Monica Stamnes Identitetsforvaltning og brukeradministrasjon Introduksjon til identitetsforvaltning og brukeradministrasjon med Cerebrum Monica Stamnes Gruppe for drift av grunntjenester Seksjon for system- og applikasjonsdrift USIT

Monica Stamnes Agenda Identitetsforvaltning –Identitetsforvaltning –Kildesystemer Brukeradministrative systemer Brukeradministrasjon –Personer –Brukere –Grupper

Monica Stamnes Identitetsforvaltning Forvalte informasjon om personer og deres roller Personer –Ansatte –Studenter –Gjester –Andre Organisatoriske enheter Kildesystemer –Import fra kildesystemer Ansatte Studenter Andre Enheter og stedkoder

Monica Stamnes Brukeradministrative systemer Et BAS er et system som –Benyttes til innsamling av informasjon knyttet til personer, brukere, grupper, tilhørigheter, roller osv. –Viderebringer informasjon om personer og brukere til resten av IT- systemet Et BAS består av –En database –Et sett med programmer som utfører Innsamling av data Automatisk (og manuell) behandling av innsamlede data Oppdatering av IT-systemet

Monica Stamnes Brukeradministrative systemer Fordeler ved et BAS –Datavask gir forbedret datakvalitet i kildesystemer –Oppdatering av brukerinformasjon skjer på ett sted –Bedre muligheter for automatisering av vanlige oppgaver –Enklere å ta i bruk nye tjenester (mhp. autentisering og autorisasjon) –Synkronisering av data på kryss og tvers

Monica Stamnes Cerebrum Brukeradministrativt system utviklet ved UiO –Python & RDBMS basert programvarepakke –Kan bruke både PostgreSQL og Oracle –XML/RPC basert klient –GPL lisens –Kan hentes fra SourceForge, mer informasjon finnes på –Utvikles og tas i bruk ved flere institusjoner i forbindelse med FEIDE-prosjektet, se

Monica Stamnes Personregistreringer (1 av 2) Informasjon om personer skal registreres i kildesystemene Personer kan registreres manuelt i Cerebrum, men det anbefales ikke –Ved manuell registrering må man sørge for å registrere personen med fullt fødselsnummer og forsikre seg om at personen ikke finnes i Cerebrum fra før Informasjonen om personer importeres deretter til Cerebrum fra kildesystemene: –Navn –Adresse –Fødselsnummer –…

Monica Stamnes Personregistreringer (2 av 2) Endringer i personregistreringer skal registreres i kildesystemene –Navneendringer –Fødselsnummerendringer Prioritering av kildesystemer –”system_lookup_order” Tilknytninger/roller –Importeres fra kildesystemene –Personers tilhørighet til et sted, for eksempel Studenters studierett på et studieprogram tilknyttet en organisatorisk enhet Ansattes tilsetting ved en organisatorisk enhet

Monica Stamnes Brukere Typer brukere –Personlige brukere –Upersonlige brukere En person kan ha flere brukere, men det vanlige er at man har en bruker hver –Primærbruker Brukernavn –Krav til brukernavn Begrensning i antall tegn Skal være unike Norske bokstaver (’æøå ÆØÅ’) og bindestrek er ikke tillatt Spesialtegn er ikke heldig

Monica Stamnes Brukere- opprettelse/vedlikehold Ansatte –Opprettes og vedlikeholdes av lokale IT-ansvarlige når informasjon om personen er importert fra kildesystemet Inn- og utmelding i grupper Tilknytninger Studenter –Opprettes og vedlikeholdes studentautomatikken Inn- og utmelding i grupper Tilknytninger Endringer på brukere skal alltid utføres i Cerebrum, ikke direkte i IT-systemet

Monica Stamnes Kort om studentautomatikken (1 av 2) Studentautomatikk –Oppretter og vedlikeholder alle studentbrukere –Basert på en konfigurasjonsfil Innholdet i konfigurasjonsfilen defineres av institusjonen Innholdet i filen bestemmer hvilke studenter som skal få bygget en bruker, samt hvilke rettigheter de skal ha (medlemskap i grupper osv.) Endringer i konfigurasjonsfilen for studentautomatikken gjøres ved behov

Monica Stamnes Kort om studentautomatikken (2 av 2) Hva gjør automagien med en typisk studentbruker? –Ved opptak til studier skjer følgende i Cerebrum: Det blir opprettet en bruker til studenten i Cerebrum. Informasjon om denne brukeren blir eksportert til resten av IT- systemet Det genereres et brev med brukernavn og passord til den nye studenten Brevene med brukernavn og passord blir overført til et passende område for filoverføring Institusjonen har ansvaret for å skrive ut og sende/dele ut passordbrevene til nye studenter

Monica Stamnes Avvikling av brukere Brukere kan avvikles (slettes) når tilknyttingen deres ikke lenger er aktiv –Det er lurt å varsle personen som eier brukeren om at denne slettes i god tid i forveien –Når brukeren er slettet i Cerebrum, blir brukeren flyttet i AD til et OU for inaktive brukere slik at de kan behandles videre derfra –Studentbrukere skal ikke slettes manuelt, de behandles av studentautomatikken

Monica Stamnes Karantener Benyttes til å sperre et objekt ute fra en gitt tjeneste, for eksempel –generell (for eksempel ved overtredelse av IT-reglement, kompromitterte passord) –autopassord (benyttes av passordvarslingstjenesten) –auto_inaktiv (benyttes av studentautomatikken) Karantenene kan settes opp til å gjelde ulike tjenester, for eksempel kun mot AD, kun mot LDAP eller kun mot e-postsystemet

Monica Stamnes Passord Må tilfredsstille gitte krav Passordskifteside Passordskiftevarsling –Passord må skiftes jevnlig, default hver 12. måned –Brukerne varsles dersom passord ikke har blitt skiftet etter 11 måneder –Dersom passordet fortsatt ikke er skiftet etter 3 uker, sendes det en påminnelse –Dersom passordet fortsatt ikke er skiftet innen fristen, sperres brukeren (karantene)

Monica Stamnes Grupper Hva er en gruppe? –Standard gruppe i Cerebrum –Utvidet gruppebegrep (rettighetsgruppe, AD-gruppe mm) Hvor kommer grupper fra? –Automatikk –Manuelt opprettede grupper Hva bruker vi grupper til? –Diverse rettigheter og tilganger i IT-systemet –Rettighetstildeling i bofh –Annet

Monica Stamnes Policy / rutiner Viktig å utarbeide skriftlige rutiner og policy i forkant –IT-reglement –Personregistrering –Brukerregistrering –Avvikling av brukere –Passord –Tilgang til tjenester

Monica Stamnes Praktisk brukeradministrasjon (bofh) Klientverktøyet til Cerebrum –Brukerorganisering for hvermansen (bofh) –Snakker kryptert med Cerebrum-databasen via et pythonbasert API –Krever autentisering og autorisasjon Alle brukere har tilgang til bofh Noen brukere har mer tilgang til bofh enn andre –Det finnes mange kommandoer i bofh, men brukeren ser bare de kommandoene han/hun får lov til å utføre (på deg selv eller andre)