didmos ist die leistungsstarke Software für Identity & Access Management der DAASI International. Sie besteht aus sechs erweiterbaren Open-Source-Modulen, die individuell an Ihre Infrastruktur angepasst werden können.
didmos – das flexible IAM-Framework
Grundgedanke
Soll Identity & Access Management in einer Organisation eingeführt werden, treten stets ähnliche Fragen auf, z. B.:
- Wie soll der Datenaustausch zwischen den verschiedenen Systemen (Datenmodellen, Schnittstellen, Zugangsinformationen etc.) funktionieren?
- Wie können die internen Berechtigungen am besten abgebildet werden?
- Wie können die spezifischen Organisationsabläufe (Administrationsprozesse, Self-Service-Funktionen für Benutzer etc.) optimal dargestellt werden?
Da diese Fragen zwar ähnlich sind, sich aber stets auf komplett unterschiedliche, organisationsspezifische Anforderungen beziehen, bietet proprietäre Standardsoftware eine oft nur unbefriedigende Lösung.
Module für mehr Flexibilität
Im Gegensatz zu einer starren Standardlösung ist didmos individuell formbar, da es aus sechs anpassbaren Modulen besteht.
Alle Module sind aufeinander abgestimmt und bilden zusammen ein flexibles, leistungsstarkes und umfassendes Identity & Access Management-System, das individuell an Wünsche und Anforderungen angepasst werden kann. Insbesondere bietet didmos durch hohe Standardkonformität und die starke Ausrichtung auf Erweiterbarkeit ideale Voraussetzungen dafür, in eine bestehende IT-Landschaft integriert zu werden.
Somit ist didmos keine proprietäre Standardsoftware, sondern eine individuelle und nachhaltige Komplettlösung, die sich mit ihrem Modulcharakter an alle Gegebenheiten und Bedürfnisse anpasst.
didmos-Module
LUI
Das LDAP User Interface, kurz LUI, bildet den Kern von didmos und besteht aus drei Elementen: Einer Frontend-Komponente zur Verwaltung von Benutzer*innen oder für deren Selbstadministration, einem Backend für Businesslogik und einer Workflow-Engine, über die beispielsweise Genehmigungsprozesse abgebildet werden können.
In das LUI-Backend lassen sich schließlich beliebige weitere Module integrieren. Durch die Unterstützung des internationalen Standards SCIMv2 zur Verteilung von Identitäten in der Cloud kann das Backend universell eingesetzt werden. LUI ist auf vielen Ebenen individualisierbar und lässt sich ganz einfach auch an Ihr Corporate Design anpassengepasst werden.
Authenticator
Innerhalb des didmos Framework ist der Authenticator ist die zentrale Authentifizierungskomponente, er kann aber auch unabhängig von didmos verschiedensten Anwendungen vorangestellt werden und ist durch den modularen Aufbau flexibel anpassbar an jede SSO-Umgebung. Unter Einbindung von SAML und OpenID Connect können Benutzer*innen sich über den Authenticator sowohl durch interne als auch externe Logins, z.B. Social Login via Facebook, Twitter und Co. anmelden. So können Benutzer*innen auf alle Dienste innerhalb einer Föderation zugreifen, ohne mehrere Accounts anlegen und verwalten zu müssen. Für maximale Datensicherheit durch Multi-Faktor-Authentifizierung lässt sich der didmos Authenticator mit der Open-Source-Lösung privacyIDEA unseres Partners NetKnights verbinden.
Pwd Synchroniser
didmos Pwd Synchroniser synchronisiert eventbasiert Passwortänderungen an einem Active Directory Domain Controller in andere Verzeichnisse, wie OpenLDAP. Die einfache Installation als Windows-Dienst, die verschlüsselte Zwischenspeicherung auf dem Domain Controller sowie die Protokollierung der Synchronisierungsvorgänge machen den Pwd Synchroniser zu einem effektiven Modul zur Integration von Active Directory.
ETL Flow
Das Modul ETL Flow (Extract, Transform, Load, Workflow) sorgt für die Extrahierung von Daten aus verschiedenen Quellen – etwa aus ERP-, SAP-, XML– oder SQL-Datenbanken – die schließlich in das zentrale Metadirectory synchronisiert werden. Entscheidende Prozesse sind dabei die Identifizierung von Identitäten anhand gewichteter Attribute (Duplikaterkennung), die Zusammenführung zu einem konsistenten Datensatz mit weiteren automatisch gebildeten Attributen sowie die automatische Gruppenbildung.
Provisioner
Der didmos Provisioner ermöglicht die Echtzeit-Übertragung von Identitätsinformationen in angeschlossene Zielsysteme. Relevante Änderungen werden als JSON-Dokument in das Queuing-System RabbitMQ geschrieben und darauf von einem dedizierten Worker in das Zielsystem eingespielt. Dabei greift der Worker auf das ICF-Konnektor-Framework zurück, wodurch verschiedene Schnittstellen, wie SOAP, REST, LDAP oder SQL bedient werden oder eigene Konnektoren zur Anbindung proprietärer Systeme eingebunden werden können.
Core
didmos Core ist das Herzstück der didmos-Suite. Es verfügt über verschiedene, via REST-Webservices ansprechbare, Funktionen zur Verwaltung der Zugriffskontrolle und von Objekten (z. B. Benutzer*innen und Gruppen), einschließlich der Erstellung, Löschung und Änderung solcher Objekte. didmos Core ist in Python geschrieben. Es implementiert den einschlägigen SCIM-v2-Standard und definiert eigene Endpunkte, wenn die betreffende Funktionalität nicht in SCIM vorgesehen ist.
Bei der Entwicklung bildeten Flexibilität und Erweiterbarkeit das Grundprinzip. didmos Core ist in hohem Maße konfigurierbar, um allen Anforderungen gerecht zu werden. Für den Fall, dass eine Konfiguration bestimmte Anforderungen nicht erfüllt, besteht die Möglichkeit, neue generische Funktionalität zu implementieren. Dies versetzt Entwickler*innen in die Lage, die Software an sehr spezifische Bedürfnisse anzupassen. Sie können sich dabei auf umfassend getestete Komponenten stützen und so das Fehlerrisiko auf ein Minimum reduzieren. Schließlich ermöglicht didmos Core die Integration kundenspezifischer Apps mit eigenen Webservice-Schnittstellen, um jede gewünschte Funktionalität zu realisieren.
Roadmap
didmos basiert auf modernster Open-Source-Technologie und erfüllt sämtliche Anforderungen, um damit ein hochperformantes IAM-System aufzubauen. Um diese Qualität auch weiterhin zu gewährleisten und damit den individuellen Ansprüchen innovativer Organisationen gerecht zu werden, entwickelt die DAASI International didmos stetig weiter.
Wenn Sie mehr darüber erfahren möchten, an welchen Features wir aktuell entwickeln oder welche weiteren Features noch geplant sind, rufen Sie die aktuelle Roadmap in unserem öffentlichen Wiki auf.
Source Code
Den Source Code der einzelnen Module unserer aktuellen dimos-Version finden Sie in unserem GitLab unter:
Werden Sie Teil unserer Entwickler-Community!
Dokumentation
didmos ist über die Jahre stetig gewachsen. Durch neue Module und Features wurde das Framework zu einer multifunktionalen und komplexen IAM-Suite.
Begleitende Orientierung und Hilfestellung für Ihr IAM-Projekt mit didmos finden Sie in der Dokumentation im öffentlichen Wiki der DAASI International.
didmos – jetzt testen!
Aktuelle Komponenten
- OpenLDAP-Server – die Persistenzschicht des Identity Managements in didmos
- didmos Core – Implementierung zentraler Prozesse
didmos Core ist über REST-Schnittstellen, insbesondere SCIM v2, bedienbar und kümmert sich um die Rechteverwaltung (eingebauter RBAC-kompatible Policy Decision Point), sowie um die Speicherung in den LDAP-Server - didmos Authenticator – Authentifizierung und Access Management
- didmos LUI – ein Self-Service Interface, das mit entsprechenden Rollenmitgliedschaften als Administrationstool genutzt werden kann
- didmos Provisioner – Provisionierung von Daten für beliebige Zielsysteme
- Ein Active Directory als Beispiel eines provisionierten Systems
Bisher konfigurierte Features
Selfservice / Authenticator
- LDAP Login: einloggen über LDAP-Passwort
- Social Login: einloggen über einen Social Account (hier beispielhaft Google)
- New Account: neuen Account registrieren, einschließlich Nutzungsbedingungen o. Ä. akzeptieren, E-Mail-Verifizierung und Überprüfung der Passwortstärke
- My Data: Eigene Daten anzeigen und ändern
Im Beispiel Vor- und Nachname als Felder mit nur einem Wert, Telefonnummer mit beliebig vielen Werten und unveränderbaren Username und E-Mail-Adresse. Es sind beliebige andere Attribute konfigurierbar. Zusätzlich werden alle Gruppen- und Rollenmitgliedschaften angezeigt - Change Password: Passwort ändern
- Request Admin Access: Anfordern der Rolle „admin“. Im Admin-Portal wird ein Request erstellt, welches von einem amtierenden Administrator akzeptiert oder abgelehnt werden kann
- My History: Hier werden alle Änderungen von User-Attributen am eigenen Account aufgeführt und von wem diese durchgeführt wurden.
- Delete Account: Eigenen Account löschen
- Themes: Individuelle Designs einfach über Themes konfigurierbar. (Die Auswahl wird in der Demo nicht gespeichert, lässt sich auf Wunsch jedoch einfach einbauen.
- Logout: Abmelden
- Selfservice: Passwort-Vergessen-Workflow
Administration
- Mit User über selbe Instanz einloggen: superadmin, Passwort: secret (der die Rolle superadmin hat)
- Userlist: Liste aller gespeicherten User mit der Möglichkeit neue User anzulegen, User auszuwählen und die Daten zu verändern bzw. den Account zu deaktivieren, sowie User zu löschen. User können hier auch in bestehende Gruppen aufgenommen werden
- Grouplist: Liste aller Gruppen mit der Möglichkeit neue Gruppen anzulegen, sowie bestehende Gruppen zu editieren, also neue Mitglieder hinzuzufügen, vorhandene zu löschen, aber auch in die einzelnen User-Einträge zu gelangen
- Role Requests: Bearbeiten von Requests nach Admin-Rechten
Kontinuierlicher Ausbau
Diese Infrastruktur wird sukzessive erweitert um:
- weitere Funktionalitäten der Interfaces
- Quell- sowie weitere Zielsysteme.
didmos ist eine Art Baukastensystem für unterschiedliche Funktionalitäten. Diese Demo ist eine mögliche Konfiguration von vielen. Mit didmos lässt sich nahezu alles, insbesondere auch das visuelle Design, an individuelle Wünsche anpassen.
Sie sind an einer flexiblen IAM-Lösung interessiert?
Dann helfen wir Ihnen gerne weiter.