Identity Management an der Freien Universität: Verwaltung von FU-Accounts für Externe
09.01.2023
Wo liegt das Problem? (Stand: Anfang 2022)
- die Freie Universität Berlin hat bisher keine einheitliche Regelung, nach welchen Kriterien Accounts für Externe beantragt werden dürfen und welche Ressourcen diese nutzen dürfen
- die unterschiedlichen Eigenschaften der Projekt- und Gast-Accounts sind unklar und inkonsistent
- Gast-Accounts können manche Dienste nicht nutzen
- bei Projekt-Accounts ist eine automatische Umwandlung bei Statuswechseln nicht möglich
- Accounts, die bei befristet Beschäftigten vor oder nach dem Beschäftigtenverhältnis verfügbar sind, eröffnen evtl. die Möglichkeit der Klage auf Dauerbeschäftigung
- die Beantragung und das Anlegen der Accounts sind relativ aufwendig und nicht mehr zeitgemäß
- die Übermittlung der Zugangsdaten über den/die Gastgeber*in ist unsicher und umständlich
- die Gastgeber*innen haben keine Übersicht über die ihnen zugeordneten Accounts für ihre Gäste
- es erfolgt keine automatische Deaktivierung der Accounts
Seit Anfang Juli 2022 produktiv: Erweiterung der Account-Übersicht im ZEDAT-Portal
- die Gastgeber*innen erhalten im ZEDAT-Portal eine übersichtliche Darstellung der ihnen zugeordneten Gast- und Projekt-Accounts: https://portal.zedat.fu-berlin.de/account/projects
- Projekte können selbst angelegt, verändert und gelöscht werden und Accounts können zwischen den eigenen Projekten verschoben werden
- Account-Laufzeiten können verändert werden; die initiale Laufzeit der Accounts wird einheitlich auf 6 Monate festgelegt; weitere Verlängerungen der Laufzeit müssen ggf. spätestens alle 6 Monate erfolgen
- es kann eine Vormerkung zur Sperrung eingetragen werden; dies entspricht einer Verkürzung der Laufzeit auf 3 Wochen; in dieser Zeit werden drei Warnmails an den Account versendet - 3 Wochen, 1 Woche und 1 Tag vor der Sperrung
- bei Funktions-Accounts (z.B. Gruppenpostfächern) entspricht die Laufzeit der Laufzeit des Gastgeber*innen-Accounts
- die Gastgeber*innen erhalten maximal einmal pro Monat eine Mail, die auf auslaufende und gesperrte Accounts hinweist
- gesperrte Accounts können ggf. noch einen Monat lang wieder entsperrt werden, dann werden sie gelöscht
Erste Ergebnisse
- zwischen Juli und November 2022 wurden 2.800 Gastgeber*innen und 8.500 Projekt-/Gast-Account-Inhaber*innen per Mail angeschrieben
- in diesem Zeitraum sank durch die Sperrung nicht mehr genutzter Accounts die Zahl der aktiven Projekt- und Gast-Accounts von ca. 12.300 auf ca. 5.400
- gleichzeitig wurden ca. 300 Accounts der Projekt-Accounts als Funktions-Accounts markiert
Nächster Schritt: konsistente Rollen für Projekt- und Gast-Accounts
- die Projekt- und Gast-Accounts werden in ihren Eigenschaften angeglichen (Darstellung in Verzeichnisdiensten, Zuordnung von Berechtigungen, Statuswechsel etc.)
- Ziel ist es, in einem weiteren Schritt die Unterteilung Gast-Account/Projekt-Account durch persönlichen Account/Funktionsaccount zu ersetzen
Mögliche Erweiterungen (Software-Entwicklung notwendig)
Gastgeber*innen sollen die Möglichkeit erhalten,
- Accounts als "Persönlich" oder "Funktion" zu kennzeichnen
- die Pflege an andere Personen zu delegieren
- Accounts an andere Gastgeber*innen zu übertragen
- weitere Account-Eigenschaften zu verwalten, z.B. die „Webex-Host-Berechtigung“
IT-Beauftragte und der IT-Support sollen eine adminstrative Ansicht erhalten.
Die Übergabe der Zugangsdaten soll ähnlich zum Onboarding für Beschäftigte digital über ein Webformular erfolgen; Zugangsdaten werden dabei ohne weitere Verzögerung über die verschlüsselte Verbindung an die Externen übermittelt – evtl. wird es auch einen Schritt der Identitätsprüfung (z.B. Video-Ident) geben.