DAASI International Logo
info@daasi.de
Kontakt
+49 7071 407109-0
deDeutsch
enEnglish

didmos – das flexible IAM-Framework

  1. Startseite
  2. chevron_right
  3. (Federated) Identity & Access Management
  4. chevron_right
  5. IAM-Lösungen – Software & Tools
  6. chevron_right
  7. didmos – das flexible IAM-Framework
didmos-Logo

didmos ist die leistungsstarke Software für Identity & Access Management der DAASI International. Sie besteht aus sechs erweiterbaren Open-Source-Modulen, die individuell an Ihre Infrastruktur angepasst werden können.

Grundgedanke
Module
Roadmap
Source Code
Dokumentation
Demo
Grundgedanke

Grundgedanke

Soll Identity & Access Management in einer Organisation eingeführt werden, treten stets ähnliche Fragen auf, z. B.:

  • Wie soll der Datenaustausch zwischen den verschiedenen Systemen (Datenmodellen, Schnittstellen, Zugangsinformationen etc.) funktionieren?
  • Wie können die internen Berechtigungen am besten abgebildet werden?
  • Wie können die spezifischen Organisationsabläufe (Administrationsprozesse, Self-Service-Funktionen für Benutzer etc.) optimal dargestellt werden?
Da diese Fragen zwar ähnlich sind, sich aber stets auf komplett unterschiedliche, organisationsspezifische Anforderungen beziehen, bietet proprietäre Standardsoftware eine oft nur unbefriedigende Lösung.

Module für mehr Flexibilität

Im Gegensatz zu einer starren Standardlösung ist didmos individuell formbar, da es aus sechs anpassbaren Modulen besteht.

Alle Module sind auf­einander abgestimmt und bilden zusam­men ein flexibles, leistungsstarkes und umfassen­des Identity & Access Management-System, das individuell an Wünsche und Anforderungen angepasst werden kann. Insbesondere bietet didmos durch hohe Standardkonformität und die starke Ausrichtung auf Erweiterbarkeit ideale Voraussetzungen dafür, in eine bestehende IT-Landschaft integriert zu werden.

Somit ist didmos keine proprietäre Standardsoftware, sondern eine individuelle und nachhaltige Komplettlösung, die sich mit ihrem Modulcharakter an alle Gegebenheiten und Bedürfnisse anpasst.

Module

didmos-Module

didmos_lui

LUI

Das LDAP User Interface, kurz LUI, bildet den Kern von didmos und besteht aus drei Elementen: Einer Frontend-Komponente zur Verwaltung von Benutzer*innen oder für deren Selbstadministration, einem Backend für Businesslogik und einer Workflow-Engine, über die beispielsweise Genehmigungsprozesse abgebildet werden können.

In das LUI-Backend lassen sich schließlich beliebige weitere Module integrieren, wie der Decision Point (s. u.) oder kundenspezifische Module mit eigener API. Durch die Unterstützung des internationalen Standards SCIMv2 zur Verteilung von Identitäten in der Cloud kann das Backend universell eingesetzt werden. LUI ist auf vielen Ebenen individualisierbar und lässt sich ganz einfach auch an Ihr Corporate Design anpassengepasst werden.

Authenticator

Innerhalb des didmos Framework ist der Authenticator ist die zentrale Authentifizierungskomponente, er kann aber auch unabhängig von didmos verschiedensten Anwendungen vorangestellt werden und ist durch den modularen Aufbau flexibel anpassbar an jede SSO-Umgebung. Unter Einbindung von SAML und OpenID Connect können Benutzer*innen sich über den Authenticator sowohl durch interne als auch externe Logins, z.B. Social Login via Facebook, Twitter und Co. anmelden. So können Benutzer*innen auf alle Dienste innerhalb einer Föderation zugreifen, ohne mehrere Accounts anlegen und verwalten zu müssen. Für maximale Datensicherheit durch Multi-Faktor-Authentifizierung lässt sich der didmos Authenticator mit der Open-Source-Lösung privacyIDEA unseres Partners NetKnights verbinden.

didmos_pwd-synchronizer

Pwd Synchroniser

didmos Pwd Synchroniser synchronisiert eventbasiert Passwortänderungen an einem Active Directory Domain Controller in andere Verzeichnisse, wie OpenLDAP. Die einfache Installation als Windows-Dienst, die verschlüsselte Zwischenspeicherung auf dem Domain Controller sowie die Protokollierung der Synchronisierungsvorgänge machen den Pwd Synchroniser zu einem effektiven Modul zur Integration von Active Directory.

didmos_etl-flow

ETL Flow

Das Modul ETL Flow (Extract, Transform, Load, Workflow) sorgt für die Extrahierung von Daten aus verschiedenen Quellen – etwa aus ERP-, SAP-, XML– oder SQL-Datenbanken – die schließlich in das zentrale Metadirectory synchronisiert werden. Entscheidende Prozesse sind dabei die Identifizierung von Identitäten anhand gewichteter Attribute (Duplikaterkennung), die Zusammenführung zu einem konsistenten Datensatz mit weiteren automatisch gebildeten Attributen sowie die automatische Gruppenbildung.

didmos_provisioner

Provisioner

Der didmos Provisioner ermöglicht die Echtzeit-Übertragung von Identitätsinformationen in angeschlossene Zielsysteme. Relevante Änderungen werden als JSON-Dokument in das Queuing-System RabbitMQ geschrieben und darauf von einem dedizierten Worker in das Zielsystem eingespielt. Dabei greift der Worker auf das ICF-Konnektor-Framework zurück, wodurch verschiedene Schnittstellen, wie SOAP, REST, LDAP oder SQL bedient werden oder eigene Konnektoren zur Anbindung proprietärer Systeme eingebunden werden können.

didmos_decision_point

Decision Point

Der didmos Decision Point ist eine Implementierung des Standards Role Based Access Control (RBAC), durch den Rechte für beliebige Ressourcen über Rollenmitgliedschaften verwaltet werden können. Dieses Modul wird in didmos für die Zugriffskontrolle eingesetzt, zum Beispiel um Inhaber*innen verschiedener Rollen in LUI unterschiedliche Menüoptionen anzubieten. Da der Decision Point über eine eigene REST-API verfügt, kann er auch von beliebigen anderen Systemen genutzt werden, um das Rechtemanagement zentral zu verwalten. Auf diese Weise müssen Zugriffsregeln nicht in jeder Anwendung erneut definiert werden. Insbesondere in Forschungsinfrastrukturen wurde der Decision Point unter anderem zur Verwaltung von Zugriffsrechten auf Dateien eines Replikationsverbunds erfolgreich eingesetzt.

Roadmap

Roadmap

roadmap

didmos basiert auf modernster Open-Source-Technologie und erfüllt sämtliche Anforderungen, um damit ein hochperformantes IAM-System aufzubauen. Um diese Qualität auch weiterhin zu gewährleisten und damit den individuellen Ansprüchen innovativer Organisationen gerecht zu werden, entwickelt die DAASI International didmos stetig weiter.

Wenn Sie mehr darüber erfahren möchten, an welchen Features wir aktuell entwickeln oder welche weiteren Features noch geplant sind, rufen Sie die aktuelle Roadmap in unserem öffentlichen Wiki auf.

Source Code

Source Code

Den Source Code der einzelnen Module unserer aktuellen dimos-Version finden Sie in unserem GitLab unter:

gitlab.daasi.de/didmos2

Werden Sie Teil unserer Entwickler-Community!

didmos_GitLab
Dokumentation

Dokumentation

didmos_documentation

didmos ist über die Jahre stetig gewachsen. Durch neue Module und Features wurde das Framework zu einer multifunktionalen und komplexen IAM-Suite.

Begleitende Orientierung und Hilfestellung für Ihr IAM-Projekt mit didmos finden Sie in der Dokumentation im öffentlichen Wiki der DAASI International.

Demo

didmos – jetzt testen!

Unsere Demoversion verfügt aktuell noch nicht über die maximal mögliche Funktionalität. Wir arbeiten jedoch kontinuierlich an ihrem Ausbau und fügen für Sie regelmäßig neue Features hinzu.

Die DAASI International wünscht Ihnen viel Freude beim Testen!

orange-theme

Aktuelle Komponenten

didmos Ablaufdiagramm
  • OpenLDAP-Server – die Persistenzschicht des Identity Managements in didmos
  • didmos Core – Implementierung zentraler Prozesse
    didmos Core ist über REST-Schnittstellen, insbesondere SCIM v2, bedienbar und kümmert sich um die Rechteverwaltung (eingebauter RBAC-kompatible Policy Decision Point), sowie um die Speicherung in den LDAP-Server
  • didmos Authenticator – Authentifizierung und Access Management
  • didmos LUI – ein Self-Service Interface, das mit entsprechenden Rollenmitgliedschaften als Administrationstool genutzt werden kann
  • didmos Provisioner – Provisionierung von Daten für beliebige Zielsysteme
  • Ein Active Directory als Beispiel eines provisionierten Systems

Bisher konfigurierte Features

Selfservice / Authenticator

  • LDAP Login: einloggen über LDAP-Passwort
  • Social Login: einloggen über einen Social Account (hier beispielhaft Google)
  • New Account: neuen Account registrieren, einschließlich Nutzungsbedingungen o. Ä. akzeptieren, E-Mail-Verifizierung und Überprüfung der Passwortstärke
  • My Data: Eigene Daten anzeigen und ändern
    Im Beispiel Vor- und Nachname als Felder mit nur einem Wert, Telefonnummer mit beliebig vielen Werten und unveränderbaren Username und E-Mail-Adresse. Es sind beliebige andere Attribute konfigurierbar. Zusätzlich werden alle Gruppen- und Rollenmitgliedschaften angezeigt
  • Change Password: Passwort ändern
  • Request Admin Access: Anfordern der Rolle “admin”. Im Admin-Portal wird ein Request erstellt, welches von einem amtierenden Administrator akzeptiert oder abgelehnt werden kann
  • My History: Hier werden alle Änderungen von User-Attributen am eigenen Account aufgeführt und von wem diese durchgeführt wurden.
  • Delete Account: Eigenen Account löschen
  • Themes: Individuelle Designs einfach über Themes konfigurierbar. (Die Auswahl wird in der Demo nicht gespeichert, lässt sich auf Wunsch jedoch einfach einbauen.
  • Logout: Abmelden
  • Selfservice: Passwort-Vergessen-Workflow

Administration

  • Mit User über selbe Instanz einloggen: superadmin, Passwort: secret (der die Rolle superadmin hat)
  • Userlist: Liste aller gespeicherten User mit der Möglichkeit neue User anzulegen, User auszuwählen und die Daten zu verändern bzw. den Account zu deaktivieren, sowie User zu löschen. User können hier auch in bestehende Gruppen aufgenommen werden
  • Grouplist: Liste aller Gruppen mit der Möglichkeit neue Gruppen anzulegen, sowie bestehende Gruppen zu editieren, also neue Mitglieder hinzuzufügen, vorhandene zu löschen, aber auch in die einzelnen User-Einträge zu gelangen
  • Role Requests: Bearbeiten von Requests nach Admin-Rechten

Kontinuierlicher Ausbau

group request in didmos

Diese Infrastruktur wird sukzessive erweitert um:

  • weitere Funktionalitäten der Interfaces
  • Quell- sowie weitere Zielsysteme.

didmos ist eine Art Baukastensystem für unterschiedliche Funktionalitäten. Diese Demo ist eine mögliche Konfiguration von vielen. Mit didmos lässt sich nahezu alles, insbesondere auch das visuelle Design, an individuelle Wünsche anpassen.

Sie sind an einer flexiblen IAM-Lösung interessiert?

Dann helfen wir Ihnen gerne weiter.

Zum Kontaktformular
Menü
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.