Trip Report: Abstimmung IDM Unterstützung zwischen MPDL und GV 20160107

MPDL

Zeit und Ort: 7. Januar, 10-12:00 Uhr in der MPG Generalverwaltung

Teilnehmer: Alexander Seitz (GV), Julius Benkert (GV), Erik Altmann, Michael Franke, Inga Overkamp, Bastien Saquet, Matthias Walter

Motivation: Die Leitungsebenen der MPDL und GV-IKT (Herr Suckfüll, Herr Sander) haben festgestellt, dass es in den jeweiligen Einheiten ähnliche Anforderungen an ein MPG-weites Identity & Access Management (IAM/IDM) gibt. Dieser Termin auf "operativer Ebene" diente zum Kennenlernen des aktuellen Stands des IKT-Projekts, um so mögliche Aktivitäten miteinander abzustimmen, z.B. in Hinsicht auf Anforderungsaufnahme, Anbindungsmöglichkeiten und Zeitplan.

Agenda:
 * Vorstellungsrunde
 * Vorstellung IDM Projekt
 * Anforderungen / Wünsche MPDL
 * Planung der nächsten Schritte

Notizen:

Zum Stand des IKT-IAM-Projekts, s. die Folien zu Julius Benkerts Vortrag "GV-Programm Identity- & Access-Management" auf dem DV-Treffen der MPG, (23.09.2015).

Die Nutzung des IAMs ist in folgenden Gesamtbetriebsvereinbarungen geregelt - dort finden sich auch einige Einblicke in Technik und Abläufe
 * Gesamtbetriebsvereinbarung zu IAM (vor allem: Anlagen 2+3)
 * Gesamtbetriebsvereinbarung zu PVS (vor allem: Anlage 7)

Schwerpunkt/Ziel des Projekts: Einheitliche Nutzerverwaltung fuer die IKT-Dienste der MPG Generalverwaltung - auf der Basis der durch die Personalverwaltungen im "Personalverwaltungssystem" (PVS) gesammelten Mitarbeiterdaten, d.h. jeder künftige Nutzer eines IKT-Dienstes muss im PVS angelegt sein.

Schritte:
 * IAM-1: Basisplattform & Pilot (4 IKT-Anbindungen), Anfang 2016 abgeschlossen
 * IAM-2 bis -n: Anbindung weiterer IKT-Dienste
 * Bearbeitung weiterführender Themen, z.B. Reporting, Single-Sign-On MPG weit und Austausch von Daten mit MPIs (Institut-IT)

Frage "Zu welchem Personenkreis finden sich Daten im PVS?"
 * Theoretisch sollten im PVS alle Personen angelegt werden, die für die MPG tätig sind oder waren
 * Dies umfasst sowohl die Institute der MPG e.V. als auch alle selbständigen Einrichtungen (inkl. Kofo, Caeser, Luxemburg)
 * Ich hatte notiert, dass selbständige Einrichtungen noch eine offene Punkt ist --Bastien (talk) 10:46, 8 January 2016 (UTC)
 * Stimmt, sie hatten erwähnt, dass z.B. das KoFo zum jetzigen Zeitpunkt noch "fehlt", aber grundsätzlich soll das PVS auch die Nutzer der selbständigen Einrichtungen umfassen --Inga (talk) 12:25, 8 January 2016 (UTC)
 * Die Institute sind aufgefordert auch "Tätige" ohne einen Arbeitsvertrag mit der MPG anzulegen, also z.B. externe Mitarbeiter oder Gäste
 * Ehemalige Mitarbeiter bleiben im System erhalten, aber die Accounts sind für die Anmeldung gesperrt (es sei denn sie erhalten einen Gast-Status)
 * Die Pflege/Vollständigkeit der Personaldaten obliegt den Instituten (bzw. deren Verwaltungen)

Aufbau "IAM/IDM"-System der IKT:
 * Aus dem PVS-System werden die relevanten Nutzerdaten ins IAM/IDM-System geladen
 * Hinzukommen dann noch die sogenannten "Aufbauorganisationsdaten" (wichtig für Genehmigungsworkflows - im Notfall der Verwaltungsleiter)
 * Außerdem werden die relevanten Benutzerprozesse vom PVS an das IAM/IDM-System gemeldet, z.B. Maßnahmen wie das Einstellen/Ausscheiden eines Mitarbeiters und der Zeitpunkt dieser Maßnahme
 * Im IAM/IDM werden dann "servicespezifisch" Berechtigungen ermittelt/verwaltet, z.B. automatisch durch die Organisationsstruktur oder explizit durch einen definierten Bestellungs- und Genehmigungsprozess. Dazu legen die jeweiligen Serviceverantwortliche jeweils die Kriterien bzw. Genehmigungsprozesse fest
 * Mittelfristig soll es möglich sein, Personen zu kennzeichnen um ihnen spezielle Rechte zu übertragen
 * Aus dem IAM/IDM-System werden die Nutzerdaten + Berechtigungsdaten in die Zielsysteme (z.B. Active Directory, SAP) eingespielt
 * Daten (bzw. Metadaten) aus dem IAM/IDM-System sollen in Zukunft mit MetaDir (GWDG) Daten synchronisiert werden:
 * Ziel ist bessere Datenqualität zu ermöglichen, da beide Systeme verschiedene Informationen enthalten
 * Noch nicht umgesetzt: Es fehlt noch ein "Unique Identifier", um die Entities zu identifizieren

Abstimmung möglicher IAM/IDM-Services für die MPDL:
 * Für das IAM/IDM-System soll eine (PUSH-)Schnittstelle implementiert werden. Ein Entwurf der Schnittstellen-Spezifikation ist für Q2 oder Q3 2016 zu erwarten und wird dann mit der MPDL (als möglicher Pilot) geteilt
 * Die zentrale Implementierung einer Authentifizierungs-Dienstes und Spezifikation von Genehmigungsprozessen ist aber erstmal nur für die IKT-Services geplant, d.h. die MPDL könnte zwar die Nutzer- und Organisations-Daten erhalten, müsste die benötigten Services dann selber bereithalten. Diese Form der Datenweitergabe ist bereits mit dem Gesamtbetriebsrat abgestimmt
 * Im Besonderen ist derzeit nicht geplant, einen nach außen sichtbaren Authentifizierungsservice (z.B. auf Basis des Shibboleth-Protokolls) einzurichten. Die wäre zwar technologisch einfach möglich, aber "politisch" problematisch?
 * Die Nutzerdaten liegen bereits in einem Active Directory, auf das jeder Verwaltungs-PC Zugriff hat. Bei Interesse an den Daten (z.B. für einen Abgleich) kann man sich an Georg Stockinger wenden.
 * Außerdem pflegt die MPG-GV institutsspezifische Basisdaten, s. https://intranet.mpg.de/institute/APGV/Seiten/default.aspx

Offene Fragen:
 * Warum soll die Pilotschnittstelle mittels PUSH Daten ausliefern und welche Technik steht dahinter
 * In wie fern macht einen MPG-weit SSO basiert auf "IAM/IDM"-System der IKT Sinn, wenn kein zentral IAM/IDM-Service gewünscht ist?
 * Vielleicht handelt es sich dabei aber auch um ein Missverständnis und - zumindest MPG-intern - wird die Authentifizierung am "IAM/IDM"-System der GV/IKT möglich sein? --Inga (talk) 12:25, 8 January 2016 (UTC)