KIM-IDM - Karlsruher Integriertes InformationsManagement (Identitätsmanagement)

​Das Ziel von KIM ist die Erhöhung der Exzellenz in der Lehre. Erreicht werden soll dieses Ziel durch die Verbesserung der Integration der verfügbaren Systeme und Daten und die Nachvollziehbarkeit und Vereinfachung der zu Grunde liegenden Geschäftsprozesse.

In erster Linie sollen dabei vorhandene Systeme auf der Basis einer serviceorientierten Architektur zusammengeschaltet werden, so dass unter Berücksichtigung aller derzeit bekannten Sicherheitstechniken den Lernenden und Lehrenden umfassende Information über die studienrelevanten Vorgänge gegeben werden können.

Der Fokus des Forschungsbereichs DSN innerhalb des Projektes KIM liegt im Bereich Datensicherheit und Datenschutz. Beides ist in diesem Projekt entscheidend, da unmittelbar personenbezogene und daher auch sensitive Informationen von den zu integrierenden Systemen verarbeitet werden. Um IT-gestützte Geschäftsabläufe über Einrichtungs- und Systemgrenzen hinweg zu ermöglichen und Identitätsinformationen konsistent zu halten, wird ein integriertes Identitätsmanagement benötigt. Hierfür definiert das Projekt KIM-IDM als Ziel den Aufbau eines universitätsweiten integrierten Identitätsmanagement zur Vereinfachung der Nutzung und Bereitstellung von IT-Diensten sowie zur Erhöhung der IT-Sicherheit.

KIM IDM Poster

Jahresberichte zum Projekt Karlsruhe Integriertes InformationsManagement (KIM)

Berichtsjahr 2009

Die Forschungsgruppe DSN beschäftigt sich mit der Konzeption, Entwicklung und Integration identitätsbezogener Dienste für verteilte Systeme in heterogenen IT-Landschaften. Shibboleth, als eine im universitären Kontext weit verbreitete, organisationsübergreifende Single Sign-On-Lösung, wurde im laufenden Berichtsjahr dahingehend erweitert, dass auch verteilt vorliegende Identitätsdaten zum Austausch mit Föderationsmitgliedern genutzt werden können. Mit dem erzielten Beitrag können vor dem Hintergrund des föderativen Paradigmas, das konzeptionell größere Organisationen wie das KIT als Föderation ihrer Einrichtungen betrachtet, zukünftig nutzerfreundlich unter anderem Deutschland-weit Dienste im Rahmen der DFN-AAI mittels einmaliger Authentifikation genutzt werden. Ein weiterer Schwerpunkt lag in der quantitativen Bewertung identitätsbezogener Dienste mit der Entwicklung passender Strategien für Lasttests und Fehleranalysen. Hierauf aufbauend wurden Ansätze zur Leistungsbewertung von Identitäts- und Zugriffsmanagement (IAM)-Systemen erarbeitet sowie Simulationen zu deren Vergleich durchgeführt. Diese Untersuchungen dienen als Grundlage für Entwurfsentscheidungen während der infrastrukturellen Planung und Dimensionierung von IAM-Systemen und dem Design identitätsbezogener Dienste. Darüber hinaus wurde eine der wesentlichen Herausforderungen des IAM mit der Wahrung der Konsistenz verteilter personenbezogener Daten adressiert. Fundamentale Beiträge hierfür wurden durch die Schärfung des Konsistenzbegriffs und die Konzeption geeigneter Mechanismen hinsichtlich föderativer Umgebungen geliefert. Im Gegensatz zur kontrollierten Verteilung personenbezogener Daten durch IAM-Systeme wird die unkontrollierte Ausbreitung solcher Daten durch das Internet und insbesondere soziale Netze gefördert. Im Fokus unserer Arbeit stand in diesem Kontext die Modellierung und Simulation von Nutzer- und Systemverhalten, um Auswirkungen der Datenproliferation und den Wirkungsgrad von Gegenmaßnahmen zu quantifizieren.

Berichtsjahr 2008

Im KIM-IDM Projekt ist ein Teil der DSN-Gruppe für die Konzeption und Realisierung eines KIT-weiten Identitäts- und Zugangsmanagements verantwortlich. Das verfolgte Konzept beruht darauf, die Universität bzw. das Karlsruher Institut für Technologie als eine Föderation von Einrichtungen zu betrachten und Identitätsmangementdienste im Rahmen einer Dienste-orientierten Architektur anzubieten. Im dritten Projektjahr wurde das Identitätsmanagement weiter ausgerollt und zusätzlich Institutionen integriert. Fortführende Forschungstätigkeiten im Bereich föderativer Systeme brachten neue Erkenntnisse über die notwendigen Charakteristika eines Identitätsmanagements in verteilten Systemen. Hierbei wurde auch die Basis für ein Kollaborationswerkzeug dediziert für den Einsatz in föderativen, hochverteilten Systemen gelegt. Dieses ermöglicht die Unterstützung und Durchführung organisatorischer und administrativer Aufgaben in verteilten Systemen. Ein weiterer Forschungsschwerpunkt lag auf neuen Herausforderungen bzgl. der Zugriffskontrolle in Service-orientierten, föderativen Umgebungen. Die unterschiedlichen Möglichkeiten der Anordnung von grundlegenden Zugriffskontrollprozessen wie der Authentifikation und Autorisation in verschiedenen Zugriffskontroll-Architekturen wurde auf Basis von grundlegenden Kriterien evaluiert. Dies dient zum einen als Grundlage für Entwurfsentscheidungen während der Anforderungsanalyse oder dem Design von Software in föderativen Umgebungen und zum anderen zur Bewertung bereits realisierter Zugriffskontrollsysteme. Während des Projektjahres konnte der administrierte Personenkreis erweitert werden, wodurch es möglich wurde, basierend auf den Daten der zentralen Universitätsverwaltung jeden Studierenden unmittelbar nach der Immatrikulation mit einer kit.edu-E-Mailadresse und einem dazugehörigen KIT-Benutzerkonto zu versorgen. Dies bildet das Fundament für IT-Dienste des KIT, wie zum Beispiel das KIT-Studierendenportal. Durch das von der DSN-Gruppe entwickelte Identitätsmanagement wurden darüber hinaus weitere Funktionalitäten, wie das Passwortmanagement für das Studierendenportal geliefert. Eine weitere Neuentwicklung des KIM-Identitätsmanagements ist der E-Mail-Alias-Dienst, der am 02. Februar 2009 für alle Mitarbeiter des KIT freigeschaltet wird. Dieser Dienst, der im KIT-weiten Mitarbeiterportal integriert wurde, erlaubt es, zu den bestehenden kit.edu-E-Mail-Adressen jeweils einen E-Mail-Alias pro Mitarbeiter einzurichten. Das Projekt KIM-IDM hatte hierbei die Aufgabe, die hierfür notwendigen, verteilten Prozesse unterstützend zu erarbeiten und ggfs. ein Redesign durchzuführen.

Berichtsjahr 2007

In dem KIM-IDM Projekt ist ein Teil der DSN-Gruppe für die Konzeption und Realisierung eines KIT-weiten Identitäts- und Zugangsmanagements verantwortlich. Das verfolgte Konzept beruht darauf, die Universität bzw. das Karlsruher Institut für Technologie als eine Föderation von Einrichtungen zu betrachten und Identitätsmangementdienste im Rahmen einer dienste-orientierten Architektur anzubieten. Im Laufe des zweiten Projektjahres wurden erste IDM-Dienste produktiv geschaltet. Zunächst wurde ein Identitätsmanagement, das sowohl Institutionen an der Universität als auch am Forschungszentrum integriert, in Betrieb genommen und damit das Fundament für KIT-weite Diensterbringung gelegt. Eines der hierbei verfolgten Ziele ist es, eine Datenkonsistenz kongruenter personenbezogener Daten zu erreichen, ohne die Autarkie und Autonomie der einzelnen organisatorischen Einheiten einzuschränken. Basierend auf den Daten der Zentralen Universitätsverwaltung und des IWR konnte für jeden Mitarbeiter eine E-Mail-Adresse der Domäne kit.edu über das nun etablierte Identitätsmanagement zugeordnet werden. Darüber hinaus bildete das Identitätsmanagement die Grundlage für ein KIT-weites Mitarbeiterportal, das sukzessive mit Funktionalitäten erweitert wurde. Hierfür wurde ein Framework entwickelt, auf dessen Basis die Integration von Anwendungen in das Portal auf effiziente Weise sichergestellt werden kann. So konnte unter anderem die Zuordnung der wissenschaftlichen Mitarbeiter zu ihren Kompetenzfeldern über das Mitarbeiterportal durchgeführt werden.

Publikationen - Projekt KIM-IdM


Integriertes Informationsmanagement am KIT. Was bleibt? Was kommt?
Labitzke, S.; Nußbaumer, M.; Hartenstein, H.; Juling, W.
2010. Informationsmanagement in Hochschulen. Hrsg.: A. Bode, 35–46, Springer-Verlag. doi:10.1007/978-3-642-04720-6_4
Assessing Identity and Access Management Systems Based on Domain-specific Performance Evaluation
Schell, F.; Schaf, A.; Dinger, J.; Hartenstein, H.
2010. Proceedings of the 1st Joint WOSP/SIPEW International Conference on Performance Engineering, San Jose, California, USA, January 28-30, 2010
Identitätsmanagement am KIT : Kurzbeschreibung (Stand : August 2009)
Thorsten Höllrigl; Sebastian Labitzke; Frank Schell; Jochen Dinger; Axel Maurer; Hannes Hartenstein
2009
KIM-Identitätsmanagement : Projektdokumentation
Thorsten Höllrigl; Sebastian Labitzke; Frank Schell; Jochen Dinger; Axel Maurer; Hannes Hartenstein
2009
Federated Identity Management as a Basis for Integrated Information Management
Schell, F.; Höllrigl, T.; Hartenstein, H.
2009. Information technology, 51 (1), 14–23
Performance Evaluation of Identity and Access Management Systems in Federated Environments
Schell, F.; Dinger, J.; Hartenstein, H.
2009. The 4th International ICST Conference on Scalable Information Systems (INFOSCALE 2009), Hong Kong, China, Juni 2009, 90–107, Springer-Verlag. doi:10.1007/978-3-642-10485-5_7
Towards Systematic Engineering of Service-Oriented Access Control in Federated Environments
Höllrigl, T.; Schell, F.; Suelmann, S.; Hartenstein, H.
2008. Proceedings of the 6th IEEE International Conference on Web Services (ICWS 2008), September 23-26, 2008, Beijing, China, Beijing
Integriertes Service-Portal zur Studienassistenz
Allerding, F.; Buck, J.; Freudenstein, P.; Höllrigl, T.; Juling, W.; Keuter, B.; Klosek, B.; Link, S.; Majer, F.; Maurer, A.; Nussbaumer, M.; Ried, D.; Schell, F.
2008. Informatik 2008, Bd. 2. Hrsg.: H.-G. Hegering, 596–601, Gesellschaft für Informatik (GI)
Federated and Service-Oriented Identity Management at a University
Schell, F.; Höllrigl, T.; Hartenstein, H.
2008. Proceedings of 14th European University Information Systems (EUNIS 2008), 24th - 27th of June 2008, Aarhus, Denmark, 59, Aarhus
Föderatives und dienstorientiertes Identitätsmanagement im universitären Kontext
Höllrigl, T.; Schell, F.; Wenske, H.; Hartenstein, H.
2007. Proceedings of the 1st Workshop "Integriertes Informationsmanagement an Hochschulen - Quo Vadis Universität 2.0? " (IIM 2007), Karlsruhe, Germany, 1. März 2007
Föderatives und dienstorientiertes Identitätsmanagement: Konzept und Erfahrungen
Höllrigl, T.; Schell, F.; Wenske, H.; Hartenstein, H.
2007. Praxis der Informationsverarbeitung und Kommunikation, 30 (3), 156–162. doi:10.1515/PIKO.2007.156
Dienstorientiertes Identitätsmanagement für eine Pervasive University
Höllrigl, T.; Maurer, A.; Schell, F.; Wenske, H.; Hartenstein, H.
2006. Informatik 2006, Bd. 1. Hrsg.: C. Hochberger, 70–74, Gesellschaft für Informatik (GI)