FIDM – Föderiertes Identity (und Access) Management

Was ist FIDM?

Föderiertes Identitätsmanagement ist ein Identitätsmanagement, bei dem User

aus verschiedenen Hochschulen
mit einem einzigen Satz von Anmeldeinformationen
auf die gleichen Dienste und Ressourcen

zugreifen können.

Es ist eine Methode, eine digitale Identität über mehrere separate Identitätsmanagementsysteme hinweg zu verknüpfen.

Hintergrund: Digitales Ökosystem in NRW

Die Digitale Hochschule NRW hat das Ziel, eine NRW-weite digitale Servicelandschaft für alle Hochschulen in NRW aufzubauen. Das Projekt und die Geschäftsstelle IDM.nrw sind von der DH.NRW und dem MKW NRW finanziert.

Die Mission von IDM.nrw besteht darin, den föderierten Zugriff auf diese Services zu ermöglichen und die länderübergreifende Anbindung voranzutreiben.

Dazu schafft IDM.nrw die erforderlichen infrastrukturellen, technologischen und organisatorischen Bedingungen und etabliert ein föderiertes Identitätsmanagement als Netzwerk der lokalen IdMs der NRW-Hochschulen.

Warum ein föderiertes IDM?

Die Authentifizierung und Autorisierung können an verschiedenen Stellen erfolgen, entweder in den Services oder in einem zentralen Identitätsmanagement (IAM). Jede Option hat ihre eigenen Vor- und Nachteile für die Nutzenden, deren Heimatorganisationen und die Services. Wenn die Authentifizierung in einem zentralen IDM oder im Service erfolgt, führt dies zu einer Entkopplung vom IDM der Heimatorganisationen und deren Lebenszyklus. Dadurch entsteht eine doppelte Datenhaltung, da das zentrale IDM oder die Services Nutzendendaten speichern müssen. Die Nutzenden benötigen mindestens einen zusätzlichen Account. Für die Nutzung der Dienste sind dann zusätzliche (i.d.R. analoge) Abstimmungen zwischen der Heimatorganisation und dem zentralen IDM oder den Services erforderlich. Dies führt zu hohem administrativem Aufwand und Unsicherheiten für alle Beteiligten, weshalb diese Modelle nicht skalierbar sind.

Ein föderiertes Identitäts- und Zugriffsmanagement (IAM) verbindet die Dienste mit dem Lebenszyklus der Heimatorganisation. Der Identity Provider (IdP) der Heimatorganisation überträgt die Nutzendeninformationen und erforderlichen Rollen digital an den Dienst. Das verringert den Verwaltungsaufwand für alle Beteiligten. Hier sind einige der Vorteile eines föderierten IAMs aufgeführt.

Vorteile eines föderierten Identitätsmanagements

Single Sign-On

Nutzende benötigen nur einen Account für verschiedene Dienste, was die Verwaltung und Nutzung erleichtert.

Eindeutige Datenhaltung

Die Daten der Nutzenden werden nur zentral bei der Heimatorganisation gespeichert. Der IT-Service ruft die relevanten Daten bei der Heimatorganisation ab, muss also selbst keine Personendaten der Nutzenden pflegen. Durch die Anbindung an den LifeCycle des heimischen IDMs werden die Daten aktuell gehalten. Dadurch werden Sicherheitsrisiken verringert und Redundanzen vermieden.

Reduzierter administrativer Aufwand

Der administrative Aufwand verringert sich. Erstens sind keine analogen Abstimmungen zur Authentifizierung und Autorisierung nötig, da Berechtigungen anhand der zugewiesenen Rollen vergeben werden. Zweitens müssen Hochschulen und Dienste in der NRW-Subföderation keine individuellen Attribute und Rollen abstimmen, implementieren oder freigeben, weil gemeinsame Standards für die Mitglieder der Föderation gelten.

Skalierbarkeit

Föderierte Identitätsmanagementsysteme sind durch die gemeinsamen Standards skalierbar und erlauben auch die effiziente Verwaltung großer Nutzendenzahlen.

Welche Maßnahmen sind für ein föderiertes Identitätsmanagement nötig?

Im Gegensatz zu anderen Modellen bietet das föderierte IAM die vorteilhafteste Lösung für den Zugriff auf verteilte Dienste. Dazu müssen bestimmte Bedingungen erfüllt sein. IDM.nrw schafft diese Voraussetzungen und entwickelt sie kontinuierlich weiter.

Um die Anbindung der Hochschulen und der Services zu erleichtern, wurde die NRW-Subföderation innerhalb der DFN-AAI geschaffen.
Um aufwendige Abstimmungen zwischen den Hochschulen (IdPs) und den Services (SPs) zu erübrigen, wurden gemeinsame Standards für Attributformate und Rollen entwickelt.
Für die hochschulübergreifende Nutzung von die IT-Services für Communities (z. B. Forschungsgruppen) bietet IDM.nrw eine Community-Verwaltung in Form eines Proxys an.
In Zukunft soll die Nutzung hochschulübergreifender Dienste auch über Bundesländer hinaus möglich sein. IDM.nrw organisiert für das Land Nordrhein-Westfalen die länderübergreifende Anbindung.

Weiterführende Informationen