400 likes | 589 Views
Identity Management Universität Duisburg Essen. Einheitlicher Zugang zu Diensten, Informationen und Kommunikationspartnern in einer serviceorientierten, integrierten Informations- und Kommunikationsinfrastruktur. Thema. Bericht über die bisherige Umsetzung des Phasenmodells.
E N D
Identity Management Universität Duisburg Essen Einheitlicher Zugang zu Diensten, Informationen und Kommunikationspartnern in einer serviceorientierten, integrierten Informations- und Kommunikationsinfrastruktur Thema
Bericht über die bisherige Umsetzung des Phasenmodells • Phase 1: Grobkonzept • Phase 2: Feinkonzept • Problemdefinition • Zieldefinition • Analyse der Geschäftsprozesse • Phase 3: Schaffung der Voraussetzungen für die Implementierung • Phase 4: Implementierung Agenda
Phase 1: Grobkonzept • Beteiligung am Auschreibungsverfahren der DFG zu„Leistungszentren für Forschungsinformation“ 2003 • Neue Ideen werden benötigt -> Geburtsstunde von ZIM, IM, etc. • Wer macht bereits was im Land? • Beschäftigung mit dem Grobkonzept aus Bielefeld/Paderborn Marktanalyse
Probleme an den Unis • Außerhalb der RZ sind neue netzbasierte Dienste entstanden (DV der Verwaltung, FB-Server, Webdienste/Portale von UB und ...) • Alle Dienste haben eigene Nutzerverwaltung • Nutzer (Studenten, Mitarbeiter,...) müssen sich bei jedem Dienst einzeln registrieren • Betreiber der Dienste möchten deshalb die Nutzerdatenbank des RZ zur Authentifizierung nutzen (z.B Verwaltung HISLSF, POS-QIS) • Die RZ-Nutzerverwaltung ist nicht vollständig (z. B. Campus Essen nur 13 von 22 Tausend Studenten) • Studenten- und Mitarbeiterdaten werden überhaupt nicht oder nur „provisorisch“ mit der Verwaltung synchronisiert Motivation
Verbesserung der Dienstleistungsprozesse Unterstützung des Neugründungsprozesses der Universität Duisburg-Essen Reduzierung der Infrastrukturkosten durch… … Schaffung von klaren eindeutigen Administrationsprozessen … Verminderung von Datenredundanzen … Automatische Synchronisation der Daten ... Reduzierung der Administrationsaufwände für die Endbenutzer ... Erhöhung der Sicherheit … Vereinheitlichung der Directories … Vereinfachung der Integration zukünftiger Anwendungen Zieldefinition für das Projekt Identity Management (IM) Zieldefinition Basic text slide
Quelle: Computerwoche Dynamische IT
Nur eine AnlaufstelleBenutzerkennung und Initialpasswort sofort bei Einschreibung/Einstellung,damit Zugangsberechtigung auf „allen“ DV-Systemen Self care FunktionFreischaltung von ZugängenAktualisierung von Daten durch NutzerFreigabe/Sperrung von Daten für Verzeichnisse Datenschutz/DatensicherheitVollständiger Überblick über alle gespeicherten Daten (Inhalt, Ort, Zweck) Fachbereiche/FakultätenÜbernahme von Daten aus zentralen Verzeichnissen: keine Doppelerhebungen, Verwaltungsvereinfachung ->PortalEinheitlicher DienstezugangSingle Sign On IM aus Nutzersicht I Zieldefinition Basic text slide
Telefon- und Adressbücher, Emailverteiler Darstellung Organisationsstruktur System ManagementEntzug von Berechtigungen bei AusscheidenAuslösen von Folgeprozessen bei Verwaisen von wichtigen Rollen (Administratoren) durch AusscheidenÜbersicht über wichtige Rollen (z.B. Administratoren) IM aus Nutzersicht II Zieldefinition Basic text slide
Marktanalyse Anbieter Phase 1: Grobkonzept • Mai 2003 Bildung einer Gemeinsamen Arbeitsgruppe „Einheitlicher Dienstezugang und Verzeichnisdienste“ aus Rechenzentren, Bibliotheken, Verwaltungen • Lauren States, Vice President IBM/Tivoli Technical Sales Support worldwidewird executive sponsor (Kontakt Dr. Lix/HRZ Essen) • Juli 2003 Ein Anforderungspapier (Anlage) wird an mehrere Anbieter (IBM, SUN, Siemens, Siebel) versandt mit der Bitte, Vorstellungen zur Realisierung zu entwickeln • Juli/Aug 2003 Präsentationen der Hersteller mit Grobkonzepten zur Projektgestaltung (Phasen, Inhalte, Organisation), zur (herstellerneutralen) Systemarchitektur und zur Realisierung mit bestimmten Produkten. • Auswahl eines Vorschlags/Grobkonzept als Basis für Feinkonzept Marktanalyse
Marktanalyse Anbieter • Anbieter von Beratungsdienstleistung und Lösungsanbieter für das Feinkonzept • IBM • SUN • Siemens, • Siebel • Compunet Marktanalyse
Phase 2: Auswahl Anbieter Feinkonzept • August 2003 Antrag an das Ministerium für Wissenschaft und Forschung NRW auf Förderung eines ersten Teilprojekts • (Analyse von Administrationsprozessen, Informationsflüssen, Datenstrukturen, Rollenkonzepten, Berechtigungen, detaillierte Vorschläge für Systemarchitektur, Implementierung, Produkte) • Oktober 2003 Bewilligung des Antrags in Höhe von 80.000 €, Beschränkte Ausschreibung • 12. Nov. 2003 Präsentationen der Anbieter und Bewertung • 15. Nov. 2003 Zuschlag und Vertragsabschluss Marktanalyse
Projektführungsstruktur Projektleitung Gunter Jahn (IBM) • Projektleitung Universität • Herr Blotevogel (zentraler Ansprechpartner) Qualitätssicherung Dr. Oliver Ziehm (IBM) HRZ MA Universität Verwaltung MA Universität Bibliothek MA Universität Prozesse Margarete Nikol (IBM) Meta-Directory Gunter Jahn (IBM) Provisioning Reinhard Stamms (IBM) Fachbereich MA Universität Projektbeteiligte
Arbeitspakete Ist-Analyse- Directories Ist-Analyse- Prozesse Soll- Empfehlung Directories Soll- Empfehlung Prozesse Rollen Empfehlung der Soll- Datenflüsse Empfehlung einer Soll- Architektur Produkt- empfehlung Implemen- tierungs- vorschlag Projektplan Empfehlung für zentrales Directory Einheitliche Benutzer-ID & Kennwort Arbeitspakete
Technische Analyse der Directories • Es wurden etwa 40 Directories darauf hin untersucht, ob sie in der ersten Phase des Identity Management-Projektes berücksichtigt werden sollen. • Davon wurden 23 intensiver mit einem Analyse-Dokument beleuchtet. • 12 Directories wurden einer Soll-Betrachtung unterzogen. • Es werden in der ersten Phase etwa 20 Ziel- und Quellsysteme am Identity Management teilnehmen. Analyse der Directories
Ergebnisse der Ist-Analyse der Prozesse Untersucht und dokumentiert wurden insgesamt 39 Prozesse HISSOS Essen 4 Prozesse Duisburg 4 Prozesse HISSVA Essen 3 Prozesse Duisburg 4 Prozesse Aleph 500 (Bibliotheks- System) Bibliothek Duisburg und Essen gesamt 15 Prozesse AUM / NIS Benutzer- verwaltung Essen 5 Prozesse Duisburg 4 Prozesse Prozessanalyse
Zusammenhang IST- und SOLL-Prozesse IST-Prozesse SOLL-Prozesse Anlage neuer Mitarbeiter Anlage neuer Mitarbeiter Provisioning System Bibliothek HRZ Accounts Telefon Bibliothek Accounts Telefon Die Mehrzahl der manuellen und teilautomatischen Prozesse wird durch automatische Prozesse über das Provisioning System ersetzt, Prozesse wurden zusammengefasst. • Viele manuelle und teilautomatische Prozesse. IST- und Soll Prozesse
Studierende Fachbereich/ Fakultät Studenten- sekretariat HRZ Benutzerbüro Bibliothek Ist-Prozess: Wie kommen Studierende zu ihren Berechtigungen? HISSOS Einschreibung tägliche Datenüberlei-tung (DU) 1x pro Semester Benutzerkennung und Passwort (DU) für HRZ Tägliche Da-tenüberlei-tung (E/DU) Web Formular Benutzer- verwaltung / NIS Benutzer Account, eMail (E) für HRZ Fachbereich Aleph 500 Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek Prozessanalyse
Studierende Studenten- sekretariat Self Care Fachbereich/Fakultät Bibliothek Soll-Prozess: Wie kommen Studierende zu ihren Berechtigungen? HISSOS Identity Management System Einschreibung Initialkennung und Passwort eMail Adresse und Account können über eine Initialkennung und Initialpasswort abgerufen werden AD Aleph 500 Vorsprache in der Bibliothek und Freischaltung des Ausweises durch die Bibliothek Prozessanalyse
Identity Feed Prozess: HISSOS 1/2 • Bei der Einschreibung wird eine Initialkennung und ein Initialkennwort generiert. • Im Rahmen des Self Care erzeugt sich der Student seinen Account-Name und die eMail Adresse. • Nach der Erzeugung des Accounts und seiner Mail wird die Initialkennung verworfen. Da der Account und die eMail Adresse nur auf Anforderung erzeugt wird, werden keine ungenutzten Accounts und E-Mails erzeugt. Prozessanalyse
Identity Feed Prozess: HISSOS 2/2 • Zwischen HISSOS und HISSVA gibt es keine Verfahren um Personengleichheit zu erkennen • Der Identity Feed Job versucht selbst einen Abgleich über Name, Vorname, Geburtsdatum, Geburtsort zu schaffen. Falls keine wirkliche Eindeutigkeit vorhanden ist, werden die Personen nicht zusammengeführt. • Bei Änderungen erfolgt die eindeutige Zuordnung über die Matrikelnummer. Ehemalige Studenten werden zu Alumnis und bleiben weiterhin gespeichert. • Bei der Einschreibung oder Zulassung werden den Studenten entsprechende Rollen zugeordnet, diese sind abhängig vom Studentenstatus und der Zuordnung zum Fachbereich. Prozessanalyse
FM Personal- verwaltung HRZ Benutzer büro Bibliothek MS AD Verwaltung AUM/NIS Benutzer verwaltung Studenten- sekretariat Aleph 500 Verwaltung IST-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen Wöchentliche Weiterleitung Daten an BuiSy (Du) Mitarbeiter/in BuiSy HISSVA Mitarbeiter/in wird eingestellt Telefonantrag Telefon Bibliotheksantrag Antrag Dienst-ausweis (E) Benutzer Account, eMail (E) Verwaltungs account Prozessanalyse
Personal- verwaltung Self Care Studenten- sekretariat Soll-Prozess: Wie kommt ein/e Mitarbeiter/in zu ihren/seinen Berechtigungen Identity Management System Mitarbeiter/in Mitarbeiter/in wird eingestellt HISSVA Initialkennung und Passwort • Telefon-/Raumdaten • Erfassung Email-Daten • Erfassung IS • Passwort setzen Antrag Dienst-ausweis (E) MS AD Verwaltung Aleph 500 Telefon BuiSy Prozessanalyse
Nicht übereinstimmend StudSek StudSek Dez1 Adr Adr Aleph 500 Bibliothek HISSVA HISSVA GLAZ GLAZ HISSOS HISSOS Dez2 Rü Rü Dez3 MA EX Glaz Glaz MA Adr Bei Anlage Bei Anlagedes MA Bei Anlage 1xper Sem 1xper Sem Dez5 HISPOS E nur FB1 HISPOS NIS Benutzer Verwaltung / AUM HRZ Verwa ltung Account Dez 2 HISMBS HISMBS Dez4 wöch Die Die? Tel MA MA Stu Ex 1xper Sem Fachbereich/ Fakultät BuiSy Fachbereich Telefon Telefon 1xper Sem 1.6/1.12 Gesamtüberblick Datenfluss Prozessanalyse
StudSek Glaz Organisation Anwendungssystem Gleitzeitantrag Telefonantrag Antrag Dienstausweis Rückläufer Post Meldung neuer Adresse Dezernat mit Dezernatsnummer Antrag Mitarbeiter Antrag Externe Person Antrag Student HISSOS Tel Die HISSVA Anwendungssystem Rü Adr Datenfluss Essen Datenfluss Duisburg Dezx MA EX Stu Legende zu den Überblicksfolien Prozessanalyse
Fachbereich Gesamtüberblick Essen Nicht übereinstimmend StudSek Dez1 Adr Aleph 500 HISSVA GLAZ HISSOS Dez2 Rü Dez3 MA Ex Glaz MA Adr Bei Anlagedes MA 1xper Sem Dez5 HISPOS E nur FB1 AUM Verwa ltung Account HISMBS Dez4 Die MA Stu Ex 1xper Sem Telefon Prozessanalyse
Fakultät Gesamtüberblick Duisburg StudSek Adr Aleph 500 HISSVA GLAZ HISSOS Rü MA Ex Glaz MA Adr Bei Anlagedes MA 1xper Sem HISPOS NIS Benutzer Verwaltung Verwa ltung Account HISMBS wöch Die? Tel MA Ex BuiSy Telefon 1xper Sem 1.6/1.12 Prozessanalyse
Formular „Personalveränderungen“ HISSVA – Personalverwaltung Essen Aleph 500 (Bibliothek) Bibliotheks ausweis Antrag: Bibliothekssys Mitarbeiter HISMBS Wird im Studenten Sekretariat erstellt Dienst- ausweis Antrag Dienstausweis Kostenstellen werden in HISSVA übernommen AUM Web Account • email Adresse • Plattenplatz Antrag/ Verlängerung Account Verwaltung Account Verwaltung Account HISSVA Antrag Account Gleitzeitsystem / Schliess System (Personalabteilung) GLAZ Karte Antrag GLAZ Raumzugangs karten Antrag KeyCode Karte Telefon Telefon gerät Antrag/Änderung Telefon Prozessanalyse
Geschätzter Personalaufwand für die Projektphase Personalaufwand Phase 4
NRW Landeslizenz • Die RWTH Aachen schließt Ende 2004 als Konsortialführer ein fünfjährigesLizenzabkommen mit IBM • 10+1Hochschulen beabsichtigen IM auf der Basis der IBM Produkte einzuführen • DSH Köln, • Uni Bonn, • RWTH Aachen, • Uni Bielefeld, • Uni Duisburg-Essen, • Uni Paderborn, • Uni Münster, • FH Lippe und Höxter, • FH Bielefeld, • FH Köln, • FH Dortmund (nachgemeldet) Ressourcen
Wo stehen wir heute? Phase 3: Schaffung der Voraussetzungen für die Implementierung Phase 4: Implementierung Agenda
Phase 3: Schaffung der Voraussetzungen für die Implementierung • Landesweite Abstimmung Mailingliste itim@rv-nrw.de (Admin: Frau Oevel); Dokumente auf dem BSCW-Server der Universität Duisburg-Essen • Testinstallation TIM, Arbeiten mit dem Tivoli Directory Integrator • Rektoratsbeschluss Implementierung • Beteiligung Datenschutz und (Haupt)Personalräte • Beteiligung Fachbereiche und Organisationseinheiten Phase 3
Landesweite Abstimmung • Mailingliste itim@rv-nrw.de (Admin: Frau Oevel) • Dokumente auf dem BSCW-Server der Universität Duisburg-Essen • Gesamtprojektverantwortlicher (GPV HS): Herr Lix • Projektpartner IBM: Herr Timme auslaufend Nachfolger Herr Fingerhut • Gesamtprojektverantwortliche (GPV) von seiten IBM ist Herr Dr. Blaeser (reinhard.blaeser@de.ibm.com). • Weitere Ansprechpartnerin ist Frau Steinkrüger (Tel.:+49-177 8225 727 ulrike.steinkrueger@de.ibm.com). • Nächster Termin der TIM-AG: • Freitag, 08.04.2005 um 10:00 Uhr in Essen, HRZ (Besprechungsraum) Phase 3
Testinstallation TIM und Arbeiten mit dem Tivoli Directory Integrator • Unterstützung durch IBM / Hr. Stamms • Analyse der Stagingtabellen c:\daten\stagingtabellen.mmap • Feldname, Feldname_flag, …. Operationtype (MOD, ADD, DEL) • Einarbeitung in den Tivoli Directory Integrator Erstellung einer AssemblyLine • Einarbeitung in JavaScript (auch weitere Sprachen einbindbar) • Telefonbuch und Mailverzeichnis der fusionierten Hochschule Phase 3
Wo stehen wir am Ende des Jahres? • Phase 4: Implementierung hat stattgefunden • 1. Schritte • Einrichtung TIM Produktivsystem • Feeds: AUM(Benutzerverwaltung HRZ), SOS, SVA • Autorisierung/ Zugang zu -HRZ Diensten (Email, login) -LSF, -QIS-POS • Ziel bis Ende des Jahres • Selfcare ist umgesetzt • Bibliotheksanbindung (Aleph) ist vorhanden • Anbindung von Pilotfachbereichen (AD) ist erfolgt Agenda
Danksagung • Für die Nutzung von Folien • IBM • Herr Nastoll / HRZ • Für Ihre Mitarbeit in dem Projekt • Herr Nastoll / HRZ • Herr Wald / HRZ • Herr Conradshaus / DV der Verwaltung