Seite druckenPDF Version herunterladenSeitenstruktur anzeigenSeite durchsuchen
nach oben

Datendienste

Globaler Zugang, lokales Handeln

Identity Management für die Hamburger Hochschulen im Projekt eCampus

Von Angelika R. Rudolph


Präambel
Der nachfolgende Artikel basiert im Wesentlichen auf der Veröffentlichung „IDM@eCampus.HH – Identity Management am Hochschulstandort Hamburg“ von Martin Gennis, Stefan Gradmann, Stefanie Winklmeier, erschienen 2007 in: Borgeest / Gaedcke (Hrsg.): Quo Vadis Universität 2.0. Karlsruhe: Karlsruhe University Press.

Vorbemerkung
Wer kennt sie nicht, die Situation: Man möchte die in der Universität Hamburg (UHH) angebotenen Informations- und Kommunikationsdienste (z.B. Mail, WWW, Datenspeicherung, Drucken, Backup, Spezialapplikati-onen) nutzen. Man stellt, als Mitarbeiterin oder Mitarbeiter, einen Antrag auf eine Zugangsberechtigung – synonym (Nutzer-)Kennung, User ID –, und die Daten werden in die Benutzerverwaltung über einen Ver-zeichnisdienst eingetragen. Noch vor wenigen Jahren hatte fast jeder Bereich – z.B. Rechenzentrum (RRZ), Fachbereich oder auch Institut, Bibliothek – seine ei-gene Benutzerverwaltung, häufig sogar mehrere, die in der Regel nicht miteinander verbunden waren. Das hatte zur Folge, dass ein Benutzer viele Kennungen mit evtl. unterschiedlichen Passwörtern verwenden musste, um die gewünschten Dienste auch wirklich nutzen zu können. Das RRZ hat erkannt, welche Nachteile diese Heterogenität für die Benutzerschaft aufweist und einen Konsolidierungsprozess initiiert. Ziel dieser Konsolidierung ist es, jedem Mitglied der Universität, seien es Mitglieder des Lehrkörpers, Studierende, andere Bedienstete oder auch Gäste, mit einer Kennung den Zugang zu allen Diensten zu ermöglichen. Bereits heute kann ein großer Teil der IuK-Dienste mit der UHH-Kennung genutzt werden. Für die Benutzung der STiNE-Funktionalitäten ist aus technischen Gründen derzeit noch eine weitere Kennung erforderlich. Die Zusammenführung zu einer Kennung ist in Arbeit.
Während das Projekt zur Konsolidierung der Benutzer-verwaltung durch Einführung eines Identity Manage-ment Systems in der UHH fortschreitet, erfordert die zunehmende Verzahnung der Hamburger Hochschulen, z.B. durch hochschulübergreifende Studiengänge, Umstieg auf Bachelor-/Master-Abschlüsse parallel zu den internen Aktivitäten auch Aktionen auf Ebene aller Hochschulen. Das Projekt eCampus, welches im Folgenden vorgestellt wird, hat sich in der Arbeitsgruppe Basisdienste diese Anforderungen zu eigen gemacht.

Das Projekt eCampus
Im Oktober 2004 begann mit einer Auftaktveranstaltung (Kick-Off Meeting) die produktive Phase des Projektes eCampus. Es ist ein Projekt aller Hamburger Hochschulen gemeinsam mit dem Multimedia Kontor Hamburg (MMKH).
„Ziel des Projektes eCampus ist es, hochschulübergreifend die Modernisierungspotentiale neuer IuK-Technologien im Bereich der Verwaltung, des Hochschulmarketings und der Lehr- und Forschungsorganisation zu bewerten und gemeinsame Handlungsvorschläge zur Entwicklung integrierter Dienstleistungen zu entwickeln.“ (http://www.ecampus-hamburg.de/).
In der ersten Projektphase sind fünf Arbeitsgruppen beteiligt: AG Basisdienste, AG Studierendenverwal-tung und Studierendenauswahl, AG Prüfungs- und Veranstaltungsverwaltung, AG Webauftritt und AG Best-Practice und Benchmarking. Dabei kommt der AG Basisdienste in dem Gesamtprojekt eine besondere Rolle zu, da sie Infrastruktur-Konzepte entwickeln soll, auf denen die Arbeit der übrigen Gruppen in der prakti-schen Umsetzung aufsetzen kann. Die Aufgaben der AG Basisdienste sind im Projektkontext wie folgt beschrieben:
„Ein Infrastrukturthema mit Auswirkungen in fast allen Bereichen des IT-Einsatzes und in gewisser Hinsicht eine Elementarvoraussetzung für jede vorstellbare Konzeption eines integrierten Informationsmanagements ist die Thematik: Authentifizierung, Autorisierung und Accounting (triple A). Daher diskutiert die Arbeitsgruppe die Konzeption eines solchen komplexen, horizontal und vertikal verwobenen Systems unter Berücksichtigung bereits bestehender bzw. geplanter Verzeichnisdienste und der am Markt verfügbaren Lösungen. Ein Teilaspekt dieses Vorhabens ist die Diskussion eines gemeinsamen Basis-Schemas.“ (http://www.ecampus-hamburg.de/)
Die Arbeitsgruppe Basisdienste hat also die Aufgabe übernommen, die strukturellen und technischen Anfor-derungen zu erarbeiten, welche die Grundlage für die übrigen Arbeitsgruppen darstellt. Oder anders ausge-drückt: Die AG Basisdienste soll die Voraussetzungen für ein gemeinsames, hochschulübergreifendes Identity Management als Basis für die effiziente Nutzung nachgeordneter IuK-Dienste schaffen. Nur mit einem Iden-titätsmanagement (IDM) kann die historisch gewach-sene Vielfalt vereinheitlicht werden. Ein IDM bietet die Möglichkeit zur einheitlichen, auch hochschulüber-greifenden, Verwaltung von Personendaten mit ent-sprechenden Kontaktinformationen, Rollen und (Zugriffs-)Rechten. Es geht über die reine Identifikation in einem übergeordneten Verzeichnis deutlich hinaus, indem es dafür sorgt, dass dem Benutzer auf allen Systemen, auf denen ihm Rechte zustehen, diese Rechte ohne weitere Anträge und Verwaltungsvorgänge automatisch eingerichtet und ggf. auch wieder entzogen werden (Provisioning). Gleichzeitig werden die ausschließlich von der Anwendung genutzten Daten auch nur von der betreffenden Anwendung gespeichert und genutzt.
In der AG Basisdienste waren alle Hamburger Hoch-schulen, das MMKH und die Behörde für Wissenschaft und Forschung (BWF) vertreten. Die Universität hatte folgende Personen entsandt: Claus Czygan (WiSo-Fakultät), Bodo Krause-Kyora (MIN-Fakultät), Dr. Stefan Gradmann (RRZ, Moderator der AG), Dr. Hans-Joachim Mück (MIN-Fakultät) und Angelika R. Ru-dolph (RRZ).
„In der ersten Phase hat sich die Arbeitsgruppe Basisdienste inhaltlich mit Themen im Umfeld der physischen und logischen IT-Infrastruktur der Hochschulen befasst. Ein Ziel ist es gewesen, gemeinsame Hand-lungsempfehlungen oder abgestimmte technische Grobkonzepte zu formulieren. Um mögliche Synergie-effekte auch nutzen zu können, galt es, bereits vorhan-dene Entwicklungen an den Hochschulen, aber auch eigene Vorleistungen in Form von Untersuchungen oder Konzepten angemessen zu berücksichtigen. Eben-so wurden Untersuchungen anderer Hochschulen auf Relevanz für die Arbeitsgruppe hin untersucht. Weiter wurden im Rahmen der Arbeitsgruppe externe Berater aus Forschung und Wirtschaft zur Vorstellung von Produkten und Lösungsansätzen eingeladen. Andere hochschulische Einrichtungen, die einzelne Lösungen bereits implementiert haben oder Testinstallationen betreiben, wurden zum Erfahrungsaustausch besucht“ (aus dem Abschlussbericht der AG, internes Papier).
Die erste Phase des Projektes wurde Anfang 2006 mit einem Abschlussbericht abgeschlossen, auf dessen Grundlage eine zweite Phase, die 24 Monate dauert, erfolgreich beantragt werden konnte. In der im Jahre 2007 begonnenen zweiten Phase sollen wesentliche Schritte zur Operationalisierung dieses Konzeptes durch Aufbau eines Pilotsystems durchgeführt werden. In dieser zweiten Phase arbeiten aktuell folgende Per-sonen aus der Universität in dem Projekt mit: Dr. Gunnar Dietz (RRZ, Projektmitarbeiter für 2 Jahre), Bettina Kuhlmann (RRZ), Angelika R. Rudolph (RRZ, Leitung). In einer anschließenden dritten eCampus-Projektphase soll das zu erstellende Pilotsystem dann auf alle Hamburger Hochschulen im Sinne eines Hamburg-weiten Identitätsmanagements (IDM) übertragen und in den Routinebetrieb übernommen werden.

Mehrwert eines Hamburg-weiten IDM-Systems
Die Einführung einer gemeinsamen Identity-Management-Lösung für alle Hamburger Hochschulen bietet unmittelbare und mittelbare Vorteile auf unterschiedli-chen Ebenen und für die verschiedenen beteiligten Gruppen, für die Studierenden ebenso wie auch für die Lehrenden und Forschenden, das Personal im technischen Umfeld ebenso wie die Beschäftigten im Ver-waltungsbereich. Ein Mehrwert ist zu erwarten auf der Benutzungsebene, auf der IT-Administrationsebene, auf der Verwaltungsebene für Studien- und For-schungsprozesse und nicht zuletzt auf der entwicklungsorientierten Infrastrukturebene. Die folgende Aufzählung zeigt eine Auswahl der zu erwartenden Vorteile.

Vorteile für Studierende:
• Automatische Erstellung einer Zugangsberechti-gung (UserID, Account, Login-Name), eines nur der/dem jeweiligen Studierenden zugänglichen Passwortes unmittelbar nach der Immatrikulation. Damit kann die Studentin bzw. der Student sofort die Kommunikationsstrukturen der Hochschule nutzen.
• Automatische Verlängerung der studentischen Be-rechtigungen nach erfolgreicher Rückmeldung bzw. automatische Löschung dieser Zugangsberechti-gungen bei Verlassen der Hochschule.
• Übertragung aller Studierendendaten zeitnah von den einschlägigen Quellsystemen automatisch an das IDM-System und somit an die entsprechenden Zielsysteme, die in unterschiedlichen Hochschulen stehen können. So wird z.B. gewährleistet, dass die Studierenden sich bereits frühzeitig um Praktikumsplätze, Prüfungstermine u.ä. kümmern können.
• Bereitstellung bestimmter Dienste unter Verwendung des Accounts noch vor Studiumsantritt:
o E-Mail Zugang mit persönlicher Adresse
o Persönlicher Bereich auf einem zentralen Dateisystem zur Speicherung eigener Dateien (Homedirectory)
o Department- und Fakultäts-Fileshare (aufgrund der Departmentzugehörigkeit erhält der Studie-rende automatisch Zugriff auf diese beiden öf-fentlichen Speicherbereiche)
o Funknetz-Zugang (Zugriff auf das Netzwerk über die WLAN-Infrastruktur)
• Schnelle und unkomplizierte Passwortänderungen und ggf. Neuvergabe von jeder internetfähigen Ar-beitsstation aus mit automatischer und zeitnaher Verteilung an alle angeschlossenen Zielsysteme.

Vorteile speziell für Lehrende und Forschende:
• Entlastung von organisatorischen Aufgaben, speziell am Anfang eines Semesters.
• Vereinfachte Kommunikationsmöglichkeiten mit den eigenen Studierenden durch standardisierte Mail-Adressen, aufgabenorientierte Autorisierungsverfahren, wie etwa Zugriffssteuerung auf studienrelevante Applikationen und Daten.
• Einfache und sichere Bereitstellung von Studienmaterialien durch zentrale, standardisierte Datenhaltung.
• Standardisierte und einfache Nutzung gemeinsamer Daten im Forschungsumfeld zeit- und ortsunabhängig.

Vorteile für alle Beschäftigten der Hamburger Hochschulen:
• Reduzierung von Komplexitäten im Verwaltungsumfeld durch hochschulübergreifende Strukturen.
• Nutzung des Intranets mit der standardisierten Zu-gangsberechtigung zur Optimierung bestimmter Arbeitsprozesse in zentralen Bereichen – wie z.B. beim Personalservice.
• Automatische Erstellung einer Zugangsberechti-gung (UserID, Account, Login-Name), eines nur der/dem jeweiligen Beschäftigten zugänglichen Passwortes direkt zur Dienstaufnahme.
• Zeitnahe Änderungen an Personendaten mit unmit-telbarer Provisionierung in die angeschlossenen Zielsysteme. Hierdurch ergeben sich wesentlich kürzere Verarbeitungszeiten.

Vorteile für die IT-Administration der Hamburger Hochschulen:
• Senkung des Administrationsaufwandes für die angeschlossenen Zielsysteme. Die den Departments nun zusätzlich zur Verfügung stehende Zeit kann zur weiteren Verbesserung des Benutzerservice mit seinen ständig steigenden Anforderungen genutzt werden.

Fazit
Die aufgeführten Beispiele zeigen, welche Vorteile von einem gemeinsamen Identity Management zu erwarten sind. Die Entscheidung, nicht nur auf Universitätsebene, sondern zeitgleich dazu auch hochschulübergreifend die Einführung von Identity Managment voranzutreiben, bietet die Möglichkeit, den dringend erforderlichen universitären Konsolidierungsprozess fortzusetzen, ohne dabei die übergreifenden Aspekte aus den Augen zu verlieren. Im Zuge des sich ausbreitenden Wettbewerbs zwischen den Hochschulen, national, aber auch international, ist es erforderlich, dass sich die Hamburger Hochschulen nach außen hin gemeinsam präsentieren. Ein gemeinsames IDM-System bietet dafür ein – zwar indirektes, aber bedeutendes – Hilfsmittel bei der Positionierung in der Hochschulland-schaft.
Der vorliegende Beitrag soll einen ersten Eindruck über das gemeinsame Projekt eCampus und insbesondere über den Aspekt Identity Management geben. Es ist geplant, im Laufe der nächsten Monate weiter über den Fortschritt des Projektes zu berichten. Gerne ist die Autorin bereit, auch stärker ins Detail zu gehen und die technischen Aspekte genauer zu beleuchten. Um sich dabei besser an den tatsächlichen Bedürfnissen orientieren zu können, sind Fragen, Anregungen oder Wünsche sehr willkommen, am besten an die Mail-Adresse

angelika.rudolph(at)rrz.uni-hamburg.de

Autor: Klaus Tormählen, Stand: 10.04.2008 09:44 Uhr
 Impressum