Service-Kategorie: Account & Zugang

Das System zum Identitätsmanagement (IDM) bildet die grundlegende Infrastruktur zur Verwaltung der Berechtigungen, die Personen  für den Zugriff auf in der Regel IT-basierte Ressourcen der Universität benötigen. Das IDM bezieht seine Informationen überwiegend automatisiert aus den Verwaltungssystemen für Studierende und Beschäftigte der Universität Ulm sowie den Beschäftigten des Universitätsklinkums Ulm (Quellsysteme) und legt aufgrund vorgegebener Berechtigungsschemata Konten und Gruppen in Zielsystemen an, die den Zugang zu Dienstleistungen ermöglichen.

Das IDM realisiert so eine weitgehend automatisierte, rechtssichere und nach dem Grundsatz der Datensparsamkeit arbeitende Verwaltung der Identitäten der Universität. Darüber hinaus wird eine delegierte Verwaltung von Gruppen realisiert. Nur Berechtigte erhalten Zugriff auf lizenzierte Inhalte/Software und Identitäten, außerdem werden nicht mehr benötigte Daten zeitnah gelöscht.

Über ein Web-Frontend können in Abhängigkeit von der individuellen Rolle bzw. dienstlichen Tätigkeit zahlreiche Self Service-Funktionen genutzt werden (z.B. Passwortänderung, Registrierung von Token für MFA, Dienste zur Nutzung hinzubuchen). Die Verwaltung von Gruppen wird mit Hilfe des Teilsystems Grouper an verantwortliche Personen in den Einrichtungen delegiert.

Login: IDM Self Services

Login: Grouper Self Services

Leistungsmerkmale

Backend & Architektur

• Bereitstellung einer konsistenten Datenbasis von Personen in Form von digitalen Identitäten. Den Personen wird  in Abhängigkeit von ihren Rollen (z.B. Studierender, Beschäftigter) die Nutzung von Ressourcen der Universität Ulm (z.B. Zugriff auf lizenzierte Inhalte, Software, E-Mail etc.) gestattet.
• Technische Implementierung und Durchsetzung der von der Universität Ulm festgelegten Regeln, nach denen Personen in Abhängigkeit ihres Verhältnisses zur Universität Zugang zu den Ressourcen erhalten dürfen.
• Automatisierter Abgleich von Identitätsdaten aus autorisierten Quellsystemen.
• Nicht in den Quellsystemen geführte Identitäten, denen jedoch die Nutzung von Ressourcen zusteht, können über für die jeweilige Nutzergruppe zuständige Anlaufstellen eingetragen werden. Die Prüfung der Anspruchsberechtigung obliegt den Anlaufstellen und muss in regelmäßigen Zeitabständen zwingend erneuert werden.
• Zuweisung von verschiedenen Rollen an die Identitäten. Prominente Rollen sind: Studierende, Beschäftigte Uni, Beschäftigte Klinik, Gäste, Alumni
• Provisioning-Area: Automatische, rollenabhängige Provisionierung von Accounts in Zielsysteme incl. deren Aktualisierung und Löschung. Zielsysteme sind beispielsweise E-Mail, Active Directory, LDAP und Drucken im Netz.
• Multifaktor-Authentifizierung (MFA): Backend Service für die Verwaltung und Validierung von Token als zweitem Faktor bei der Authenfizierung mit dem kiz-Account.
• Einhaltung der für das föderierte Identitätsmanagement der baden-württembergischen Hochschulen (bwIDM) festgelegten Bestimmungen, insbesondere zum Datenschutz und zur Vorhaltung korrekter Identitätsdaten und ausreichender Protokoll-Informationen zur ggf. erforderlichen Aufklärung in Missbrauchsfällen. Ferner wird sichergestellt, dass die Nutzer auf die in der Föderation geltenden Policies hingewiesen und zu ihrer Einhaltung verpflichtet werden können. 

Web-Frontend (Self Services)

Das allgemeine Web-Frontend ermöglicht allen Personen, die über einen kiz-Account verfügen einen Zugang zur Verwaltung ihrer Accounts und Dienste-Abonnements. Personen können zusätzliche Berechtigungen (z.B. Kostenstellenverantwortlicher, Anlaufstelle) zugewiesen sein, mit denen sie erweiterte Self Service-Funktionen ausführen können.

• Standard („Mein IDM“):
  • Datenspiegel anzeigen
  • Übersicht anstehender Verwaltungsaufgaben innerhalb des IDM
  • Abonnierte Dienste (verpflichtende und optionale) anzeigen
  • Optionale Dienste hinzubuchen und kündigen
  • Passwort in einem oder mehreren der an das IDM angebundenen Systeme ändern
• Registrierung von Hardware-Tokens, die von den jeweiligen Ausgabestellen an der Universität bereitgestellt werden, zur Verwendung als zweitem Faktor mit Diensten des kiz. Die produktive Inbetriebsetzung erfolgt phasenweise: ab Herbst 2023 mit den Beschäftigten der Zentralen Verwaltung, danach allen anderen Beschäftigten und schließlich mit den Studierenden. Abhängig von der Nutzergruppe kommen verschiedene Arten von Tokens zum Einsatz. Ebenfalls sukzessive werden Dienste des kiz an die MFA-Infrastruktur angebunden, beginnend mit dem Netzzugangsdienst VPN.
• Kostenstellenverantwortliche können für die eigenen Kostenstellen folgende Self Services nutzen:
  • Anträge anderer Personen zur Abrechnung kostenpflichtiger Dienste über die verantworteten Kostenstellen (Abonnements) akzeptieren oder ablehnen
  • Abonnements bearbeiten
  • Rechte an einen oder mehrere Stellvertreter delegieren
• Mitarbeiter der Anlaufstellen haben die Möglichkeit, Identitäten von Personen, die nicht in den Quellsystemen vorhanden sind, aber zur Nutzung bestimmter Ressourcen berechtigt sind, anzulegen (z.B. Alumni, Lehrbeauftragte) und ggf. zu verlängern.
• Mitarbeiter des kiz-Helpdesks:
  • Zurücksetzen von Nutzer-Passwörtern
  • diverse Recherche-Möglichkeiten zu Supportzwecken (z.B. Kostenstellen und Verantwortliche, Rollen und zugeordnete Berechtigungen, Studiengänge etc. 

Grouper (Self Serives)

Der Grouper bietet Eigentümern von Organisationseinheiten die Möglichkeit, eigenständig Gruppen anzulegen und zu verwalten. Diese Gruppen stehen in diversen Zielsystemen zur Verfügung, um dort die Rechtevergabe mit ihrer Hilfe zu vereinfachen. Eigentümer können ihre Rechte in Grouper an weitere Personen delegieren, die dann zusammen mit ihnen als IT-Verantwortliche der jeweiligen Organisationseinheit über Gruppenzugehörigkeiten Berechtigungen in den Zielsystemen festlegen und pflegen.

Nutzergruppen

Mitglieder und Angehörige der Universität Ulm

Dienstleistungszeiten

24 x 7 x 365

Antragsmodalitäten

N/A

Gebühr / Entgelt

Für den Service werden keine Gebühren oder Entgelte in Rechnung gestellt. Sofern über die Self Service-Funktion des IDM-Portals Dienste hinzugebucht werden, entstehen ggf. Kosten für die Nutzung dieser Dienste.