Universitätsrechenzentrum
Ressourcenverwaltung

Ressourcenverwaltung im IdM-Portal

Allgemeines

Ein zentrales Konzept des IdM-Portals sind sogenannte Ressourcen. Dabei wird zwischen persönlichen Ressourcen und unpersönlichen Ressourcen unterschieden. Persönliche Ressource sind zum Beispiel Ihr Homeverzeichnis, Ihr Unix-Account oder Ihre Telefonnummer. Diese Ressourcen werden in der Regel automatisch angelegt und sind nicht übertragbar. Das heißt, dass Sie persönlich für diese Ressourcen verantwortlich sind und die Ressourcen nach Ihrem Ausscheiden aus der Einrichtung nicht länger zur Verfügung stehen.

Unpersönliche Ressourcen zeichnen sich häufig dadurch aus, dass diese separat beauftragt werden müssen. Beispiele hierfür sind Datenbanken, Projektverzeichnisse oder Gruppenmailboxen. Im Gegensatz zu persönlichen Ressourcen können mehrere Personen dafür verantwortlich sein. Das Konzept der Ressourcenverantwortlichkeit wird im nächsten Abschnitt näher erklärt.

Ressourcenverantwortlichkeit

Während die Verantwortlichkeit bei persönlichen Ressourcen prinzipbedingt immer geklärt ist, ist das bei unpersönlichen Ressourcen nicht automatisch gewährleistet. Besonders bei projektbezogenen Ressourcen, die über lange Zeit bestehen, kann sich die Zuständigkeit auch gelegentlich ändern. Daher gelten für unpersönliche Ressourcen folgende Festlegungen:

  • Jede Ressource benötigt mindestens einen Ressourcenverantwortlichen.
  • Pro Ressource können bis zu drei Ressourcenverantwortliche definiert werden.
  • Eine Ressourcenverantwortlicher kann auch eine IdM-Gruppe sein. In diesem Fall sind dann alle Mitglieder dieser Gruppe Ressourcenverantwortliche.
  • Ressourcenverantwortliche sind für die Verwaltung der jeweiligen Ressource zuständig. Das umfasst z.B. die regelmäßige Verlängerung der Ressource oder die Verwaltung von Zugriffsrechten.

Übergabe der Ressourcenverantwortlichkeit

Eine Übergabe der Verantwortlichkeit kann erfolgen, indem über den Menüpunkt Ressourcenverantwortlichen hinzufügen ein neuer Ressourcenverantwortlicher definiert wird. Der neue Verantwortliche muss dieser Anfrage allerdings erst zustimmen. Dazu wird automatisch eine Mail mit einem Link zur Zustimmung (oder Ablehnung) gesendet, der innerhalb von 7 Tagen angeklickt werden muss. Andernfalls wird die Anfrage verworfen.

Wird eine Gruppe als neuer Ressourcenverantwortlicher definiert, erhalten alle Mitglieder der Gruppe die Anfrage zur Übernahme der Ressourcenverantwortung. Ein beliebiges Mitglied der Gruppe kann dann die Anfrage akzeptieren oder ablehnen.

Wenn mehrere Ressourcenverantwortliche existieren, können diese über den Menüpunkt Ressourcenverantwortliche verwalten eingesehen werden. Außerdem ist es möglich, Ressourcenverantwortliche über diesen Menüpunkt wieder zu entfernen.

Hinweis

Denken Sie daran, alle unpersönlichen Ressourcen zu übergeben, bevor Sie die Einrichtung verlassen!

Lebenszyklus von Ressourcen

Genau wie jeder Benutzeraccount hat jede Ressource einen definierten Lebenszyklus. Der Lebenszyklus von persönlichen Ressourcen richtet sich i.d. Regel nach dem Benutzeraccount, unpersönliche Ressourcen hingegen sind vom Benutzeraccount weitestgehend unabhängig.

Zunächst befindet sich im IdM-Portal jede Ressource in einem der folgenden vier Zuständen:

  • aktiv: Die Ressource ist gültig und kann normal genutzt werden.
  • gesperrt: Die Ressource wurde gesperrt und kann nicht mehr genutzt werden. Grund hierfür kann z.B. sein, dass kein gültiger Ressourcenverantwortlicher mehr existiert.
  • abgelaufen: Die Ressource wurde nicht verlängert und kann nicht weiter benutzt werden.
  • gelöscht: Die Ressource wurde im jeweiligen Zielsystem gelöscht. Das betrifft auch alle damit verbundenen Daten.

Jede Änderung einer Ressource führt automatisch dazu, dass eine Provisionierung der Ressourcen im dazugehörigen Zielsystem ausgelöst wird. Der Status der Provisionierung (in der Regel als „Deploystatus“ bezeichnet) ist für Sie transparent im IdM-System einsehbar. In der Ressourcenliste erkennen Sie beispielsweise den genauen Deploystatus jeder einzelnen Ressource. Im Dienstmenü auf der linken Seite erhalten Sie darüber hinaus eine visuelle Rückmeldung mit grünen, gelben und roten Icons für jeden Dienst, die sich auf den Deployzustand aller Ressourcen des jeweiligen Dienstes beziehen. Folgende Deployzustände werden visualisiert:

  • OK: Alle Änderungen der Ressource wurden erfolgreich ins Zielsystem übernommen.
  • ausstehend: Die Änderungen der Ressource müssen noch ins Zielsystem übernommen werden.
  • läuft: Die Ressource wird gerade provisioniert.
  • fehlgeschlagen: Bei der Provisionierung ist ein Fehler aufgetreten. Diese Fehler werden automatisch ans URZ gemeldet, sodass das Problem nach kurzer Zeit behoben werden kann.
  • verzögert: Die Ressource kann noch nicht provisioniert werden, da sie noch auf die Provisionierung einer anderen Ressource wartet.

Löschfristen

Für Ressourcen gilt nach dem Übergang in den Zustand gesperrt oder abgelaufen eine Vorhaltezeit (Löschfrist) in diesem Zustand. Nach Ablauf dieser Vorhaltezeit erfolgt die unwiderrufliche Löschung der Ressource und der damit verbundenen Daten.
Abhängig vom Ressourcentyp gelten unterschiedliche Richtlinien. Für persönliche Ressourcen wie Loginkennzeichen, Homeverzeichnis und Postfach beträgt die Vorhaltezeit in der Regel 200 Tage. Für unpersönliche Ressourcen gelten kürzere Vorhaltezeiten.

Empfehlungen zur Verwaltung von Ressourcen

  • Legen Sie immer mindestens 2 Ressourcenverantwortliche fest (oder eine Gruppe mit mehreren Mitgliedern).
  • Verlängern Sie Ihre Ressourcen rechtzeitig. Eine Erinnerung dazu wird 30 Tage vor Ablauf an alle Ressourcenverantwortlichen gesendet. Nicht verlängerte Ressourcen werden automatisch gesperrt.
  • Viele Ressourcen besitzen ein Beschreibungsfeld. Nutzen Sie dieses, damit Sie und Ihre Vertreter erkennen können, wofür die Ressource benötigt wird.
  • Übergeben Sie die Verantwortung Ihrer Ressourcen an einen Nachfolger, wenn Sie wissen, dass Sie die Einrichtung verlassen werden. Dadurch wird sichergestellt, dass Ihre Arbeitsgruppe handlungsfähig bleibt.
  • Löschen Sie nicht mehr benötigte Ressourcen.

Viele dieser allgemeinen Empfehlungen lassen sich bereits durch die Verwendung von IdM-Gruppen umsetzen. Gruppen sind bei weitem das wichtigste Werkzeug zur effizienten Verwaltung von Ressourcen. Daher werden hier einige Szenarien beschrieben, wie Gruppen zur Verwaltung von Ressourcen verwendet werden können.

Szenario: Professur-Admins

Es kommt häufig vor, dass es an einer Professur bestimmte Personen gibt, die für die Verwaltung vieler Ressourcen zuständig sind. Anstatt diese Personen einzeln als Ressourcenverantwortliche für solche Ressourcen zu definieren, verwenden Sie eine Gruppe:

  1. Legen Sie im IdM-Portal eine Gruppe an (Beispiel: grp:beispielprofessur-admins)
  2. Tragen Sie alle Professur-Admins als Mitglieder dieser Gruppe ein
  3. Übergeben Sie alle Professur-Ressourcen dieser Gruppe
  4. Empfehlung: Tragen Sie die Gruppe als Ressourcenverantwortlichen von sich selbst ein. Dadurch können alle Professur-Admins neue Professur-Admins definieren.

Dadurch kann auch schnell und komfortabel für den Urlaubs- bzw. Vertretungsfall ein vorübergehender Ressourcenverantwortlicher für sämtliche Professurressourcen festgelegt werden.

Szenario: Projekt-Ressourcen

Definieren Sie genau wie beim Szenario Professur-Admins eine Gruppe (z.B. grp:projekt-admins), die Sie als Ressourcenverantwortlichen für alle Ressourcen, die zu einem bestimmten Projekt gehören, eintragen. Ändert sich die Verantwortlichkeit innerhalb eines Projektes, müssen nur die Mitglieder der angelegten Gruppe geändert werden.

Achten Sie außerdem darauf, dass niemals nur eine einzelne Person verantwortlich für Projektressourcen ist. Sobald diese Person keinen gültigen URZ-Account mehr besitzt, können die Ressourcen dieser Person nämlich gesperrt werden.