SlideShare ist ein Scribd-Unternehmen logo
1 von 31
Status des Rollen- und
Rechtemodells in UCS und
UCS@school
Daniel Tröder, Univention
Agenda
» Begriffsklärung
» Entwicklung 2023: RAM in UCS@school
» Komponente „Guardian“
» Entwicklung 2024: Guardian in UCS, UCS@school und openDesk / nubus
» Ideen und Fragen
Identifikation, Authentifikation und Autorisierung
» Identifikation (identification): Feststellung der Identität eines Objekts oder einer Person.
» Authentifikation (authentification): Nachweises der Identität eines Computersystem-Benutzers.
» Autorisierung (authorization): Gewährung von Zugangsrechten/Privilegien zu Ressourcen.
(Wikipedia)
Begriffsklärung (RBAC)
» Role-based access control (RBAC)
» Rolle darf Aktion auf Objekt.
» Admin darf Join die Computer.
» Admin darf Administrieren die Mailingliste.
» Lehrende dürfen Beenden die Klassenarbeiten.
» Lehrende dürfen Lesen die Klassenarbeiten.
Begriffsklärung (RBAC)
» Role-based access control (RBAC)
» Rolle darf Aktion auf Objekt.
» Admin darf Join die Computer.
» Admin-Nord darf Join die Computer wenn an Standort Nord.
» Admin darf Administrieren die Mailingliste.
» Lehrende dürfen Beenden die Klassenarbeiten.
» Lehrende dürfen Lesen die Klassenarbeiten.
Begriffsklärung (RBAC)
» Role-based access control (RBAC)
» Rolle darf Aktion auf Objekt.
» Admin darf Join die Computer.
» Admin-Nord darf Join die Computer wenn an Standort Nord.
» Admin darf Administrieren die Mailingliste.
» Admin2 darf Administrieren die Mailingliste wenn Domain standort2.example.com ist.
» Lehrende dürfen Beenden die Klassenarbeiten.
» Lehrende dürfen Lesen die Klassenarbeiten.
Begriffsklärung (RBAC)
» Role-based access control (RBAC)
» Rolle darf Aktion auf Objekt.
» Admin darf Join die Computer.
» Admin-Nord darf Join die Computer wenn an Standort Nord.
» Admin darf Administrieren die Mailingliste.
» Admin2 darf Administrieren die Mailingliste wenn Domain standort2.example.com ist.
» Lehrende dürfen Beenden die Klassenarbeiten.
» Lehrende dürfen Beenden die Klassenarbeit wenn sie sie selbst gestartet haben.
» Lehrende dürfen Lesen die Klassenarbeiten.
Begriffsklärung (RBAC)
» Role-based access control (RBAC)
» Rolle darf Aktion auf Objekt.
» Admin darf Join die Computer.
» Admin-Nord darf Join die Computer wenn an Standort Nord.
» Admin darf Administrieren die Mailingliste.
» Admin2 darf Administrieren die Mailingliste wenn Domain standort2.example.com ist.
» Lehrende dürfen Beenden die Klassenarbeiten.
» Lehrende dürfen Beenden die Klassenarbeit wenn sie sie selbst gestartet haben.
» Lehrende dürfen Lesen die Klassenarbeiten.
» Lehrende dürfen Lesen die Klassenarbeit wenn sie die Klasse selbst unterrichten.
Begriffsklärung (ABAC)
» Role-based access control (RBAC)
» Rolle darf Aktion auf Objekt.
» Attribute-based access control (ABAC):
» Akteur mit Attribut=Wert darf Aktion auf Objekt mit Attribut=Wert
[bei Systemzustand].
Begriffsklärung (ABAC)
» Role-based access control (RBAC)
» Rolle darf Aktion auf Objekt.
» Attribute-based access control (ABAC):
Akteur mit
User-Objekt, Token-Payload, HTTP-Header-Daten, …
Attribut=Wert, [..] attribut1=Wert & attribut2=Wert & attribut3=Wert ...
darf Aktion auf Lesen, Schreiben, Passwort-Reset, Upload, Firewall-Allow/Deny...
Objekt mit LDAP-Objekt/-Attribut, Klassenarbeit, Verzeichnis, Netzwerk-Port...
Attribut=Wert, [..] attribut4=Wert & attribut5=Wert & attribut6=Wert ...
[bei Systemzustand]. Uhrzeit, Akkuladung, Netzwerkverbindung, ...
Begriffsklärung (ABAC)
» Attribute-based access control (ABAC):
» Akteur mit Attribut=Wert darf Aktion auf Objekt mit Attribut=Wert
[bei Systemzustand].
» Beispiele:
» Akteur mit job=teacher und school=<A> und class=<B> darf Lesen
die Klassenarbeiten mit author_school=<A> und author_class=<B>.
Lehrende dürfen nur die Arbeiten ihrer Klassen lesen.
→
» Akteur mit admin=dns:sub:<dom> darf administrieren die Domains mit parent=<dom>.
DNS-Administration auf bestimmte Subdomains beschränken.
→
» Akteur mit backup=mail:<domain> darf Backups erstellen
vom Mailstorage mit path=/<domain> wenn time>22:00 und time<06:00.
Backups nur von bestimmten Domains und nur Nachts erlauben.
→
Entwicklung Rollen und Rechte 2023
Entwicklung Rollen und Rechte 2023
Entwicklung Rollen und Rechte 2023
Guardian
Guardian
Guardian
Guardian
Guardian
Guardian Apps
Guardian Apps
Guardian Management UI
Entwicklung 2024: Guardian in openDesk / nubus und UCS@school
» UCS Portal
» UCS UMC Module
» UDM REST API
» UCS@school Module
» In Entwicklung
» nubus / openDesk
Provisioning
» In Entwicklung
» 3rd Party Apps?
UCS@school Rollen und Rechte 2023
UCS@school Rollen und Rechte 2023
UCS@school Rollen und Rechte 2023
UCS@school Rollen und Rechte 2024
Provisioning in nubus & openDesk
» In UCS: „listener / notifier“
» LDAP Daten von Docker Apps beschränkbar mit LDAP ACLs
» In nubus und openDesk: „Provisioning“
» LDAP Daten von Docker Apps beschränkbar mit Guardian Regeln
UCS
» Feingranulare Zugriffssteuerung auf UDM REST API
» Les- und schreibbare Attribute im Self-Service
Ideen und Fragen
» Join von Rechnern in Zweigstelle
» Rolle zum Management von Shared-IMAP-Foldern und Mailinglisten
» Rolle zum Anlegen von A-Records unterhalb einer bestimmen Subdomain
» Elternrolle in Schulen
» Vertretungsregelung (zeitgesteuert)
» Rolle zum Erteilen von Rechten in der Wordpress App
» WLAN-Freigabe je nach Geburtsdatum
» Rolle die erlaubt eine bestimmte App per UMC neu zu starten
» Teilen Sie uns Ihre Ideen und Bedarfe mit!
» Es gibt einen Demo-Point mit einer Guardian-Installation sowie Beipiel-App zum
Anfassen!
VIELEN DANK!
Daniel Tröder
Univention
troeder@univention.de

Weitere ähnliche Inhalte

Mehr von Univention GmbH

Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...Univention GmbH
 
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...Univention GmbH
 
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022Univention GmbH
 
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...Univention GmbH
 
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...Univention GmbH
 
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022Univention GmbH
 
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...Univention GmbH
 
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...Univention GmbH
 
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022Univention GmbH
 
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...Univention GmbH
 
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...Univention GmbH
 
Get your shift together now! - agorum Software - Univention Summit 2022
Get your shift together now! - agorum Software - Univention Summit 2022Get your shift together now! - agorum Software - Univention Summit 2022
Get your shift together now! - agorum Software - Univention Summit 2022Univention GmbH
 
Alles schon da? IT-Architektur für die digital souveräne Verwaltung
Alles schon da? IT-Architektur für die digital souveräne VerwaltungAlles schon da? IT-Architektur für die digital souveräne Verwaltung
Alles schon da? IT-Architektur für die digital souveräne VerwaltungUnivention GmbH
 
dPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche Verwaltung
dPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche VerwaltungdPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche Verwaltung
dPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche VerwaltungUnivention GmbH
 
Souveräner Arbeitsplatz der Öffentlichen Verwaltung
Souveräner Arbeitsplatz der Öffentlichen VerwaltungSouveräner Arbeitsplatz der Öffentlichen Verwaltung
Souveräner Arbeitsplatz der Öffentlichen VerwaltungUnivention GmbH
 
Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...
Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...
Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...Univention GmbH
 
Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...
Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...
Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...Univention GmbH
 
Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020
Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020
Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020Univention GmbH
 
Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...
Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...
Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...Univention GmbH
 
Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...
Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...
Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...Univention GmbH
 

Mehr von Univention GmbH (20)

Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
Schulische Lernplattformen in Deutschland - Institut für Informationsmanageme...
 
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
Technologie in der Schule: Ein Projektüberblick & Beratungsansatz der Bechtle...
 
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS@school Roadmap 2022 - Univention GmbH - Univention Summit 2022
 
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
BILDUNGSLOGIN: Mit zwei Klicks die ganze Bandbreite digitaler Bildungsmedien ...
 
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
Schule digital neu denken - Schulstiftung der Ev.-Luth. Landeskriche Sachsens...
 
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
UCS Roadmap 2022 - Univention GmbH - Univention Summit 2022
 
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
Shift happens! Let's create a better IT now! - UNivention GmbH - Univention S...
 
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
Einführung eines zentralen IDM auf Basis der hessischen Landesdatenbank LUSD ...
 
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
Sie serverlose Schule - Stadt Norderstedt - Univention Summit 2022
 
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
Digital Souveräne Collaboration mit Nextcloud - Nextcloud-Univention-Summit-2...
 
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
Enough about Gaia-X theory – Let’s shift towards real use cases! - Plusserver...
 
Get your shift together now! - agorum Software - Univention Summit 2022
Get your shift together now! - agorum Software - Univention Summit 2022Get your shift together now! - agorum Software - Univention Summit 2022
Get your shift together now! - agorum Software - Univention Summit 2022
 
Alles schon da? IT-Architektur für die digital souveräne Verwaltung
Alles schon da? IT-Architektur für die digital souveräne VerwaltungAlles schon da? IT-Architektur für die digital souveräne Verwaltung
Alles schon da? IT-Architektur für die digital souveräne Verwaltung
 
dPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche Verwaltung
dPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche VerwaltungdPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche Verwaltung
dPhoenixSuite 2.0 - Der Open-Source-Arbeitsplatz für die öffentliche Verwaltung
 
Souveräner Arbeitsplatz der Öffentlichen Verwaltung
Souveräner Arbeitsplatz der Öffentlichen VerwaltungSouveräner Arbeitsplatz der Öffentlichen Verwaltung
Souveräner Arbeitsplatz der Öffentlichen Verwaltung
 
Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...
Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...
Schul-IT zentral bereitstellen – Ein Statusbericht aus Lübeck - Univention Su...
 
Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...
Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...
Zentralisierung mit UCS - Mehrwert und Herausforderung einer automatischen un...
 
Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020
Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020
Berufliche Schulen in Husum – 3 Schulen 1 System - Univention Summit 2020
 
Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...
Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...
Das Ende der Kreidezeit? ID-Management und Lernplattform als Basis des hannov...
 
Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...
Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...
Schul-IT in Wolfsburg – Die Perspektive eines Schulträgers - Univention Summi...
 

Status des Rollen- und Rechtemodells in UCS und UCS@school - Daniel Tröder - Univention Summit 2024

  • 1. Status des Rollen- und Rechtemodells in UCS und UCS@school Daniel Tröder, Univention
  • 2. Agenda » Begriffsklärung » Entwicklung 2023: RAM in UCS@school » Komponente „Guardian“ » Entwicklung 2024: Guardian in UCS, UCS@school und openDesk / nubus » Ideen und Fragen
  • 3. Identifikation, Authentifikation und Autorisierung » Identifikation (identification): Feststellung der Identität eines Objekts oder einer Person. » Authentifikation (authentification): Nachweises der Identität eines Computersystem-Benutzers. » Autorisierung (authorization): Gewährung von Zugangsrechten/Privilegien zu Ressourcen. (Wikipedia)
  • 4. Begriffsklärung (RBAC) » Role-based access control (RBAC) » Rolle darf Aktion auf Objekt. » Admin darf Join die Computer. » Admin darf Administrieren die Mailingliste. » Lehrende dürfen Beenden die Klassenarbeiten. » Lehrende dürfen Lesen die Klassenarbeiten.
  • 5. Begriffsklärung (RBAC) » Role-based access control (RBAC) » Rolle darf Aktion auf Objekt. » Admin darf Join die Computer. » Admin-Nord darf Join die Computer wenn an Standort Nord. » Admin darf Administrieren die Mailingliste. » Lehrende dürfen Beenden die Klassenarbeiten. » Lehrende dürfen Lesen die Klassenarbeiten.
  • 6. Begriffsklärung (RBAC) » Role-based access control (RBAC) » Rolle darf Aktion auf Objekt. » Admin darf Join die Computer. » Admin-Nord darf Join die Computer wenn an Standort Nord. » Admin darf Administrieren die Mailingliste. » Admin2 darf Administrieren die Mailingliste wenn Domain standort2.example.com ist. » Lehrende dürfen Beenden die Klassenarbeiten. » Lehrende dürfen Lesen die Klassenarbeiten.
  • 7. Begriffsklärung (RBAC) » Role-based access control (RBAC) » Rolle darf Aktion auf Objekt. » Admin darf Join die Computer. » Admin-Nord darf Join die Computer wenn an Standort Nord. » Admin darf Administrieren die Mailingliste. » Admin2 darf Administrieren die Mailingliste wenn Domain standort2.example.com ist. » Lehrende dürfen Beenden die Klassenarbeiten. » Lehrende dürfen Beenden die Klassenarbeit wenn sie sie selbst gestartet haben. » Lehrende dürfen Lesen die Klassenarbeiten.
  • 8. Begriffsklärung (RBAC) » Role-based access control (RBAC) » Rolle darf Aktion auf Objekt. » Admin darf Join die Computer. » Admin-Nord darf Join die Computer wenn an Standort Nord. » Admin darf Administrieren die Mailingliste. » Admin2 darf Administrieren die Mailingliste wenn Domain standort2.example.com ist. » Lehrende dürfen Beenden die Klassenarbeiten. » Lehrende dürfen Beenden die Klassenarbeit wenn sie sie selbst gestartet haben. » Lehrende dürfen Lesen die Klassenarbeiten. » Lehrende dürfen Lesen die Klassenarbeit wenn sie die Klasse selbst unterrichten.
  • 9. Begriffsklärung (ABAC) » Role-based access control (RBAC) » Rolle darf Aktion auf Objekt. » Attribute-based access control (ABAC): » Akteur mit Attribut=Wert darf Aktion auf Objekt mit Attribut=Wert [bei Systemzustand].
  • 10. Begriffsklärung (ABAC) » Role-based access control (RBAC) » Rolle darf Aktion auf Objekt. » Attribute-based access control (ABAC): Akteur mit User-Objekt, Token-Payload, HTTP-Header-Daten, … Attribut=Wert, [..] attribut1=Wert & attribut2=Wert & attribut3=Wert ... darf Aktion auf Lesen, Schreiben, Passwort-Reset, Upload, Firewall-Allow/Deny... Objekt mit LDAP-Objekt/-Attribut, Klassenarbeit, Verzeichnis, Netzwerk-Port... Attribut=Wert, [..] attribut4=Wert & attribut5=Wert & attribut6=Wert ... [bei Systemzustand]. Uhrzeit, Akkuladung, Netzwerkverbindung, ...
  • 11. Begriffsklärung (ABAC) » Attribute-based access control (ABAC): » Akteur mit Attribut=Wert darf Aktion auf Objekt mit Attribut=Wert [bei Systemzustand]. » Beispiele: » Akteur mit job=teacher und school=<A> und class=<B> darf Lesen die Klassenarbeiten mit author_school=<A> und author_class=<B>. Lehrende dürfen nur die Arbeiten ihrer Klassen lesen. → » Akteur mit admin=dns:sub:<dom> darf administrieren die Domains mit parent=<dom>. DNS-Administration auf bestimmte Subdomains beschränken. → » Akteur mit backup=mail:<domain> darf Backups erstellen vom Mailstorage mit path=/<domain> wenn time>22:00 und time<06:00. Backups nur von bestimmten Domains und nur Nachts erlauben. →
  • 12. Entwicklung Rollen und Rechte 2023
  • 13. Entwicklung Rollen und Rechte 2023
  • 14. Entwicklung Rollen und Rechte 2023
  • 23. Entwicklung 2024: Guardian in openDesk / nubus und UCS@school » UCS Portal » UCS UMC Module » UDM REST API » UCS@school Module » In Entwicklung » nubus / openDesk Provisioning » In Entwicklung » 3rd Party Apps?
  • 24. UCS@school Rollen und Rechte 2023
  • 25. UCS@school Rollen und Rechte 2023
  • 26. UCS@school Rollen und Rechte 2023
  • 27. UCS@school Rollen und Rechte 2024
  • 28. Provisioning in nubus & openDesk » In UCS: „listener / notifier“ » LDAP Daten von Docker Apps beschränkbar mit LDAP ACLs » In nubus und openDesk: „Provisioning“ » LDAP Daten von Docker Apps beschränkbar mit Guardian Regeln
  • 29. UCS » Feingranulare Zugriffssteuerung auf UDM REST API » Les- und schreibbare Attribute im Self-Service
  • 30. Ideen und Fragen » Join von Rechnern in Zweigstelle » Rolle zum Management von Shared-IMAP-Foldern und Mailinglisten » Rolle zum Anlegen von A-Records unterhalb einer bestimmen Subdomain » Elternrolle in Schulen » Vertretungsregelung (zeitgesteuert) » Rolle zum Erteilen von Rechten in der Wordpress App » WLAN-Freigabe je nach Geburtsdatum » Rolle die erlaubt eine bestimmte App per UMC neu zu starten » Teilen Sie uns Ihre Ideen und Bedarfe mit! » Es gibt einen Demo-Point mit einer Guardian-Installation sowie Beipiel-App zum Anfassen!