Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 1 – Hochschulspezifische Besonderheiten, Sicherheitskonzept,
Ansprechpartner des Systembetreibers und Struktur der Anlagen
1 Änderungshistorie Datum Bearbeiter Bemerkung
21.06.2011 Matthias Kühm Entwurf der Anlage 1
06.07.2011 Matthias Kühm Korrekturen nach Vorstellung im Personalrat
13.11.2012 Matthias Kühm Klarstellung Datenfelder, Verteilungspasswort, Erweiterung Shibboleth Identity Provider
2 Rahmendienstvereinbarung Die Systembeschreibung und Datenfelder des Meta Directory (MD) als zentralem Verzeichnis des
Identitätsmanagements (IdM) der Universität Erfurt sind Bestandteil der Anlage 1 der gleichnamigen
Rahmendienstvereinbarung (RDV) zwischen dem Thüringer Kultusministerium (TKM) und dem
Hauptpersonalrat beim TKM vom 26.08.2009.
3 Hochschulspezifische Besonderheiten In diesem Abschnitt wird der exemplarische Aufbau des MD mit den angeschlossenen Systemen der
RDV für die Universität Erfurt konkretisiert und die verwalteten Datenfelder aufgeführt.
3.1 Aufbau In Abbildung 1 ist der Aufbau des MD dargestellt. Als Quellsysteme, dargestellt im oberen Bereich,
dienen die operationellen Datenbanken der Hochschulverwaltung für Mitarbeiter (HIS-SVA) und
Studierende (HIS-SOS) sowie ein Organisationssystem für sonstige Personen (Handeingabe, THUAPOS
light). Informationen aus den Quellsystemen dienen als Basis für das Anlegen von Personen- und
Rollenobjekten im MD. Quellsysteme können umgekehrt aber auch Empfänger von Informationen
aus dem MD sein.
Im unteren Bereich von Abbildung 1 sind die Zielsysteme abgebildet. Das sind das Authentifizierungs-
system A1, der Verzeichnisdienst PHE, das Mail-System (IMAP), der Shibboleth Identity Provider (IdP)
sowie das System für die operative Auskunft OAS. In den Zielsystemen werden auf Basis von
Benutzer- und Rollenobjekten im MD Benutzerkonten angelegt und verwaltet. Zielsysteme können
umgekehrt aber auch Quelle von Informationen für das MD sein.
Der Zweck der Anbindung der genannten Systeme und die Datenaustauschbeziehung zum MD
werden in den weiteren Anlagen zur Dienstvereinbarung erläutert.
Abbildung 1 – Aufbau Meta-Directory an der Universität Erfurt
3.2 Datenfelder Nicht alle der in der Tabelle 1, Anlage 1 zur RDV aufgeführten Datenfelder werden für das MD der
Universität Erfurt verwendet. In nachfolgender Tabelle 1 sind die tatsächlich genutzten Datenfelder
zusammengefasst.
Lfd. Nr.
1
Daten Kurzbeschreibung
1. Familienname Identifizierung von Personen und Generierung von Basisdaten, z.B. Mailadresse, Login
2. Vornamen Siehe 1.
3. Namenszusätze Siehe 1.
4. Geburtsdatum Eindeutige Identifizierung von Personen beim Auftreten von Namenskonflikten
5. HISSVA-interne Personalnummer Eindeutige Abbildung von Personeneinträgen zwischen MD und HISSVA
6. Matrikelnummer Eindeutige Abbildung von Personeneinträgen zwischen MD und HISSOS
8. Personenidentifikator Abstrakter, anwendungsunabhängiger Identifikator für Personen innerhalb des MD
9. Benutzername Login-Name einer Person für die Benutzung von IT-Diensten der Hochschule
10. (Anfangs-)Passwort Initiales Passwort zur Synchronisation mit anderen Verzeichnissen als Voraussetzung für Single Sign On
11. E-Mail-Adresse Generierung einer E-Mail-Adresse für die Benutzer der IT-Dienste der Hochschule
13. Anrede Repräsentation des Geschlechts einer Person für eine korrekte Kontaktaufnahme
14. Akademischer Grad korrekte Abbildung der Bestandteile eines Namens: <Titel> <akademischer Grad> Vorname <Namenszusätze> Nachname zum Zwecke einer korrekten Kontaktaufnahme
15. Immatrikulationsdatum Einordnung von Studierenden in matrikelbezogene Verzeichnishierarchien und Generierung von Basisdaten; Berechtigungsvergabe, beispielsweise für Anmeldevorgänge
1 Nummerierung folgend Tabelle 1 der Anlage 1 zur RDV
22. Zugehörigkeit (Rolle) Bildung von Benutzergruppen und Vergabe von Rechten in den IT-Systemen der Hochschule
23. Primäre Zugehörigkeit (Rolle) Siehe 22. und Spezifikation der dominierenden Beziehung einer Person zur Hochschule
24. Personalkategorie Charakter der Beschäftigung zur Ermittlung der primären Zugehörigkeit bzw. der primären Rolle einer Person an der Hochschule
25. Strukturzugehörigkeit Ableitung von Rechten und Vergabe von Ressourcen in den jeweiligen Bereichen; Unterstützung der dezentralen Administration
26. Strukturschlüssel (RDV: Kostenstelle)
Ableitung der Strukturzugehörigkeit und Unterstützung von abrechnungsbezogenen Anwendungen
31. Hörerstatus Einordnung von Studierenden zur Abbildung auf Verzeichnishierarchien, Benutzergruppen und Mailing-Listen; Berechtigungsvergabe, beispielsweise für Anmeldevorgänge
32. Telefonnummer Dienstliche Telefonnummer für ein hochschulinternes elektronisches Telefonbuch und für das Facility Management
33. Telefaxnummer Dienstliche Telefaxnummer für ein hochschulinternes elektronisches Telefonbuch und für das Facility Management
34. Gebäude Identifizierung des Arbeitsplatzes eines Beschäftigten zur Koordinierung der Ressourcenverwaltung, inklusive des Netzwerkmanagements
35. Raum Siehe 34.
36. Gültigkeitsdatum/Beginn Beginn der Gültigkeit einer hochschulspezifischen Rolle, wie zum Beispiel „Student“, „Mitarbeiter“ oder „Gast“
37. Gültigkeitsdatum/Ende Ablauf der Gültigkeit einer hochschulspezifischen Rolle, wie zum Beispiel „Student“, „Mitarbeiter“ oder „Gast“
38. Status eines Personeneintrages Status eines Personeneintrages im MD für die Abbildung von Bearbeitungszuständen
39. Referenzen auf die Rollen Referenzen auf die Rollen einer Person im MD
40. Referenz auf die primäre Rolle Referenz auf die primäre Rolle einer Person im MD
41. Rollenidentifikator Abstrakter anwendungsunabhängiger Identifikator für Rollen innerhalb des MD
42. Referenz auf den Rolleninhaber Referenz auf den Inhaber (Person) einer Rolle im MD
43. Rollentyp Rollentyp, wie zum Beispiel „Mitarbeiter“ oder „Student“
44. Status eines Rolleneintrages Status eines Rolleneintrages im MD für die Abbildung von Bearbeitungszuständen
45. HISSVA-interner Beschäftigungsidentifikator
Objektassoziation zu den mit HIS vereinbarten Datenstrukturen für Beschäftigte
46. HISSVA-interner Identifikator für die organisatorische Zugehörigkeit
Objektassoziation zu den mit HIS vereinbarten Datenstrukturen für Beschäftigte
47. HISSOS-interne Studiengangsnummer
Objektassoziation zu den mit HIS vereinbarten Datenstrukturen für Studierende
50. Titel korrekte Abbildung der Bestandteile eines Namens: <Titel> <akademischer Grad> Vorname <Namenszusätze> Nachname zum Zwecke einer korrekten Kontaktaufnahme
Tabelle 1 – Verwaltete Daten gemäß Tabelle 1, Anlage 1 der RDV
Aus den Daten mit den laufenden Nummern 1, 2, 3, 13, 14 und 50 wird im MD das Datum
Anzeigename gebildet, welches in der Absenderadresse von Emails verwendet wird.
3.2.1 Posix-Attribute
Eine technisch orientierte Gruppe von Daten, die nicht in der Anlage 1 der RDV aufgeführt, aber im
MD der Universität Erfurt verwaltet werden, sind Posix-Attribute. Diese werden zur
Benutzerverwaltung in Unix-Betriebssystemen benötigt, an der Universität Erfurt beispielsweise für
den Betrieb der Terminals in der UB. Mit Einführung des IdM werden diese Daten nicht mehr beim
Anlegen von Benutzerkonten in der NDS PHE generiert, sondern beim Anlegen von Benutzerobjekten
im MD. Tabelle 2 gibt einen Überblick.
Die Daten mit den Lfd. Nr. 2-5 sind entweder Konstanten oder verwenden bereits im MD vorhandene
Informationen. Einzig die Benutzernummer (Lfd. Nr. 1) fügt den Personenobjekten im MD ein
zusätzliches Identifikationsmerkmal hinzu.
Lfd. Nr.
Datum Kurzbeschreibung
1. Benutzernummer (Posix) Attribut uidNumber; eindeutige Benutzernummer
2. Gruppennummer (Posix) Attribut gidNumber; fester Wert: 1000
3. Benutzerverzeichnis (Posix) Attribut homeDirectory; Pfad zu Benutzerverzeichnis mit Bildungsschema /home/<Benutzername>
4. Anmeldeumgebung (Posix) Attribute loginShell; fester Wert: /bin/bash
5. Kurzname (Posix) Attribut gecos; Bildungschema <Vornamen> <Nachname>
Tabelle 2 – Posix-Attribute
3.2.2 Verteilungspasswort
Über das MD kann das Password von Nutzern zwischen den Zielsystemen synchronisiert werden.
Dieses Verteilungspasswort ist im Gegensatz zum Anfangspasswort (Tabelle 1, Lfd. Nr. 10) nicht im
Klartext gespeichert und ist über die verwendeten Administrationswerkzeuge (LDAP-Browser,
iManager) nicht einsehbar.
4 Sicherheitskonzept Folgend den Vorgaben aus Anlage 1 der RDV wurde ein Sicherheitskonzept erstellt, welches den
Schutz der personenbezogenen Daten vor Ausspähung und Manipulation gewährleisten soll. Die
Anwendung des Sicherheitskonzepts für die Einführung und den Betrieb des MD an der Universität
Erfurt wird vom Sicherheitsbeauftragen des Universitätsrechen- und Medienzentrums (URMZ)
überwacht.
5 Ansprechpartner des Systembetreibers Das MD wird als zentraler Bestandteil des Identitätsmanagements vom URMZ betrieben.
Ansprechpartner für alle technischen und organisatorischen Belange sind
Der Leiter des URMZ und
der zuständige Mitarbeiter für das Identitätsmanagement
Die Kontaktdaten sind über die Präsenz des URMZ abrufbar oder beim Servicebüro des URMZ unter
der Durchwahl 5450 zu erfragen.
6 Struktur der weiteren Anlagen Die weiteren Anlagen der Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den
angeschlossenen Quell- und Zielsystemen an der Universität Erfurt beschreiben die Daten-
austauschbeziehung zwischen dem MD und dem jeweils betrachteten System. Die Anlagen besitzen
folgende Struktur:
1. Änderungshistorie
2. Zweckbestimmung
3. Datenaustauschbeziehung
3.1. Datenimport in das Meta Directory
3.2. Datenexport aus dem Meta Directory
4. Sicherheitskonzept
Tabelle 3 gibt einen Überblick zu den weiteren Anlagen.
Anlage (Nr) Titel
2 Datenaustauschbeziehung zwischen dem Meta Directory und dem Personalverwaltungs-system HIS-SVA
3 Datenaustauschbeziehung zwischen dem Meta Directory und dem Studierendenverwaltungs-system HIS-SOS
4 Datenaustauschbeziehung zwischen dem Meta Directory und dem Organisationssystem für sonstige Personen (THUAPOS light)
5 Datenaustauschbeziehung zwischen dem Meta Directory und dem Authentifizierungssystem (A1)
6 Datenaustauschbeziehung zwischen dem Meta Directory und dem Verzeichnisdienst NDS PHE
7 Datenaustauschbeziehung zwischen dem Meta Directory und dem Verzeichnisdienst des Email-Systems (IMAP)
8 Datenaustauschbeziehung zwischen dem Meta Directory und dem System für die operative Auskunft (OAS)
9 Datenaustauschbeziehung zwischen dem Meta Directory und dem Shibboleth Identity Provider (IdP)
Tabelle 3 – Überblick zu den weiteren Anlagen
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 2 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
Personalverwaltungssystem HIS-SVA
1 Änderungshistorie Datum Bearbeiter Bemerkung
20.06.2011 Matthias Kühm Entwurf der Anlage 2
2 Zweckbestimmung Die Anbindung des Personalverwaltungssystems HIS-SVA erfolgt zum Zweck der Synchronisation von
Identitäts- und Rolleninformationen zwischen HIS-SVA und dem Meta Directory (MD). Auf Basis der
Synchronisation erfolgt die automatische Einrichtung und Verwaltung von Benutzerkonten für
Mitarbeiter der Universität Erfurt in den Zielsystemen A1, NDS PHE, Email und OAS.
3 Datenaustauschbeziehung Das Personalverwaltungssystem HIS-SVA ist Quellsystem für Identitäts- und Rolleninformationen im
MD. Für jede synchronisierte Identität (Person) wird genau ein Personenobjekt im MD erzeugt und
verwaltet. Aus der Kombination Beschäftigungsverhältnis und Finanzierung zu einer Person in HIS-
SVA wird jeweils eine Rolle im MD erzeugt und verwaltet. Personen, denen kein aktives
Beschäftigungsverhältnis zugeordnet ist, werden nicht synchronisiert. Einer Person kann im MD
grundsätzlich mehr als eine Rolle zugeordnet werden, auch aus anderen Quellsystemen (z.B.
Studierende als Hilfskräfte).
Im Rahmen des Identitätslebenszyklus werden Personen- und Rollenobjekte 12 Monate nach Ende
des Beschäftigungsverhältnisses aus dem MD entfernt und die Benutzerkonten in den Zielsystemen
bereinigt. Damit werden auch alle aus HIS-SVA synchronisierten personenbezogenen Daten aus dem
MD und den angeschlossenen Systemen entfernt. Ausgenommen sind Personenobjekte, denen noch
Rollen aus anderen Quellsystemen zugeordnet sind.
In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.
3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die aus HIS-SVA synchronisierten Daten mit Verweis auf das
Zielobjekt im MD und das Ursprungsdatum in HIS-SVA.
Lfd. Nr.
Datum Zielobjekt im MD
HIS-SVA Attribut (Tabelle)
1. Familienname Person pgd_name (pgd)
2. Vornamen Person pgd_vornamen (pgd)
3. Namenszusätze Person pgd_namenbestand (pgd)
4. Geburtsdatum Person pgd_geburtsdatum (pgd)
5. Geschlecht / Anrede Person pgd_geschlecht (pgd)
6. Titel Person pgd_titel (pgd) ‐> key_anredetitel (k_anredetitel) – kurz_anredetitel_m (k_anredetitel)
7. Akademischer Grad Person pgd_akad_grad (pgd) ‐> key_akad_grad (k_akad_grad) – text_akad_gradm (k_akad_grad)
8. HIS-SVA-interne Personalnummer
Person/ Rolle
pgd_join_id (pgd)
9. HIS-SVA-interner Beschäftigungsidentifikator
Rolle pbv_nr (pbv)
10. HIS-SVA-interner Identifikator für die org. Zugehörigkeit
Rolle pfi_serial (pfi)
11. Gültigkeitsdatum/Beginn Rolle pfi_von (pfi)
12. Gültigkeitsdatum/Ende Rolle pfi_bis (pfi) oder pbv_befr_bis (pbv)
13. Kostenstelle Rolle poz_institut (pfi)
14. Strukturzugehörigkeit Rolle poz_institut (pfi) ‐> inst_nr (inst) – dname (inst)
15. Personalkategorie Rolle pbv_art (pbv) ‐> key_vertragsart (k_vertragsart) – text_vertragsart_m (k_vertragsart)
Tabelle 1 – Datenimport
3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die nach HIS-SVA synchronisierten Daten mit Verweis auf das
Quellobjekt im MD und das Zieldatum in HIS-SVA. Der Export erfolgt nur, falls eine Assoziation des
Personenobjekts mit HIS-SVA besteht, d.h. ein dem MD bekannter Personeneintrag in HIS-SVA
vorliegt.
Lfd. Nr.
Datum Quellobjekt im MD
HIS-SVA Attribut (Tabelle)
1. Email-Adresse Person poz_email (pfi)
Tabelle 2 – Datenexport
4 Sicherheitskonzept Die Datenbank des Personalverwaltungssystems HIS-SVA und der MD-Server befinden sich in
eigenen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen.
Zur Realisierung der Synchronisation wird der Zugriff auf die Datenbank des
Personalverwaltungssystems für den MD-Server gestattet. Die Verbindung erfolgt mit SSL-
Verschlüsselung über einen Remote-Loader auf dem Datenbankserver.
Auf der Datenbank wird ein Benutzer eingerichtet, der nur über die für die Synchronisation
notwendigen Rechte verfügt. Der Zugriff erfolgt über Datenbanksichten für Identitäts- und
Rolleninformationen, die alle benötigten Daten zur Verfügungen stellen. Ein direkter Zugriff auf die
Tabellen der Datenbank erfolgt nicht.
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 3 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
Studierendenverwaltungssystem HIS-SOS
1 Änderungshistorie Datum Bearbeiter Bemerkung
20.06.2011 Matthias Kühm Entwurf der Anlage 3
2 Zweckbestimmung Die Anbindung des Studierendenverwaltungssystems HIS-SOS erfolgt zum Zweck der Synchronisation
von Identitäts- und Rolleninformationen zwischen HIS-SOS und dem Meta Directory (MD). Auf Basis
der Synchronisation erfolgt die automatische Einrichtung und Verwaltung von Benutzerkonten für
Studierende der Universität Erfurt in den Zielsystemen A1, NDS PHE, Email und OAS.
3 Datenaustauschbeziehung Das Studierendenverwaltungssystem HIS-SOS ist Quellsystem für Identitäts- und Rollen-
informationen. Für jede synchronisierte Identität (Person) wird genau ein Personenobjekt im MD
erzeugt und verwaltet. Aus den Studiengängen zu einer Person in HIS-SOS wird jeweils eine Rolle im
MD erzeugt und verwaltet. Personen, die exmatrikuliert sind, werden nicht synchronisiert. Einer
Person kann im MD grundsätzlich mehr als eine Rolle zugeordnet werden, auch aus anderen
Quellsystemen (z.B. Studierende als Hilfskräfte).
In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.
3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die aus HIS-SOS synchronisierten Daten mit Verweis auf das
Zielobjekt im MD. Bei Identitäten, die sowohl in HIS-SOS als auch in HIS-SVA verwaltet werden,
erfolgt die Synchronisation auf das gleiche Personenobjekt im MD.
Lfd. Nr. Datum Zielobjekt im MD
1. Familienname Person
2. Vornamen Person
3. Namenszusätze Person
4. Geburtsdatum Person
5. Geschlecht / Anrede Person
6. akademischer Grad Person
7. Matrikelnummer Person/Rolle
8. HIS-SOS-interne Studiengangsnummer Rolle
9. Immatrikulationsdatum Rolle
10. Gültigkeitsbeginn Rolle
11. Gültigkeitsende Rolle
12. Hörerstatus Rolle
Tabelle 1 – Datenimport
3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die nach HIS-SOS synchronisierten Daten mit Verweis auf das
Quellobjekt im MD. Der Export erfolgt nur, falls eine Assoziation des Personenobjekts mit HIS-SOS
besteht, d.h. ein dem MD bekannter Personeneintrag in HIS-SOS vorliegt. Bei Personen, die sowohl in
HIS-SOS als auch in HIS-SVA verwaltet werden, erfolgt die Synchronisation ausgehend vom gleichen
Personenobjekt im MD. In diesem Fall werden die in Tabelle 2 aufgeführten Daten von Mitarbeitern
nach HIS-SOS synchronisiert.
Lfd. Nr. Datum Quellobjekt im MD
1. Email-Adresse Person
2. Benutzername Person
Tabelle 2 – Datenexport
4 Sicherheitskonzept Die Datenbank des Personalverwaltungssystems HIS-SOS und der MD-Server befinden sich in
eigenen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen.
Zur Realisierung der Synchronisation wird der Zugriff auf die Datenbank des
Studierendenverwaltungssystems für den MD-Server gestattet. Die Verbindung erfolgt mit SSL-
Verschlüsselung über einen Remote-Loader auf dem Datenbankserver.
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 4 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
Organisationssystem für sonstige Personen (THUAPOS light).
1 Änderungshistorie Datum Bearbeiter Bemerkung
20.06.2011 Matthias Kühm Entwurf der Anlage 3
2 Zweckbestimmung Das Organisationssystem für sonstige Personen, THUAPOS light, wird vom URMZ betrieben und dient
der Verwaltung von Personen, die zur Nutzung von IT-Ressourcen gemäß der Benutzerordnung des
URMZ (BO-URMZ) berechtigt sind, aber nicht in den Verwaltungssystemen HIS-SVA oder HIS-SOS
verwaltet werden. Zugriffsberechtigt als Operatoren sind Mitarbeiter des URMZ, die mit der
Benutzerverwaltung betreut sind.
Die Anbindung von THUAPOS light an das MD erfolgt zum Zweck der Synchronisation von Identitäts-
und Rolleninformationen. Auf Basis der Synchronisation erfolgt die automatische Einrichtung und
Verwaltung von Benutzerkonten für sonstige Personen in den Zielsystemen A1, NDS PHE, Email und
OAS.
3 Datenaustauschbeziehung Das Organisationssystem für sonstige Personen ist Quellsystem für Identitäts- und Rollen-
informationen im MD. Für jede synchronisierte Identität (Person) wird genau ein Personenobjekt im
MD erzeugt und verwaltet. Zu jeder Rolle einer Person in THUAPOS light wird jeweils eine
korrespondierende Rolle im MD erzeugt und verwaltet. Für Personen- und Rollenobjekte, die im
Rahmen des Identitätslebenszyklus aus dem MD gelöscht werden, erfolgt automatisch auch die
Bereinigung in THUAPOS light.
In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.
3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die aus THUAPOS light synchronisierten Daten mit Verweis auf
das Zielobjekt im MD. Bei Identitäten, die sowohl in THUAPOS light als auch in anderen
Quellsystemen verwaltet werden, erfolgt die Synchronisation auf das gleiche Personenobjekt im MD.
Lfd. Nr. Datum Zielobjekt im MD
1. Familienname Person
2. Vornamen Person
3. Namenszusätze Person
4. Geburtsdatum Person
5. Geschlecht / Anrede Person
6. akademischer Grad Person
7. Titel Person
8. Benutzername Person
9. Email-Adresse Person
10. Rollentyp Rolle
11. Personalkategorie Rolle
12. Gültigkeitsdatum/Beginn Rolle
13. Gültigkeitsdatum/Ende Rolle
14. Referenz auf den Rolleninhaber Rolle
15. Strukturzugehörigkeit Rolle
16. Telefonnummer Rolle
17. Telefaxnummer Rolle
18. Gebäude Rolle
19. Raum Rolle
Tabelle 1 – Datenimport
Die Email-Adresse und der Benutzername (Lfd.Nr. 8-9) können bei der Neuanlage einer Person in
THUAPOS light angegeben werden, um die Verwendung bestehender Benutzerkonten in den
Zielsystemen zu erzwingen.
Für das Datum Rollentyp (Lfd.Nr. 10) sind die Belegungen Student und Mitarbeiter, die für Rollen aus
den Verwaltungssystemen HIS-SVA und HIS-SOS verwendet werden, nicht zulässig. Das Datum
Personalkategorie (Lfd.Nr. 11) wird zur weiteren Unterscheidung innerhalb eines Rollentyps
verwendet und unterscheidet sich in der Belegung von Rollen des Typs Mitarbeiter aus HIS-SVA
(keine Beschäftigungsverhältnisart).
3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die nach THUAPOS light synchronisierten Daten mit Verweis auf
das Quellobjekt im MD. Der Export erfolgt nur, falls eine Assoziation des Personen- bzw.
Rollenobjekts mit THUAPOS light besteht, d.h. ein dem MD bekannter Eintrag in THUAPOS light
vorliegt. Bei Personen, die sowohl in THUAPOS light als auch in HIS-SVA verwaltet werden, erfolgt die
Synchronisation ausgehend vom gleichen Personenobjekt im MD. In diesem Fall werden die in
Tabelle 2 aufgeführten Personendaten von Mitarbeitern nach THUAPOS light synchronisiert.
Lfd. Nr. Datum Zielobjekt im MD
1. Familienname Person
2. Vornamen Person
3. Namenszusätze Person
4. Geburtsdatum Person
5. Geschlecht / Anrede Person
6. akademischer Grad Person
7. Titel Person
8. Benutzername Person
9. Email-Adresse Person
10. Passwort Person
11. Telefonnummer Rolle
12. Telefaxnummer Rolle
13. Gebäude Rolle
14. Raum Rolle
Tabelle 2 – Datenexport
In THUAPOS light kann für Personenobjekte im MD eine Assoziation über den Benutzernamen
hergestellt werden. Damit wird für eine Verlängerung der Nutzungsdauer im Rahmen der BO-URMZ
eine Person nach THUAPOS light importiert und eine entsprechende Rolle zugeordnet.
4 Sicherheitskonzept Die Datenbank des Personalverwaltungssystems THUAPOS light und der MD-Server befinden sich im
gleichen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netz. Zur
Realisierung der Synchronisation wird der Zugriff auf die Datenbank von THUAPOS light für den MD-
Server gestattet. Die Datenübertragung erfolgt mit SSL-Verschlüsselung über einen Remote-Loader
auf dem Datenbankserver.
Der Zugriff auf THUAPOS light für die Operatoren erfolgt über eine Web-Schnittstelle. Dazu wird der
Aufbau einer Verbindung zum entsprechenden Server über einen festgelegten Port aus dem Netz des
URMZ gestattet. Operatoren müssen zur Nutzung der Web-Schnittstelle zunächst zur Gruppe der
Operatoren in THUAPOS light hinzugefügt werden. Die Authentifizierung erfolgt dann mit
Benutzername und Passwort (Novell-Login).
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 5 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
Authentifizierungssystem (A1).
1 Änderungshistorie Datum Bearbeiter Bemerkung
20.06.2011 Matthias Kühm Entwurf der Anlage 3
14.11.2012 Matthias Kühm Verteilungspasswort explizit in Datenexport
2 Zweckbestimmung Das Authentifizierungssystem A1 wird vom URMZ betrieben und erlaubt eine LDAP-basierte
Authentifizierung für verschiedene Dienste mit Benutzername und Passwort. Das Passwort wird über
das MD mit anderen Systemen synchronisiert.
Die Anbindung an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und Verwaltung von
Benutzerkonten im A1 für jede vom MD verwaltete Person. Der Betrieb des Authentifizierungs-
systems erfolgt als Testbetrieb.
3 Datenaustauschbeziehung Das Authentifizierungssystem A1 ist Zielsystem für Identitäts- und Rolleninformationen aus dem MD.
Für berechtigte Personen im MD wird automatisch ein Benutzerkonto im A1 angelegt und bei
Änderungen im MD aktualisiert. Mit Löschen des Benutzerobjekts im MD im Rahmen des
Identitätslebenszyklus werden auch das Benutzerkonto im A1 und damit alle aus dem MD
exportierten Daten gelöscht.
In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.
3.1 Datenimport in das Meta Directory Aus dem Authentifizierungssystem A1 werden keine Daten in das MD importiert.
3.2 Datenexport aus dem Meta Directory Tabelle 1 gibt einen Überblick über die in das Authentifizierungssystem A1 synchronisierten Daten
mit Verweis auf das Quellobjekt im MD. Bei Änderung des Verteilungspassworts im MD, wird das
Benutzerpasswort im A1 aktualisiert.
Lfd. Nr. Datum Quellobjekt im MD
1. Familienname Person
2. Vorname Person
3. Benutzername Person
4. Email-Adresse Person
5. Zugehörigkeit (Rolle) Person
6. Primäre Zugehörigkeit (Rolle) Person
7. Verteilungspasswort Person
Tabelle 1 – Datenexport
4 Sicherheitskonzept Die Server des Authentifizierungssystems A1 und des MD befinden sich im gleichen, durch
verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netz. Die
Authentifizierung und Synchronisation zwischen den Systemen erfolgt gesichert mit SSL. Dazu wird
der bidirektionale Verbindungsaufbau für die Server über festgelegte Ports erlaubt.
Die LDAP-Authentifizierung über das A1 ist im Testbetrieb nur innerhalb des Rechnernetzes des
URMZ möglich. Das Organisationssystem für sonstige Personen nutzt das A1 zur Authentifizierung
der Operatoren.
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 6 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
Verzeichnisdienst NDS PHE .
1 Änderungshistorie Datum Bearbeiter Bemerkung
21.06.2011 Matthias Kühm Entwurf der Anlage 6
06.07.2011 Matthias Kühm Korrekturen nach Vorstellung im Personalrat
14.11.2012 Matthias Kühm Passwort explizit in Datenimport/-export
2 Zweckbestimmung Der Verzeichnisdienst NDS „PHE“ ist der zentrale Dienst für die Datei- und Druckverwaltung der
Universität Erfurt. Alle Personen, die einen PC in den Poolräumen oder am Arbeitsplatz nutzen,
benötigen ein Benutzerkonto in der NDS PHE. Über das Benutzerkonto wird die Anmeldung an den
PCs ermöglicht, der persönliche Speicherbereich zur Verfügung gestellt aber auch die
Authentifizierung gegenüber verschiedenen Diensten, wie z.B. metacoon, realisiert. Betreiber des
Systems ist das URMZ.
Die Anbindung an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und Verwaltung von
Benutzerkonten für die im MD verwalteten Personen. Benutzerpasswörter werden über das MD mit
anderen angeschlossenen Systemen synchronisiert.
3 Datenaustauschbeziehung Der Verzeichnisdienst NDS PHE ist Zielsystem für Identitäts- und Rolleninformationen aus dem MD.
Für berechtigte Personen im MD wird automatisch ein Benutzerkonto im NDS PHE angelegt und bei
Änderungen im MD aktualisiert. Mit Löschen des Benutzerobjekts im MD im Rahmen des
Identitätslebenszyklus werden auch das Benutzerkonto in der NDS PHE und damit alle aus dem MD
exportierten Daten gelöscht.
In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.
3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die in das MD synchronisierten Daten mit Verweis auf das
Zielobjekt im MD. Auslöser für einen Import sind Änderungen durch Bereichsbetreuer des URMZ
oder die Passwortänderung durch den Nutzer.
Lfd. Nr. Datum Zielobjekt im MD
1. Anzeigename Person
2. Verteilungspasswort Person
3. Telefonnummer Rolle
4. Telefaxnummer Rolle
Tabelle 1 – Datenimport
3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die aus dem MD synchronisierten Daten mit Verweis auf das
Quellobjekt im MD.
Lfd. Nr. Datum Quellobjekt im MD
1. Familienname Person
2. Vornamen Person
3. Anzeigename Person
4. Benutzername Person
5. Email-Adresse Person
6. Benutzernummer (Posix) Person
7. Gruppennummer (Posix) Person
8. Benutzerverzeichnis (Posix) Person
9. Anmeldeumgebung (Posix) Person
10. Kurzname (Posix) Person
11 Anfangspasswort1 Person
12 Verteilungspasswort1 Person
13. Rollentyp Rolle
14. Gültigkeitsdatum/Ende Rolle
15. Strukturzugehörigkeit Rolle
16. Matrikelnummer Rolle
17. Telefonnummer Rolle
18. Telefaxnummer Rolle
19. Gebäude Rolle
20. Raum Rolle
Tabelle 2 – Datenexport
4 Sicherheitskonzept Die Server (Replik) des Verzeichnisdienstes NDS PHE und des MD befinden sich in getrennten, durch
verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen. Zur Realisierung
des Datenaustauschs wird der beiderseitige Verbindungsaufbau über einen festgelegten Port
gestattet. Die Authentifizierung und Datenübertragung erfolgt gesichert mit SSL.
1 Beim Anlegen eines neuen Benutzerobjekts wird grundsätzlich das Anfangspasswort aus dem MD verwendet.
Bei Änderung des Verteilungspassworts im MD wird das Passwort im angeschlossenen System aktualisiert.
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 7 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
Verzeichnisdienst des Email-Systems (IMAP).
1 Änderungshistorie Datum Bearbeiter Bemerkung
21.06.2011 Matthias Kühm Entwurf der Anlage 7
2 Zweckbestimmung Die universitäre Email-Adresse wird für alle Email-Nutzer der Universität Erfurt durch ein
Benutzerkonto im LDAP-Verzeichnisdienst des Email-Systems (Email-LDAP) verwaltet. Auch Nutzer
der Groupware-Lösung Groupwise erhalten dort ein Benutzerkonto, das allerdings als Weiterleitung
eingerichtet wird. Betreiber des Email-Systems ist das URMZ.
Die Anbindung des Email-LDAP an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und
Verwaltung von Emailkonten für die im MD verwalteten Personen. Benutzerpasswörter werden über
das MD in das Email-System synchronisiert.
3 Datenaustauschbeziehung Der Email-LDAP ist Zielsystem für Identitäts- und Rolleninformationen aus dem MD. Für berechtigte
Personen im MD wird automatisch ein Benutzerkonto angelegt und bei Änderungen im MD
aktualisiert. Mit Löschen des Benutzerobjekts im MD im Rahmen des Identitätslebenszyklus werden
auch das Benutzerkonto Email-LDAP und damit alle aus dem MD exportierten Daten gelöscht.
In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.
3.1 Datenimport in das Meta Directory Tabelle 1 gibt einen Überblick über die in das MD synchronisierten Daten mit Verweis auf das
Zielobjekt im MD. Auslöser für einen Import sind Änderungen durch die Email-Betreuer des URMZ.
Lfd. Nr. Datum Zielobjekt im MD
1. Anzeigename Person
Tabelle 1 – Datenimport
3.2 Datenexport aus dem Meta Directory Tabelle 2 gibt einen Überblick über die aus dem MD synchronisierten Daten mit Verweis auf das
Quellobjekt im MD.
Lfd. Nr. Datum Zielobjekt im MD
1. Familienname Person
2. Vornamen Person
3. Anzeigename Person
4. Benutzername Person
5. Email-Adresse Person
8. Strukturzugehörigkeit Rolle
9. Matrikelnummer Rolle
10. Telefonnummer Rolle
11. Telefaxnummer Rolle
Tabelle 2 – Datenexport
4 Sicherheitskonzept Der Server (Replik) des Email-LDAP und der Server des MD befinden sich in getrennten, durch
verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netzen. Zur Realisierung
des Datenaustauschs wird der Verbindungsaufbau für das MD über einen festgelegten Port gestattet.
Die Authentifizierung und Datenübertragung erfolgt gesichert mit SSL.
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 8 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
System für die operative Auskunft (OAS)
1 Änderungshistorie Datum Bearbeiter Bemerkung
24.06.2011 Matthias Kühm Entwurf der Anlage 8
14.11.2012 Matthias Kühm Verteilungspasswort explizit in Datenimport/-export
2 Zweckbestimmung Das System für die operative Auskunft erfüllt die Zwecke
Selbstauskunft gemäß §4 der RDV und
Auskunftssystem für Mitarbeiter, die mit der Verwaltung von Identitäten und
Berechtigungen betraut sind.
Die Anbindung des OAS an das MD erfolgt mit dem Ziel der automatischen Bereitstellung und
Verwaltung von Benutzerkonten für die im MD verwalteten Personen. Über diese Benutzerkonten
erfolgt der lesende Zugriff auf Identitäts- und Rolleninformationen des MD ohne direkt auf das MD
zuzugreifen (Portal). Benutzerpasswörter werden über den Konnektor bidirektional synchronisiert.
Das OAS besteht aus zwei Komponenten: Einem Verzeichnis auf Basis des Produkts Novell eDirectory
(NDS) und einem Portal auf Basis der Benutzeranwendung aus dem Produktpaket Novell Identity
Manger. Mit der Anmeldung am Portal ist es möglich, die der jeweiligen Identität zugeordneten
Daten einzusehen und das Benutzerpasswort zu ändern. Den Benutzerbetreuern des URMZ wird
darüber hinaus eine Verzeichnissuche zur Verfügung gestellt. Die Verzeichnissuche erlaubt eine
Suche über Identitäten mit den Kriterien Name, Vorname, Benutzername, Email-Adresse und
Geburtsdatum, sowie über Rollen mit den Kriterien Rollentyp, Strukturzugehörigkeit,
Matrikelnummer und Immatrikulationsdatum.
3 Datenaustauschbeziehung Das Verzeichnis des operativen Auskunftssystems ist ein laufend aktualisiertes Abbild des MD. Mit
Löschen von Personen- und Rollenobjekten im MD werden diese auch im Verzeichnis des OAS wieder
entfernt.
In den nachfolgenden Abschnitten wird der Datenimport und -export aus Sicht des MD beschrieben.
3.1 Datenimport in das Meta Directory Es werden grundsätzlich keine Identitäts- und Rolleninformationen vom Verzeichnis des OAS in das
MD synchronisiert. Bei Änderung des Benutzerpassworts über das OAS-Portal wird das
Verteilungspasswort im MD aktualisiert.
3.2 Datenexport aus dem Meta Directory Der Konnektor zum Verzeichnis des OAS ist so konfiguriert, dass Identitäts- und Rolleninformationen
vollständig in das Verzeichnis des OAS synchronisiert werden. Mit Änderung des
Verteilungspassworts im MD wird auch das Benutzerpasswort im OAS aktualisiert.
4 Sicherheitskonzept Die Server des Verzeichnisses für das operative Auskunftssystem und die Server des MD befinden
sich im gleichen, durch verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-
Netzen. Zur Realisierung des Datenaustauschs zwischen den Verzeichnissen wird der bidirektionale
Verbindungsaufbau zwischen den Servern über festgelegte Ports gestattet. Die Authentifizierung und
Datenübertragung erfolgt gesichert mit SSL.
Das Portal greift über das Protokoll LDAPS verschlüsselt auf das Verzeichnis des OAS zu. Die Rechte
entsprechen dabei denen des angemeldeten Benutzers. Standardmäßig darf ein Benutzer nur auf
seine eigenen Identitäts- und Rolleninformationen (lesend) zugreifen. Für die Verwendung der
Verzeichnissuche zu operativen Zwecken muss ein Benutzer einer entsprechenden Gruppe
zugeordnet werden.
Dienstvereinbarung zu Einführung und Betrieb des Meta Directory mit den angeschlossenen Quell- und Zielsystemen
Anlage 9 – Datenaustauschbeziehung zwischen dem Meta Directory und dem
Shibboleth Identity Provider (IdP)
1 Änderungshistorie Datum Bearbeiter Bemerkung
13.11.2012 Matthias Kühm Entwurf der Anlage 9
28.11.2012 Matthias Kühm Finale Fassung nach Vorstellung im Personalrat
2 Zweckbestimmung Der DFN-Verein betreibt eine Infrastruktur für Authentifizierung und Autorisierung (DFN-AAI), bei der
das Programmpaket Shibboleth zum Einsatz kommt. Shibboleth ist eine auf Standards basierende
Open-Source Software für die erleichterte Identitätskontrolle (Authentifizierung) und individuelle
Zugangsberechtigung (Autorisierung).
Shibboleth besteht aus drei Software-Komponenten
Identity Provider (IdP)
Service Provider (SP)
Discovery Service (DS)
Ein IdP wird von Einrichtungen betrieben, deren Nutzer auf geschützte Inhalte von Dienstanbietern
zugreifen sollen. Die Inhalte werden auf Seite des Anbieters von einem SP gesichert, der nach
Authentifizierung des Nutzers am IdP der Einrichtung die zur Verfügung gestellten Identitäts- und
Rollendaten zur Autorisierung auswertet. Der DS unterstützt bei der Anmeldung die Lokalisierung des
IdP der Einrichtung (URL) und wird im Rahmen der DFN-AAI vom DFN-Verein betrieben. Die
Anmeldedaten der Nutzer (Benutzername und Passwort) werden gegenüber dem IdP der Einrichtung
geprüft und sind für die Dienstanbieter nicht sichtbar.
Das Universitätsrechen und -Medienzentrum (URMZ) betreibt im Rahmen der DFN-AAI einen IdP für
Mitglieder und Angehörige der Universität Erfurt. Für die Erfüllung der vertraglich geregelten
Anforderungen an organisatorische Abläufe, insbesondere der Bereitstellung von tagaktuellen
Identitäts- und Rolleninformationen, erfolgt die Anbindung an das MD.
3 Datenaustauschbeziehung Die DFN-AAI definiert eine Reihe von Informationen, die in Form von Attributen von einem IdP zur
Verfügung gestellt werden sollten. Ausgangspunkt für die Bereitstellung des Shibboleth-IdP durch das
URMZ sind Anforderungen von Seiten der Universitätsbibliothek, den Online-Zugriff auf lizensierte
elektronische Medien (eMedien) ortsunabhängig zur ermöglichen. Dienstanbieter in diesem Umfeld
benötigen nur eine minimale Anzahl von Attributen, die vom IdP anbieterunabhängig in Form einer
Grundkonfiguration bereitgestellt werden. Tabelle 1 listet diese Attribute auf.
Attribut Beispielbelegung Quelle
Art der Zugehörigkeit plus Domäne
[email protected] Rollentyp, Personalkategorie, Strukturschlüssel der Rollen im MD
Berechtigung urn:mace:dir:entitlement:common-lib-terms fester Parameter oder abhängig von Rollentyp, Personalkategorie, Strukturschlüssel der Rollen im MD
Eindeutiges Pseudonym Cntb1RElxzrtSNIIRAbB Datenbank1
Tabelle 1 - Anbieterunabhängig bereitgestellte Attribute
Weitere Dienstanbieter in der DFN-AAI oder (zukünftig) vom URMZ betriebene lokale SPs können bei
Bedarf auf weitere Attribute zugreifen. Der Umfang an zusätzlichen Attributen wird dann abhängig
vom Anbieter in der Konfiguration des IdP festgelegt. Die in Tabelle 2 aufgeführten Attribute stehen
dabei zur Verfügung.
Attribut Beispielbelegung Quelle
Vorname(n) Martina Vornamen aus MD
Nachname Mustermann Familienname aus MD
Angezeigter Name Dr. Martina Mustermann Anzeigename aus MD
Email [email protected] E-Mail-Adresse aus MD
Netz-ID [email protected] Benutzername aus MD
Organisation Universität Erfurt fester Parameter
DN der Organisation o=Universität Erfurt,c=de fester Parameter
DN der Organisationseinheit ou=Standard,o=Universität Erfurt,c=de fester Parameter
Art der Zugehörigkeit employee Rollentyp, Personalkategorie, Strukturschlüssel der Rollen im MD
Tabelle 2 - Anbieterabhängig (selektiv) bereitgestellte Attribute
Vor der Weitergabe von Informationen an einen SP wird der Benutzer über die zu übertragenden
Attribute informiert und muss der Weitergabe zustimmen. Die Zustimmung erfolgt grundsätzlich
einmal pro Anbieter.
3.1 Datenimport in das Meta Directory Es werden keine Daten in das MD importiert.
1 Pro Dienstanbieter wird bei Erstanmeldung ein eindeutiges Pseudonym erzeugt und in einer Datenbank
verwaltet. Als unveränderlicher Schlüssel wird der Personenidentifikator aus dem MD verwendet.
3.2 Datenexport aus dem Meta Directory Der Konnektor zum Verzeichnis des IdP ist so konfiguriert, dass Personeninformationen aus dem MD
und feste Parameter auf das zugehörige Benutzerobjekt abgebildet werden. Für rollenabhängige
Informationen werden die dem Benutzerobjekt zugeordneten Rollen im MD ausgewertet und die
abgeleiteten Informationen synchronisiert. Die in Tabelle 3 aufgeführten Attribute aus dem MD
werden für Authentifizierung und die Bereitstellung von Identitäts- und Rolleninformationen über
den IdP verwendet.
Lfd. Nr. Datum Quellobjekt im MD
1. Familienname Person
2. Vorname Person
3. Anzeigename Person
4. Benutzername Person
5. E-Mail-Adresse Person
6. Verteilungspasswort Person
7. Personenidentifikator Person
8. Rollentyp Rolle
9. Personalkategorie Rolle
10. Strukturschlüssel Rolle
Tabelle 3 - Datenexport
4 Sicherheitskonzept Die Server des IdP verfügen über öffentliche IP-Adressen und sind über das abgesicherte
Kommunikationsprotokoll HTTPS weltweit erreichbar. Für die Authentifizierung und Autorisierung
von Nutzern erfolgt kein direkter Zugriff auf das MD. Es wird ein eigenes Verzeichnis für den IdP als
Satellitensystem bereitgestellt, das den gesicherten Zugriff über LDAPS für den IdP erlaubt. Das
Verzeichnis stellt nur die vom IdP tatsächlich benötigten Informationen als Untermenge der Daten im
MD zur Verfügung (vgl. Tabelle 1 und Tabelle 2).
Die Server des IdP-Verzeichnisses und die Server des MD befinden sich im gleichen, durch
verschiedene Maßnahmen vor unerwünschtem Zugriff geschützten Server-Netz mit privaten IP-
Adressen. Zur Realisierung des Datenaustauschs zwischen den Verzeichnissen wird der bidirektionale
Verbindungsaufbau zwischen den Servern über festgelegte Ports gestattet. Die Authentifizierung und
Datenübertragung erfolgt gesichert mit SSL.