14. juni 2011 Brukeradministrasjon 101 Monica Stamnes, Universitetets senter for informasjonsteknologi, Universitetet i Oslo
Agenda Identitetsforvaltning og brukeradministrative systemer Brukeradministrasjon i praksis –Klienter, tilgang, tips og triks –Personer –Brukere –Grupper –Karantener –Passord –Studentautomatikk
Identitetsforvaltning Forvalte informasjon om personer, deres identiteter og deres roller Elektronisk identitetsforvaltning: Elektronisk identifikasjon og tildeling av tilgang til ressurser –Hvem er du? –Hvilke ressurser skal du ha tilgang til? Personer –Ansatte –Studenter –Andre (FI, pensjonister)
Kildesystemer Benyttes til å levere informasjon om definerte attributter til andre systemer Import fra kildesystemer –Personinformasjon Ansatte (SAP) Studenter (FS) Andre (FI/pensjonister) (Cerebrum) –Stedinformasjon Organisasjonsstruktur
Brukeradministrative systemer (1/2) Et brukeradministrativt system (BAS/IDM) er et system som –Benyttes til innsamling av informasjon knyttet til personer, brukere, grupper, tilhørigheter, roller osv. –Viderebringer informasjon om personer og brukere til resten av IT-systemet Et BAS består av –En database –Et sett med programmer som utfører Innsamling av data Automatisk (og manuell) behandling av innsamlede data Oppdatering av IT-systemet
Brukeradministrative systemer (2/2) Fordeler ved et BAS –Datavask gir forbedret datakvalitet i kildesystemer –Oppdatering av brukerinformasjon skjer på ett sted –Bedre muligheter for automatisering av vanlige oppgaver –Enklere å ta i bruk nye tjenester (mhp. autentisering og autorisasjon) –Synkronisering av data på kryss og tvers
Cerebrum Brukeradministrativt system (BAS/IDM) –Python & RDBMS basert programvarepakke –Kan bruke både PostgreSQL og Oracle –XML/RPC basert klient –GPL lisens –Kan hentes fra SourceForge, mer informasjon finnes på –Utviklet og tatt i bruk ved flere institusjoner i forbindelse med FEIDE-prosjektet, se
Praktisk brukeradministrasjon (bofh) Klientverktøyet til Cerebrum –Brukerorganisering for hvermansen (bofh) –Snakker kryptert med Cerebrum- databasen via et pythonbasert API –Kommandolinjebasert –Krever autentisering og autorisasjon Alle brukere ved NIH har (i teorien) tilgang til bofh Noen brukere ved NIH har mer tilgang til bofh enn andre –Det finnes mange kommandoer i bofh, men du ser bare de kommandoene du får lov til å utføre (på deg selv eller andre)
Tilganger i bofh Hvilke kommandoer man har tilgang til i bofh styres vha grupper og rettighetssett Vi har per i dag to hovedkategorier av rettigheter: –Superbrukere (IT) –Andre Dersom NIH trenger flere rettighetsgrupper (for eksempel for deltidsansatte studenter), kan man bestille dette fra USIT
bofh: Tips og triks (1/3) Hjelp –Kommandogruppen help er en bra start help person vil f.eks. liste ut en oversikt over alle kommandoer i kommandogruppen ”person” samt en hjelpetekst for disse help glossary vil gi en ordliste med forklaringer på Cerebrum-spesifikke begreper –Bofh støtter tab-completion og korte kommandoformater. For eksempel kan man skrive u i brukernavn for å utføre bofh-kommandoen user info brukernavn – X 2 vil liste ut alle mulige kommandoer; person X 2) vil gi en oversikt over alle tilgjengelige kommandoer i gruppen person
bofh: Tips og triks (2/3) ? I alle prompt-funksjoner i bofh kan man taste ’?’ for å få en beskrivelse av input som kreves: jbofh> user create Person identification >? Identify account owner (person or group) by entering: Birthdate (YYYY-MM-DD) Norwegian fødselsnummer (11 digits) Export-ID (exp:exportid) External ID (idtype:idvalue) Entity ID (entity_id:value) Group name (group:name)
bofh: Tips og triks (3/3) Dersom man vet hvilke parametere kommandoen forventer, kan man skrive hele kommandoen i en linje: user info Paranteser –Hvis man har flere input som parameter til samme kommando, kan man gruppere disse med paranteser: group add (user1 … userN) gruppeX
Personer (1/4) I Cerebrum skiller vi mellom personer og brukere: En person kan ha flere brukere, mens en bruker bare kan tilhøre en person (eller gruppe) Registrering av personer –Gjøres i kildesystemene: Studenter: Felles Studentsystem Ansatte: SAP Andre (FI, pensjonister): Cerebrum –Informasjon om personene overføres til Cerebrum via jevnlige oppdateringsjobber, bl.a.: Navn Fødselsdato Fødselsnummer Tilknytning (”rolle”)
Personer (2/4) I bofh kan man søke etter personer vha kommandoen person find: jbofh> person find Enter person search type >? Possible values: - 'fnr' - 'name' - 'date' of birth, on format YYYY-MM-DD - 'stedkode' Enter person search type >name Enter value >Ola Nordmann Id Birth Account Name xxxx xxxx-xx-xx olan Ola Nordmann
Personer (3/4) Man kan se på personer i Cerebrum vha kommandoen person info i bofh: nih_jbofh> person info / /external_id: Name:Ola Nordmann [from Cached] Entity-id:xxx Birth: 19xx-xx-xx (IKT) [from SAP] Names:Ola Nordmann [from SAP] Names: Ola Nordmann [from MIGRATE] Fnr: xxxxxxxxxxx [from MIGRATE] Fnr: xxxxxxxxxxx [from SAP] External id:xxxxxxxx [from SAP]
Personer (4/4) I bofh oppretter man personer med kommandoen person create: nih_jbofh> person create Enter person id >xxxxxxxxxxx Enter date of birth(YYYY-MM-DD) >xxxx-xx-xx Enter all persons given names >Kari Enter persons family name >Nordmann Enter OU >xxxxxx Enter affiliaton >TILKNYTTET Enter affiliation status >fi
Brukere (1/5) For å få tilgang til IT-tjenestene ved NIH, må en person ha en (eller flere) bruker(e) Studentbrukere opprettes automatisk, ansattbrukere og andre vedlikeholdes manuelt Brukernavnene består av maks 10 tegn, kun små bokstaver og evt. tall Ved opprettelse av nye brukere foreslår Cerebrum brukernavn ut fra algoritmen for generering av brukernavn Affiliations (tilknytninger) –Dersom en person har en affiliation (tilknytning) fra kildesystemet, kan denne settes på brukeren til personen –For ansatte/manuelt registrerte håndteres affiliations manuelt av IT, for studenter håndteres det automatisk
Brukere (2/5) Prioritet på brukere –Når man tildeler affiliations til en bruker, settes det en prioritet på denne –Kommandoen person list_user_priorities i bofh viser hvilken prioritet de forskjellige affiliations har –Prioriteten på affiliations styrer blant annet hva som blir primær e-postadresse til en bruker Primærbruker –En person kan i noen tilfeller ha flere brukere –Brukeren med høyest prioritet på tilknytningen regnes som primærbrukeren –Til person-treet i LDAP (FEIDE), eksporteres kun primærbrukeren
Brukere (3/5) Man kan finne brukeren til en person (evt. gruppe) i Cerebrum vha kommandoen person accounts i bofh: jbofh> person accounts Enter person id >olan Id Name Expire xxxx olan
Brukere (4/5) Man kan se på brukere i Cerebrum vha kommandoen user info i bofh: nih_jbofh> user info olan Username:olan (SIM), (MASTER), (NIH) Expire: Home: (status: ) Entity id:xxxx Owner id:xxxx (person: Ola Nordmann)
Brukere (5/5) Man kan opprette brukere i Cerebrum vha kommandoen user create i bofh: nih_jbofh> user create Person identification > /entity_id: NumIdName 1 Ola Nordmann Choose person from list >1 Num NumAffiliation (OPPDRAG) Choose affiliation from list >1 Username [olan] > nih_jbofh>
Grupper Hva er en gruppe? –Standard gruppe i Cerebrum –Utvidet gruppebegrep: Rettighetsgruppe AD-gruppe Hva bruker vi grupper til? –Tilganger i andre systemer (AD, FEIDE) –Tilganger internt i Cerebrum
Grupper – bofh-kommandoer (1/2) group info –Viser informasjon om den gitte gruppen group create –Opprette ny gruppe i Cerebrum group memberships (account/group) –Se hvilke grupper en gitt bruker/gruppe er medlem av group list –Lister alle medlemmer i en gruppe group add/gadd –Legge en bruker/gruppe inn som medlem av en annen gruppe group remove/gremove –Fjerne en bruker/gruppe fra en gitt gruppe
Grupper – bofh-kommandoer (2/2) group search –Lete etter en gitt gruppe ut fra navn group set_description –Endre beskrivelsen på en gitt gruppe group delete –Slette en gitt gruppe
Karantener Karantener benyttes til å stenge et objekt midlertidig ute fra gitte tjenester Ved NIH finnes det automatiske karantener og manuelle karantener: –Automatiske karantener: autopassord, auto_inaktiv, auto_kunepost, ou_notvalid, ou_remove Disse vedlikeholdes automatisk vha rutiner i Cerebrum –Manuelle karantener: generell, system, teppe Disse vedlikeholdes manuelt av IT på NIH Kommandoen quarantine list lister opp alle tilgjengelige karantener ved NIH
Karantener – bofh-kommandoer quarantine set account –Sett en ny karantene på en gitt bruker –Karantener kan settes med startdato frem i tid quarantine show account –Se på karantenen til en gitt bruker –Dersom en bruker har karantene, vil dette også være synlig når man kjører user info på brukeren quarantine disable account –Setter karantenen på en gitt bruker midlertidig ut av drift quarantine remove account –Fjern karantenen fra den gitte brukeren –Karantener bør ikke slettes uten videre, sjekk derfor alltid først hvorfor karantenen er satt –Automatiske karantener skal ikke slettes manuelt
Passord Alle brukere ved NIH har et passord som sammen med brukernavnet gir tilgang til de ulike IT-systemene som synkroniseres fra Cerebrum Passordene må tilfredsstille gitte krav for å bli godkjente, se nter/brukernavn_passord_algoritme.html for nærmere detaljer nter/brukernavn_passord_algoritme.html
Passordskiftevarslingstjenesten Ansatte ved NIH skal skifte passord hver 3. måned, studenter skal skifte passord 1 gang i året –Brukerne får e-post med varsel om at passordet må skiftes 3 uker før fristen –Dersom brukerne ennå ikke har skiftet passord, sendes det en påminnelse per e-post 1 uke før fristen –Dersom passordet ikke er skiftet innen fristen, sperres brukeren med karantenen autopassord –Dersom det settes et nytt passord på brukeren, fjernes autopassord-karantenen automatisk
Passord – bofh-kommandoer user password –Sett et nytt passord på en gitt bruker –Man kan ikke spesifisere hva som skal settes som passord misc list_passwords –List ut alle passord satt i sesjonen man er inne i –Skriv passordet ned på en post-it-lapp og del det ut videre til brukeren misc verify_password –Sjekk om passordet brukeren taster inn faktisk er korrekt, nyttig ved feilsøking
Studentautomatikk Kjøres jevnlig og oppretter og vedlikeholder alle studentbrukere ved NIH Basert på data hentet fra FS og en konfigurasjonsfil som vedlikeholdes av USIT –IT på NIH bestemmer innholdet i konfigurasjonsfilen –Innholdet i filen bestemmer hva slags rettigheter de forskjellige studentgruppene skal ha og melder brukere inn og ut av grupper med mer –Se er/studentautomatikk.html informasjon for hva som er definert i konfigurasjonsfilen for NIH er/studentautomatikk.html
Studentautomatikk Hva gjør automagien med en typisk studentbruker? –Når en ny student ved NIH får tildelt en gyldig studierett, opprettes det automatisk en bruker til vedkommende i Cerebrum –Brukeren tildeles medlemskap i gitte grupper, og får tilgang til AD og Exchange –Det er ikke bestemt hvordan passord til de nye studentbrukerene skal leveres ennå
Studentautomatikk –Hver gang studentautomatikken kjøres, utføres følgende for alle personer definert som studenter (med studentaffiliation på personen sin i Cerebrum): Titter i konfigurasjonsfilen og bestemmer hvilke systemer brukeren skal gjøres kjent i (spreads) og hvilke grupper brukeren skal meldes inn i Modifiserer brukeren tilsvarende
Studentautomatikk Sperring av tilgang til IT-tjenester for inaktive studenter: –Kjøres manuelt av USIT en gang i semesteret (hyppighet og når det kjøres avtales nærmere med NIH) –Rutinen setter en karantene (auto_inaktiv) frem i tid på brukeren. Dersom brukeren endrer status til aktiv student, blir karantenen automatisk fjernet –USIT kan bidra med lister over brukere som har fått karantene slik at NIH kan sende ut varsel om sperring per e-post til de berørte brukerne