Tags:
create new tag
, view all tags

Nethz Visions / Visionen über die Zukunft des IAM-Systems an der ETH

Die untenstehende Liste erhebt keinerlei Anspruch auf Vollständigkeit oder Realisierbarkeit und kann jederzeit angepasst werden.

Allgemein

Web-Service orientiert - der grösste Teil des Systems soll direkt über Web-Services gesteuert werden können, ein GUI soll nicht zwingende Voraussetzung sein, das IAM zu steuern

automatisiert - manuelles Eingreifen in das System soll so selten wie nur möglich notwendig sein, d.h. die Business-Prozesse sollten so vollständig wie nur möglich im System integriert sein

Prozess-orientiert Die Business-Prozesse müssen klar definiert im System hinterlegt werden

Self-documenting Das System und seine Funktionialitäten muss sich selber dokumentieren können

Open Source Das System sollte quelloffen sein, notwendige Erweiterungen sollen unabhängig von Drittfirmen gemacht werden können

Lizenzfrei Das System sollte wenn möglich lizenzfrei sein (gilt selbstredend nicht für Support)

fortschrittliches GUI - die dazugehörige Applikation (zwecks manuellem Eingreifen) soll schlicht, übersichtlich und graphisch ansprechend gestaltet sein. Es soll sich eher wie eine klassische Applikation «anfühlen», weniger wie eine Webseite aus den Neunzigern.

mobile Endgeräte - die zum Identity-Management System dazugehörige Applikation soll auch auf mobile Endgeräten problemlos laufen

Historisierung / Nachvollziehbarkeit - alle erledigten Prozesse sowie auch die geplanten, zukünftigen sollen einsehbar sein.

Reporting - detaillierte Kennzahlen und Statistiken sollten auf eine einfache Art und Weise dem System entnommen werden können

Schnittstellen

Unterstützung aller Industrie-Standards Das System sollte out-of-the-box alle verbreiteten Protokolle beherrschen (siehe Liste in NethzFeatures)

AD-Integration Das System nicht nur blos User- und Gruppenverwaltung beherrschen sondern möglichst alle AD-Objekte verwalten können sowie PowerShell-Skripte ausführen können

Abstraktionsebene Das System sollte eine Abstraktionsebene für alle darunterliegenden Systeme und Directories anbieten

Schwerpunkte und Schwierigkeiten des Projektes «IAM Relaunch» (Brainstorming)

Schwierigkeiten und Herausforderungen mit dem jetzigen IAM-System (nethz)

Organisatorisch

  • Koppeln von ETH-Dienstleistungen ans IAM
    • MOVED TO... Verständnis für Notwendigkeit dazu manchmal nicht vorhanden
    • Einbindung wird erst sehr spät im Projektverlauf disktutiert
  • Leute vom «Inseldenken» zum vernetzten Denken bewegen
  • Schulung von neuen Administratoren läuft nicht immer optimal
  • Personelle Situation
    • jetziges IAM-System läuft mit prekären personellen Ressourcen
    • Stellvertretung ist keine echte vorhanden
    • Know-How auf sehr wenige Personen verteilt
    • zusätzliche Ressourcen fehlen oder werden anderswo eingesetzt
    • maximaler Headcount erreicht?
  • Entscheidungskompetenz der IAM-Gruppe nicht definiert
  • Departemente haben mitunter mehr Einfluss als die ID
    • MOVED TO... Überzeugungsarbeit ist notwendig
    • MOVED TO... nur so werden Entscheide von all mitgetragen

Technisch

  • Technische Hürde zum Active Directory
    • nur beschränkte Möglichkeiten mit der momentanen LDAP-Schnittstelle
  • Prozesse sind im Code implementiert und können nicht graphisch dargestellt werden
  • Status von Workflow-Prozessen nicht generell implementiert (Bsp. Corporate Mobile Network CMN)
  • Integration von bestehenden IAM/ITSM-Systemen in den Departementen mit nethz
  • Migration und Integration von komplexen Systemen wie Mailservern (Bsp. PSI) und Directories ins nethz

Qualitativ

  • was gehört in ein IAM-System, was nicht?
  • Heute gibt es vermutlich viele Funktionen in nethz
    • die sehr ETH-spezifisch sind
    • wo gehören diese hin?
    • welche Funktionen werden üblicherweise von den IAM-Systemen implementiert
  • Kompetenzen ID-intern im Bereich IAM nicht weit verbreitet
  • Bestehende Workflows in ein Lifecycle-Konzept einbetten
  • Begriffe / Glossar ist nicht vereinheitlicht
    • Wildwuchs von neuen Begriffen, wo es bereits bestehende gibt
    • gleiches Verständnis von Begriffen
    • Mapping von internen Begriffen und ITIL Glossar
  • Compliance
    • was bedeutet dieser Begriff konkret für die ETH?
    • es gibt Richtlinien (z.B. BOT), aber keine konkreten «Gesetze» / Anforderungen

Schwerpunkte des zukünftigen IAM-Systems

Organisatorisch

  • Erfahrung mit sehr grossen Projekten fehlt
    • MOVED TO... siehe Einführung CQ5
  • Betrieb
  • Support
  • Schulung
  • MOVED TO... eingespieltes Team mit der jetzigen Lösung
  • Migration / Parallelbetrieb ist nicht nur technisch eine Herausforderung
  • Know-How auf mehrere Leute verteilen

Technisch

  • Direkte und tiefe Integration ins AD
    • Access auf AD-Objekte und Filesysteme
    • Group Policies
    • PowerShell
  • kompaktes, «mächtiges» Framework des IAM-Systems
  • Datenbank-Integration
    • MOVED TO... Oracle, MySQL, DB2, Postgres
  • Standard-Protokolle
    • MOVED TO... LDAP, SMTP, SSH, SCP, Telnet, HTTP, Web-Services, etc.
  • IAM sollte
    • bevorzugt auf UNIX laufen
    • offene Schnittstellen haben (Webservice)
    • verschiede In- / Outputs bieten
    • im hohen Grade vernetzbar sein
  • Time2Market soll nicht tiefer sein als jetzt
  • Integration des Gäste-Tools
    • viele verschieden Gäste-Typen
    • Selbstregistrierte Gäste
  • «partielle» Gruppensynchronisation
  • Bulk creation/update von Usern
    • Kongresse / Kurse
    • Modifikation von AD-Attributen, dsmove

Qualitativ

  • Föderativer und Integrativer Charakter der ETH
  • Was gehört wohin?
    • Acces Management
    • Identity Management
    • Service Management
  • Was ist «Standard», was ist ETH-spezifisch?
  • Was ist der Nutzen / Gewinn?
    • Finanziell
    • Usability
    • Erweiterbarkeit

-- SwenVermeul - 2014-03-04

Topic revision: r8 - 2014-03-05 - glange
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback