Die DAASI International hat uns sehr professionell und kompetent in unserem Kooperationsprojekt mit gemeinsamen Shibboleth IdP und IdP-Proxy weitergebracht und betreut. Wir sind mit der unkomplizierten Zusammenarbeit sehr zufrieden.
Wir sind sehr zufrieden. Vergleichbare Projekte mit anderen Dienstleistern erfordern mehr Kommunikation und klärende Zuarbeit. Die DAASI International ist da professionell und fachlich gut aufgestellt.
Durch die gute Zusammenarbeit mit den Mitarbeiter*innen von DAASI International konnten wir uns schneller in das IdMS „midpoint“ einarbeiten. Insbesondere bei komplexeren Aufgabenstellungen sparten wir dadurch viel Zeit für „Trial-and-Error“.
Die Empfehlung DAASI International für die Implementierung von Shibboleth und einer Zwei-Faktor-Lösung (PrivacyIdea) auszuwählen hat sich für uns voll ausgezahlt, da die Einrichtung schnell und gut und sogar unter dem geplanten Budget ausgeführt wurde. Auch mit dem laufenden Support sind wir sehr zufrieden.
Mit der professionellen Hilfe von DAASI International, besonders von Supportmitarbeiter Martin Haase, hatten wir schnell und unkompliziert die Einführung des Shibboleth IdP mit Zwei-Faktor-Authentifizierung vollzogen und die Einbindung diverser Service Provider, insbesondere der DFN-AAI, konfiguriert.
Der Support der DAASI International war bei (den wenigen) Fragen und Problemen immer schnell und hilfsbereit.
Im Rahmen eines kurzfristigen Ressourcenengpasses erhielten wir von DAASI International schnelle, unkomplizierte und sehr kompetente Unterstützung und konnten auch im Nachgang auf einen verlässlichen Partner zählen.
Das Identity-Management-System der Nikolauspflege war in die Jahre gekommen. Die Stiftung entschied deshalb, ihr System durch eine moderne Standardlösung zu ersetzen. Neben den Ergebnissen der Anforderungsanalyse sprachen erste eigene Erfahrungen mit midPoint und die Nähe der DAASI
International zum Hersteller Evolveum für dieses Open-Source-Produkt.
Verantwortlichkeiten, wie etwa die Gruppenverwaltung, sollten eine logische Aufteilung erhalten. Zur Sicherstellung der IT-Sicherheit und des Datenschutzes sowie zur Einhaltung der Richtlinien des BSI war ein 4-Augen-Prinzip zu implementieren. Ziel war es, die Administration zu entlasten, Prozesse durch direkte Nutzer*innen-Verantwortung zu beschleunigen, und die Nutzer*innen-Erfahrung zu verbessern. Besondere Bedeutung hatte außerdem die Einführung einer barrierefreien Oberfläche.
Die größten Herausforderungen des Projektes bestanden darin, eine über viele Jahre angepasste Individualprogrammierung ohne ausführliche Dokumentation durch ein „Boxprodukt“ abzulösen sowie die inkonsistenten Personaldatensätze aufzuarbeiten.
Diese Hürden konnten wir durch Unterstützung der DAASI International, genauer die Herren Füller und Lukrafka, trotz aller Stolpersteine letztendlich bewältigen.– Johannes Glenz, IT-Systemadministrator
Die Zielsysteme wurden aus zwei verschiedenen Personalverwaltungssystemen gespeist. Diese waren jeweils an ein separates IdM-System angeschlossen, über welches Nutzer*innendaten und -berechtigungen jeweils in eine separate Active-Directory-Instanz provisioniert wurden. In bestimmten Fällen durften Nutzer*innen einen Account in beiden Domänen erhalten. Für deren eindeutige Identifizierung, musste besonders auf die Harmonisierung der Datensätze sowie auf die Integration der Powershell-Skripte für die Provisionierung geachtet werden. Der temporäre Entzug von Berechtigungen – wichtig für die Realisierung eines Prüfungsmodus – und deren erneute Zuweisung sollte automatisiert über Rollen erfolgen.
Um den Spezifikationen nachzukommen wurden Verwaltungsrechte auf unterschiedlichen Ebenen sowie verschiedene Key-User-Rollen implementiert. Das Vier-Augen-Prinzip etablierte man über einen Workflow für Berechtigungsanträge. Barrierefreiheit wird von midPoint standardmäßig unterstützt. Vereinzelte Übersetzungslücken wurden von der DAASI International mit speziellen Erweiterungen ergänzt. Von großer Bedeutung für den Projekterfolg war es, die Provisionierungsprozesse vor der Produktivsetzung mit echten Daten im Labor zu testen. Im Rahmen dieser Tests wurden Ungereimtheiten in den Quelldaten aufgedeckt, wodurch eine Verbesserung der Datenqualität in den Personalsystemen erreicht werden konnte. Schließlich wurde durch die Zusammenführung der Datenbestände in ein IdM-System die Unterstützung domänenübergreifender Berechtigungen automatisiert, vereinfacht und transparent.
Beauftragt wurde der Aufbau einer Webportal-Lösung zur Registrierung und Verwaltung von Kundenbenutzer*innen, sodass sich diese für ausgesuchte Anwendungen zentral registrieren und ihre Daten selbst verwalten können.
Die Konzeption des Portals sah eine On-Premise-Lösung vor, die DSGVO-konform sein und typische Self-Service-Funktionalitäten wie Accountregistrierung, Passwortänderung und die Möglichkeit der Beantragung weiterer Dienste mitbringen sollte. Zudem wurde die Interaktion zwischen dem Portal und dem bereits vorhandenen LDAP-Server gewünscht, welcher die Daten zur Autorisierung externer Nutzer*innen bereitstellt.
In freundlicher und professioneller Zusammenarbeit mit den kompetenten Mitarbeitern von DAASI International erhielten wir eine Lösung für ein Self-Service-Portal, die uns aufgrund ihrer Flexibilität weit über den zuerst angedachten Einsatzzweck in einem kleinen Projekt weitergeholfen hat.
– Generaldirektion, Staatsbibliothek zu Berlin
Projekte wie dieses gehören zu den Standardleistungen der DAASI International.
Für eine nachhaltige Lösung sollte das System so angelegt werden, dass die Integration weiterer Anwendungen durch die Administrator*innen unbegrenzt möglich ist, ohne dass nachträglich Konfigurationsarbeiten durch einen externen Dienstleister erforderlich würden.
Die DAASI International baute dieses Portal auf Basis von LUI, einem kundenspezifisch anpassbaren Modul des IAM-Frameworks didmos, neu auf. Es besteht aus zwei Komponenten: einem Self-Service- und einem Administrationsportal für die Verwaltung externer Benutzer*innen. didmos LUI fungiert hierbei als Schnittstelle zwischen den Webanwendungen und dem OpenLDAP-Server.
Im Mittelpunkt des Projekts der GESIS – Leibniz-Institut für Sozialwissenschaften stand deren Anbindung an die DFN-AAI und der gleichzeitige Aufbau einer eigenen Authentifizierungs-Infrastruktur. Hierzu wurde ein Shibboleth Identity Provider aufgebaut, der seine Daten aus einem OpenLDAP-basierten Verzeichnisdienst bezieht. Durch eine Anbindung an das Active Directory konnte eine automatische Befüllung der Benutzerinformationen in den Verzeichnisdienst erreicht werden, sodass nun auch Passwortänderungen der Benutzer direkt synchronisiert werden. Auf diese Weise wird den GESIS-Mitarbeiterinnen und -Mitarbeitern ein Single-Sign-On für ihre Anwendungen ermöglicht. Die Anbindung an die DFN-AAI erlaubt der GESIS, sowohl eigene Angebote den Benutzern anderer Organisationen bereitzustellen als auch ihren eigenen Nutzern die Angebote der anderen Mitglieder der DFN-AAI zur Verfügung zu stellen. Dank der großen Erfahrung von DAASI International konnte das Projekt innerhalb weniger Wochen realisiert werden.
Der Aufbau eines Active Directory (AD) für das Max-Planck-Institut für Festkörperforschung wurde mit dem Ziel durchgeführt, den bisherigen OpenLDAP-Server weiterhin als primäres System für Benutzer und Gruppenmitgliedschaften verwenden zu können. An diesen war bislang ein als NT4 Domain Controller konfigurierter Samba-Server angeschlossen, der durch ein während des Projekts aufzubauendes AD abgelöst werden sollte. Um es den Benutzern zu ermöglichen, ihr Passwort für alle Anwendungen und Systeme auch weiterhin am Arbeitsplatzrechner ändern zu können, wurde eine Synchronisierung des Passworts aus dem AD in das OpenLDAP-Verzeichnis aufgebaut
Neben dem didmos Pwd Synchronizer wurde dazu das didmos-Modul ETL Flow verwendet, das so konfiguriert ist, dass eine vollständige Synchronisierung der Daten jederzeit bei Bedarf erneut durchgeführt werden kann, sollten die Zieldaten fehlerhaft sein. Als dauerhafte Lösung sorgt der didmos Provisioner für das sekundenschnelle Auslesen und Übermitteln von Attributänderungen eines Benutzers aus dem OpenLDAP-Server in das AD, was eine permanente Aktualisierung möglich macht.
Das Max-Planck-Institut war daran interessiert, das AD eigenständig anhand eines von DAASI International erstellten Konzepts aufzubauen. Zusätzlich zur Beauftragung des Konzepts wurde telefonische Unterstützung während der Umsetzung geleistet. Dadurch ist das Max-Planck-Institut nun in der Lage, die aufgebaute Infrastruktur eigenständig zu betreuen. Durch die enge Zusammenarbeit und selbstständige Durchführung beim Aufbau kann das AD jederzeit an neue Bedürfnisse angepasst werden.
Die Justus-Liebig-Universität Gießen beauftragte DAASI International, um die Anbindung der JLU an das zentrale Vergabeverfahren der Stiftung für Hochschulzulassung zu optimieren. Hierzu wurde ein Konnektor entwickelt, der die Justus-Liebig-Universität an das Dialogorientierte Serviceverfahren (DoSV) anbindet, um die Bewerberdaten von der zentralen Servicestelle in möglichst kleinen Zeitintervallen an das lokale System der Hochschule zu übertragen. Somit stehen auch die Statusänderungen der verschiedenen Bewerbungen lokal immer aktualisiert in der verwendeten HIS-Software zur Verfügung. Nach zwei Testläufen, in denen sowohl der Ablauf der Bewerbungen als auch das Zusammenspiel mit anderen Hochschulen überprüft wurde, konnte das System zum 01.06.2015 mit einem Einfachstudiengang produktiv gehen und steht seitdem für die Studienplatzbewerbung zur Verfügung.
European Space Agency (ESA)
Unser Auftrag bestand darin, eine IDaaS-Plattform (Identity as a Service) bereitzustellen, die sowohl Account-Management als auch Single Sign-On (SSO) für kommerzielle Unternehmen in ESA-Mitgliedsstaaten bietet, damit diese mit einer einzigen Identität auf alle Daten und Anwendungen die Erdbeobachtung betreffend zugreifen können.
Ruhr Universität Bochum (RUB)
Die Ruhr-Universität-Bochum wünschte sich eine moderne IdM-Lösung, die deren in die Jahre gekommene Eigenentwicklung ablösen sollte.
Herausforderung: Beim Ersatz des Vorgängersystems galt es, die bisherige hochspezifische Funktionalität beizubehalten.
Vorgehensweise: Es wurden mehrere Instanzen von midPoint aufgesetzt, um zunächst das vorhandene System zu ergänzen. Danach wurde mit der Übergangsphase begonnen.
Ergebnis: Die Universität betreibt inzwischen die neue midPoint-Instanz sowie das alte System parallel. Zu einem späteren Zeitpunkt soll midPoint schließlich das alte System vollständig ersetzen.
Kontaktieren Sie uns, wir beraten Sie gerne!
