...Verwalten, Bereitstellen, Ändern und Löschen von Berechtigungen...
Servicebeschreibung
Das Identity-Management des HRZ ist das zentrale System der Goethe-Universität für die Verwaltung der digitalen Identitäten aller Angehörigen der Universität. Im IDM wird der HRZ-Account erzeugt. Das Identity-Management verknüpft Statusinformationen aus den Personalverwaltungssystemen und dem Campus-Management sowie den externen Mitarbeiter*innen mit Zugriffsrechten auf die zentralen Dienstleistungen des HRZ. Aus dem IDM werden der HRZ-Account (Login-Name und Passwort), die Goethe-Card, der Bibliothekszugang und die Authentifizierungssysteme mit Daten versorgt. Die Accountverwaltung ist eng mit der Goethe-Card verbunden.
Der HRZ-Account ist die zentrale Nutzerkennung für Universitätsangehörige. Er ermöglicht in Abhängigkeit des Nutzer*innenstatus die Nutzung verschiedener Services der Goethe-Universität, wie z. B. E-Learning, WLAN, VPN oder den Zugang zum Home-Verzeichnis.
Das Identitäts- und Zugangsmanagement ist ein Rahmen von Richtlinien und Technologien, um sicherzustellen, dass Nutzende den angemessenen Zugang zu den technologischen Ressourcen haben. Die IDM-Dienste fallen unter den übergreifenden Rahmen der IT-Sicherheit und des Datenmanagements.
Das universitätsweite eingesetzte Identitäts- und Zugriffsmanagementsystem identifiziert, authentifiziert und autorisiert nicht nur die Nutzer*innen für die Nutzung von IT-Ressourcen, sondern auch die Anwendungen, auf die die Nutzer*innen zugreifen können.
Der Identitäts- und Zugriffsmanagement-Service ist in den letzten Jahren immer wichtiger geworden, da die Anforderungen an die Einhaltung gesetzlicher Vorschriften immer strenger und komplexer geworden sind. IDM trägt der Notwendigkeit Rechnung, einen angemessenen Zugriff auf Ressourcen in zunehmend heterogenen Technologieumgebungen zu gewährleisten und die immer strengeren Compliance-Anforderungen zu erfüllen.
IDM deckt Fragen ab wie z. B. die Art und Weise, wie Nutzer*innen eine Identität erhalten, die Rollen und Berechtigungen, die die Identität gewährt. Außerdem erklärt der Service den Schutz dieser Identität und die Technologien, die diesen Schutz unterstützen (z. B. Netzwerkprotokolle, digitale Zertifikate, Passwörter usw.).
Das IDM-Team entwickelt und wartet die notwendige Infrastruktur rund um den HRZ-Account. Dies sind alle Schritte von der Generierung des Accounts mit der zugehörigen E-Mail-Adresse über die Vergabe von Berechtigungen und Rollen bis zur Authentifizierung und Autorisierung in den angebundenen Zielsystemen. Die vom IDM-Team in Eigenentwicklung gebaute Software in Form von Kommandozeilentools und Webschnittstellen ermöglicht sowohl die Ausgabe von HRZ-Accounts, iTAN-Listen und der Goethe-Card als auch die Verwaltung dieser. Diese sind auf die speziellen Bedürfnisse der Goethe-Universität optimiert. Der Lebenszyklus der Stammdaten und des Accounts eines Universitätsangehörigen vom Eintreten bis zum Abgang ist automatisiert und kann so auch an die angebundenen Systeme weitergegeben werden (Life-Cycle-Management).
Der Service beinhaltet:
- Authentifizierung und Autorisierung von Nutzer*innen
- Zentralisierte Zugriffskontrolle
- Multifaktor-Authentifizierung (in Vorbereitung)
- Self-Services für Nutzer*innen zum Beispiel für Passwortänderung
- Single Sign-On-Services für den Zugriff auf unterschiedliche Systeme und Ressourcen mit einer einzigen Identität
- Verhinderung von unbefugten Zugriffen interner und externer Nutzer*innen
- Zeitnahe Reaktion bei kompromittierten Accounts
https://www.rz.uni-frankfurt.de/identity_management
| Serviceteam | Artikelnummer | Zielgruppen |
|---|---|---|
Team Identity-Management | 04-05-00 | Universitätsangehörige |
| Buchen des Service | Serviceregelungen | Kündigungsbedingungen |
| Dies ist ein Service der Basisversorgung und kann nicht separat gebucht werden | Keine speziellen Serviceregelungen | Dies ist ein Basisdienst, der nicht gekündigt werden kann |
| Bereitstellungszeit | Leistungsübergabepunkt | Monitoring/Reporting |
|
|
|
| Servicelevel | Servicelevelwerte | Kostenmodell |
Aktualisierungszeit für Accountänderungen | 15 Minuten | Grundversorgung |
| Benachrichtungszeit für Accountablauf | 3 Wochen vor Ende | |
| Verfügbarkeit | 99.5%/Monat in der bedienten Servicezeit | |
| Dienstleister zum Service | Drittdienstleisterverträge/-beziehungen | |
Team Identity-Management | Kein Drittdienstleister involviert |
Zuständigkeitsmatrix
| Aufgaben | Nutzer*in | HRZ |
|---|---|---|
| Implementierung und Betrieb der IDM Systeme (Authentifizierungssysteme) | X | |
| Erforderliche Berechtigungs-Informationen übermitteln | X | |
Festlegen und Verknüpfung der Regeln und Zugriffsrechte, Rollen, Privilegien (Geltungsbereich) | (entitlements) | X |
Verwalten der Accounts; Lebenszyklus der Identität von der Einrichtung, Modifikation, Suspendierung bis zur Terminierung oder Archivierung | X | |
| Technische Verwaltung der Goethe-Card | X | |
Abbildung von komplexen Regelwerken für Zugriffsberechtigungen und mögliche Ausrichtung an Organisationsstrukturen | X | |
| Vergabe von rollenbasierten Zugriffsrechten | X | |
Zentralisierte Verwaltung von Identitäten und Zugriffsberechtigungen | (entitlements) | X |
| Schnittstellen zur Anbindung an das IDM | X | |
Abstimmung mit dem Datenschutz bevor Systeme an das IDM angebunden werden | X |
1 Comment
Unknown User (earp)
Martin Opitz : Zuständigkeitsmatrix: können wir statt dem (entitlements) vielleicht auch ein X* machen und unterhalb der Tabelle einen Erklärungssatz, was das bedeutet? Versteh ich das richtig, dass hier nur ein X stehen kann, wenn die Nutzer*innen entitled sind?