IdM: Anbindung neuer Zielsysteme

Grundsätzlich sollen an das IdM möglichst viele zentrale Systeme zur Provisionierung (Anlegen) und Deprovisionierung (Löschung) von Accounts oder auch nur zur Authentifizierung (z.B. "gehört zur LUH") angebunden werden. Eine solche Anbindung ist meist technisch nicht ganz einfach, weshalb der Schwerpunkt auf solchen Systemen liegt, bei denen viele Nutzer verwaltet werden müssen.

Einfache Art der Anbindung über WebSSO (SAML auf Basis von Shibboleth)

Wenn nur eine Authentifizierung und keine große Nutzerverwaltung mit (De-)Provisionierung notwendig ist, so kann gerade bei Webanwendungen eine Anbindung an das IdM relativ einfach sein. Jedoch sind auch dabei mehrere Dinge zu beachten:

  • Es ist immer eine Absprache mit dem IdM-Fachteam im LUIS notwendig. Am besten vor der Planung mit dem LUIS beraten.
  • Authentifizierungen, die nicht benutzerbezogen sind (z.B. nur "gehört zu LUH", "ist Student der LUH"), sind eher einfach.
  • Gewisse Eigenschaften von Nutzern können über Attribute mit der eigentlichen Authentifizerung mitgeliefert werden, falls das für die Anwendung nötig ist.
  • Werden bei der Authentifizierung implizit Accounts angelegt, ist immer auch an eine Deprovisionierung zu denken (ggf. zeitgesteuert). Auch können sich Daten zwischendurch ändern (z.B. Namen oder Mail-Adressen).
  • Alt-Accounts müssen bei bestehenden Anwendungen überführt werden.
  • Evtl. ist eine Weiche einzubauen: WebSSO für IdM-Nutzer, zusätzliche Login-Möglichkeit für lokale Accounts.
  • Datenschutz und Mitbestimmung sind, wie bei jedem IT-System, zu berücksichtigen.

Anbindung anderer Systeme

IT-Systeme bieten leider für die (De-)Provisionierung keine einheitlichen Schnittstellen. Nicht mal das Vorgehen ist gleich (z.B. gibt es häufig aber nicht immer neben der Nutzerkennung noch eine interne numerische ID, die ist wiederum nicht immer setzbar sondern wird manchmal vom System generiert). Gerade bei der Deprovisionierung unterscheiden sich Systeme sehr stark: was sind Übergangsfristen, sind Daten abzuräumen, sollen Daten archiviert werden und sind diese benutzer- oder organisationsbezogen ...?

Wir sind zwar dabei, mangels eines echten Standards, einen Message-Bus mit bestimmten Nachrichten für uns zu definieren, aber auch dieser stellt kein generelles Rezept dar. Und das wäre auch nur die Technik, organisatorische Absprachen und Regelungen sind auch notwendig. Bitte nehmen Sie bei Interesse daher Kontakt mit dem LUIS auf, so dass wir in einem Gespräch verstehen, was Sie benötigen, und die Möglichkeiten des IdM vorstellen können.

Haben Sie bitte Verständnis, dass wir derzeit den Fokus aber auf zentrale Systeme mit vielen Nutzern legen.

Kontakt

Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.