Hagen, 16.03.20051
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Identity Management Universität Duisburg Essen
Einheitlicher Zugang zu Diensten, Informationen und
Kommunikationspartnern in einer serviceorientierten, integrierten
Informations- und Kommunikationsinfrastruktur
ThemaThema
Hagen, 16.03.20052
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Bericht über die bisherige Umsetzung des Phasenmodells
Phase 1: Grobkonzept
Phase 2: Feinkonzepti. Problemdefinitionii. Zieldefinition iii. Analyse der Geschäftsprozesse
Phase 3: Schaffung der Voraussetzungen für die Implementierung
Phase 4: Implementierung
AgendaAgenda
Hagen, 16.03.20053
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 1: Grobkonzept
Beteiligung am Auschreibungsverfahren der DFG zu
„Leistungszentren für Forschungsinformation“ 2003
Neue Ideen werden benötigt -> Geburtsstunde von ZIM, IM, etc.
Wer macht bereits was im Land?
• Beschäftigung mit dem Grobkonzept aus Bielefeld/Paderborn
MarktanalyseMarktanalyse
Hagen, 16.03.20054
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Probleme an den Unis
•Außerhalb der RZ sind neue netzbasierte Dienste entstanden (DV der Verwaltung, FB-Server, Webdienste/Portale von UB und ...)
•Alle Dienste haben eigene Nutzerverwaltung
•Nutzer (Studenten, Mitarbeiter,...) müssen sich bei jedem Dienst einzeln registrieren
•Betreiber der Dienste möchten deshalb die Nutzerdatenbank des RZ zur Authentifizierung nutzen (z.B Verwaltung HISLSF, POS-QIS)
•Die RZ-Nutzerverwaltung ist nicht vollständig (z. B. Campus Essen nur 13 von 22 Tausend Studenten)
•Studenten- und Mitarbeiterdaten werden überhaupt nicht oder nur „provisorisch“ mit der Verwaltung synchronisiert
MotivationMotivation
Hagen, 16.03.20055
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Zieldefinition für das Projekt Identity Management (IM)
• Verbesserung der Dienstleistungsprozesse • Unterstützung des Neugründungsprozesses der Universität
Duisburg-Essen• Reduzierung der Infrastrukturkosten durch…
– … Schaffung von klaren eindeutigen Administrationsprozessen– … Verminderung von Datenredundanzen– … Automatische Synchronisation der Daten– ... Reduzierung der Administrationsaufwände für die Endbenutzer– ... Erhöhung der Sicherheit– … Vereinheitlichung der Directories– … Vereinfachung der Integration zukünftiger Anwendungen
ZieldefinitionZieldefinition
Hagen, 16.03.20056
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Dynamische ITDynamische ITQuelle: Computerwoche
Hagen, 16.03.20059
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
IM aus Nutzersicht I
• Nur eine AnlaufstelleBenutzerkennung und Initialpasswort sofort bei Einschreibung/Einstellung,damit Zugangsberechtigung auf „allen“ DV-Systemen
• Self care FunktionFreischaltung von ZugängenAktualisierung von Daten durch NutzerFreigabe/Sperrung von Daten für Verzeichnisse
• Datenschutz/DatensicherheitVollständiger Überblick über alle gespeicherten Daten (Inhalt, Ort, Zweck)
• Fachbereiche/FakultätenÜbernahme von Daten aus zentralen Verzeichnissen: keine Doppelerhebungen, Verwaltungsvereinfachung
• ->PortalEinheitlicher DienstezugangSingle Sign On
ZieldefinitionZieldefinition
Hagen, 16.03.200510
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
IM aus Nutzersicht II
• Telefon- und Adressbücher, Emailverteiler• Darstellung Organisationsstruktur• System Management
Entzug von Berechtigungen bei AusscheidenAuslösen von Folgeprozessen bei Verwaisen von wichtigen Rollen (Administratoren) durch AusscheidenÜbersicht über wichtige Rollen (z.B. Administratoren)
ZieldefinitionZieldefinition
Hagen, 16.03.200511
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Marktanalyse Anbieter Phase 1: Grobkonzept
• Mai 2003 Bildung einer Gemeinsamen Arbeitsgruppe „Einheitlicher Dienstezugang und Verzeichnisdienste“ aus Rechenzentren, Bibliotheken, Verwaltungen
• Lauren States, Vice President IBM/Tivoli Technical Sales Support worldwidewird executive sponsor (Kontakt Dr. Lix/HRZ Essen)
• Juli 2003 Ein Anforderungspapier (Anlage) wird an mehrere Anbieter (IBM, SUN, Siemens, Siebel) versandt mit der Bitte, Vorstellungen zur Realisierung zu entwickeln
• Juli/Aug 2003 Präsentationen der Hersteller mit Grobkonzepten zur Projektgestaltung (Phasen, Inhalte, Organisation), zur (herstellerneutralen) Systemarchitektur und zur Realisierung mit bestimmten Produkten.
• Auswahl eines Vorschlags/Grobkonzept als Basis für FeinkonzeptMarktanalyseMarktanalyse
Hagen, 16.03.200512
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Marktanalyse Anbieter
Anbieter von Beratungsdienstleistung und Lösungsanbieter für das Feinkonzept
• IBM
• SUN
• Siemens,
• Siebel
• Compunet
MarktanalyseMarktanalyse
Hagen, 16.03.200513
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 2: Auswahl Anbieter Feinkonzept
• August 2003 Antrag an das Ministerium für Wissenschaft und Forschung NRW auf Förderung eines ersten Teilprojekts
(Analyse von Administrationsprozessen, Informationsflüssen, Datenstrukturen, Rollenkonzepten, Berechtigungen, detaillierte Vorschläge für Systemarchitektur, Implementierung, Produkte)
• Oktober 2003 Bewilligung des Antrags in Höhe von 80.000 €, Beschränkte Ausschreibung
• 12. Nov. 2003 Präsentationen der Anbieter und Bewertung
• 15. Nov. 2003 Zuschlag und Vertragsabschluss
MarktanalyseMarktanalyse
Hagen, 16.03.200514
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Projektführungsstruktur
Projektleitung Universität•Herr Blotevogel (zentraler Ansprechpartner)
ProzesseMargarete Nikol (IBM)
ProvisioningReinhard Stamms
(IBM)
Meta-Directory
Gunter Jahn (IBM)
VerwaltungMA
Universität
BibliothekMA
Universität
HRZMA
Universität
Projektleitung Gunter Jahn
(IBM)
QualitätssicherungDr. Oliver Ziehm
(IBM)
ProjektbeteiligteProjektbeteiligte
FachbereichMA
Universität
Hagen, 16.03.200516
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Arbeitspakete
Ist-Analyse-Directories
Soll-EmpfehlungDirectories
Soll-Empfehlung
Prozesse
Empfehlungder Soll-
Datenflüsse
Empfehlungeiner Soll-Architektur
Produkt-empfehlung
Implemen-tierungs-vorschlag
Projektplan
Rollen
EinheitlicheBenutzer-ID &
Kennwort
Ist-Analyse-Prozesse
Empfehlungfür zentrales
Directory
ArbeitspaketeArbeitspakete
Hagen, 16.03.200517
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Identity Management ArchitekturIdentity Management Architektur
Hagen, 16.03.200518
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Technische Analyse der Directories
Es wurden etwa 40 Directories darauf hin untersucht, ob sie in der ersten Phase des Identity Management-Projektes berücksichtigt werden sollen.
Davon wurden 23 intensiver mit einem Analyse-Dokument beleuchtet.
12 Directories wurden einer Soll-Betrachtung unterzogen.
Es werden in der ersten Phase etwa 20 Ziel- und Quellsysteme am Identity Management teilnehmen.
Analyse der DirectoriesAnalyse der Directories
Hagen, 16.03.200519
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Ergebnisse der Ist-Analyse der Prozesse
HISSOS
HISSVA
Aleph 500(Bibliotheks-
System)
Untersucht und dokumentiert wurden insgesamt 39 Prozesse
AUM / NIS Benutzer-
verwaltung
Essen 4 Prozesse
Duisburg 4 Prozesse
Bibliothek Duisburg und Essen gesamt 15 Prozesse
Essen 3 Prozesse
Duisburg 4 Prozesse
Essen 5 Prozesse
Duisburg 4 Prozesse
ProzessanalyseProzessanalyse
Hagen, 16.03.200520
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Zusammenhang IST- und SOLL-Prozesse
Anlage neuer Mitarbeiter
Anlage neuer Mitarbeiter
BibliothekBibliothek TelefonTelefonHRZ Accounts
HRZ Accounts
IST-Prozesse SOLL-Prozesse
Provisioning System
Provisioning System
BibliothekBibliothek TelefonTelefonAccountsAccounts
Anlage neuer Mitarbeiter
Anlage neuer Mitarbeiter
Viele manuelle und teilautomatische Prozesse.
Die Mehrzahl der manuellen und teilautomatischen Prozesse wird durch automatische Prozesse über das Provisioning System ersetzt, Prozesse wurden zusammengefasst.
IST- und Soll ProzesseIST- und Soll Prozesse
Hagen, 16.03.200521
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Fachbereich/Fakultät
Studenten-sekretariat
Ist-Prozess: Wie kommen Studierende zu ihren Berechtigungen?
Studierende
HRZBenutzerbüro
Bibliothek
Einschreibungtägliche Datenüberlei-tung (DU)
HISSOS
Aleph 500
Benutzer-verwaltung
/ NIS
Web Formular
Benutzer Account,eMail (E)für HRZ
Fachbereich
1x pro Semester
Tägliche Da-tenüberlei-tung (E/DU)
Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek
Benutzerkennungund Passwort (DU)für HRZ
ProzessanalyseProzessanalyse
Hagen, 16.03.200522
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Bibliothek
Studenten-sekretariat
Soll-Prozess: Wie kommen Studierende zu ihren Berechtigungen?
HISSOS
Self CareeMail Adresse und Account können über eine Initialkennung und Initialpasswort abgerufen werden
Studierende
AD
Fachbereich/Fakultät
Aleph 500Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek
EinschreibungIdentity
ManagementSystem
Initialkennung und Passwort
ProzessanalyseProzessanalyse
Hagen, 16.03.200523
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Identity Feed Prozess: HISSOS 1/2
Bei der Einschreibung wird eine Initialkennung und ein Initialkennwort generiert.
Im Rahmen des Self Care erzeugt sich der Student seinen Account-Name und die eMail Adresse.
Nach der Erzeugung des Accounts und seiner Mail wird die Initialkennung verworfen. Da der Account und die eMail Adresse nur auf Anforderung erzeugt wird, werden keine ungenutzten Accounts und E-Mails erzeugt.
ProzessanalyseProzessanalyse
Hagen, 16.03.200524
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Identity Feed Prozess: HISSOS 2/2 Zwischen HISSOS und HISSVA gibt es keine Verfahren um Personengleichheit zu erkennen
Der Identity Feed Job versucht selbst einen Abgleich über Name, Vorname, Geburtsdatum, Geburtsort zu schaffen. Falls keine wirkliche Eindeutigkeit vorhanden ist, werden die Personen nicht zusammengeführt.
Bei Änderungen erfolgt die eindeutige Zuordnung über die Matrikelnummer. Ehemalige Studenten werden zu Alumnis und bleiben weiterhin gespeichert.
Bei der Einschreibung oder Zulassung werden den Studenten entsprechende Rollen zugeordnet, diese sind abhängig vom Studentenstatus und der Zuordnung zum Fachbereich.
ProzessanalyseProzessanalyse
Hagen, 16.03.200525
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Personal-verwaltung
IST-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen
Mitarbeiter/inHISSVA
Bibliothek Aleph 500
FM
BuiSy
HRZ Benutzerbüro
AUM/NIS Benutzer
verwaltung
Wöchentliche Weiterleitung Daten an BuiSy (Du)
Mitarbeiter/in wird eingestellt
Studenten-sekretariat
Telefon
Benutzer Account,eMail (E)
Bibliotheksantrag
Telefonantrag
AntragDienst-ausweis (E)Verwaltungs
account
Verwaltung
MS ADVerwaltung
ProzessanalyseProzessanalyse
Hagen, 16.03.200526
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Personal-verwaltung
Soll-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen
Mitarbeiter/inHISSVA
Aleph 500 BuiSy
Mitarbeiter/in wird eingestellt
Studenten-sekretariat
TelefonMS AD
Verwaltung
Self Care•Telefon-/Raumdaten•Erfassung Email-Daten•Erfassung IS•Passwort setzen
Antrag Dienst-ausweis (E)
Initialkennung und Passwort
Identity Management
System
ProzessanalyseProzessanalyse
Hagen, 16.03.200527
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Gesamtüberblick Datenfluss
StudSek
GLAZ
Telefon
HISMBS
Bibliothek
HISPOSE nur FB1
HRZ
HISSVAHISSOS
Fachbereich
Dez 2
Stu MA
Dez5
Dez3
Dez2
Dez1
Dez4
Glaz
Adr
Rü
Die
1xper Sem
1xper SemBei Anlage
GLAZ
Telefon
HISMBS
Aleph 500
HISPOSNIS BenutzerVerwaltung
/ AUM
HISSVA
StudSekHISSOS
VerwaltungAccount
MA
MA Glaz
Adr
Rü
1xper Sem 1.6/1.12
1xper SemBei Anlage
wöch
BuiSy
TelDie?
Adr
Nicht übereinstimmend
EXMA
Fachbereich/Fakultät
Ex
Bei Anlagedes MA
ProzessanalyseProzessanalyse
Hagen, 16.03.200528
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Legende zu den Überblicksfolien
StudSek
HISSOS
Stu
Dezx
Die
Glaz
Rü
Adr
Tel
EX
MA
Organisation
Anwendungssystem
Datenfluss Duisburg
Datenfluss Essen
Gleitzeitantrag
Telefonantrag
Antrag Dienstausweis
Rückläufer Post
Meldung neuer Adresse
Dezernat mit Dezernatsnummer
Antrag Mitarbeiter
Antrag Externe Person
Antrag Student
HISSVA Anwendungssystem
ProzessanalyseProzessanalyse
Hagen, 16.03.200529
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Gesamtüberblick Essen
StudSek
GLAZ
Telefon
HISMBS
Aleph 500
HISPOSE nur FB1
AUM
HISSVAHISSOS
VerwaltungAccount
Stu MA
MA
Dez5
Dez3
Dez2
Dez1
Dez4
Glaz
Adr
Rü
Die
1xper Sem
1xper SemAdr
Nicht übereinstimmend
Ex
Ex
MA
Fachbereich
Bei Anlagedes MA
ProzessanalyseProzessanalyse
Hagen, 16.03.200530
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Gesamtüberblick Duisburg
StudSek
GLAZ
Telefon
HISMBS
Aleph 500
HISPOS NIS BenutzerVerwaltung
HISSVAHISSOS
VerwaltungAccount
MA
MA Glaz
Adr
Rü
1xper Sem 1.6/1.12
1xper SemBei Anlage
des MA
wöch
BuiSy
TelDie?
AdrEx
Ex
MA
Fakultät
ProzessanalyseProzessanalyse
Hagen, 16.03.200531
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
HISSVA – Personalverwaltung Essen
HISSVA
Aleph 500(Bibliothek)
AUMAntrag/
Verlängerung Account
Wird im Studenten Sekretariat erstellt
Telefon
Dienst-ausweis
Bibliotheksausweis
Web Account-email Adresse
-Plattenplatz
Telefongerät
Antrag/Änderung Telefon
Antrag: Bibliothekssys
Mitarbeiter
Gleitzeitsystem / Schliess System (Personalabteilung)
Antrag GLAZ GLAZ Karte
Verwaltung Account Verwaltung Account
HISMBS
Kostenstellenwerden in HISSVA
übernommen
Antrag Dienstausweis
AntragAccount
For
mul
ar „
Per
sona
lver
ände
rung
en“
Antrag KeyCodeKarte
Raumzugangskarten
ProzessanalyseProzessanalyse
Hagen, 16.03.200532
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Geschätzter Personalaufwand für die Projektphase
Projektmanagement20 PT
Anforderungsanalyse
Administrationsprozesse
Rollen
Self Care
IDS
IDI
TAM
5 PT
5 PT
Datenfeldmatrix5 PT
20PT
Hardware2 PT
TIM 25 PT
15 PT
10PT
27 PT
Gesamt: 196 PT
TIM 25 PT
10 PT
Projektmanagement20 PT
Anforderungsanalyse
Administrationsprozesse
Rollen
Self Care
IDS
IDI
TAM
5 PT
5 PT
Datenfeldmatrix5 PT
20PT
Hardware2 PT
TIM 25 PT
15 PT
10PT
27 PT
Gesamt: 196 PT
TIM 25 PT
10 PT
Personalaufwand Phase 4Personalaufwand Phase 4
Hagen, 16.03.200533
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
NRW Landeslizenz
• Die RWTH Aachen schließt Ende 2004 als Konsortialführer ein fünfjährigesLizenzabkommen mit IBM
- 10+1Hochschulen beabsichtigen IM auf der Basis der IBM Produkte einzuführen
1. DSH Köln, 2. Uni Bonn, 3. RWTH Aachen, 4. Uni Bielefeld, 5. Uni Duisburg-Essen,6. Uni Paderborn,7. Uni Münster,8. FH Lippe und Höxter, 9. FH Bielefeld, 10. FH Köln,11. FH Dortmund (nachgemeldet)
RessourcenRessourcen
Hagen, 16.03.200534
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Wo stehen wir heute?
Phase 3: Schaffung der Voraussetzungen für die Implementierung
Phase 4: Implementierung
AgendaAgenda
Hagen, 16.03.200535
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3: Schaffung der Voraussetzungen für die Implementierung
•Landesweite Abstimmung Mailingliste [email protected] (Admin: Frau Oevel); Dokumente auf dem BSCW-Server der Universität Duisburg-Essen
•Testinstallation TIM, Arbeiten mit dem Tivoli Directory Integrator
•Rektoratsbeschluss Implementierung
•Beteiligung Datenschutz und (Haupt)Personalräte
•Beteiligung Fachbereiche und Organisationseinheiten
Phase 3Phase 3
Hagen, 16.03.200536
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Landesweite Abstimmung •Mailingliste [email protected] (Admin: Frau Oevel)
•Dokumente auf dem BSCW-Server der Universität Duisburg-Essen
•Gesamtprojektverantwortlicher (GPV HS): Herr Lix
•Projektpartner IBM: Herr Timme auslaufend Nachfolger Herr Fingerhut •Gesamtprojektverantwortliche (GPV) von seiten IBM ist Herr Dr. Blaeser ([email protected]).•Weitere Ansprechpartnerin ist Frau Steinkrüger (Tel.:+49-177 8225 727 [email protected]).
Nächster Termin der TIM-AG:Freitag, 08.04.2005 um 10:00 Uhr in Essen, HRZ (Besprechungsraum)
Phase 3Phase 3
Hagen, 16.03.200537
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Testinstallation TIM und Arbeiten mit dem Tivoli Directory Integrator
Unterstützung durch IBM / Hr. Stamms
Analyse der Stagingtabellen c:\daten\stagingtabellen.mmapFeldname, Feldname_flag, …. Operationtype (MOD, ADD, DEL)
Einarbeitung in den Tivoli Directory IntegratorErstellung einer AssemblyLine Einarbeitung in JavaScript (auch weitere Sprachen einbindbar)Telefonbuch und Mailverzeichnis der fusionierten Hochschule
Phase 3Phase 3
Hagen, 16.03.200538
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3Phase 3
Hagen, 16.03.200539
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Phase 3Phase 3
Hagen, 16.03.200540
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
operationtype
Hagen, 16.03.200541
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
operationtype
Hagen, 16.03.200542
Identity Management Universität Duisburg Essen Uwe Blotevogel
V E R W A L T U N G
Wo stehen wir am Ende des Jahres?
Phase 4: Implementierung hat stattgefunden
1. Schritte• Einrichtung TIM Produktivsystem
• Feeds: AUM(Benutzerverwaltung HRZ), SOS, SVA• Autorisierung/ Zugang zu -HRZ Diensten (Email, login) -LSF, -QIS-POS
Ziel bis Ende des Jahres• Selfcare ist umgesetzt• Bibliotheksanbindung (Aleph) ist vorhanden• Anbindung von Pilotfachbereichen (AD) ist erfolgt
AgendaAgenda