Arbeitspakete

sprungmarken_marker_136

Arbeitspaket 1 - Zwei-Faktor-Authentifizierung

Unter Einbeziehung bereits vorhandener Lösungen soll ein Konzept erarbeitet werden, das den Hochschulen und Diensten Möglichkeiten aufzeigt, wie ein zweiter Faktor für die Authentifizierung eingeführt und verwendet werden kann.

In der Hochschullandschaft Baden-Württembergs werden bereits eine Vielzahl Landesdienste und Ressourcen angeboten. Diese sind über bwIDM angebunden und werden zunehmend zu Schlüsselkomponenten im Hochschulverbund. Sicherheitsvorfälle und erhöhte Phishingaktivitäten stellen zwischenzeitlich gestiegene Sicherheitsanforderungen an die Dienste.

Unter Einbeziehung bereits vorhandener Lösungen und Infrastrukturen soll ein Konzept erarbeitet werden, das den Hochschulen und Diensten Möglichkeiten aufzeigt, wie ein zweiter Faktor für die Authentifizierung eingeführt und verwendet werden kann. Das Konzept soll eine Nutzung sowohl am lokalen Standort (für eigene/lokale Dienste) als auch bei Landesdiensten berücksichtigen bzw. ermöglichen. Bereits etablierte Landesdienste können nach deren Anforderungen und Möglichkeiten angebunden werden. Dabei wird eine Umsetzung angestrebt, die den Einsatz unterschiedlicher Technologien zulässt und unterstützt.

Eine Evaluation der technischen Lösungen ist gemeinsam mit dem NRW.IDM-Projekt angedacht. Eine gemeinsame Anforderungsanalyse soll gegenseitig übertragbare Blaupausen für adaptierbare Lösung an den jeweiligen Standorten zum Ziel haben.

Arbeitspaket 2 - Evaluation neuer und Weiterentwicklung bestehender föderaler Technologien

Seit der Etablierung der auf SAML2/Shibboleth basierenden Föderation sind neue Technologien für die Authentifizierung und Autorisierung von Nutzenden entstanden, die eine immer weitere Verbreitung erfahren.

Diverse Dienste stellen Anforderungen an die Authentifizierungsstruktur, die von den bisherigen Möglichkeiten in bwIDM1 nicht mehr ausreichend abgedeckt werden. Dies beinhaltet sowohl den Bedarf für den Einsatz neuer Technologien, wie OpenID Connect, als auch neue Identitätsanbieter bzw. weitere Föderationen (z.B. ORCiD oder ELIXIR-AAI). Denn insbesondere auch kommerzielle Dienstleister und Cloudanbieter (wie z.B. Microsoft und Google), deren Angebote zunehmend auch im akademischen Umfeld eingesetzt werden, nutzen in den letzten Jahren vermehrt oder sogar ausschließlich OpenID Connect als Authentifizierungsverfahren. SAML2-basierte Verfahren spielen in diesem Umfeld meist keine oder nur eine sehr geringe Rolle.

Unter Einbeziehung bereits vorhandener Lösungen und Infrastrukturen sollen neue Technologien auf ihre Eignung und Integrierbarkeit in die bestehenden Infrastrukturen hin evaluiert und ggf. umgesetzt werden. Damit soll den Hochschulen und Diensten Möglichkeiten aufgezeigt werden, einige dieser Technologien einzuführen. In Evaluationen sollen vorhandene Technologien, Anforderungen der Dienste und die Möglichkeiten der Einbindung von weiteren Community-AAIs untersucht werden. Für vielversprechende Ansätze werden entsprechende Prototypen aufgesetzt und untersucht.

Arbeitspaket 3 - Sicherheit, Projekt- und Communitymanagement

In den letzten Jahren sind auch die Anforderungen an die IT-Sicherheit gestiegen und hat sich ein verstärkter Bedarf zur Umsetzung von Projekt-/Communityverwaltung entwickelt.

Zwar existieren Plattformen wie z.B. die „Zentrale Antragsseite für bwHPC” (ZAS), in der Teilnehmende Projekten/Communities zugeordnet werden, andererseits werden Projekte und deren Mitglieder auch lokal in den Standorten gepflegt. Wünschenswert wäre eine zentrale Projekt-/Communityverwaltung, als übergreifende Basis für verschiedene Landesdienste oder lokale Dienste. Der Zugang zur Plattform und damit zu den Diensten sollte zudem gesichert möglich sein.

Innerhalb des Arbeitspakets werden bereits im Land etablierte Plattformen zur Projekt- und Gruppenverwaltung befähigt, miteinander zu interagieren. Zusätzlich sollen die Plattformen erweitert werden, um nationale Communities anbinden zu können. Dabei muss die Versorgung von Nutzenden, die nicht von einer Landeseinrichtung verwaltet werden, berücksichtigt und konzeptionell umgesetzt werden. Unter anderem ist hierzu eine diensteübergreifende persistente Identifikation von Personen in Communities/Gruppen essentiell. Im Rahmen des Arbeitspakets soll eine Evaluation und Weiterentwicklung vorhandener Plattformen im Hinblick auf Communityverwaltung erfolgen. Bei Plattformen außerhalb des bwIDM-Kontexts soll auf eine Zusammenarbeit hingewirkt werden, um die Interoperabilität zu steigern. Die vorhandenen Plattformen sollen neben der definierten Community-Funktionalität auch um Schnittstellen zu externen Plattformen erweitert werden.

Im Austausch mit dem IDM.NRW Projekt sollen Anwendungsfälle gesammelt, analysiert und bewertet werden, die als Basis für die Anforderungen an eine Community-Software dienen. Zu deren Umsetzung wird eine Entwicklungspartnerschaft angestrebt, die eine nachhaltig pfleg- und nutzbare Software vor dem Hintergrund zunehmend nationaler Anforderungen zur Communityverwaltung sicherstellen soll.

Arbeitspaket 4 - Fachkonzept Lebenslange Personenidentifikatoren und Einbindung Forschungsdatenmanagementdienste

Unter Berücksichtigung der Anforderungen von Forschungsdatendiensten soll ein einrichtungsübergreifender persistenter Identifikator erarbeitet, der die Wiedererkennung derselben Person unabhängig ihrer Heimateinrichtung ermöglicht.

Mit bwIDM steht eine Authentifizierungs- und Autorisierungsumgebung für eine Vielzahl an Landesdiensten für die Nutzerinnen und Nutzer der baden-württembergischen Hochschulen bereit. Dem gegenüber stehen verschiedene Forschungsdatenmanagementdienste (FDM-Dienste) vielen Anwenderinnen und Wissenschaftsgemeinschaften auch über die Grenzen Baden-Württembergs hinweg zur Verfügung, weshalb der Fokus über die bwIDM-Infrastruktur hinaus erweitert werden soll. Ferner soll eine Möglichkeit erarbeit und umgesetzt werden, eine teilnehmende Person bei einem Wechsel der Einrichtung oder selbst bei einem Wechsel des Status innerhalb der Einrichtung langfristig und eindeutig wiedererkennen zu können.

Unter Berücksichtigung der Anforderungen der FDM-Systeme und FDM-High-Level-Dienste soll ein einrichtungsübergreifender persistenter Identifikator zum bwIDM Datensatz hinzugefügt werden, der die Wiedererkennung derselben Person unabhängig ihrer Heimateinrichtung ermöglicht. Mit ORCID besteht bereits eine entsprechende Infrastruktur für lebenslange persistente Identifikatoren, während die ZKI Arbeitsgruppe eduID die Entwicklung eines für breitere Anwendungsgebiete verfügbaren Identifikators anstrebt; die Möglichkeit der Entwicklung einer alternativen Lösung soll im Rahmen von bwIDM2 geprüft werden.

Ausgehend von den Erkenntnissen aus diesem AP werden Implementierungsblaupausen erstellt, die an interessierte Gemeinschaften herausgegeben werden können. Auf diese Weise können bisher noch nicht erschlossene Synergieeffekte in Baden-Württemberg und darüber hinaus gehoben werden.

Arbeitspaket 5 - Outreach und hochschulübergreifende Integration

Für alle Hochschularten soll - insbesondere für kleinere Einrichtungen - eine Blaupause zur Hilfe als Selbsthilfe hinsichtlich Nutzung und Mitwirkung in der Landesföderation bwIDM erstellt werden.

Auf Grund fehlender IT-Kompetenzen und IT-Ressourcen können kleinere Einrichtungen noch nicht bwIDM und somit auch nicht Landesdienste wie z.B. bwSync&Share nutzen. Noch fehlen Betriebsmodelle, die kleinere Einrichtungen unterstützen. Auch bei vielen andere außeruniversitären Einrichtungen muss die bwIDM-Nutzung optimiert und ausfallsicherer gemacht werden, da immer mehr Kooperationen zwischen BW-Einrichtungen entstehen, die ein hochschulübergreifendes Zugriffsmanagement erfordern. Das Arbeitspaket hat die Nutzersicht im Fokus und bietet den Kanal nach außen, so dass in BW durch den optimalen Nutzen von bwIDM2 in allen Einrichtungen der erhoffte Mehrwert erreicht wird.

bwIDM soll auch in kleineren Einrichtungen wie den Musikhochschulen sicher und zuverlässig eingesetzt werden und diesen Zugang zu Landesdiensten ermöglichen. Für alle Hochschularten soll eine Blaupause zur Hilfe als Selbsthilfe hinsichtlich Nutzung und Mitwirkung in der Landesföderation bwIDM erstellt werden, in welcher vor allem organisatorische, juristische und technische Erfahrungen einfließen.

Ein geeignetes Betriebsmodell für Identitätsprovider (IdPs) soll entwickelt und verschiedene Varianten evaluiert werden: homeless IdPs (für Einrichtungen ohne entsprechende IT-Kompetenzen und externe Anwender), lokale und zentrale IdPs. Wichtig sind hierbei vor allem auch die Themen Informationssicherheit, Datenschutz und Hochverfügbarkeit. Es sollen auch kooperative Betriebskonzepte mit wechselseitiger Redundanz untersucht werden. Zusätzlich soll eine Blaupause erarbeitet werden (organisatorisch, juristisch und technisch) zur Anbindung von bwIDM für lokale Dienste bzw. Diensten, die anderen Einrichtungen angeboten werden. Dies gilt auch für hochschulübergreifende Studiengänge und Forschungsprojekte, bei denen Abläufe sowohl von Betreiber- als auch Nutzerseite auch vor dem Hintergrund einer landesübergreifenden Nutzung optimiert werden können.

Wichtig ist eine Nachhaltigkeit bzw. die dauerhafte Dissemination. Deshalb muss bwIDM auch für die Zeit nach dem Projekt in die vorhandene hochschulübergreifende Governancestruktur verankert werden, so dass bwIDM bzw. die darauf aufsetzenden Dienste anwenderfokussiert weiterentwickelt werden können.