Accounts en wachtwoorden

Identity management (IDM) op de Universiteit Twente

Identity management (IDM) is onderdeel van ICT beveiliging waarmee een medewerker, student of gastgebruiker (externe) in staat wordt gesteld om toegang te krijgen tot de juiste ICT-voorzieningen op het juiste moment en om de juiste redenen.

IDM omvat het geheel van processen en technieken voor het beheer en gebruik van elektronische identiteitsgegevens. Deze elektronische identiteitsgegevens worden gebruikt voor authenticatie, autorisatie en personalisatie van diensten. Het gaat om gegevens (meestal in de vorm van een ICT-account) die gebruikt worden om vast te stellen wie u bent en of u geautoriseerd bent voor toegang tot een dienst (vaak een ICT-voorziening, zoals een e-mail account, toegang tot de elektronische leeromgeving, e.d.). De processen omvatten de gehele levensloop van een elektronische identiteit, van inschrijving (of aanstelling) tot en met einde studie (of einde dienstverband).

De techniek bestaat uit meerdere informatiesystemen die met elkaar gekoppeld zijn. Het Twente Account Provisioning (TAP) systeem is het systeem dat het ICT-account verstrekt, wijzigt of beëindigt (kortweg: provisioning genoemd).

TAP biedt de volgende functionaliteiten:

  • Haalt medewerkersgegevens op uit de informatiebron HR voor medewerkersgegevens.
  • Haalt studentgegevens op uit de informatiebron Osiris voor studentgegevens.
  • Slaat gegevens op voor externen-accounts (niet-medewerkers en niet-studenten).
  • Geeft voor nieuwe gebruikers van een ICT-account een initieel wachtwoord en een uniek e-mailadres uit.
  • In TAP is geïmplementeerd onder welke voorwaarden en voor welke periode een gebruiker een account krijgt (Lifecycle management).
  • Verstrekt persoonsgebonden e-mail en accountinformatie naar de diverse systemen, waaronder Oracle en Blackboard (Account provisioning).
  • De eisen bij de uitgifte van wachtwoorden en e-mailadressen (Password & e-mail policies) zijn in TAP geïmplementeerd.
  • Zorgt voor monitoring in de hele keten van provisioning.
  • Stelt een selfservice webapplicatie beschikbaar waarmee alle gebruikers hun wachtwoord kunnen wijzigen en medewerkers hun e-mail aliassen kunnen beheren.
  • Stelt voor beheerders een web applicatie beschikbaar waarbinnen verschillende rollen zijn gedefinieerd om wachtwoorden voor gebruikers te kunnen wijzigen, de status van een account inclusief alle account resources te kunnen monitoren of accounts te kunnen blokkeren of deblokkeren.
  • Biedt de mogelijkheid om externe gebruikers voor onder andere Blackboard in te voeren en te beheren.
  • Stelt bestanden samen voor het versturen van de welkomstbrief voor studenten en medewerkers.
  • Verstuurt een notificatie per e-mail naar gebruikers waarvan binnenkort het account verloopt.
  • Verstuurt een wachtwoord wijzigingsverzoek via de e-mail naar gebruikers waarvan binnenkort het wachtwoord verloopt.

Meerdere malen per dag worden de persoons- en contactgegevens van medewerkers en studenten in TAP ververst uit respectievelijk de bronsystemen HR en Osiris. Mutaties in TAP worden binnen een uur verwerkt. Het blokkeren van een account wordt direct verwerkt.

Nieuwe medewerkers en studenten krijgen een e-mail met een account.

Voor nieuwe externen en Blackboard gebruikers worden de accountgegevens via e-mail verstuurd naar een opgegeven e-mailadres buiten de UT.

Alle accountgegevens worden gesynchroniseerd naar de diverse systemen waaronder bijvoorbeeld Blackboard. TAP levert de gegevens ten behoeve van de authenticatie aan de authenticatie directories AD (m.n werkplek-gerelateerd) en OID (m.n. applicatie-authenticatie). Bij authenticatie wordt gecontroleerd of het account al actief is en nog niet beëindigd of geblokkeerd, en of het actuele wachtwoord wordt doorgegeven.

Opheffen accounts

Een account wordt dicht gezet nadat de einddatum van het account is verstreken.

De einddatum van een account wordt bepaald a.d.h.v. de datum waarop de relatie van een persoon met de Universiteit afloopt en verlengd met een zekere overgangsperiode (grace-period).

Een maand voor de einddatum krijgt de persoon via e-mail een opzeggingsbericht met daarin de datum vermeld waarop het account wordt afgesloten.

Gedurende de overgangsperiode (grace-period) kan de persoon nog inloggen en gebruik maken van beperkte ICT-voorzieningen, onder meer om opgeslagen e-mail en bestanden persoonlijk veilig te stellen.

Indien een account is afgesloten krijgt deze in Tap de status van geblokkeerd en wordt de toegang ontzegd. Na het afsluiten van het account worden het account en de resources (e-mail, bestanden) die aan het account verbonden zijn verwijderd.

De duur van de overgangsperiode, de bewaartermijn en de wijze waarop de relatie bij de UT afloopt is per doelgroep verschillend.


Doelgroep

Einde relatie

Duur overgangs-periode

Bewaar termijn

E-mail + homedrive

Reguliere Student

Afloopdatum laatste inschrijving

1 maand

1 maand

Niet reguliere student

Afloopdatum laatste inschrijving

1 maand

1 maand

OBP-personeel

Einddatum laatste aanstelling

1 maand

1 maand

promovendi

Einddatum aanstelling of promotiedatum indien deze na de einddatum ligt

12 maanden

12 maanden

WP-personeel

Einddatum laatste aanstelling

12 maanden

12 maanden

Externen

Einddatum kan maximaal 1 jaar na aanvang van het account worden ingesteld (verlenging is mogelijk). Indien de aanvrager uit dienst gaat moet er een alternatieve aanvrager worden opgevoerd.

hebben geen grace-period

hebben geen email

Terminologie

Omschrijving

Toelichting

AD

Active Directory, van waaruit alle Microsoft diensten (met name de werkplek) worden geleverd.

Externen

Personen, niet zijnde studenten of medewerkers, die tijdelijk IT voorzieningen van de UT nodig hebben, bijvoorbeeld internet toegang.

Identity management functies

account uitgifte, wijzigen, afsluiten, bewaken van de levensloop van accounts.

IDM

Identity Management of Identity and Access Management.

Informatiebron HR

Personeel informatie systeem UT.

Informatiebron Osiris

Student informatiesysteem UT.

Niet reguliere student

Student die geen inschrijving van de UT heeft, maar een aantal vakken óf een niet-bekostigde opleiding of een opleiding aan het ITC volgt.

Oracle OID

Oracle Internet Directory, accounts informatie voor web applicaties / Oracle toepassingen.

Provisioning

Uitgifte en beheren life cycle accounts.