Einheitlicher Mitarbeiteraccount

Allgemeines

Am Universitätsstandort Göttingen ist ein übergreifendes Identity Management eingeführt worden, um einerseits die Effizienz von Prozessen rund um den personengebundenen IT-Einsatz zu verbessern und um andererseits den stetig anspruchsvoller gestalteten Compliance-Anforderungen zu entsprechen. Bereits seit 2005 unterstützt die GWDG als Kompetenzpartner die Universität Göttingen bei der Verarbeitung und Vereinfachung von Prozessen im Rahmen des Identity Managements. Innerhalb dieses Zeitraums konnten viele lokale Verzeichnisdienste der Universität und der Universitätsmedizin an das IdM-System der GWDG angebunden werden. Als Betreiber des zentralen Identitätsmanagements (IdM) „MetaDir“ sind eine Vielzahl von Workflows aus unterschiedlichsten Bereichen erfolgreich umgesetzt worden und haben nicht unerheblich für eine Vereinfachung der Verzeichnis- und Benutzerverwaltung am Standort Göttingen gesorgt.

Um die am Wissenschaftsstandort Göttingen verfügbaren Dienste wie E-Mail, Massenspeicher usw. möglichst zeitnah und unkompliziert neuen Mitarbeitern von Universität und Universitätsmedizin zur Verfügung zu stellen, werden mit diesem Projekt zukünftig eine Vielzahl von Prozessen automatisiert.

Im Rahmen der Kooperation zwischen

  • Universität Göttingen,
  • Universitätsmedizin (UMG),
  • Staats- und Universitätsbibliothek (SUB) und
  • Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG)

entstand das Projekt „Einheitlicher Mitarbeiteraccount“, mit dem die folgenden grundsätzlichen Ziele verfolgt werden:

  • Einheitliche Verwaltung von Benutzeraccounts für alle Nutzergruppen und Dienste am Wissenschaftsstandort Göttingen
  • Abbildung des kompletten Lebenszyklus des Mitarbeiters von der Ausstattung mit den notwendigen Berechtigungen bei der Einstellung bis hin zum Entzug der Berechtigung bei Vertragsende
  • Erfüllung wichtiger Compliance-Forderungen bezüglich der Ausstattung von Mitarbeitern mit einem persönlichen Account
  • Integration/Erweiterung sowie Vereinheitlichung des Self Services im Rahmen des Kundenportals
  • Vorbereitung für die Etablierung des Single Sign On (SSO)
  • Sicherstellung einer einheitlichen Passwort-Policy für alle relevanten Bereiche

Neben diesen Hauptzielen verfolgen die Projektpartner auch ganz individuelle Ziele, mit denen eine Vereinfachung der Prozesse in den jeweiligen Einrichtungen durch das Projekt erreicht wird. Flankierend zum Projekt wird eine gemeinsame Dienstvereinbarung für die Universität und die Universitätsmedizin in Zusammenarbeit mit der AG „IT-Sicherheit“ und dem Datenschutz zur Freischaltung des Livebetriebs abgeschlossen.

Start des Projektes und die Vorteile für den Standort Göttingen

Die Einführung des Einheitlichen Mitarbeiter Account (EMA) erfolgte ab dem: 04.04.2016

Was bedeutet das?

Kernziel des Projektes ist die automatische Erzeugung eines Accounts eines Mitarbeiters, sobald er einen Arbeitsvertrag mit der Universität bzw. Universitätsmedizin abgeschlossen hat. Eine automatische Deaktivierung des Accounts wird erfolgen, sobald er die Universität/Universitätsmedizin wieder verlässt.

Für die Erzeugung eines Accounts werden hierzu vor Vertragsbeginn in den Personalabteilungen der Universität/Universitätsmedizin die wesentlichen Daten zur Person aufgenommen. Sind alle relevanten Daten vorhanden, wird durch das zentrale Identity Management automatisch ein Account erzeugt und dieser dann, abhängig von der Zugehörigkeit der Person zu einer Institution, in die entsprechenden Zielverzeichnisse geschrieben.

Seit dem Projektstart am 04.04.2016 ist eine manuelle Beantragung von Accounts bei der GWDG nicht mehr erforderlich!

Eine Ausnahme bilden lediglich Personen, die kein reguläres Arbeitsverhältnis mit der Universität/Universitätsmedizin besitzen. Das sind in der Regel Gäste sowie Personen aus anderen Forschungseinrichtungen oder auch administrative Accounts. Für diese Personenkreise besteht auch weiterhin die Möglichkeit der manuellen Beantragung von Accounts bei der GWDG.

Ein Account ist bereits vor Antritt der Tätigkeit an der Universität/Universitätsmedizin für den Mitarbeiter verfügbar.

Das folgende Bild beschreibt die Schritte von der Aufnahme der Daten der Person bis zur Nutzung des neu erstellten Accounts.

Wie und wo kann ich als Benutzer(in) mein Passwort ändern?

Jeder Benutzer kann sein Passwort am zentralen Kundenportal ändern. Dieses steht Mitarbeitern der Universität unter

https://www.gwdg.de

zur Verfügung. Analog können Mitarbeiter in der Universitätsmedizin ein Passwort-Portal über

https://password.med.uni-goettingen.de

verwenden. Dieses Passwort-Portal ist nur aus dem internen Netzwerk der Universitätsmedizin erreichbar,

Die Änderung des Passwortes ist natürlich nur mit einer erfolgreichen Anmeldung mit dem Benutzernamen sowie dem bisherigen Passwort möglich.

Die Rolle der IT-Verantwortlichen und IT-Administratoren der Institute sowie des IT-Servicecenter der UMG

Dem neuen Mitarbeiter steht bei Fragen zu seinem Account der jeweilige IT-Verantwortliche des Instituts als primärer Ansprechpartner zur Verfügung. Existiert kein IT-Verantwortlicher im Institut, so übernimmt die GWDG diese Aufgabe. Bei der Universitätsmedizin füllt diese Rolle das IT-Servicecenter der UMG aus. Für den Bereich der Uni-Verwaltung ist es entsprechend die Abteilung IT der Universität.

Insbesondere die Ausgabe des Accounts inkl. des Kennworts des neuen Mitarbeiters ist in diesem Kontext die primäre Aufgabe des IT-Verantwortlichen im Institut.

Dazu steht dem IT-Verantwortlichen unser zentrales IdM-Portal https://idm.gwdg.de zur Verfügung.

Das IdM-Portal ist ausschließlich Administratoren zugänglich. Benutzeranmeldungen oder Änderungen des eigenen Passwortes sind hier nicht möglich.

Wie bekommt der neue Mitarbeiter seinen Account?

Für die Universität sowie Universitätsmedizin gibt es geringfügig unterschiedliche Abläufe, wie der neue Mitarbeiter zu seinem Account kommt.


Eckdaten des Projektes und Festlegungen

Im Rahmen des Projektes erfolgten einen Vielzahl von Festlegungen insbesondere bei den Prozessen, den Formaten und den Laufzeiten des Accounts.

Vom Projekt betroffene Personenkreise

Ab Projektstart am 04.04.2016 werden ausschließlich Personen berücksichtigt, die ab diesem Zeitpunkt ein Arbeitsverhältnis mit der Universität/Universitätsmedizin eingeben. Das betrifft auch Personen mit einem Wiedereintritt. Für alle anderen bereits existierenden Personen und deren Accounts ändert sich zunächst nichts.

In einer späteren zweiten Projektphase werden auch Personen berücksichtigt, die bereits vor Projektstart einen oder mehrere Accounts besaßen. Hierbei würden diese, ggfs. mehreren Accounts, zu einem einheitlichen Account zusammengeführt, ohne dass dabei etwaige verknüpfte Funktionen verloren gehen.

Passwortrichtlinie: Eine einheitliche Passwort-Policy

Der Benutzung von Passwörtern gehört zum IT-Alltag. Damit Passwörter auch ihren Zweck erreichen, sollten sie bestimmte Qualitätsanforderungen erfüllen. Für den Bereich der Universität Göttingen gibt es dazu eine einheitliche Passwortrichtlinie. Neben den üblichen Komplexitätskriterien bei der Passwortgestaltung soll auch die regelmäßige Änderung des Passwortes für eine möglichst hohe Sicherheit des Passwortes sorgen.

Das Passwort im Rahmen dieses Projektes unterliegt den folgenden Kriterien:

  • Periodische Änderung des Passwortes einmal im Jahr
  • Personen mit Zugang zu SAP-Systemen müssen ihr Passwort alle 3 Monate ändern
  • Mindestens eine Länge von 10 Zeichen
  • Mindestens 1 Buchstabe
  • Mindestens 1 Zahl
  • Mindestens 1 Sonderzeichen
  • Die letzten 5 verwendeten Passwörter dürfen nicht wieder verwendet werden (Password-History)
  • Das erste Zeichen darf kein Sonderzeichen sein
  • Die ersten 3 Zeichen dürfen nicht in derselben Reihenfolge im Benutzernamen vorkommen, nicht identisch sein und keine Leerzeichen enthalten

Die Kriterien für die Gestaltung der Passwörter orientieren sich im Wesentlichen an den Vorgaben der SAP-Systeme von Universität und Universitätsmedizin.

Weitere Hinweise für den Gebrauch von Passwörtern, siehe BSI.

Ein zweites Passwort für sicherheitsrelevante Dienste

Personen, die Zugang zu besonders sicherheitsrelevanten Daten/Diensten besitzen, bekommen hierfür ein zweites Passwort. Mit diesem zweiten Passwort können sie sich dann an den sicherheitsrelevanten Systemen anmelden. Das erste Passwort dient dann für alle anderen Dienste wie z. B. -EMail, Netzwerklaufwerke, EDUROAM u. v. m. Die Einführung eines zweiten Passwortes dient im Besonderen der Sicherheit.

Format des Account-Namen

Der neue Benutzername wird primär aus dem Nachnamen der Person gebildet. Wenn der Name bereits existiert, so wird eine bis zu dreistellige Zahl dem Account-Namen hinzugefügt (Bsp.: mueller132). Diese Nomenklatur entspricht den Vorgaben aus dem SAP-Bereich, welcher integraler Bestandteil des Projektes ist.

Beispiele für Benutzernamen:

  • Karl Heinz Meier: meier17
  • Hermann Paschulke: paschulke
  • Friedrich Hölderlin: hoelderlin
  • Georg Büchner: buechner

Laufzeit/Gültigkeit eines Accounts nach dem Ausscheiden einer Person

Die Laufzeit eines Accounts richtet sich nach der Tätigkeit der Person in der Universität/Universitätsmedizin. Folgende Tabelle zeigt die Abhängigkeit zwischen Tätigkeit und Laufzeit des Accounts nach dem Ausscheiden.

Format der E-Mail-Adresse

Die E-Mail Adresse von Personen, die ab Projektstart ein Arbeitsverhältnis mit der Universität/Universitätsmedizin eingehen, wird

  • Bei Mitarbeitern der Universität aus Vorname.Nachname@uni-goettingen.de gebildet.
  • Bei Mitarbeitern der Universitätsmedizin analog aus Vorname.Nachname@med.uni-goettingen.de.

Die Fakultät ist nicht Bestandteil der primären E-Mail-Adresse. Dennoch besteht im Nachhinein noch die Möglichkeit, zusätzliche E-Mail-Adressen einer Person zuzuordnen, die auch die Fakultät beinhalten.

Details und technische Prozesse im Projekt

Wesentlicher Prozess ist die automatische Übernahme der Daten aus den SAP-HR-Stammdaten. Alle für diesen Prozess relevante Daten einer Person werden im SAP-HR, i. d. R. vor Aufnahme der Tätigkeit, gepflegt. In diesem Prozess werden Maßnahmen wie Eintritt, Austritt, Organisationswechsel abgebildet und führen im Identity Management (IdM) zur Erzeugung neuer oder zur Verknüpfung bereits bestehender Accounts einer Person.

Am IdM angebundene, projektbezogene Verzeichnisse

Im folgenden Bild sind die im Rahmen dieses Projektes am IdM angebundenen Verzeichnisse und deren Datenfluss-Richtungen dargestellt.

Alle „grün“ dargestellten Verzeichnisse sind produktiv am IdM angebunden. Alle „rot“ gekennzeichneten Bereich werden in Kürze am IdM angebunden. Die Verzeichnisse und Dienste in „hellblau“ sind perspektivisch und werden im Laufe des Jahres mit dem IdM verbunden.

Welche Prozesse werden verarbeitet?

Die einzige Quelle für die Daten stellt das SAP-HR dar. Hierüber werden primär die Daten einer Person zum IdM übertragen. In der Folge werden aus eben dieser Quelle auch Aktionen (Maßnahmen) übertragen, die den weiteren Verlauf des Accounts betreffen. Insbesondere Eintritt, Austritt, organisatorischer Wechsel und Sperrung eines Accounts werden über die Daten aus dem SAP-HR zentral gesteuert.

Welche Attribute werden übertragen?

Für die Realisierung des Projektes „Einheitlicher Mitarbeiteraccount“ ist es unabdingbar, dass auch Attribute vom gemeinsamen SAP-HR-System der Universität und UMG zum zentralen Identity Management (IdM) und vice versa übertragen werden. Hierbei gilt auch in diesem Projekt das Gebot der Datensparsamkeit. Also nur die zwingend erforderlichen Attribute werden hierbei gespeichert und verwendet. Die Flussrichtung der Attribute ist in einigen Fällen bidirektional. Die meisten Attribute kommen vom SAP-HR-System, andere Attribute aber werden im IdM selbst gebildet (E-Mail, Username sowie Passwort) und zurück zum SAP-HR übertragen und dort gespeichert.

Weitere Schritte

Mit der Anbindung der SAP-Systeme und der Umsetzung der aus SAP-HR initiierten Maßnahmen konnten viele Prozesse am Universitätsstandort Göttingen automatisiert werden. Noch in diesem Jahr werden weitere Verzeichnisse, welche teilweise auch als Daten-Quelle dienen, am IdM angebunden und liefern damit wichtige Informationen für das Gesamtprojekt. Bereits in den kommenden Monaten erfolgt die Anbindung von:

  1. Karten Management System der Universität (produktiv seit 9/2017)
  2. VoIP System der Universität/Universitätsmedizin (produktiv seit 8/2017)
  3. PICA System der SUB
  4. UniVZ der Universität

Mit jedem weiteren angebundenen Verzeichnis steigt der Nutzen durch die Kombination unterschiedlicher Daten und der Übertragung dieser Daten in die Zielverzeichnisse des Gesamtprojektes. Wenngleich das Projekt über mehrere Jahre entwickelt werden musste, bis es die für einen produktiven Start erforderliche Reife bekommt, ist das mit dem Projekt erreichte Ziel der wesentlicher Schritt in Richtung Vereinfachung von Prozessen im Bereich der Identitätsverwaltung. Dieser erste Schritt ist geschafft, und weitere werden in Kürze folgen, welche dann erheblich zu einer Harmonisierung von Prozessen über Organisationsgrenzen hinweg beitragen werden.

FAQ

FAQ zum Einheitlichen Mitarbeiteraccount


Stand: 9/2017, Andreas Ißleiber, GWDG