Home | Impressum | Sitemap | KIT
Bild HH
Projektleitung
Prof. Dr. Hannes Hartenstein
Direktor des Steinbuch Centres for Computing (SCC)

Tel. +49 721 608-46351

E-Mail: hannes hartensteinJpk9∂kit edu

Karlsruher Integriertes IdentitätsManagement (KIM-IDM)

Service und Sicherheit

KIM am KITDie einzelnen Institute und Einrichtungen des KIT verfügen über eine Vielzahl von Datenbanken und Verzeichnissen, die personenbezogene Daten speichern. Das Projekt Karlsruher Integriertes Identitätsmanagement (KIM-IDM) hat diese einzelnen Identifikatoren zu einer Entität zusammengefasst und Studierende wie Mitarbeiter dadurch erheblich entlastet. Zu den zentralen Zielen gehörten

  • ein sicherer Zugriff auf alle universitätsrelevanten Informationen und Resssourcen
  • die Vermeidung wiederholter Angaben persönlicher Daten
  • die schnelle und einfache Integration neuer Dienste
  • die Aufrechterhaltung der Eigenständigkeit der verschiedenen Institute und Einrichtungen

 

Technisches Konzept des Projektes

Während im universitären Kontext ein zentraler Ansatz als Basis für ein Identitätsmanagement weit verbreitet ist, verfolgte KIM-IDM einen förderativen Ansatz. Dabei wird das KIT als Ansammlung verschiedener Organisationseinheiten in unterschiedelichen Sicherheits- und Vertrauensdomänen betrachtet, welche eine Vertrauensbeziehung zueinander aufgebaut haben. Im Gegensatz zum zentralen Ansatz, bei welchem Anwendungen prozessbezogener Daten aus dem Meta Directory beziehen, erhalten Anwendungen bei einem förderativen Ansatz die Daten über Dienstschnittstellen oder auch über lokal vorliegende Datenquellen, welche durch ein Provisionierunssystem gespeist werden. Vorteile des förderativen Ansatzes sind

  • die Möglichkeit der dezentralen Datenerhaltung
  • die Kontrolle der organisatorischen Einheiten (Satelliten) über sämtliche Zugriffsrechte konnte erhalten bleiben; eine vollständig zentralisierte Zugriffskontrolle entfällt
  • bestehende Systeme der Satelliten konnten durch den Einsatz dedizierter Schnittstellen, die einen Datenzugang ermöglichen, ohne tiefgreifende Veränderungen integriert werden

Aufgrund der gewählten Architektur kann das System sukzessiv erweitert und die Integration weiterer organisatorischer Einheiten schrittweise fortgeführt werden. Hierbei wird das förderative Identitätsmanagement als fortlaufender Prozess verstanden; die Förderation kann sich in diesem Kontext kontinuierlich weiterentwickeln.

 

Organisatorische Festlegungen

Personenbezogene Verwaltungsprozese wurden so organisiert, dass nicht mehr der Verwaltungsprozess, sondern die Person im Vordergrund steht. Im Rahmen des Projektes KIM-IDM wurden Prozesse für folgende Personengruppen festgelegt und umgesetzt:

1. Provisionierung und Deprovisionierung der Mitarbeiter an Campus Süd und Campus Nord

  • Alle Lehrbeauftragten werden über das Personalsystem des KIT gepflegt
  • Es wurde eine Regelung für Partnerinstitutionen, wie bspw. das "International Department" gefunden
  • Derzeit wird ein Verfahren eingeführt, wie Mitarbeiter, die nicht in einem Beschäftigungsverhältnis stehen, in das IDM aufgenommen werden.

2. Provisionierung und Deprovisionierung der Studierenden

  • Durch Einführung eines Zweibrief-Verfahrens erhalten die Studierenden unmittelbar nach der Immatrikulation Zugriff auf das Studierendenportal
  • Derzeit wird eine Regelung erarbeitet, nach der die Deaktivierung des Accounts erst nach Bewertung aller Prüfungsleistungen erfolgt, unabhängig davon, ob sich der Studierende bereits exmatrikuliert hat

Es stehen im Rahmen eines Folgeprojektes weitere organisatorische Änderungen an, die die erreichten Änderungen weiterhin verfeinern.

 

Projektergebnisse

Mit dem Projekt KIM-IDM wurde die Basis für ein integriertes Identitätsmangement am KIT geschaffen: die Authentifikation der Benutzer wurde erleichtert, IT-gestützte Geschäftsabläufe über System- und Einrichtungsgrenzen hinweg wurden ermöglicht und Identitätsinformationen können jetzt problemlos konsistent gehalten werden. Darüber hinaus wurden Aspekte des Sicherheits- und Datenschutzes verbessert und die Produktivität in Forschung und Lehre erhöht. Eine Zentralisierung erfolgte soweit, dass Einrichtungen entlastet wurden, aber in der Durchführung ihrer spezifischen Aufgaben nicht behindert werden. Zu den zentralen Ergebnissen des Projektes zählen außerdem

  • die Erarbeitung eines förderativen Konzepts
  • klare Prozesse und Zuordnung von Verantwortlichkeiten
  • die Synchronisation der Personendaten
  • die Belieferung von Authentifikationsdiensten
  • die Realisierung von Portaldiensten
  • der datenschutzgerechte Umgang mit personenbezogenen Daten

Zu diesem Projekt gibt es einen ausführlichen Projektabschlussbericht. Sollten Sie daran Interesse haben, wenden Sie sich bitte an Sebastian Labitzke.

Das Projekt KIM-IDM endete Ende Juni 2009 und wurde in den Betrieb des Steinbuch Centre for Computing (SCC) überführt.