Im Zusammenhang mit meiner Abschlussarbeit bin ich gerade auf das Thema Identitätsmanagement / Identity Management gestoßen. Im Zusammenhang mit dem Verhältnis von Verwaltungssoftware und webbasierten Lernwerkzeugen ist das Thema der Rollen- und Rechtevergabe eng verknüpft mit dem Zugang zu bestimmten Bereichen einer Plattform.
An der Universität Hamburg gibt es verschiedene Strategien der Zugangsprüfung. Die Zugänge zur Verwaltungssoftware „Stine“ sind bei Neuerstellung eines Kontos per Postzusendung und mit iTAN Listen geregelt, wenn das Passwort geändert werden soll, ist zusätzlich zum Einloggen in das System auch eine iTAN eingegeben werden. Dies funktioniert ähnlich dem System von Online-Banküberweisungen, indem zwei getrennte Kanäle (Web und Post) für Sicherheitsrelevante Bereiche verwendet werden.
Siehe: http://www.info.stine.uni-hamburg.de/faq_studierende.htm#Anmeldung%20in%20STiNE
Der Zugang zu den Commsy-Systemen der Universität ist weniger aufwändig, da eine Kennung selbst erstellt werden kann und die Zulassung zu einem Bereich der Plattform dezentral über die Moderator/innen des jeweiligen Raumes erfolgen. Siehe: http://www.commsy.net/pmwiki.php?n=Software/FAQ&id=4&sort=clicks
Bei OLAT, einer Lernplattform, die an der Universität Hamburg die kommerzielle Software Blackboard abgelöst hat, wird der Zugang über die Software Shibboleth direkt über das Stine Konto abgewickelt, d.h. die Stine Kennung wird auch zur Identifizierung in dem OLAT System der Universität Hamburg verwendet. Siehe: https://shib.stine.uni-hamburg.de/idp/Authn/UserPassword
Nun haben alle Mitglieder der Universität eine oder mehrere Rollen, die im Grunde genommen von den Software-Systemen sowie den Rechner-Pools, z.B. der Departments, des RRZ usw. redundant erhoben werden. Hier stellt sich also die Frage nach der Auslagerung des Identitätsmanagements aus den verschiedenen Plattformen, die auch bereits in einem Interview zu meiner Abschlussarbeit als Perspektive angesprochen wurde.
Ein interessanter Hinweis hat mich heute auf eine Präsentation von Dick Hardt zum Thema „Identity 2.0“ gestoßen. Er stellt dar, wie das Konzept der serverbasierten isolierten Sign-in Prozesse in ihrer Umkehrung als Identifizierung über einen externen Dienst geleistet werden kann, der sozusagen die Identität gegenüber den verschiedenen Plattformen zertifiziert. Dadurch soll das Konzept von „die Plattform kennt die Identität“ zu „ich weise mich der Plattform gegenüber aus“ erreicht werden, d.h. die Autorisierung wird räumlich und zeitlich analog den nicht-digitalen-Ausweisdokumenten von der Identifizierung getrennt.
Die Sensibilität des Themas ist offensichtlich: Wenn ich das richtig verstanden habe, ist die Zielvorstellung sozusagen „e-Pässe“ zu generieren und hierzu einen zentralen und notwendigerweise globalen Dienst – schließlich funktionieren all die Plattformen wie ebay, amazon usw. über Ländergrenzen hinweg – einrichten zu müssen, der datentechnisch eine enorme Macht generieren würde.
Zum anderen wundert mich in dem Vortrag etwas, das die Parallele zu SSL Zertifikaten nicht eingebracht wird, wo es doch auch um Zertifizierung geht und darum, Identitäten zu garantieren. Außerdem erscheinen mir „Unterschriftenlisten“-Konzepte wie die bei SSL einleuchtender und dynamischer, als zentrale „Identitäts-Tresore“. Vielleicht übersehe ich da aber auch einfach technische Aspekte.
Aber ein interessanter und lustiger Vortrag, der vor allem viele schöne Metaphern und Bilder liefert.
Die Webseite zu dem entsprechenden Softwareprodukt ist: http://identity20.com/
Hier gibt es zum Thema Identity- und Access-Management eine Datenbank mit einem Lexikon und Produktübersichten:
http://www.iam-wiki.org/
Siehe auch andere Beiträge zum Thema:
http://blog.gragert.de/?p=20
http://www.blog.tocki.de/2008-09-11/identity-20-keynote-vortrag/