Achtergrondinformatie

Een korte uitleg, de gekozen techniek, de historie en de toekomst van ULCN.

• University Leiden Community Network
• Identity Management Systeem
• Gekozen techniek
• Historie
• Toekomst

University Leiden Community Network

ULCN is een verzameling van ICT gerelateerde voorzieningen voor de universitaire gemeenschap. Elke student, medewerker en gast krijgt een ULCN-account en dit geeft toegang tot relevante ICT-voorzieningen die voor studie of werkzaamheden nodig zijn zoals openbare werkplekken, Blackboard en de Digitale Bibliotheek. De gebruiker gebruikt slechts één account.

Identity Management Systeem

ULCN heeft zich ontwikkeld tot een volwaardig Identity Management Systeem (IDMS). Identity Management staat voor het beheren van de rechten en mogelijkheden van een entiteit (gebruiker of groep) in een complexe ICT-infrastructuur. Voor het beheer van rechten en mogelijkheden (autorisaties) wordt een digitale identiteit (een account) gecreëerd. De registratie van lokale accounts in toepassingen is hiermee overbodig.
 
Het centrale authenticatie mechanisme is het hart van ULCN. Het centrale authenticatie mechanisme controleert de opgegeven gebruikersnaam en wachtwoord als een gebruiker inlogt in een aan ULCN gekoppelde toepassing. Na een succesvolle verificatie wordt toegang verleend.

Identity Management kent twee belangrijke processen: registratie en provisioning.

Registratie
De registratie van entiteiten geschiedt in één of meerdere bronsystemen. ULCN kent drie bronsystemen:
 

Gekozen techniek

Schematische weergave van ULCN (pdf)




ULCN gebruikt software van Novell:
 

• De Meta Directory of Identity Vault of kortweg IDVault (beveiligde kluis) is het centrale opslagmedium voor de gegevens van identiteiten (studenten, medewerkers en gasten). Daarnaast kent ULCN twee sub-opslagmedia (de MAIL-TREE en SERVICE-TREE) waar een selectie van de gegevens afkomstig uit de Meta Directory wordt opgeslagen.
   
• De Meta Directory Engine stuurt de verschillende processen aan om gegevens te synchroniseren tussen de Meta Directory en een gekoppelde toepassing.
   
• De Identity Manager Drivers (kortweg IdM-driver, voorheen DirXML-koppelingen) zorgen voor de daadwerkelijke overdracht van gegevens.

Inkomende gegevens
De bronsystemen uSis (via JDBC) en GMS (via NCP) zetten wijzigingen direct (real-time) klaar voor de desbetreffende IdM-driver. SAP/HR (via iDoc) zet de wijzigingen van één dag 's nachts klaar (batchgewijze verwerking). De IdM-driver controleert elke minuut op nieuwe wijziginen, tranfsormeert deze gegevens naar XML en past vervolgens diverse rules (regels) en policies (beleidsregels) toe. Het getransformeerde XML-bericht komt vervolgens aan bij de Meta Directory Engine die de gegevens opslaat in de Meta Directory. Interne IdM-drivers synchroniseren een wijziging in de Meta Directory indien van toepassing met twee andere directories (MAIL-TREE en SERVICE-TREE).
 
Uitgaande gegevens
Er zijn drie methodes waarmee afnemende toepassingen koppelen met ULCN:

• IdM-driver
  De meeste IdM-drivers zijn ontwikkeld voor koppeling met de werkplekomgevingen van faculteiten en diensten. De IdM-driver geeft elke wijziging in ULCN direct (real-time) door aan de desbetreffende werkplekomgeving. De stroom van gegevens is één richting op: van ULCN naar de afnemende werkplekomgeving.
   
• LDAP-koppeling
  Een LDAP-koppeling werkt omgekeerd: de toepassing bevraagt ULCN. Bijvoorbeeld Blackboard.
  - Veel toepassingen gebruiken de LDAP-koppeling voor authenticatie: de toepassing controleert of de ingevulde gebruikersnaam en wachtwoord voorkomt in ULCN.
  - Enkele toepassingen halen via de LDAP-koppeling gegevens op uit ULCN (de SERVICE-TREE). Dit ophalen geschiedt niet real-time, maar enkele keren per dag.
   
• Radius-koppeling
  Een Radius-koppeling werkt zoals een LDAP-koppeling, maar gebruikt een ander protocol om te communiceren. Bijvoorbeeld Eduroam.

Historie

ULCN (versie 1)

• Op 1 september 2000 is ULCN gestart. Alle studenten krijgen een ULCN-account, dat toegang geeft aan een beperkt aantal toepassingen. Verschillende scripts verzenden gegevens van ULCN naar de toepassingen.
• In 2001 en 2002 zijn nieuwe toepassingen gekoppeld, waaronder de werkplekomgevingen voor studenten.
• Vanaf 1 september 2002 krijgen ook medewerkers een ULCN-account.

• Eind 2003 is gestart om de architectuur te vernieuwen. Alle scripts zijn vervangen door stabiele (deels real-time) koppelingen. De bronsystemen (SAP/HR en ISIS) zijn leidend en het is niet meer mogelijk om gegevens handmatig in ULCN te wijzigen.
• Eind 2004 gaat ULCN (versie 2) in productie. Vanwege de robuuste omgeving groeit ULCN naar een volwaardig Identity Management Systeem (IDMS).
• Meer toepassingen sluiten aan op ULCN, zoals de werkplekomgeving VUW.
• In 2006 ontstaat de behoefte om gasten apart in een systeem te registreren. Gastaccounts werden tot die tijd via de bronsystemen (SAP/HR of ISIS) aangemaakt of zorgde de toepassing zelf voor de toegang. Het Gasten Management Systeem (GMS) gaat medio 2008 in productie en is het derde bronsysteem voor ULCN.
• In april 2009 sluit ULCN aan op de SURFfederatie en is federatief Identity Management mogelijk. Het ULCN-account geeft nu ook toegang tot externe toepassingen, zoals publicaties van uitgeverijen of toepassingen bij andere universiteiten.
• In april 2010 is het studenteninformatiesysteem ISIS vervangen door PeopleSoft Campus Solutions (uSis). De koppeling tussen ISIS en ULCN is vervangen.  
• In mei 2010 is de koppelingen met de werkplekomgevingen uitgebreid. Hierdoor hebben medewerkers één wachtwoord voor zowel hun werkplek als het ULCN-account.

Toekomst

• Nu is er 'één account voor alles', maar in iedere toepassing logt de gebruiker apart in. Er is geen Single Sign On (SSO), maar dit wordt op termijn opgelost.
• Op termijn is het mogelijk toepassingen eenvoudiger en specifieker voor een bepaalde doelgroep te ontsluiten. Dit is te realiseren via Role Based Acces Control (RBAC). In RBAC legt de organisatie rollen vast. Aan elke rol zijn verschillende toepassingen gekoppeld.