Identity and Access Management (IAM)

Einleitung

Am DESY mit seinen beiden Standorten Hamburg und Zeuthen sowie den assoziierten Einrichtungen wie CFEL, CSSB, EMBL, XFEL, etc. arbeiten und forschen eigene MitarbeiterInnen, Studenten, Diplomanden, Doktoranden, Post-Docs, Messgäste sowie MitarbeiterInnen externer Firmen. Deren persönliche Daten (Identitäten – „Identity“) wie etwa Vor- und Nachnamen werden am DESY in unterschiedlichen EDV-Systemen wie SAP, DOOR, DACHS, etc. mit unterschiedlichen Zielsetzungen erfasst. Ebenso werden bei Bedarf Rollen wie etwa „Gruppenleitung“ mitgespeichert, um Berechtigungen für den Zugang oder den Zugriff („Access“) etwa zu Beschleunigerbereichen oder auf Personaldaten abzubilden.

Die Verwaltung dieser Daten mit den darauf ablaufenden Prozessen über den gesamten Lebenszyklus („Lifecycle“) vom Anlegen der Datensätze über Datenveränderungen bei Namens-, Gruppen- und / oder Rollenwechsel bis hin zur Deaktivierung von Daten bildet das sogenannte Identity and Access Management, abgekürzt IAM.

Umfang, Bereitstellung und Einsatz des IAM

Am DESY kommt seit dem 7.3.2017 ein selbst programmiertes IAM-System (IAMS) zum Einsatz, dass den speziellen Anforderungen der DESY-Landschaft hinsichtlich assoziierter Institutionen einerseits sowie am DESY eingesetzter EDV-Systeme andererseits Rechnung trägt und den Vorläufer PIP (Personeninformationspool) inklusive Datenübernahme ablöst. Das IAMS wurde von der Gruppe IT in Abstimmung mit den Gruppen V1 und VQ entwickelt und wird technisch von IT betrieben.

Das IAMS ist die führende Quelle für Personeninformationen am DESY, wobei es Daten einerseits teilweise aus anderen Datenquellen aggregiert, andererseits die aggregierten Datensätze anderen EDV-Systemen unter Berücksichtigung von Datenschutzaspekten zur Verfügung stellt. Derzeit implementiert sind Anbindungen an SAP als führendem DESY-Personaldatensystem (nur lesend), DOOR und PIP sowie indirekt an  DACHS und  IT-Registry (Benutzer-Account-Verwaltung). Weitere Kopplungen sind vorgesehen.

Nutzung des IAM

Das IAM arbeitet rollenbasiert. Die Rolle des Gruppenpersonenadministrators (PAG) wurde zunächst den sogenannten ehemaligen PIP-Sekretariaten zur Verfügung gestellt. Inzwischen können auch weitere Gruppensekretariate nach einer Schulung diese Rolle bekommen. Bitte informieren Sie sich dazu hier/bei V1 (Seite steht zeitnah zur Verfügung).

Weitere Rollen sind hier beschrieben.

Dokumentation

Dokumentation zum IAM ist im Untermenü Dokumentation nach Eingabe des DESY-Benutzernamens und Passwortes verfügbar.

Support-Level

Im IAM treffen verschiedene Disziplinen auf einander: Technik, Prozesse, Inhalte (Daten) – dafür leisten die Gruppen IT und V1 Unterstützung in jeder Hinsicht. Es ist unser Anspruch, jede Anfrage zu beantworten. Dies bedeutet gleichwohl nicht, dass jede Anfrage auch immer gelöst werden kann.

Kontakt

Bitte wenden Sie sich via E-Mail an iam@desy.de  .
Dort wird Ihre Anfrage kategorisiert und der bzw. die geeignete Ansprechpartner/in wird sich bei Ihnen melden.