Bedarfe aller Universitäten und Hochschulen Baden-Württembergs

Eine einfache und gesicherte Nutzung von Diensten, die an anderen Standorten angeboten werden, ist für den Betrieb von Wissenschaft und Lehre essentiell. Dabei soll ein gesicherter Zugang zu diesen nicht lokal betriebenen Diensten mit Hilfe einer Zwei- oder Multifaktor-Authentifizierung (2FA/MFA) ermöglicht werden.

Eine zentrale Rolle spielt dabei die Verwaltung von Projekten/Communities, die diensteübergreifend genutzt werden kann und die auch Personen ohne Account einer Baden-Württembergischen Landeseinrichtung beinhalten. Dabei tauchen Fragestellungen auf, wie externe Wissenschafts-Communities mit eigener AAI unter Vermeidung von Dopplung der Identitäten und des Arbeitsaufwands eingebunden werden können.

Auch kleinere Einrichtung sollen in die Lage versetzt werden, Landesdienste zu nutzen bzw. eigene Dienste anbieten zu können, wobei primär der Bedarf nach einfachen und nachvollziehbare Anleitungen zum Anschluss der eigenen Einrichtung an die bwIDM-Infrastruktur im Vordergrund steht.

Projektziele

Gemäß einer durchgeführten Evaluation bereits eingesetzter und allgemein verfügbarer Multifaktor-Technologien soll als Ergebnis eine Zwei- oder Multifaktor Authentifizierung (2FA bzw. MFA) für Landesdienste zur Verfügung gestellt werden. Im Weiteren ist geplant, OpenID Connect als zusätzliche, über das etablierte SAML hinausgehende zweite Technologie für föderative Authentifizierung und Autorisierung zu evaluieren und zu unterstützen. Ein weiteres Hauptziel besteht in der Konzeption und der Realisierung einer Projektgruppen- bzw. Communityverwaltung mit dem Ziel, delegierbare Autorisierungsentscheidungen über die Nutzung von Diensten innerhalb dieser Communities treffen zu können.

Abschließend wird ein Betriebskonzept entwickelt, nach dem die dafür entscheidenden Komponenten sowohl bei den Einrichtungen selbst, als auch zentral als Dienst betrieben werden können. Alle Entwicklungen und Ergebnisse werden zur Nutzung durch die Hochschulen Baden-Württembergs ausführlich dokumentiert, um so die Eintrittsbarrieren für kleinere Einrichtungen zu senken.

Nutzen und Mehrwert

Der Hauptnutzen für Endanwender bzw. Endanwenderinnen besteht klar in einem einheitlichen Zugang zu einem erweiterten Diensteportfolio. Ohne die Föderation würden die meisten Dienste nur einer eingeschränkten Nutzergruppe (die der betreibenden Heimatorganisation) zur Verfügung stehen. Die Erweiterung der Single Sign-on-Protokolle sowie die MFA-Integration erweitern das mögliche Dienstespektrum und steigern gleichzeitig die IT-Sicherheit für alle Beteiligten erheblich. Für die Hochschulen wird insofern Mehrwert generiert, als dass nicht jede Einrichtung Standarddienste betreiben muss, sondern diese – in Kombination mit der erweiterten AAI-Infrastruktur – kooperativ vorgehalten werden können. Insbesondere die Möglichkeit, über Projektgruppen eine flexible Autorisierungssteuerung zur Verfügung stehen zu haben, stellt einen immensen Vorteil für die einzelnen Hochschulen dar.

Im Weiteren fordern allgemeine Entwicklungen im Bereich kommerzieller Clouds für den Geschäfts- und Wissenschaftsbetrieb – wie Microsoft 365 bzw. Azure AD – ausgereifte AAI-Konzepte. bwIDM2 kann hier, gerade für kleinere Hochschulen, einen wichtigen Beitrag liefern. National bietet die Allianz mit IDM.NRW die Chance auf eine stärkere Verbreitung und Weiterentwicklung der Plattform auch außerhalb von Baden-Württemberg. Die Mitwirkung Nordrhein-Westfahlens führt zu einer Stärkung des Entwicklungsteams.

Für Endanwender verbessert sich die Sicherheit bei der Nutzung von Diensten bei nur geringem Mehraufwand durch die einmalige Vorab-Registrierung von Hardware-Token oder Smartphone-Multifaktor-Apps. Zusätzlich werden immer mehr Dienste durch Single Sign-on ohne Eingabe von persönlichen Zugangsdaten wie Nutzername und Passwort nutzbar sein. Für die Hochschulen ändern sich Arbeitsabläufe insofern, als dass für viele Dienste nicht selbst ein Installations-, Betriebs- und Wartungskonzept erstellt werden muss. Der Aufbau von lokalem Wissen darüber, welcher Standort für welchen Dienst verantwortlich ist und Nutzersupport – insbesondere in Fehlerfällen – bieten kann, ist jedoch unabdingbar. Die Schaffung einer diensteübergreifenden Projekt-/Communityverwaltung zur Nutzung in bwIDM macht die Entwicklung und Pflege einer lokalen Autorisierungssteuerung in vielen Fällen hinfällig. Deren Administration verschiebt sich für lokale Dienste zur kooperativen Lösung.

Integrations- und Anschlussfähigkeit

Etablierte Betriebs- und Organisationsstrukturen, die eine hohe Integrationsfähigkeit darstellen, sind bereits durch bwIDM vorhanden. Aktuelle Technologien, wie z.B. OpenID Connect, werden evaluiert und dienen als moderne Basistechnologien für Authentifizierung und Autorisierung. Damit wird die Nutzung marktführender, kommerzieller Dienste und Infrastrukturen ermöglicht. Eine Einbindung dieser neuen Technologien in die DFN-AAI in Abstimmung mit dem DFN sichert eine langfristige Nutzung und Verfügbarkeit der angeschlossenen Dienste auch über die Gren-zen von Baden-Württemberg hinaus.

In einem eigenen Arbeitspaket wird ein Fachkonzept zu „lebenslangen Personen-Identifikatoren und Einbindung Forschungsdatenmanagement-Dienste“ erarbeitet. Dies ermöglicht zukünftig die Anbindung und Nutzung an die Nationale Forschungsdateninfrastruktur (NFDI). Dabei wird eine Standardisierung bei der Nutzung von Identifikatoren – wie beispielsweise ORCID – angestrebt.

Im Bereich des Technologie Scoutings wird auch das im Rahmen des EU Projekts AARC erarbeitete Rahmenkonzept „Authentication and Authorisation for Research and Collaboration“ betrachtet, was bereits im Helmholtz Projekt „Helmholtz Federated IT Services“ (HIFIS) Anwendung findet.

Erfolgskriterien

Nach Ende des bwIDM2-Projekts sollen auch kleine Einrichtungen wie die Musikhochschulen angeschlossen sein, Anleitungen zum Anschluss von Diensten an bwIDM stehen allen Einrichtungen zur Verfügung (resp. Datenschutz/Informationssicherheit).

Für den Zugang zu allen Landesdiensten soll eine Zweifaktorauthentifizierung (2FA) für alle Nutzerinnen und Nutzer unabhängig von der jeweiligen Heimatorganisation möglich sein. Die Nutzung von weiteren nationalen, internationalen und kommerziellen Diensten soll durch die Verwendung von OpenID Connect ermöglicht werden. Die hierzu benötigte langfristige Identifizierung von Personen mit externen und wechselnden Affiliationen unterstützt den Aufbau von Diensten für das Forschungsdatenmanagement (FDM).

Darüber hinaus wird sich bwIDM im nationalen Hochleistungsrechnen (NHR) gemeinsam als Plattform etablieren, und es entsteht eine strategische Allianz zum Projekt IDM.NRW.