Universität Bamberg
Suche öffnen
Sie befinden sich hier:

Service-Einrichtungen

IT-Service der Universität

  1.  Otto-Friedrich-Universität Bamberg
  2. Organe und Einrichtungen
  3. Service-Einrichtungen
  4. IT-Service der Universität
  5. Mehr Transparenz und höhere Usability durch eine neu organisierte Gruppenverwaltung im IAM-Portal
Präsentation der alten und neuen Gruppenverwaltung

Dr. Hartmut Plehn und Frank Schreiterer präsentieren die alte Gruppenverwaltung in der Outlook Web App, die am 02.05.2018 abgeschaltet wird, und die neue Gruppenverwaltung im IAM-Portal.

Die Gruppemverwaltung in der Outlook Web App wird zum 02.05.2018 abgeschaltet.

Beispiel für das Auswahlmenü von Sicherheitsgruppen vor der Bearbeitung

Ausschnitt des Formulars "Sicherheitsgruppen verwalten"

Ausschnitt des Formulars "Verteilergruppe: Verwaltung"

Mehr Transparenz und höhere Usability durch eine neu organisierte Gruppenverwaltung im IAM-Portal

Am Mittwoch, 2. Mai 2018, wird die Gruppenverwaltung in der Outlook Web App (OWA) abgeschaltet.

Im Zuge der Weiterentwicklung des Identity- und Accessmanagements wurde die Gruppenverwaltung neu geregelt. Ziel ist es, mehr Sicherheit und Transparenz zu schaffen und einen automatisierten Prozess hinsichtlich der Organisation der Zugriffsrechte zu etablieren. Durch die neu organisierte Gruppenverwaltung, die mit dem IuK-Beirat abgestimmt wurde, wird zum einen transparenter, wer Zugriffe auf welche Ressourcen (Sicherheitsgruppen und Verteilergruppen) zu welchem Zeitpunkt hat, und zum anderen wird sichergestellt, dass bei Änderungen der Zugriffsrechte ein automatisierter Informationsprozess ausgelöst wird. Davon betroffen sind sowohl die Gruppe der Bediensteten, Promovierenden und Mitwirkenden als auch die Gruppe der Studierenden an der Universität Bamberg. Jede Person, die als Mitglied zu einer Sicherheits- oder Verteilergruppe hinzugefügt oder aus einer solchen Gruppe entfernt wird, wird automatisch darüber benachrichtigt. Auch wenn eine komplette Personengruppe hinzugefügt oder entfernt wird, erhält jedes Mitglied dieser Personengruppe eine entsprechende Information per E-Mail.

Gruppenverwaltung jetzt im IAM-Portal

Eine erste grundlegende Änderung betrifft sozusagen den Ort, wo diese Gruppen verwaltet werden: Geschah dies bislang unter mailex.uni-bamberg.de, so erfolgt dies nun an zentraler Stelle, nämlich im IAM-Portal (iam.uni-bamberg.de). Hier wurde die Funktionalität um die beiden folgenden Selfservices erweitert:

  • Verteilergruppe: Verwaltung: Nutzen Sie z. B. in Ihrem Projekt eine geschlossene Verteilergruppe zur internen Kommunikation, dann können die verwaltungsberechtigten Personen über den Selfservice „Verteilergruppe: Verwaltung“ E-Mail-Empfänger (Mitglieder) hinzufügen oder entfernen.
  • Sicherheitsgruppen verwalten: Soll zum Beispiel die neue Mitarbeiterin auch auf den gemeinsam genutzten Fileserver zugreifen dürfen, so muss eine verwaltungsberechtigte Person die Berechtigung im Selfservice „Sicherheitsgruppen verwalten“ im IAM-Portal eintragen, sofern nicht die automatisch befüllte Personengruppe der Organisationseinheit als Mitglied hinterlegt ist.

Beide Selfservices enthalten übersichtliche Formulare und kontextbezogene Hilfestellungen. Dadurch wird die Bearbeitung leichter und verständlicher.

Der Umzug ins IAM-Portal macht es nun auch möglich, dass die Studierendenvertretung Zugriffsberechtigungen auf die von ihnen genutzten IT-Dienste selbständig vergeben kann.

Automatisierte Informationsprozesse

Ab sofort können Verwaltungsberechtigungen nur noch von Kürzelinhaberinnen und -inhabern erteilt werden. Sobald eine Verwaltungsberechtigung geändert wurde, wird ein entsprechender Informationsprozess angeschoben: Alle Verwaltungsberechtigten werden über diese Änderung informiert – wie auch die betroffenen Personen.

Nach diesem Prinzip verläuft auch die Änderung von Zugriffsberechtigungen und Gruppeneigenschaften. Wenn nun eine verwaltungsberechtigte Person ein neues Mitglied zur Gruppe hinzufügt, werden darüber auch alle betroffenen Personen informiert: d. h. alle Verwaltungsberechtigten erhalten eine E-Mail mit dieser Änderung und dem aktuellen Stand (Gruppeneigenschaften und Mitglieder). Das neu hinzugefügte Mitglied erhält die Information über seine neue Mitgliedschaft sowie dem damit verbundenen Recht, auf den Dienst zu zugreifen. Dies gilt im Umkehrschluss auch, wenn ein Mitglied entfernt wurde und ihm dadurch das Recht entzogen wird.

Wird eine Personengruppe als Mitglied hinzugefügt oder entfernt, wird zusätzlich zu den Mitgliedern der Personengruppe auch immer die organisatorisch verantwortliche Person der Mitglieder einer Personengruppe entsprechend informiert. Somit wissen alle betroffenen Personen über eine Änderung bei den Zugriffsberechtigungen Bescheid.

Mehr Service für Kürzelinhaber sowie weitere Verwaltungsberechtigte

Es ist nun ein automatisierter Übergang der Verwaltung von Gruppen möglich: Erfolgt an einer Organisationseinheit ein Wechsel bei der Leitung, so werden die an das Kürzel gebundenen Berechtigungen für Sicherheits- und Verteilergruppen automatisch an die neue Kürzelinhaberin oder den neuen Kürzelinhaber weitergegeben und die bisherigen entfernt. Darüber werden die Betroffenen in einer automatisch generierten E-Mail informiert, in welcher auch sämtliche Sicherheits- und Verteilergruppen aufgelistet sind. Zudem wird die neue Leitung aufgefordert, die Gruppeneigenschaften und Gruppenmitgliedschaften zu prüfen. Damit wird sichergestellt, dass die Zugangsberechtigungen immer über einen aktuellen Stand verfügen.

Die Verwaltungsberechtigten erhalten den aktuellen Stand nicht nur bei Änderung einer Gruppe. Zusätzlich wird halbjährlich unaufgefordert ein Report verschickt. Dieser Report enthält eine Liste mit allen Gruppeneigenschaften und Mitgliedern aller Sicherheits- und Verteilergruppen, für die die Person verwaltungsberechtigt ist. Darüber hinaus kann ein solcher Report auch bei Bedarf im IAM-Portal angefordert werden.

Mehr Sicherheit durch neue Workflows

Durch die neuen automatisierten Prozesse wird gewährleistet, dass Rechte ausschließlich bei den Verantwortlichen liegen und dass versehentlich erteilte oder genommene Berechtigungen durch Informationen per E-Mail sofort offenkundig werden.

Darüber hinaus können nur persönliche Nutzerkonten oder automatisch befüllte Personengruppen Gruppenmitglieder werden.

Sicherheitsgruppen können nicht mehr als Mitglied zu Gruppen hinzugefügt werden. Damit wird vermieden, dass dieselbe Person, die zum Beispiel auf einen Fileserver zugreifen darf, auch Zugriff auf ein aufgabenbezogenes E-Mail-Konto erhält, obwohl sie nicht berechtigt sein soll. Das heißt, die Zuordnung ist nun eindeutiger.

Auch aufgabenbezogene Konten können zu Sicherheitsgruppen nicht mehr hinzugefügt werden, weil es gewollt ist, dass ein Zugriff nur mit persönlichem Nutzerkonto erfolgen soll und dementsprechend die tatsächlichen Nutzer und Nutzerinnen identifizierbar sind. Allerdings werden diese Konten nicht gleich bei der Umstellung automatisch als Mitglied aus der Sicherheitsgruppe entfernt, aber bei der ersten Änderung der zugehörigen Gruppeneigenschaften.

Bei Fragen wenden Sie sich bitte an den IT-Support.

Detaillierte Informationen zu: