Das Projektvorhaben Föderiertes Identity Management.nrw (kurz: IDM.nrw) verfolgt das Ziel ein föderiertes Identity Management (FIDM) umzusetzen. Der Verbund der lokalen IDM-Systeme der Einrichtungen in Nordrhein-Westfalen soll den Nutzenden ermöglichen sich mit nur einem Account jederzeit und überall Zugriff auf die Services der verschiedenen Hochschulen zu verschaffen.
Das IT Center der RWTH Aachen verfolgt dieses Ziel federführend mit den Konsortialpartnern Ruhr-Universität Bochum, Universität Duisburg-Essen und der Fachhochschule Aachen.
Derzeit werden diverse Services an verschiedenen Hochschulen angeboten. Darunter E-Akte.nrw, ORCA.nrw, Sciebo, HPC.nrw, Datensicherung.nrw. Mithilfe der NRW-weiten Föderation werden zukünftig die Dienste der Digitalen Hochschule NRW (DH.NRW) für alle Einrichtungen zugänglich und nutzbar gemacht.
Grundsätzlich ist die Nutzung bereits möglich, allerdings gibt es bislang keine Lösung eines föderativen Zugriffs. Ziel ist es nun, den Nutzenden den Zugriff mit ihrer lokalen ID (Heimat-ID) auf verteilte Services zu ermöglichen. Dabei sind Aspekte der Datensicherheit und die Festlegung gemeinsamer Attribute und Rollen sowie das Verständnis einer einheitlichen Definition im Bereich zentrale Personengruppen besonders wichtig. Zukünftig sollen in den Autorisierungsbereichen NRW-Standards entwickelt werden. Ein bestimmtes Set an Standard-Attributen, welches klar definierte Werte beinhaltet, muss etabliert werden. Teilnehmende Einrichtungen sollen zukünftig dieses Set übernehmen und nutzen, um so zukünftige Serviceanbindungen zu erleichtern.
Des Weiteren gibt es in NRW bislang keine Lösung, der den föderierten Zugriff auf nicht-webbasiert Dienste (z.B. HPC Cluster) ermöglicht. Aktuell werden Einträge in das eigene IDM-System der Hochschule vorgenommen.
Um eine geeignete Technologie zu finden, die dieses Szenario ermöglicht, werden in einem weiteren Arbeitspaket Technologien rund um Authentifizierung und Autorisierung evaluiert. Dazu werden bereits bekannte als auch neue Technologien (z.B. RegApp, Zwei-Faktor-Authentifizierung, OpenID Connect, etc.) anhand von Bewertungskriterien betrachtet. In diesem Zusammenhang wird unter anderem nach Lösungen für eine hochschulübergreifende Gruppenverwaltung gesucht.
Bedarf an einem föderierten Identity Management (FIDM)
Der Zugriff über die lokale ID (Heimat-ID) auf verteilte Services, bedingt die hochschulweite Authentifizierung, die heute bereits über den DFN-AAI möglich ist. Aktuell ist der Zugriff auf webbasierte Services lediglich über Shibboleth möglich. Bislang setzt also der Zugriff auf Nicht-Webdienste (z.B. HPC) einen Eintrag in das eigene Identity Management (IDM) System der jeweiligen Hochschule voraus. Dazu kommt, dass es zum jetzigen Zeitpunkt kein FIDM für NRW gibt, welches die Anforderungen abdeckt (z.B. ausdifferenzierte Rollen). Kooperationen werden durch das Fehlen einheitlicher Prozesse und abgestimmter Schnittstellen verkompliziert.
Um eine breite Nutzung zahlreicher Dienste in einer NRW(-Cloud) zu gewährleisten wird ein FIDM in NRW benötigt. Hier gibt es akuten Entwicklungsbedarf.
In NRW wurde mithilfe der Machbarkeitsstudie Föderiertes Identity Management.nrw eine gemeinsame Vorgehensweise erarbeitet. Die Umsetzung des erarbeiteten Lösungsansatzes führt zu einer vereinfachten Nutzung diverser Services an unterschiedlichen Hochschulen.
Wer ist die Zielgruppe?
Die Zielgruppe des Projektes ist sehr groß. Alle Angehörigen einer Hochschuleinrichtung in NRW unter besonderer Berücksichtigung der Kunst- & Musikhochschulen und Bibliotheken werden einen hohen Nutzen aus IDM.nrw ziehen. In den Hochschulen selbst richtet sich IDM.nrw an Organisationsverantwortliche, Forschende, Lehrende und Studierende.
Das Umsetzungsprojekt
Das Umsetzungsprojekt zur Etablierung eines föderierten Identity Managements in NRW ist in drei Meilensteine eingeteilt. Aktuell befindet sich das Projekt IDM.nrw in der Bearbeitung des ersten Meilensteins.
Folgende Zielsetzung wurde für den Zeitraum von September 2021 bis August 2022 geplant:
- Einrichtung einer NRW-Subföderation im DFN-AAI
- Allianzgründung bwIDM und IDM.nrw mit dem KIT in Baden-Württemberg
- Veröffentlichung des mit dem DFN-AAI abgestimmten Ergebnisses von Gemeinsamen Attributen in NRW und zentrale Personengruppen in Form von NRW Standards
- Empfehlung zur Umsetzung von evaluierten Technologien (u.a. in Kooperation mit bwIDM2) – Evaluierung: testen, bewerten, empfehlen
- Erreichung der Partizipation weiterer Hochschuleinrichtungen
Auch in Zukunft werden wir weiter über den Verlauf des Projektes Föderiertes Identity Management.nrw berichten.
Verantwortlich für die Inhalte dieses Beitrags sind Aylin Gündogan und Morgane Overath.