Historie en techniek

Historie en techniek van het Identity & Access Management Systeem (IAM) van de Universiteit Leiden.

IAM

University Leiden Community Network (ULCN) is een verzameling ICT-voorzieningen voor de Universiteit Leiden. Elke student, medewerker en externe krijgt met één account toegang tot relevante toepassingen voor studie of werkzaamheden, zoals werkplekken, uMail, uSis, Blackboard en de Catalogus UBL.

ULCN heeft zich ontwikkeld tot een volwaardig Identity & Access Management Systeem (IAM). Identity & Access Management staat voor het beheren van de rechten en mogelijkheden (autorisaties) van een entiteit (gebruiker of groep). Hiertoe wordt een digitale identiteit (een account) gecreëerd. Daarmee is registratie van aparte accounts in toepassingen overbodig.

Het centrale authenticatie mechanisme is het hart van ULCN en controleert de opgegeven gebruikersnaam en wachtwoord zodra een gebruiker inlogt in een aan ULCN gekoppelde toepassing. Na een succesvolle verificatie wordt toegang verleend.

Twee belangrijke processen zijn: registratie en provisioning.
 
Registratie
De registratie van entiteiten geschiedt in één of meerdere bronsystemen. ULCN kent drie bronsystemen: uSis (voor studenten), SAP (voor medewerkers) en GMS (voor externen). Na registratie creëert ULCN automatisch een account. Het is onmogelijk buiten de bronsystemen om een account te creëren. Wijzigingen vinden alleen plaats in de bronsystemen en worden via transacties doorgegeven aan ULCN.
 
Provisioning
ULCN is de schakel tussen de bronsystemen en de aan haar gekoppelde toepassingen. Provisioning is het doorsturen van accountgegevens naar toepassingen. Deprovisioning is het ontnemen van de toegang.

Historie

  • 2000: start ULCN. Studenten krijgen een ULCN-account met toegang tot enkele toepassingen. Scripts regelen het gegevensverkeer naar de toepassingen.
  • 2001 en 2002: koppeling met nieuwe toepassingen, onder andere de werkplekomgevingen voor studenten.
  • 2002: ULCN-account ook voor medewerkers.
  • 2003: start vernieuwing architectuur. Vervanging scripts door stabiele (deels real-time) koppelingen. De bronsystemen zijn leidend. Handmatige wijziging in ULCN niet meer mogelijk.
  • 2004: nieuwe versie in productie. ULCN is hiermee een volwaardig Identity & Access Management Systeem.
  • 2005: aansluiting van meer toepassingen, zoals de werkplekomgeving VUW.
  • 2006: start ontwikkeling registratiesysteem voor externen. Voorheen werden externen geregistreerd als student of medewerker.
  • 2008: het Gasten Management Systeem (GMS) in productie. Het GMS is hiermee het derde bronsysteem voor ULCN.
  • 2009: aansluiting ULCN op de SURFfederatie. Federatief Identity Management geeft toegang tot externe toepassingen, zoals publicaties van uitgeverijen of toepassingen bij andere universiteiten.
  • 2010: vervanging bronsysteem voor studenten naar PeopleSoft Campus Solutions (uSis). Vervanging oude koppeling.
  • 2010: uitbreiding koppelingen met werkplekomgevingen. Medewerkers gebruiken één wachtwoord voor zowel hun werkplek als voor toepassingen.
  • 2010: een helpdesk kan nieuwe wachtwoorden ook per sms-bericht verzenden.
  • 2011: aansluiting van de LU-Card, inclusief het uploaden van pasfoto's.
  • 2012: vervanging software uMail.
  • 2013: vervanging Online Adresboek
  • 2013: verstrekking van accountgegevens per mail. Gebruikers die hun wachtwoord vergeten zijn, kunnen zonder tussenkomst van een helpdesk hun wachtwoord resetten.
  • 2013: start Single Sign On (SSO). Een gebruiker hoeft voor het gebruik van bepaalde toepassingen slechts één keer in te loggen.

Techniek

De componenten van ULCN zijn ontwikkeld met software van Novell:

  • De Meta Directory of Identity Vault of kortweg IDVault (beveiligde kluis) is het centrale opslagmedium voor de gegevens van identiteiten (studenten, medewerkers en externen). In een ander opslagmedia, de SERVICE-TREE, is een selectie van de Meta Directory opgeslagen.
  • De Meta Directory Engine stuurt de verschillende processen aan voor synchronisatie van gegevens tussen de Meta Directory en de toepassingen.
  • De Identity Manager Drivers (kortweg IdM-driver) regelen de daadwerkelijke overdracht van gegevens.

 
Inkomende gegevens
De bronsystemen uSis (via Component Interface API) en GMS (via NCP) zetten wijzigingen real-time klaar voor de desbetreffende IdM-driver. SAP (via iDoc) zet 's nachts de wijzigingen van één dag klaar. De IdM-driver controleert elke minuut op nieuwe wijzigingen, transformeert deze gegevens naar XML en past vervolgens diverse rules (regels) en policies (beleidsregels) toe. Het getransformeerde XML-bericht komt vervolgens aan bij de Meta Directory Engine die de gegevens opslaat in de Meta Directory. Indien van toepassing synchroniseren interne IdM-drivers de wijziging naar de SERVICE-TREE.

Uitgaande gegevens
ULCN koppelt volgens drie methodes met toepassingen:

  • IdM-driver
    De meeste IdM-drivers zijn ontwikkeld voor de werkplekomgevingen. De IdM-driver geeft elke wijziging in ULCN real-time door aan de desbetreffende werkplekomgeving. De gegevens gaan één richting op: van ULCN naar de werkplekomgeving (push).
  • LDAP-koppeling
    Een LDAP-koppeling werkt omgekeerd: de toepassing bevraagt ULCN (pull). Bijvoorbeeld Blackboard.
    • De meeste toepassingen gebruiken een LDAP-koppeling voor het controleren van gebruikersnaam en wachtwoord (authenticatie).
    • Enkele toepassingen gebruiken een LDAP-koppeling voor het ophalen gegevens (de SERVICE-TREE). Dit ophalen geschiedt een paar keer per dag.
  • Radius-koppeling
    Een Radius-koppeling werkt zoals een LDAP-koppeling, maar gebruikt een ander protocol om te communiceren. Bijvoorbeeld Eduroam.

Laatst Gewijzigd: 27-09-2013