RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Identity Management schnell und intuitiv erreichbar

English Version
Der Identity (IdM) Self Service des RRZE für alle Beschäftigten und Studierenden der Friedrich-Alexander-Universität Erlangen-Nürnberg ist ab sofort unter https://www.idm.uni-erlangen.de/ zu erreichen.

Das erste Feedback der Benutzer zielte auf die Länge der URL des Identity Management (IdM) Self Service ab: ?Zu lang und der zentralen Rolle dieses Dienstes nicht gerecht werdend?, war der Tenor. Aus diesem Grund wurde die neue URL https://www.idm.uni-erlangen.de/ etabliert. Hierunter ist der Dienst nun dauerhaft zu erreichen. Bisherige Links werden weitergeleitet und behalten vorerst ihre Gültigkeit. Dennoch bitten wir alle Benutzer, ihre Lesezeichen bzw. Favoriten entsprechend zu aktualisieren.

Im Zuge der neuen Namensgebung wurde auch die Hardware für das Identity Management (IdM) erweitert. Der Dienst sollte nun also noch schneller als bisher reagieren.

Für Fragen rund um das Identity Management werfen Sie doch mal einen Blick in die Hilfe, die FAQ oder wenden sich direkt per E-Mail an idm@rrze.uni-erlangen.de.

Identity Management quick and intuitively reachable

The identity (IdM) self service of the RRZE for all the employees and students at the Friedrich-Alexander-University Erlangen-Nuremberg is now reachable at  https://www.idm.uni-erlangen.de/.

The first users’ feedback targeted the length of the URL of the identity management (IdM) self service: ?Too long and does not measure up with the service’s central role? was the main tenor. Because of this reason the new URL https://www.idm.uni-erlangen.de/ was established. Here the service is steadily reachable here. Links up to now will be forwarded and will keep their availability for now. Nevertheless we ask the users to update their bookmarks, or favourites accordingly.

In the course of a new naming the hardware for the identity management (IdM) has been extended. The service should now react even faster than before.

For questions around the identity management please look up the Help, the FAQ or send and e-mail directly to idm@rrze.uni-erlangen.de.

IDMone Release 2.1 online

English Version
Das aktuelle Release bietet vor allem Verbesserungen in der Web Oberfläche IdM Self Service. So wurde unter anderem eine Feedbackseite eingerichtet. Außerdem stehen nun alle Informationen auch in englischer Sprache zur Verfügung. Desweiteren wurden die Administratoren-Funktionen erweitert.

Feedbackseite

Wie bei jedem Produkt kann es auch beim IdM Self Service dazu kommen, dass der Nutzer Hilfe benötigt. Dafür wurde jetzt im technischen Menü (auf der Seite oben rechts) der Punkt “Feedback” eingerichtet. Klickt der Nutzer darauf, erscheint eine Formularseite, mit der er eine Anfrage an das RRZE senden kann. Die Anfrage wird zum HelpDesk-System des RRZE weitergeleitet und dort zeitnah durch qualifizierte Fachleute im RRZE bearbeitet. Das IDMone-Team hofft gleichzeitig, dadurch direkter mit den Kunden der IdM Self-Service Oberfläche in Kontakt zu kommen, und lädt alle Nutzer ein, diese Funktion auch für Kritik, Anregungen oder Lob zu nutzen.

Affiliation- bzw. Rollen-Anzeige

Den IdM Self Service nutzen alle Angehörigen der Friedrich-Alexander Universität, unabhängig davon, welche Rolle sie an der Hochschule innehaben: Studierende, Beschäftigte, Dozenten, Prüfer, Gastwissenschaftler und Andere. Im Englischen hat sich dafür der Begriff “Affiliation” etabliert. Da sich im deutschsprachigen Raum noch keine einheitliche Bezeichnung durchgesetzt hat (und für den englischen Begriff noch keine passende Übersetzung gefunden wurde), spricht das RRZE in diesem Zusammenhang auch von Rollen. Im Grunde geht es darum, dass dem Nutzer alle Rollen, die er an der Universität innehat, samt der Informationen, die daraus resultierend über ihn gespeichert werden, im IdM Self Service unter dem Menüpunkt “Benutzerdaten” angezeigt werden.

Ihre Meinung zählt

Wie würden Sie den Begriff “Affiliation” übersetzen?
Welche Bezeichnung würden Sie vorziehen?
Bitte stimmen Sie hier ab:

Übersetzung der Briefe

Good News for our English speaking users: All letters (pdf files) offered within the IdM Self Service are now translated to English. The IdM Self Service should offer you now a 100% English experience.

Any errors in translation found? Do not hesitate to write us an Email to idm@rrze.uni-erlangen.de or use the feedback form (link left of the language flag).

Administratoren-Funktionen

Was nur für einige der IdM Kunden, nämlich die Administratoren mit den entsprechenden Berechtigungen, sichtbar ist: Der IdM Self Service verfügt nun auch über administrative Funktionen.

Affiliations Anzeige auch für Adminstratoren

Nicht nur die Kunden bekommen Ihre Affiliations angezeigt. Auch die Administratoren können nun die Art der Zugehörigkeit einer Person zur Universität schnell und einfach nachvollziehen. Das IdM-Team hat damit einen wesentlichen Wunsch, der in den letzten Wochen insbesondere von den Beschäftigten des RRZE geäußert wurde, realisiert.

Dienstleistungs-Anzeige auch für Adminstratoren

Bisher war für Administratoren nicht einsehbar, welche RRZE-Dienstleistungen für den einzelnen Kunden erbracht werden. Auch dies ist nun integriert. Damit macht das IdM Self Service einen weiteren großen Schritt in Richtung zentraler Anlaufstelle für die Personen- und Dienstleistungsverwaltung.

Studentische Aktivierungs- (s-) Kennungen über Quick-Search für Administratoren suchbar

Mit der Einführung des Identity Managements wurde die Benutzerkennung auf eine syntaxfreie Erstellungsregel umgestellt. Dies trifft vor allem Studierende, deren bisherige Kennung mit einem “s” begann (daher der Name „s-Kennungen“). Diese bekommen mit der Aktivierung im IdM Self Service eine neue, semantikfreie Kennung zugewiesen. Ungünstig ist es, wenn diese Kennung vergessen wird und nur ein alter Studentenausweis die Aktivierungskennung angibt.
Administratoren können nun über das Schnell-Such-Feld (Quick-Search) nach dieser ursprünglichen Kennung suchen. Diese wird auch in den Benutzerdaten bei der Rolle Student als “Benutzerkennung (orig.):” ausgegeben.

noch Fragen?

Sie haben noch Fragen zum IdM oder dem IdM Self Service?
Dann sehen Sie doch unsere FAQs an – diese werden laufend aktualisiert und ergänzt.
Sind noch Fragen offen? Dann schreiben Sie uns eine E-Mail an idm@rrze.uni-erlangen.de.

IDMone Release 2.1 online

The current release especially offers improvements in the web interface IdM Self Service. Among others a feedback page has been set up. Furthermore all the information are now available in English. Also the admin functions have improved.

Feedback Page

As for every project it could happen that the user of the IdM self service needs some help. Therefore the new button “Feedback” was added to the technical menu (on the right top of the page).  If the user clicks this button a form page will appear with which the user can send a request to the RRZE. The request will be forwarded to the  HelpDesk-System des RRZE and worked on by skilled professionals at the RRZE. At the same time the IDMone team hopes to be closer in contact to the customers of the IdM self service interface, and therfore invites the users to use this function for critique, suggestions or reasurment.

Affiliation and Role Display

The IdM self servie uses every member of the Friedrich-Alexander University, independently from the role they have within the university: student, employee, lecturer, examiner, visiting professor or others. The English term “affiliation” has established for this case. Because there hasn’t been a consistent term in the German speaking area (and the English term did not have a fitting translation) the RRZE speaks in this case also about roles. Basically it is about that under the menu point “Uderdata” the user can see every roles which he/she has within the university, including the resulting information, which are safed about the user.

Your opinion counts

How would you translate the term “affiliation”?
Which term would you prefer?
Please vote here:

Translation of letters

Good News for our English speaking users: All letters (pdf files) offered within the IdM Self Service are now translated to English. The IdM Self Service should offer you now a 100% English experience.

Any errors in translation found? Do not hesitate to write us an Email to idm@rrze.uni-erlangen.de or use the feedback form (link left of the language flag).

Admin functions

What is only visible for a few IdM customers, such as the admins with the according rights: the IdM self service now contains administrative functions.

Affiliation display also for admins

Not only customers can view their affiliations. Also admins can quick and easily follow the form of the affiliation of a person at the university. The IdM team therefore realised the essential desire which was especially by employees of the RRZE required.

Service display also for admins

Until now the admins could not see which RRZE services are provided for each customer. This is now integrated, too. Therefore the IdM self service takes another big step towards central contact point for personnel and service management.

Student activation identification searchable for admins via Quick-Search

With the introduction of the identity management the user identification was converted into a syntax free creation rule. This applies especially for students whose identification started with a “s” (so called “s identifications”). They will receive with the activiation at the IdM Self Service a new and semantic free identification. It is inconvenient if this identification is forgotten and only an old student id can be used for the activation identification.
Admins can now search for the original identification via the quick search field (Quick-Search). It will also display in the user data under the role “User identification (orig.)”.

still questions?

You still have questions about IdM or the IdM self service?
Then have a look on our FAQs  – they are continously updated and supplemented.
Still questions? Then write an e-mail to idm@rrze.uni-erlangen.de.

Wochenbericht KW 48

Mit dem fortdauernden Betrieb des IdM nimmt auch der Berichtsumfang wieder ab.
Wesentlich in der vergangenen Woche waren Probleme bei der Versorgung der NDS-Welt durch das RRZE Verzeichnis. Durch die tiefgreifenden Veränderungen waren Anpassungen notwendig, die Herr Büttner schnell eingebaut hat. Dank seines Einsatzes läuft nun alles wieder rund.
Außerdem konnte Herr Tröger ein paar langwierige bzw. hartnäckige bugs beseitigen. Insofern sind die Überhänge nach dem Release 2 fast vollständig beseitigt. Die verbleibenden bugs sind entweder grundsätzlicher Natur oder haben bisher unerfüllte Abhängigkeiten. Herr Dr. Rygus ist dran!

Herr Zhelev arbeitet derzeit bereits an den Verbesserungen für WAID. Im Rahmen von PPSA hat er Verbesserungen zur Absicherung der (Web-) Applikation mittels Spring Security, einen Event-Tracker zur Verfolgung von Benutzeraktionen in Fehlerfällen sowie ein Feedback-Formular entwickelt und diese in WAID eingebunden.
Diese Verbesserungen werden Bestandteil des nächsten Release.

Herr Singer arbeitet derweil daran, die derzeitig virtualisierten Systeme auf physische Server umzuziehen. Dies soll die Leistungsfähigkeit nocheinmal steigern, um für zukünftige Anforderungen gewappnet zu sein.
Trotz laufendem Betrieb ist dies dank der Test-Säule zwar eine große aber zu bewältigende Aufgabe. Zumal ihm der Kollege Daniel Götz als Virtualisierungsfachmann helfend zur Seite steht.

Da das Projekt IDMone offiziell zum Jahresende ausläuft, ist das Projekt am vergangenen Donnerstag in die Phase “Closing the Project” getreten.
Chronologisch wurde das Projekt aufgearbeitet und der Verlauf analysiert. Dabei wurden die “Lessons learned” zusammen getragen. Diese bilden unter anderem einen Baustein für den Projektabschlussbericht.
Auch über die Weiterentwicklung des IdM hat sich das Team Gedanken gemacht. Diese werden Gegenstand der abschließenden Lenkungsausschussitzung am 17.12.2008 sein.

Die Top-Punkte im Risiko-Management sind diese Woche:

  • manuelle Umschlüsselung wg. nix FAU.ORG
  • Überlastung einzelner Mitarbeiter vermeiden
  • Dokumentation
  • Druckabrechnung als Showstopper für NDS-Anbindung
  • Dienstleistungsportfolio

Das Team arbeitet weiter an der Definition eines tragfähigen Betriebskonzepts. Außerdem ist der Projektabschlussbericht, nach den obigen Vorbereitungen im Entstehen.

WAID 1.0 (english)

WAID 1.0 (english)

Introducing the technical details of the product behind the Identiy Management (IdM) Self Service

(Input: Krasimir Zhelev, P&P CSA, Text: Hendrik Eggers, Translation: Bastian Melsheimer)

, the Web Application for Identity Management, is the basis for the new IdM Self Service.In the following article, we will have a look at its technical foundation.
WAID is based on popular Java Development Frameworks:

We also use 3rd Party Extensions, e.g. t5c-commons for the slider effect and other effects on the main page.
Since these frameworks weren’t sufficient for our needs, further extensions were created adhering to the P&P Software Architecture (PPSA), which are now embedded as components.

Tapestry Components

The components (ppsa-t5-commons, ppsa-t5-d7, ppsa-t5-jcaptcha) which were used to extend the Tapestry Framework have already been discussed in the article PPSA T5 Komponenten in the P&P Blog. I will refrain from giving redundant explanations here, and point our readers to Krasimir Zhelev’s Blog article.

Further new Tapestry Components

In addition to the Extensions that had already been created for Tapestry, the following components have been developed especially for WAID:

ppsa-t5-pwdsuggestion – 0.8.0

This component defines the interface for the Tapestry based password suggestion service and realise the relevant interfaces. These are implemented in WAID. In addition , the following components are used:

Business Logic Components

The application’s controller layer is realized both in WAID and in the components described here.

pwd-man-api – 1.0.0

This is ?only? an API, i.e. a definition of interfaces, and not an implementation. The abstraction is used to achieve independance from Novell products.
The interfaces used most for this are the PasswordManager for all functions concerning passwords as well as the ChallengeResponseManager for access to Novell’s functions regarding the Security Questions for Password Recovery.

jpwgen – 1.0.4

The password generator is the password suggestion service’s core piece, and is able to take into account a variety of rules.
Instead of going into too much detail here, I will point you to the official website of jpwgen, which has already been published as Open Source Software under LGPL v2.1.

idmsec – 1.0.0

This component addresses all tasks concerning encryption and hashing of passwords. For this, it implements a series of algorithms:

Hashes:
  • MD5
  • SMD5
  • SHA
  • SSHA
  • UNIX CRYPT
  • UNIX SMD5 CRYPT
  • SMB
  • Apache MD5
  • HIS/SOS Apache MD5
  • OpenBSD-style Blowfish
  • LANMAN
  • NTUNICODE
  • APHELION
Crypts:
  • Blowfish

The component also provides the LDAP Connection Manager, which is used to create and manage LDAP connections. It is able to manage a series of connections simultaneously, and supports both ldaps and StartTLS for secure connections.

idmnovutil – 1.0.0

To achieve independance from Novell products, pwd-man-api has already been mentioned above. Idmnovutil is the implementation of this interface. It is based on several tools (Novell NMAS, OpenLDAP Java LDAP and Novell LDAP Classes for Java) and implements the part specific to the  Novell Identity Manager.
Ideally, when using WAID with a different provider’s MetaDirectory, this would be the only component that needs to be changed. This experiment still awaits testing, though. 😉

idmone-core – 0.5.0

Within the three column architecture, this component is the core function, as suggested by the name.
This means that the domain model also contains the definitions for persons (entities), affilitations and entitlements.
The Data Access Object (DAO) Layer manages object procession, i.e. searching, creating, reading, changing and finally Deleting  (CRUD) objects.
It also implements several relevant functions, e.g. activating persons.

– 1.0.0

Finally, integration of the components mentioned above is managed by WAID, which also displays the final web interface.
The Logic is implemented as a Tapestry Service, mostly, with the following internal main functions:

  • ChallengeResponse (C&R) ? checks and sets C&Rs for different users.
  • LayoutBuilder ? creates a dynamic menu and helps with the session management. The implemented interface is defined in ppsa-t5-d7.
  • LoggedOnPerson ? checks the users’ authentication.
  • ProofOfAuthority ? checks authorisation.
  • PwdSuggestion ? Implementation of the interface defined in ppsa-t5-pwdsuggestion
  • UserASCreator ? loads data for successfully authenticated users via the DAO layer.

The user interface also uses the ppsa-t5-* Tapestry components mentioned above.
The user can access the following functions:

  • User information, aka data security information.
  • View service(s)
  • Password change
  • Challenge & Response (Security Questions: C&R)
  • PDF printing
    • User information letter
    • Service information letter
  • Administrator functions
    • Search for users
    • Set (initial) password
    • Print user information letter

Outlook

All the components mentioned here ? at least those that are still unpublished ? will be published successively. This depends on the actual development stage the product and its documentation is in, and that third parties will be able to make use of it.
If you are interested before that time, please write an email to idmone@rrze.uni-erlangen.de.
You can of course use the same Email address, if you would like support for your own IdM project.

WAID 1.0

Das Produkt hinter dem Identiy Management (IdM) Self Service aus technische Sicht vorgestellt.
(Input: Krasimir Zhelev, P&P CSA, Text: Hendrik Eggers)

, die Web Application for Identity Management, stellt die Basis des IdM Self Service dar. Im folgenden soll die technische Basis näher erläutert werden.
WAID basiert auf populären Java Entwicklungs Frameworks:

Außerdem nutzen wir auch 3rd-Party Erweiterungen, wie z.B. t5c-commons für den Slider-Effekt u.a. auf der Startseite.
Da diese Frameworks bei weitem nicht ausreichen würden im Rahmen der P&P Software Architecture (PPSA) Erweiterungen geschaffen, die nun als eigene Kompenenten eingebunden werden.

Tapestry Komponenten

Die Komponenten (ppsa-t5-commons, ppsa-t5-d7, ppsa-t5-jcaptcha) zur Erweiterung des Tapestry Framework sind bereits im Artikel PPSA T5 Komponenten im P&P Blog beschrieben worden. Ich spare mir also an dieser Stelle die Redundanz und verweise den interessierten Leser auf Krasimir Zhelevs Blog-Artikel.

Weitere neue Tapestry Komponenten

Neben den bereits erstellten Erweiterungen zu Tapestry wurden extra für WAID noch die folgenden Komponenten entwickelt:

ppsa-t5-pwdsuggestion – 0.8.0

Diese Komponente definiert die Schnittstellen für den Tapestry-basierten Passwortvorschlagservice und realisiert die zugehörige Oberfläche. Die Implementierung der Schnittstellen erfolgt wiederrum in WAID. Außerdem werden die folgenden Komponenten:

genutzt.

Business Logik Komponenten

Die Controller Schicht der Applikation wird neben in WAID selbst in den hier beschriebenen Komponenten realisiert.

pwd-man-api – 1.0.0

Hierbei handelt es sich “nur” um eine API also die Definition von Schnittellen und keine Implementierung. Diese Abstraktion dient dazu möglichst unabhängig von den Novell Produkten zu werden.
Die meistgenutzten Schnittstellen sind dabei der PasswordManager für alle Funktionen rund um das Passwort sowie der ChallengeResponseManager für den Zugriff auf die Novell eigenen Funktionen rund um die Sicherheitsfragen für das Password Recovery.

jpwgen – 1.0.4

Der Passwortgenerator ist das Herzstück des Passwortvorschlagservice und kann verschiedene Regeln berücksichtigen.
Anstatt viele Worte zu verlieren, sei auf die offiziellen Webseiten von jpwgen verweisen, denn diese ist bereits als Open Source Software unter der LGPL v2.1 released worden.

idmsec – 1.0.0

Diese Komponente adressiert alle Aufgaben rund um die Verschlüsselung (encryption) und das Hashing von Passworten. Hierzu implementiert sie eine ganze Reihe von Algorithmen:

Hashes:
  • MD5
  • SMD5
  • SHA
  • SSHA
  • UNIX CRYPT
  • UNIX SMD5 CRYPT
  • SMB
  • Apache MD5
  • HIS/SOS Apache MD5
  • OpenBSD-style Blowfish
  • LANMAN
  • NTUNICODE
  • APHELION
Crypts:
  • Blowfish

Außerdem stellen die Komponenten den LDAP Connection Manager zur Verfügung mittels dessen LDAP Verbindungen hergestellt und verwaltet werden können. Dieser kann mehrere Verbindungen gleichzeitig verwalten und unterstützt sowohl ldaps als auch StartTLS für sichere Verbindungen.

idmnovutil – 1.0.0

Um möglichst unabhängig von den Novell Produkten zu programmieren, wurde oben bereits die Komponenten pwd-man-api angesprochen. Bei der Komponenten idmnovutil handelt es sich nun um die Implementierung dieser Schnittstellen. Sie basiert auf verschiedenen Werkzeugen (Novell NMAS, OpenLDAP Java LDAP bzw. Novell LDAP Classes for Java und implementiert so den Teil, der für die Verwendung des Novell Identity Manager spezifisch ist.
Idealerweise müsste bei einer Verwendung von WAID mit dem MetaDirectory eines anderen Herstellers nur diese Komponente ausgetauscht werden. Allerdings harrt dieses Experiment noch seiner Erprobung. 😉

idmone-core – 0.5.0

In der Drei-Säulen-Architektur implementiert diese Komponente – wie der Name bereits suggeriert – die Kernfunktionen.
So beinhaltet es das Domänenmodel (domain model) also die Definition von persons, affiliations und entitlements.
Die Data Access Object (DAO) Schicht sorgt für die Verarbeitung dieser Objekte, also die Suche, das Anlegen, das Auslesen, Ändern und schlussendlich Löschen (CRUD) von Objekten.
Außerdem implementiert es verschiedene wesentliche Funktionen u.a. für die Aktivierung der Personen.

– 1.0.0

WAID obliegt schlussendlich die Integration der vorgenannten Komponenten und deren Darstellung in einer Web-Oberfläche.
Die Logik wurde hauptsächlich als Tapestry Services implementiert. Die Hauptfunktionen sind intern:

  • ChallengeResponse (C&R) – überprüft und setzt C&R für verschiedene Nutzer
  • LayoutBuilder – baut dynamisch das Menu und hilft bei der Sessionverwaltung. Die implementierte Schnittstelle ist im ppsa-t5-d7 definiert.
  • LoggedOnPerson – überprüft die Authentifizierung der Benutzer
  • ProofOfAuthority – überprüft Zugriffrechte (Autorisierung)
  • PwdSuggestion – Implementierung der in ppsa-t5-pwdsuggestion definierten Schnittstelle
  • UserASCreator – lädt via DAO Schicht die Daten des erfolgreich authentifizierten Benutzers

Außerdem verwendet die Oberfläche die obengenannten ppsa-t5-* Tapestry Komponenten.

Für den Benutzer sind in der Oberfläche folgende Funktionen nutzbar:

  • Datenschutzselbstauskunft (kurz: DSSA, aka: Benutzerinformation)
  • Dienstleistung(en) anzeigen
  • Passwort ändern
  • Callenge & Response (Sicherheitsfragen, kurz: C&R)
  • PDF Druck
    • Benutzer Info Brief
    • Dienstleistungs Info Brief
  • Funktionen für Administratoren
    • Suche nach Benutzern
    • (Initial-)Passwort setzen
    • Benutzer Info Brief drucken

Ausblick

Alle hier benannten Komponenten – so sie denn noch nichts bereits veröffentlicht wurden – sollen sukzessive heraus gegeben werden. Voraussetzung ist allerdings, dass sie sich in einem Zustand von Produktreife und Dokumentation befinden, dass Dritte sie verwenden können.
Sollten sie bereits vorab Interesse haben, so schreiben Sie bitte eine E-Mail an: idmone@rrze.uni-erlangen.de.
Außerdem können Sie sich an die gleiche E-Mail-Adresse wenden, wenn Sie Unterstützung für Ihr eigenes IdM-Projekt wünschen.

Wochenbericht KW 45 – 47

“Nach dem Spiel ist vor dem Spiel!” – dies charakterisiert auch die Arbeit bei IDMone in den letzten 3 Wochen.
Notwendige Nacharbeiten und die Behebung von Fehlern unterschiedlichster Ursache sind rund um das Release 2 angesagt. Oder “1000 Kleinigkeiten” wie Herr Dr. Rygus es so schön formulierte – harrten der Bearbeitung.

Deshalb nur die Highlights:
Herr Büttner musste am Wochenende vor dem Release noch eine Extraschicht einlegen, da einige Probleme in der Anbindung des RRZE Verzeichnisses auftraten, die er von seiner Seite aus am einfachsten beheben konnte. Nur eben, dass es mit zusätzlicher Arbeit verbunden war.
Zusätzliche Arbeit auch für Herrn Tröger, der seinen Vaterschaftsurlaub abbrechen musste und dem Team zur Hilfe eilte.
Doch in einem sprichwörtlichen bug squashing wurde das Release 2 pünktlich fertig.

Und natürlich kein Release ohne entsprechende Kommunikation. Dank des Einsatzes der RRZE Redaktion sowie der Pressestelle der Universtität konnte die frohe Kunde vom Start des Identity Management (IdM) Self Service breit gestreut werde.

Der Dank des Projekts gilt allen Beteiligten!

Die Release-Woche brachte die üblichen Turbulenzen rund um den Anlauf einer neue Dienstleistung mit sich. Anfragen häuften sich und das HelpDesk System stellte mal wieder seine Vorteile unter Beweis. Um die sich wiederholenden Themen umfassend zu beantworten sei auf die FAQ verwiesen, die nach und nach rund um IdM aufgebaut werden.
Auch bekamen die Kollegen in der EWF noch eine individuelle Express-Schulung vor Ort, nachdem sie bisher aus unerklärlichen Gründen durch das Kommunikationsraster gefallen waren.

Und auch die letzte Woche war wiederrum vom Produktivbetrieb IdM gekennzeichnet.
In der AG IDMone am 18.11.08 gab es einen Überblick über die bisherigen Erfahrungen und es wurden mit den Kollegen von den Service-Theken Verbesserungen diskutiert. Einige Vorschläge wurden sofort umgesetzt, so dass sich nun die Seite mit den Sicherheitsfragen in einem bedienungsfreundlicheren Layout präsentiert.

Eine wichtige Entscheidung wird einigen Kommunikationsaufwand mit sich bringen: Das IdM wird zukünftig unter www.idm.uni-erlangen.de erreichbar sein. Hierzu sind allerdings noch einige technische Konfigurationen vorzunehmen.
Der neue URL soll intuitiver sein und eine durchgängige Kommunikation dieser zentralen Dienstleistung zum Ausdruck bringen.

Außerdem wurden die weiteren Schritte geplant. So ist die Anbindung weitere Systeme in diesem Jahr nicht mehr möglich. Allerdings wird es vor Weihnachten noch ein Maintenance Release 2.1 geben, dass einige Komfortfunktionen im IdM Self Service nachrüstet.

Die Top-Punkte im Risiko-Management sind diese Woche:

  • manuelle Umschlüsselung wg. nix FAU.ORG
  • Überlastung einzelner Mitarbeiter vermeiden
  • Dokumentation
  • Druckabrechnung als Showstopper für NDS-Anbindung
  • Dienstleistungsportfolio

Bis zum Jahresende stehen der Aufbau eines tragfähigen Betriebskonzepts, der offizielle Abschluss des Projektes sowie die Planung der weiteren Schritte auf der Agenda.

Web-Single-Sign-On mit Hürden

Das Thema Web-Single-Sign-On (Web-SSO) entwickelt sich zu einer endlosen Geschichte. Nach Warten auf die Version 2.0, eine deutschlandweite Definition vor allem für E-Learning und technische Probleme bei der Integration in das IdM-System, kommt nun [Shibboleth-Announce] SECURITY ADVISORY: Shibboleth IdP 2.0 UsernamePasswordLogin Handler Vulnerable to Cross-site Request Attack.

Auf der Suche nach Alternativen haben uns die Kollegen von der Universität Malaga, Spanien auf simpleSAMLphp verwiesen. Wir werden prüfen, ob dies eine Alternative für Shibboleth darstellen kann.

Wir treten also wieder in eine erneute Evaluationsphase ein. Mit einem produktiven Einsatz des Web-SSO ist erst zu Beginn 2009 zu rechnen.

Identity Management (IdM) Self Service löst Benutzerverwaltung ab

Identity Management (IdM) Self Service löst Benutzerverwaltung ab

Studierende und Beschäftigte der Friedrich-Alexander-Universität können ab 11.11.08 das neue Identity Management (IdM) Self Service des Regionalen RechenZentrum Erlangen (RRZE) nutzen.

Die Funktionen des Identity Management (IdM) Self Service im Überblick

Ab 11.11.2008 12.00 Uhr erhalten Beschäftigte und Studierende der Universität unter www.selfservice.rrze.uni-erlangen.de den zentralen Zugang zu ihrem Benutzerkonto und können damit die erweiterten Funktionen des Identity Management (IdM) Self Service nutzen. Folgende Funktionen stehen zur Verfügung:

  • Aktivierung der Benutzerkennung,
  • Neusetzen des Passwortes,
  • Setzen von mindestens zwei Sicherheitsfragen für das Passwort,
  • Anzeige der nutzbaren Dienstleistungen,
  • Einsicht in die gespeicherten Daten sowie
  • Ausdruck des Benutzer-Info-Briefs und anderer Dokumente via pdf-Datei.

Darüber hinaus bietet die Oberfläche Komfortfunktionen wie einen Passwort-Generator, der bei der Passwortvergabe Vorschläge erzeugt, die übernommen werden können. Die Oberfläche ist barrierearm nach den Vorgaben des Web-Baukastens des Regionalen RechenZentrums Erlangen (RRZE) gestaltet.

Vorgehen

Um das Identity Management (IdM) Self Service nutzen zu können, muss dort zu Beginn die persönliche Benutzerkennung einmalig aktiviert werden. Studierende finden Aktivierungskennung und -passwort auf ihrer Immatrikulationsbescheinigung. Beschäftigte erhalten die zur Aktivierung notwendigen Informationen bei den Service-Einrichtungen des RRZE gegen Vorlage eines gültigen Ausweises. Nach der Aktivierung muss der Benutzer das Passwort für alle Konten setzen sowie zwei Sicherheitsfragen für das Passwort definieren. Ist dies getan, kann das persönliche Benutzerkonto in vollem Umfang eingesehen und bearbeitet werden. Universitätsangehörige, die bereits ein Benutzerkonto am RRZE besitzen, können die neue Weboberfläche ohne erneute Aktivierung nutzen.

Bild: Screenshot von der Weboberfläche des Identity Management(IdM) Self Service
Bild in der Orginalgröße (Bei eingeschalteten JavaScript als Popup).

Abbildung 1: Screenshot von der Weboberfläche des Identity Management(IdM) Self Service

IdM: Begleitung durch das gesamte “Universitätsleben”

Die neue Benutzerverwaltung speichert und verwaltet ab sofort die wichtigsten Daten aller Universitätsangehörigen, seien es Studierende oder Beschäftigte. Mit diesen Daten wird jede Person in einer digitalen Identität abgebildet – daher der Name Identity Management, kurz IdM. Das neue Identity Management wird die Angehörigen der Universität künftig in allen Phasen begleiten und sämtliche Veränderungen dokumentieren: Vom Eintritt in die Hochschule über Umzüge, Statusveränderungen oder ähnliches bis zum Austritt aus der Universität. Natürlich kann jeder die über sich im Identity Management gespeicherten Daten in seinem persönlichen Konto einsehen.

Grafik: Das Identity Management (IdM) speichert die Daten aller Universitätsangehörigen und dokumentiert sämtliche Veränderungen

Bild in der Orginalgröße
(Bei eingeschalteten JavaScript als Popup).

Abbildung 2: Das Identity Management (IdM) speichert die Daten aller Universitätsangehörigen und dokumentiert sämtliche Veränderungen

Über das Projekt IDMone

Vier Mitarbeiter am RRZE arbeiten seit November 2006 im Rahmen des Projekts “IDMone” am Aufbau einer zentralen Identity Management Infrastruktur, die als Grundlage für eine effiziente Nutzung der universitären IT-Dienste dienen soll. Das Projekt, das Teil der Zielvereinbarung mit dem Bayerischen Staatsministerium für Wissenschaft, Forschung und Kunst ist, hat die automatisierte Verarbeitung von Benutzerkonten zum Ziel. Hierfür werden die Daten aller aktivierten Benutzer automatisch an die angeschlossenen Zielsysteme – u.a. in das Webportal für Studierende und Prüfer “mein campus” – weitergeleitet. Benutzer müssen nicht wie bisher vergessene Passworte neu beantragen, sondern können diese selbst zurücksetzen. Dies trägt zur Service-Verbesserung sowie einer wesentlichen Entlastung der Hotline und der RRZE Service-Einrichtungen bei.

Stand der technischen Realisierung

Die folgende Abbildung gibt Auskunft über den Stand der anzubindenden Systeme im Projekt IDMone. Im Zentrum steht die IdM-Engine mit dem Meta Directory (MD) als zentraler Datendrehscheibe. Dort werden nicht nur die benötigten Daten gespeichert, sondern hier laufen auch die Prozesse zur Verarbeitung. Grün gekennzeichnete Systeme, wie die Personalverwaltung, die Studierendenverwaltung und das Identity Management (IdM) Self Service, wurden bereits angebunden.

Grafik: Überblick über die anzubindenden Systeme. Die grün gekennzeichneten Anwendungen sind bereits angebunden
Bild in der Orginalgröße(Bei eingeschalteten JavaScript als Popup).

Abbildung 3: Überblick über die anzubindenden Systeme. Die grün gekennzeichneten Anwendungen sind bereits angebunden.

Weitere Informationen zum Projekt finden Sie unter:
www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm.shtml.

Kontakt:
Dr. Peter Rygus
Regionales RechenZentrum Erlangen (RRZE)
Projekt IDMone
Martensstraße 1, 91058 Erlangen
Telefon: 09131 / 85-28899
Fax: 09131 / 302941
E-Mail: idm@rrze.uni-erlangen.de

Vielen Dank an Martina Schradi für die Unterstützung bei dieser Pressemitteilung.