Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:services:general_services:einhmitarb:start [2017/10/06 10:50] – [Die Rolle der IT-Verantwortlichen und IT-Administratoren der Institute sowie des IT-Servicecenter der UMG] aisslei | de:services:general_services:einhmitarb:start [2024/08/27 12:20] (aktuell) – [Laufzeit/Gültigkeit eines Accounts nach dem Ausscheiden einer Person] cmenke2 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | {{: | ||
+ | ====== Einheitlicher Mitarbeiteraccount ====== | ||
+ | ===== Allgemeines ===== | ||
+ | |||
+ | |||
+ | Am Universitätsstandort Göttingen ist ein übergreifendes Identity Management eingeführt worden, um einerseits die Effizienz von Prozessen rund um den personengebundenen IT-Einsatz zu verbessern und um andererseits den stetig anspruchsvoller gestalteten Compliance-Anforderungen zu entsprechen. Bereits seit 2005 unterstützt die GWDG als Kompetenzpartner die Universität Göttingen bei der Verarbeitung und Vereinfachung von Prozessen im Rahmen des Identity Managements. Innerhalb dieses Zeitraums konnten viele lokale Verzeichnisdienste der Universität und der Universitätsmedizin an das IdM-System der GWDG angebunden werden. Als Betreiber des zentralen Identitätsmanagements (IdM) „MetaDir“ sind eine Vielzahl von Workflows aus unterschiedlichsten Bereichen erfolgreich umgesetzt worden und haben nicht unerheblich für eine Vereinfachung der Verzeichnis- und Benutzerverwaltung am Standort Göttingen gesorgt. | ||
+ | |||
+ | Um die am Wissenschaftsstandort Göttingen verfügbaren Dienste wie E-Mail, Massenspeicher usw. möglichst zeitnah und unkompliziert neuen Mitarbeitern von Universität und Universitätsmedizin zur Verfügung zu stellen, werden mit diesem Projekt zukünftig eine Vielzahl von Prozessen automatisiert. | ||
+ | |||
+ | **Im Rahmen der Kooperation zwischen** | ||
+ | |||
+ | * Universität Göttingen, | ||
+ | * Universitätsmedizin (UMG), | ||
+ | * Staats- und Universitätsbibliothek (SUB) und | ||
+ | * Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG) | ||
+ | |||
+ | |||
+ | entstand das Projekt " | ||
+ | |||
+ | |||
+ | * Einheitliche Verwaltung von Benutzeraccounts für alle Nutzergruppen und Dienste am Wissenschaftsstandort Göttingen | ||
+ | * Abbildung des kompletten Lebenszyklus des Mitarbeiters von der Ausstattung mit den notwendigen Berechtigungen bei der Einstellung bis hin zum Entzug der Berechtigung bei Vertragsende | ||
+ | * Erfüllung wichtiger Compliance-Forderungen bezüglich der Ausstattung von Mitarbeitern mit einem persönlichen Account | ||
+ | * Integration/ | ||
+ | * Vorbereitung für die Etablierung des Single Sign On (SSO) | ||
+ | * Sicherstellung einer einheitlichen Passwort-Policy für alle relevanten Bereiche | ||
+ | |||
+ | |||
+ | Neben diesen Hauptzielen verfolgen die Projektpartner auch ganz individuelle Ziele, mit denen eine Vereinfachung der Prozesse in den jeweiligen Einrichtungen durch das Projekt erreicht wird. Flankierend zum Projekt wird eine gemeinsame Dienstvereinbarung für die Universität und die Universitätsmedizin in Zusammenarbeit mit der AG " | ||
+ | |||
+ | ===== Start des Projektes und die Vorteile für den Standort Göttingen===== | ||
+ | |||
+ | <WRAP center round info 50%> | ||
+ | **Die Einführung des Einheitlichen Mitarbeiter Account (EMA) erfolgte ab dem: | ||
+ | <wrap em> | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== Was bedeutet das?==== | ||
+ | |||
+ | Kernziel des Projektes ist die automatische Erzeugung eines Accounts eines Mitarbeiters, | ||
+ | |||
+ | Für die Erzeugung eines Accounts werden hierzu vor Vertragsbeginn in den Personalabteilungen der Universität/ | ||
+ | |||
+ | <WRAP center round tip 100%> | ||
+ | **Seit dem Projektstart am 04.04.2016 ist eine manuelle Beantragung von Accounts bei der GWDG nicht mehr erforderlich!** | ||
+ | |||
+ | Eine Ausnahme bilden lediglich Personen, die kein reguläres Arbeitsverhältnis mit der Universität/ | ||
+ | </ | ||
+ | |||
+ | **Ein Account ist bereits vor Antritt der Tätigkeit an der Universität/ | ||
+ | |||
+ | Das folgende Bild beschreibt die Schritte von der Aufnahme der Daten der Person bis zur Nutzung des neu erstellten Accounts. | ||
+ | {{: | ||
+ | |||
+ | ===== Wie und wo kann ich als Benutzer(in) mein Passwort ändern? ===== | ||
+ | |||
+ | <WRAP group> | ||
+ | <WRAP half column> | ||
+ | {{: | ||
+ | </ | ||
+ | <WRAP half column> | ||
+ | Jeder Benutzer kann sein Passwort am zentralen Kundenportal ändern. Dieses steht Mitarbeitern der Universität unter | ||
+ | |||
+ | https:// | ||
+ | |||
+ | zur Verfügung. | ||
+ | Analog können Mitarbeiter in der Universitätsmedizin ein Passwort-Portal über | ||
+ | |||
+ | https:// | ||
+ | |||
+ | verwenden. | ||
+ | Dieses Passwort-Portal ist nur aus dem internen Netzwerk der Universitätsmedizin erreichbar, | ||
+ | |||
+ | |||
+ | Die Änderung des Passwortes ist natürlich nur mit einer erfolgreichen Anmeldung mit dem Benutzernamen sowie dem bisherigen Passwort möglich. | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | |||
+ | ===== Die Rolle der IT-Verantwortlichen und IT-Administratoren der Institute sowie des IT-Servicecenter der UMG ===== | ||
+ | |||
+ | Dem neuen Mitarbeiter steht bei Fragen zu seinem Account der jeweilige IT-Verantwortliche des Instituts als primärer Ansprechpartner zur Verfügung. | ||
+ | Existiert kein IT-Verantwortlicher im Institut, so übernimmt die [[http:// | ||
+ | Bei der Universitätsmedizin füllt diese Rolle das [[http:// | ||
+ | |||
+ | Insbesondere die Ausgabe des Accounts inkl. des Kennworts des neuen Mitarbeiters ist in diesem Kontext die primäre Aufgabe des IT-Verantwortlichen im Institut. | ||
+ | |||
+ | Dazu steht dem IT-Verantwortlichen unser zentrales IdM-Portal [[https:// | ||
+ | {{: | ||
+ | |||
+ | **Das IdM-Portal ist ausschließlich Administratoren zugänglich. Benutzeranmeldungen oder Änderungen des eigenen Passwortes sind hier nicht möglich.** | ||
+ | |||
+ | ==== Wie bekommt der neue Mitarbeiter seinen Account? | ||
+ | |||
+ | Für die Universität sowie Universitätsmedizin gibt es geringfügig unterschiedliche Abläufe, wie der neue Mitarbeiter zu seinem Account kommt. | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ---- | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | ===== Eckdaten des Projektes und Festlegungen ===== | ||
+ | |||
+ | Im Rahmen des Projektes erfolgten einen Vielzahl von Festlegungen insbesondere bei den Prozessen, den Formaten und den Laufzeiten des Accounts. | ||
+ | |||
+ | ==== Vom Projekt betroffene Personenkreise==== | ||
+ | |||
+ | Ab Projektstart am 04.04.2016 werden ausschließlich Personen berücksichtigt, | ||
+ | |||
+ | In einer späteren zweiten Projektphase werden auch Personen berücksichtigt, | ||
+ | |||
+ | ==== Passwortrichtlinie: | ||
+ | |||
+ | Der Benutzung von Passwörtern gehört zum IT-Alltag. Damit Passwörter auch ihren Zweck erreichen, sollten sie bestimmte Qualitätsanforderungen erfüllen. Für den Bereich der Universität Göttingen gibt es dazu eine einheitliche Passwortrichtlinie. Neben den üblichen Komplexitätskriterien bei der Passwortgestaltung soll auch die regelmäßige Änderung des Passwortes für eine möglichst hohe Sicherheit des Passwortes sorgen. | ||
+ | |||
+ | **Das Passwort im Rahmen dieses Projektes unterliegt den folgenden Kriterien: | ||
+ | |||
+ | * Das Passwort muss zwischen 12 und 128 Zeichen lang sein | ||
+ | * Das Passwort darf an erster Stelle kein Sonderzeichen enthalten | ||
+ | * Das Passwort darf nicht mit " | ||
+ | * Die ersten drei Zeichen der Benutzerkennung dürfen nicht im Passwort enthalten sein. | ||
+ | * Das Passwort kann maximal einmal täglich geändert werden. | ||
+ | * Das Passwort muss von den letzten 5 verschieden sein. | ||
+ | * Eine Reihe häufiger Wörter darf nicht verwendet werden. Hierzu zählen: Wochentage, Monate, Feiertage, Länder, Jahreszeiten, | ||
+ | * Mindestens einen Buchstaben (Groß- oder Kleinbuchstabe) enthalten | ||
+ | * Mindestens eine Zahl enthalten | ||
+ | * Mindesten ein Sonderzeichen enthalten (erlaubt: !" | ||
+ | Die Kriterien für die Gestaltung der Passwörter orientieren sich im Wesentlichen an den Vorgaben der SAP-Systeme von Universität und Universitätsmedizin. | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | |||
+ | === Ein zweites Passwort für sicherheitsrelevante Dienste === | ||
+ | Personen, die Zugang zu besonders sicherheitsrelevanten Daten/ | ||
+ | Die Einführung eines zweiten Passwortes dient im Besonderen der Sicherheit. | ||
+ | |||
+ | ==== Format des Account-Namen ==== | ||
+ | Der neue Benutzername wird primär aus dem Nachnamen der Person gebildet. Wenn der Name bereits existiert, so wird eine bis zu dreistellige Zahl dem Account-Namen hinzugefügt (Bsp.: mueller132). Diese Nomenklatur entspricht den Vorgaben aus dem SAP-Bereich, | ||
+ | |||
+ | **Beispiele für Benutzernamen: | ||
+ | * Karl Heinz Meier: **// | ||
+ | * Hermann Paschulke: **// | ||
+ | * Friedrich Hölderlin: **// | ||
+ | * Georg Büchner: **// | ||
+ | |||
+ | ==== Laufzeit/ | ||
+ | |||
+ | Die Laufzeit eines Accounts richtet sich nach der Tätigkeit der Person in der Universität/ | ||
+ | |||
+ | {{: | ||
+ | |||
+ | **Bitte beachten:** Abweichend von den Account-Laufzeiten sind einige Dienste/ | ||
+ | |||
+ | ==== Format der E-Mail-Adresse ==== | ||
+ | Die E-Mail Adresse von Personen, die ab Projektstart ein Arbeitsverhältnis mit der Universität/ | ||
+ | |||
+ | * Bei Mitarbeitern der Universität aus // | ||
+ | * Bei Mitarbeitern der Universitätsmedizin analog aus // | ||
+ | |||
+ | Die Fakultät ist nicht Bestandteil der primären E-Mail-Adresse. Dennoch besteht im Nachhinein noch die Möglichkeit, | ||
+ | |||
+ | ===== Details und technische Prozesse im Projekt ===== | ||
+ | |||
+ | Wesentlicher Prozess ist die automatische Übernahme der Daten aus den SAP-HR-Stammdaten. Alle für diesen Prozess relevante Daten einer Person werden im SAP-HR, i. d. R. vor Aufnahme der Tätigkeit, gepflegt. In diesem Prozess werden Maßnahmen wie Eintritt, Austritt, Organisationswechsel abgebildet und führen im Identity Management (IdM) zur Erzeugung neuer oder zur Verknüpfung bereits bestehender Accounts einer Person. | ||
+ | |||
+ | ==== Am IdM angebundene, | ||
+ | |||
+ | Im folgenden Bild sind die im Rahmen dieses Projektes am IdM angebundenen Verzeichnisse und deren Datenfluss-Richtungen dargestellt. | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | Alle " | ||
+ | ==== Welche Prozesse werden verarbeitet? | ||
+ | |||
+ | Die einzige Quelle für die Daten stellt das SAP-HR dar. Hierüber werden primär die Daten einer Person zum IdM übertragen. In der Folge werden aus eben dieser Quelle auch Aktionen (Maßnahmen) übertragen, | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ==== Welche Attribute werden übertragen? | ||
+ | |||
+ | Für die Realisierung des Projektes „Einheitlicher Mitarbeiteraccount“ ist es unabdingbar, | ||
+ | |||
+ | {{: | ||
+ | ===== Weitere Schritte ===== | ||
+ | |||
+ | Mit der Anbindung der SAP-Systeme und der Umsetzung der aus SAP-HR initiierten Maßnahmen konnten viele Prozesse am Universitätsstandort Göttingen automatisiert werden. Noch in diesem Jahr werden weitere Verzeichnisse, | ||
+ | - Karten Management System der Universität (__produktiv seit 9/2017__) | ||
+ | - VoIP System der Universität/ | ||
+ | - PICA System der SUB | ||
+ | - UniVZ der Universität | ||
+ | Mit jedem weiteren angebundenen Verzeichnis steigt der Nutzen durch die Kombination unterschiedlicher Daten und der Übertragung dieser Daten in die Zielverzeichnisse des Gesamtprojektes. | ||
+ | Wenngleich das Projekt über mehrere Jahre entwickelt werden musste, bis es die für einen produktiven Start erforderliche Reife bekommt, ist das mit dem Projekt erreichte Ziel der wesentlicher Schritt in Richtung Vereinfachung von Prozessen im Bereich der Identitätsverwaltung. Dieser erste Schritt ist geschafft, und weitere werden in Kürze folgen, welche dann erheblich zu einer Harmonisierung von Prozessen über Organisationsgrenzen hinweg beitragen werden. | ||
+ | |||
+ | |||
+ | |||
+ | ===== FAQ ===== | ||
+ | |||
+ | **[[https:// | ||
+ | |||
+ | |||
+ | ---- | ||
+ | Stand: 9/2017, Andreas Ißleiber, GWDG |