1 / 33

14. juni 2011

14. juni 2011. Brukeradministrasjon 101 Monica Stamnes, Universitetets senter for informasjonsteknologi, Universitetet i Oslo. Agenda. Identitetsforvaltning og brukeradministrative systemer Brukeradministrasjon i praksis Klienter, tilgang, tips og triks Personer Brukere Grupper

armen
Download Presentation

14. juni 2011

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 14. juni 2011 Brukeradministrasjon 101 Monica Stamnes, Universitetets senter for informasjonsteknologi, Universitetet i Oslo

  2. Agenda • Identitetsforvaltning og brukeradministrative systemer • Brukeradministrasjon i praksis • Klienter, tilgang, tips og triks • Personer • Brukere • Grupper • Karantener • Passord • Studentautomatikk

  3. Identitetsforvaltning • Forvalte informasjon om personer, deres identiteter og deres roller • Elektronisk identitetsforvaltning: Elektronisk identifikasjon og tildeling av tilgang til ressurser • Hvem er du? • Hvilke ressurser skal du ha tilgang til? • Personer • Ansatte • Studenter • Andre (FI, pensjonister)

  4. Kildesystemer • Benyttes til å levere informasjon om definerte attributter til andre systemer • Import fra kildesystemer • Personinformasjon • Ansatte (SAP) • Studenter (FS) • Andre (FI/pensjonister) (Cerebrum) • Stedinformasjon • Organisasjonsstruktur

  5. Brukeradministrative systemer (1/2) • Et brukeradministrativt system (BAS/IDM) er et system som • Benyttestilinnsamlingavinformasjonknyttettilpersoner, brukere, grupper, tilhørigheter, roller osv. • Viderebringerinformasjonompersonerogbrukeretilrestenav IT-systemet • Et BAS bestårav • En database • Et sett med programmer somutfører • Innsamlingav data • Automatisk (ogmanuell) behandlingavinnsamlede data • Oppdateringav IT-systemet

  6. Brukeradministrative systemer (2/2) • Fordeler ved et BAS • Datavask gir forbedret datakvalitet i kildesystemer • Oppdatering av brukerinformasjon skjer på ett sted • Bedre muligheter for automatisering av vanlige oppgaver • Enklere å ta i bruk nye tjenester (mhp. autentisering og autorisasjon) • Synkronisering av data på kryss og tvers

  7. Cerebrum • Brukeradministrativt system (BAS/IDM) • Python & RDBMS basertprogramvarepakke • Kan brukebådePostgreSQLog Oracle • XML/RPC basertklient • GPL lisens • Kan hentesfraSourceForge, merinformasjonfinnespå http://cerebrum.sourceforge.net/wiki/ • Utvikletogtattibrukvedflereinstitusjoneriforbindelse med FEIDE-prosjektet, se http://www.feide.no/

  8. Praktisk brukeradministrasjon (bofh) • Klientverktøyet til Cerebrum • Brukerorganisering for hvermansen (bofh) • Snakker kryptert med Cerebrum-databasen via et pythonbasert API • Kommandolinjebasert • Krever autentisering og autorisasjon • Alle brukere ved NIH har (i teorien) tilgang til bofh • Noen brukere ved NIH har mer tilgang til bofh enn andre • Det finnes mange kommandoer i bofh, men du ser bare de kommandoene du får lov til å utføre (på deg selv eller andre)

  9. Tilganger i bofh • Hvilke kommandoer man har tilgang til i bofh styres vha grupper og rettighetssett • Vi har per i dag to hovedkategorier av rettigheter: • Superbrukere (IT) • Andre • Dersom NIH trenger flere rettighetsgrupper (for eksempel for deltidsansatte studenter), kan man bestille dette fra USIT

  10. bofh: Tips og triks (1/3) • Hjelp • Kommandogruppenhelper en bra start • help personvil f.eks. listeut en oversikt over allekommandoerikommandogruppen ”person” samt en hjelpetekst for disse • help glossaryvilgi en ordliste med forklaringerpå Cerebrum-spesifikkebegreper • <tab> • Bofhstøtter tab-completion ogkortekommandoformater. For eksempelkan man skriveu ibrukernavn for å utførebofh-kommandoenuser info brukernavn • <tab> X 2 villisteutallemuligekommandoer; person <tab> X 2)vilgi en oversikt over alletilgjengeligekommandoerigruppen person

  11. bofh: Tips og triks (2/3) • ? I alle prompt-funksjoner i bofh kan man taste ’?’ for å få en beskrivelse av input som kreves: jbofh> user create Person identification >? Identify account owner (person or group) by entering: Birthdate (YYYY-MM-DD) Norwegian fødselsnummer (11 digits) Export-ID (exp:exportid) External ID (idtype:idvalue) Entity ID (entity_id:value) Group name (group:name)

  12. bofh: Tips og triks (3/3) • Dersom man vet hvilke parametere kommandoen forventer, kan man skrive hele kommandoen i en linje: user info <uname> • Paranteser • Hvis man har flere input som parameter til samme kommando, kan man gruppere disse med paranteser: group add (user1 … userN) gruppeX

  13. Personer (1/4) • I Cerebrum skiller vi mellom personer og brukere: En person kan ha flere brukere, mens en bruker bare kan tilhøre en person (eller gruppe) • Registrering av personer • Gjøres i kildesystemene: • Studenter: Felles Studentsystem • Ansatte: SAP • Andre (FI, pensjonister): Cerebrum • Informasjon om personene overføres til Cerebrum via jevnlige oppdateringsjobber, bl.a.: • Navn • Fødselsdato • Fødselsnummer • Tilknytning (”rolle”)

  14. Personer (2/4) • I bofh kan man søke etter personer vha kommandoen person find: jbofh> person find Enter person search type >? Possible values: - 'fnr' - 'name' - 'date' of birth, on format YYYY-MM-DD - 'stedkode' Enter person search type >name Enter value >Ola Nordmann Id Birth Account Name xxxx xxxx-xx-xx olan Ola Nordmann

  15. Personer (3/4) • Man kan se på personer i Cerebrum vha kommandoen person info i bofh: nih_jbofh> person info <brukernavn>/<fnr>/external_id:<sapno/fsno> Name: Ola Nordmann [from Cached] Entity-id: xxx Birth: 19xx-xx-xx Affiliations: ANSATT/tekadm@040300 (IKT) [from SAP] Names: Ola Nordmann [from SAP] Names: Ola Nordmann [from MIGRATE] Fnr: xxxxxxxxxxx [from MIGRATE] Fnr: xxxxxxxxxxx [from SAP] External id: xxxxxxxx [from SAP]

  16. Personer (4/4) • I bofh oppretter man personer med kommandoen person create: nih_jbofh> person create Enter person id >xxxxxxxxxxx Enter date of birth(YYYY-MM-DD) >xxxx-xx-xx Enter all persons given names >Kari Enter persons family name >Nordmann Enter OU >xxxxxx Enter affiliaton >TILKNYTTET Enter affiliation status >fi

  17. Brukere (1/5) • For å få tilgang til IT-tjenestene ved NIH, må en person ha en (eller flere) bruker(e) • Studentbrukere opprettes automatisk, ansattbrukere og andre vedlikeholdes manuelt • Brukernavnene består av maks 10 tegn, kun små bokstaver og evt. tall • Ved opprettelse av nye brukere foreslår Cerebrum brukernavn ut fra algoritmen for generering av brukernavn • Affiliations (tilknytninger) • Dersom en person har en affiliation (tilknytning) fra kildesystemet, kan denne settes på brukeren til personen • For ansatte/manuelt registrerte håndteres affiliations manuelt av IT, for studenter håndteres det automatisk

  18. Brukere (2/5) • Prioritet på brukere • Når man tildeler affiliations til en bruker, settes det en prioritet på denne • Kommandoen person list_user_priorities i bofh viser hvilken prioritet de forskjellige affiliations har • Prioriteten på affiliations styrer blant annet hva som blir primær e-postadresse til en bruker • Primærbruker • En person kan i noen tilfeller ha flere brukere • Brukeren med høyest prioritet på tilknytningen regnes som primærbrukeren • Til person-treet i LDAP (FEIDE), eksporteres kun primærbrukeren

  19. Brukere (3/5) • Man kan finne brukeren til en person (evt. gruppe) i Cerebrum vha kommandoen person accounts i bofh: jbofh> person accounts Enter person id >olan Id Name Expire xxxx olan <not set>

  20. Brukere (4/5) • Man kan se på brukere i Cerebrum vha kommandoen user info i bofh: nih_jbofh> user info olan Username: olan Spreads: account@ad,account@exchange,account@ldap Affiliations: ANSATT@340000 (SIM), STUDENT@360000 (MASTER), STUDENT@000000 (NIH) Expire: <not set> Home: <not set> (status: <not set>) Entity id: xxxx Owner id: xxxx (person: Ola Nordmann)

  21. Brukere (5/5) • Man kan opprette brukere i Cerebrum vha kommandoen user create i bofh: nih_jbofh> user create Person identification ><fnr>/entity_id:<xxxx> Num Id Name 1 <xxxx> Ola Nordmann Choose person from list >1 Num Num Affiliation 1 ANSATT/tekadm@370000 (OPPDRAG) Choose affiliation from list >1 Username [olan] > nih_jbofh>

  22. Grupper • Hva er en gruppe? • Standard gruppe i Cerebrum • Utvidet gruppebegrep: • Rettighetsgruppe • AD-gruppe • Hva bruker vi grupper til? • Tilganger i andre systemer (AD, FEIDE) • Tilganger internt i Cerebrum

  23. Grupper – bofh-kommandoer (1/2) • group info • Viser informasjon om den gitte gruppen • group create • Opprette ny gruppe i Cerebrum • group memberships (account/group) • Se hvilke grupper en gitt bruker/gruppe er medlem av • group list • Lister alle medlemmer i en gruppe • group add/gadd • Legge en bruker/gruppe inn som medlem av en annen gruppe • group remove/gremove • Fjerne en bruker/gruppe fra en gitt gruppe

  24. Grupper – bofh-kommandoer (2/2) • group search • Lete etter en gitt gruppe ut fra navn • group set_description • Endre beskrivelsen på en gitt gruppe • group delete • Slette en gitt gruppe

  25. Karantener • Karantener benyttes til å stenge et objekt midlertidig ute fra gitte tjenester • Ved NIH finnes det automatiske karantener og manuelle karantener: • Automatiske karantener: autopassord, auto_inaktiv, auto_kunepost, ou_notvalid, ou_remove • Disse vedlikeholdes automatisk vha rutiner i Cerebrum • Manuelle karantener: generell, system, teppe • Disse vedlikeholdes manuelt av IT på NIH • Kommandoen quarantine list lister opp alle tilgjengelige karantener ved NIH

  26. Karantener – bofh-kommandoer • quarantine set account • Sett en ny karantene på en gitt bruker • Karantener kan settes med startdato frem i tid • quarantine show account • Se på karantenen til en gitt bruker • Dersom en bruker har karantene, vil dette også være synlig når man kjører user info på brukeren • quarantine disable account • Setter karantenen på en gitt bruker midlertidig ut av drift • quarantine remove account • Fjern karantenen fra den gitte brukeren • Karantener bør ikke slettes uten videre, sjekk derfor alltid først hvorfor karantenen er satt • Automatiske karantener skal ikke slettes manuelt

  27. Passord • Alle brukere ved NIH har et passord som sammen med brukernavnet gir tilgang til de ulike IT-systemene som synkroniseres fra Cerebrum • Passordene må tilfredsstille gitte krav for å bli godkjente, se http://www.usit.uio.no/prosjekter/nih/dokumenter/brukernavn_passord_algoritme.html for nærmere detaljer

  28. Passordskiftevarslingstjenesten • Ansatte ved NIH skal skifte passord hver 3. måned, studenter skal skifte passord 1 gang i året • Brukerne får e-post med varsel om at passordet må skiftes 3 uker før fristen • Dersom brukerne ennå ikke har skiftet passord, sendes det en påminnelse per e-post 1 uke før fristen • Dersom passordet ikke er skiftet innen fristen, sperres brukeren med karantenen autopassord • Dersom det settes et nytt passord på brukeren, fjernes autopassord-karantenen automatisk

  29. Passord – bofh-kommandoer • user password <brukernavn> • Sett et nytt passord på en gitt bruker • Man kan ikke spesifisere hva som skal settes som passord • misc list_passwords • List ut alle passord satt i sesjonen man er inne i • Skriv passordet ned på en post-it-lapp og del det ut videre til brukeren • misc verify_password <brukernavn> • Sjekk om passordet brukeren taster inn faktisk er korrekt, nyttig ved feilsøking

  30. Studentautomatikk • Kjøresjevnligogoppretterogvedlikeholderallestudentbrukereved NIH • Basertpå data hentetfra FS og en konfigurasjonsfilsomvedlikeholdesav USIT • IT på NIH bestemmerinnholdetikonfigurasjonsfilen • Innholdetifilenbestemmerhvaslagsrettigheter de forskjelligestudentgruppeneskal ha ogmelderbrukere inn ogutavgrupper med mer • Se http://www.usit.uio.no/prosjekter/nih/spesifikasjoner/studentautomatikk.htmlinformasjon for hvasomerdefinertikonfigurasjonsfilen for NIH

  31. Studentautomatikk • Hvagjørautomagien med en typiskstudentbruker? • Når en ny student ved NIH fårtildelt en gyldigstudierett, opprettesdetautomatisk en brukertilvedkommendei Cerebrum • Brukerentildelesmedlemskapigittegrupper, ogfårtilgangtil AD og Exchange • Deterikkebestemthvordanpassordtil de nyestudentbrukereneskalleveresennå

  32. Studentautomatikk • Hver gang studentautomatikken kjøres, utføres følgende for alle personer definert som studenter (med studentaffiliation på personen sin i Cerebrum): • Titter i konfigurasjonsfilen og bestemmer hvilke systemer brukeren skal gjøres kjent i (spreads) og hvilke grupper brukeren skal meldes inn i • Modifiserer brukeren tilsvarende

  33. Studentautomatikk • Sperring av tilgang til IT-tjenester for inaktive studenter: • Kjøres manuelt av USIT en gang i semesteret (hyppighet og når det kjøres avtales nærmere med NIH) • Rutinen setter en karantene (auto_inaktiv) frem i tid på brukeren. Dersom brukeren endrer status til aktiv student, blir karantenen automatisk fjernet • USIT kan bidra med lister over brukere som har fått karantene slik at NIH kan sende ut varsel om sperring per e-post til de berørte brukerne

More Related