Kategorien
Seiten
-

IT Center Blog

Personendatenmodell des Identity Management (IdM)

02. August 2019 | von

Authentifizierung und Autorisierung – zwei große Begriffe, die aus der IT- Welt nicht wegzudenken sind. Sie stehen für Sicherheit und Kontrolle. Aber auch für das Identity Management der RWTH Aachen University.

Hinter der Authentifizierung steckt klassisch die Abfrage eines Benutzernamens und des zugehörigen Kennwortes zum Zweck des Logins. Die Autorisierung setzt nach der Authentifizierung an: Sie verteilt Zugriffsberechtigungen an Nutzende oder ganze Nutzergruppen. Hierzu werden Informationen über die Nutzenden abgerufen.

Zwar kann jeder Dienst sich Informationen zur Autorisierung aus zentralen Systemen wie RWTHonline oder direkt vom Nutzenden abfragen. Jedoch entsteht ein Mehrwert oft erst in der Kombination, die sich durch die Zusammenführung aus verschiedenen Systemen ergibt. Viele teure und zeitaufwendige „kleine“ Schnittstellen – und damit ein unflexibles und immer komplexer werdendes Netz von Abhängigkeiten kann vermieden werden.

Deshalb hat sich die RWTH Aachen University dazu entschieden, ein zentrales Identitätsmanagement zu schaffen. Mit dem Identity Management (IdM) steht der RWTH Aachen University ein effizienter Weg zur Verfügung, Personendaten, die für die Authentifizierung und Autorisierung benötigt werden, zwischen IT-Systemen auszutauschen. Der besondere Vorteil besteht in der Nutzung standardisierter Schnittstellen und insbesondere im zugrundeliegenden Personendatenmodell. Dieses Datenmodell fasst eine bisher unübersichtliche Anzahl von Einzelinformationen in Datenobjekten zusammen – eine Art „Datenpakete“.

Aufbau des Datenmodells

Kern des Modells ist die Identität – die virtuelle Repräsentation einer Person im Identity Management System. Jede Identität hat einen Benutzernamen der Form „ab123456“. Über diese Identität sind alle anderen Datenobjekte einer Person zugeordnet.

Quelle: Eigene Darstellung

Ein weiteres zentrales Objekt im Datenmodell sind die „Connections“. Diese repräsentieren Verbindungen zwischen der digitalen Identität im IdM und den Systemen, aus denen Personendaten in das IdM eingeliefert werden. Sie entstehen in der Regel über das ConnectMe-Couponverfahren, indem Nutzende einen Coupon einlösen und damit eine „Datenleitung“ zwischen dem Quellsystem und dem IdM herstellen. Über diese Datenleitung werden anschließend regelmäßig verschiedene Datenpakete ausgetauscht.

„CoreData“ enthält die grundlegenden Personendaten wie Name und Geburtsdatum bzw. -ort. Weitere wichtige Objekte sind das „Enrollment“ mit den Daten zur Einschreibung (Studiengang, Matrikelnummer etc.) und das „Employment“ mit den Beschäftigtendaten wie Personalnummer und Beschäftigungsdauer.

Auch der Austausch von unterschiedlichen Kontakten wird ermöglicht: das Objekt „Contact“ enthält Informationen über die Art des Kontakts, z. B. ob es sich um eine IdM-Kontakt-E-Mail-Adresse oder dienstliche Telefonnummer handelt. Aber auch der entsprechenden Wert, sprich die Telefonnummer als solche, ist hinterlegt. Schließlich werden noch in entsprechenden Assignment-Objekten Rollen und Zugehörigkeiten zu Gruppen gespeichert.

Nachvollziehbarkeit von Datenflüssen und stabile Prozessunterstützung

Mit dieser Datenstruktur soll die Etablierung von Schnittstellen im Bereich Personendatenaustausch vereinheitlicht und vereinfacht werden. Wenn alle angeschlossenen Systeme ein einheitliches Verständnis davon haben, welche Daten in welcher Form ausgetauscht werden, lassen sich Prozesse mit diesen Daten geeignet unterstützen und Datenflüsse sowie Abhängigkeiten in Prozessen besser nachvollziehen.

Durch die Vernetzung der IT-Systeme hat sich schon jetzt ein sehr hoher Grad gegenseitiger Abhängigkeiten unter den Systemen ergeben. Durch die gemeinsame Nutzung des Personendatenmodells wird eine strukturierte Kommunikation über Daten und abhängige Prozesse ermöglicht. Es ist nun viel einfacher abzuschätzen, welche Auswirkungen Änderungen in einem System auf Konsumenten des gleichen Datenpakets in anderen Systemen haben. Anpassungen müssen nicht mehr eine Schnittstelle in ihrer Gesamtheit betreffen. Es können gezielt Änderungen an einem Datenpaket vorgenommen werden.

Das Datenmodell vereinfacht die Etablierung einer Schnittstelle bei Austausch eines einliefernden Systems (Beispiel: CAMPUS/RWTHonline) oder bei Anschluss eines neuen Systems: die in den Objekten definierten Daten müssen geliefert werden bzw. können von Konsumenten erwartet werden. So können Prozesse unabhängig von eingesetzter Software stabil und dauerhaft unterstützt werden.

Verantwortlich für die Inhalte dieses Beitrags sind Linda Jörres und
Thorsten Kurth.

Kommentare sind geschlossen.