS.MAIL_ACC_DELETED(id)
/ Knopf "Account löschen"
/ A_ACC.ACC_ENABLE / Knopf "Account aktivieren"
/ Knopf "Account disablen"
/ ,Knopf "Account hinzufügen"
*
-Ticket erstellen
*
set_archive2
set_archive1
archive
/ PASSW_RESET
/ PASSW_RESET
A_ACC.ACC_DEL
MAIL_ACC_DELMAILBOX_ACC_DEL (nur noch für verwaiste)POSIX_ACC_DEL
/ A_ACC.ACC_ARCHFriedhof
ZustandsdiagrammACC_STATUS
Thema:Account löschen(delete -> archive)
Rev. 1.0 M.D. 22/6/09Rev. 1.1 M.D. 25/6/09Rev. 2.0 M.D. 3/8/09
Rev. 2.1 M.D. 18/8/09Rev. 2.2 M.D. 2/9/09Rev. 2.3 M.D. 8/9/09
Rev. 3.0 M.D. 2/12/09
\\winfilesve\IT$Root\Dahlinge\EigeneDateien\GSI\Oracle\Benutzerdatenbank\
Benutzer-DB UML.VSD
/ A_ACC.ACC_DEL(id)
set inaktiv
/ A_ACC.ACC_DISABLE
Ticket: OS/etxerneAktivität
(Archivierung)
MAILADR in alterdb löschen
Ticket: OS/etxerneAktivität
(Archivierung)
A_ACC.ACC_DEL_DONE
DB_ACC_DELOID_ACC_DEL
LDAP.ACC_ACTION
(id,’delete’)
A_ADMIN_MAIL.MAIL_OID_ACC_DEL
LDAP(OS_ACC_TYP_ID
=5)
NIS(OS_ACC_TYP_ID
=1)A_ACC.ACC_DISABLE
PosixLDAP(OS_ACC_TYP_ID
=5) NIS(OS_ACC_TYP_ID
=1)LDAP.ACC_ACTION
(id,’set_archive2’)
A_ADMIN_MAIL.MAIL_POSIX_ACC_
DEL
A_SCRIPTS.LINUX_ACC_DELETED
set_archive2
/ A_ACC.ACC_DEL_DONE
A_SCRIPTS.DB_ACC_DELETED
A_ADMIN_MAIL.MAIL_MAIL_BOX
_DEL
A_ADMIN_MAIL.MAIL_POSIX_ACC_
DEL
ExchangeListserv
(Mail_server_id=2)
A_ADMIN_MAIL.MAIL_MAIL_BOX
_DEL
alle anderenACC_TYP_ID
delete
archive archive
archive archive
archive
ACC_TYP_ID = 1
archive
inaktiv
Ticket: OS/etxerneAktivität
(Archivierung)
set_archive2
set_archive1
set_archive1
set_archive1
Ticket: OS/etxerneAktivität
(Archivierung)
Exchange
ACC_TYP_ID = 1
MAIL_ACC_DEL_DONE
(Exchange)
set_archive1(Mailbox+Mailadresse)
Listserv(Mail_server_id=2)
A_ADMIN_MAIL.MAIL_MAIL_BOX
_DEL
archive
keine Mailbox
A_ADMIN_MAIL_MAIL_ADR_DEL
//
A_ADMIN_MAIL.MAIL_ACC_DEL
archive (Mailbox+Mailadresse)
Ticket zu
DB_ACC_DEL_DONE
Ticket zu
A_ADMIN_MAIL.DB_ACC_DEL
A_SCRIPTS.MAIL_ACC_DELETED
set_archive2 (Mailbox+Mailadresse)
A_SCRIPTS.MAILBOX_ACC_DELETED
set_archive2
archive
Ticket zuTicket zu
Automatisierung von Prozessen
• Automatisierung von Standard Prozessen, Einsparung von User Help Desk Personal, Service Verbesserung
• Beispiele– Passwort Reset durch User (GSI Web Login, Linux LDAP
basiert) (ca. 550x seit 2009)– Automatische Account-Erstellung für neue GSI Mitarbeiter
(Datenübernahme von PA) (GSI Web Login) (alle GSI MA + 260 neue seit 2009)
– Automatisierter workflow: per Emails (Projektzeiterfassung, DIO, Accounts, Verantwortlichkeiten,..) (108.000x seit 2009)
– Self-Service Konsole, am Beispiel Geräteverwaltung
• In Arbeit: Accountanträge, Passwort-Expiry, Account-Expiry, Austritt von MA,…
Zusammenfassung
• IdM Entwicklungsprojekt
• IdM durch HGF KoDa gefordert
• IdM vernetzt mit vielen weiteren Applikationen
• Technische Basis: Oracle Datenbank, Oracle PL/SQL, Oracle Applicationserver und SSO
• Manpower: IdM + Datenbank: 2.4 FTE + 2 Studenten (0.5 FTE), davon ca. 1.2 FTE IdM Entwicklung (ausbaufähig!!)
• Ausblick:– Kompletten lifecycle accounts mit Web-Interface– LDAP basierte Linux Authentifizierung (mit HPC)– Weitere Systeme (Wiki, Forum, Shiboleth, kaufm.
Anwendungen,…???
