Svar på spørsmål knyttet til innføring av UH-IAM

Svar på spørsmål tilknyttet til initielt møte om innføring av felles IAM-løsning i UH-sektoren.

Spørsmål fra møteinnkalling (dokument med referanse 20/00385-1, 2020-11-02). Svarene her er utarbeidet som forberedelse til møtet (2020-12-17) for kartlegging av UiO sitt eksisterende IAM-system.

Mer enn IAM

Gjør dagens IAM-løsning noe mer enn å være et IAM-system?

Ja. Cerebrum har en del forretningslogikk knyttet til enkelte målsystem, og er i tillegg autoritativt kildesystem for en del annen informasjon knyttet til person-, bruker-, gruppe- og organisasjonsobjekter.

Merk at Cerebrum i tillegg til å være IGA-systemet for UiO, også har egne instanser med eget oppsett og tilpasninger:

  • Internt i TSD som en egen IGA-komponent - https://www.uio.no/tjenester/it/forskning/sensitiv/.
  • Motoren i WebID, for egenregistrering av gjester - https://webid.uio.no.
  • Cerebrum brukes som IGA-system for andre i UH-sektoren, som UiT Norges Arktiske Universitet, Universitetet i Agder, Høgskolen i Østfold, Norges Musikkhøgskole, og Norges Idrettshøgskole.

E-post

Cerebrum er autoritativt for e-postadresser i e-postsystemene ved UiO. I tillegg til Exchange, har vi også et legacy Cyrus-system, samt Sympa for e-postlister, RT for saksbehandling, samt støtte for enkelte ad-hoc løsninger (pipe-targets). All informasjon som trengs til ruting av e-post ligger lagret i Cerebrum og eksporteres til LDAP-trær.

I tillegg til oversikt over e-postkontoer og -adresser, finnes også e-postinnstillinger (spam, filtrering), samt liste over gyldige e-postdomener.

De fleste e-postkontoer har flere gyldige e-postadresser. Tildeling av e-postadresser skjer ut i fra forretningsregler — disse baserer seg stort sett på forretningsroller (tilknytning, ansatt/student@org-enhet).

  • Alle automatisk provisjonerte brukerkontoer (studenter, ansatte) får en Exchange-konto og flere e-postadresser for denne.
  • E-postadresser defineres ulikt utfra hva enheten har bestemt.
  • Både brukere med og uten e-postkonto kan få tildelt en forwarding-adresse hos UiO (*@[*.]uio.no).
  • Ingen ansatte får benytte seg av forwarding.
  • Enkelte administrasjonsrettigheter er distribuert ut til fakultetene.

Hjemmeområder

Cerebrum er autoritativt for personlig filområde ($HOME/M:\\, disk og sti) for brukerkontoer ved UiO. Brukerkontoer for studenter og ansatte får automatisk opprettet et hjemmeområde på en gitt disktjener, og området blir automatisk arkivert ved avvikling/sperring av brukerkonto.

Det finnes en del regler for hvilken disk en brukerkonto skal plasseres på, og noe funksjonalitet for å kunne ha flere slike hjemmeområder for en og samme brukerkonto i ulike miljøer. Hjemmeområder kan manuelt flyttes til andre disker ved behov.

Det finnes også regler for automatisk montering av personlige og delte filområder som eksporteres til LDAP.

Lokale enheter har egne disker, for sine brukeres hjemmeområder. Rettighetene til disse diskene, og brukerkontoene, er distribuert ut til enhetene.

VoIP

Cerebrum er autoritativt system for telefon-klienter og SIP-kontoer i UiO sitt telefonsystem.

Diagram

Kan dere tegne et godt diagram over dagens interaksjon med IAM inkl. APIer som benyttes?

Se følgende diagram: Jpeg, Visio.

Advarsel

Diagrammet er noe utdatert, og gir ikke et veldig godt bilde av hvilke data som flyter mellom systemene. Det er generelt færre systemer, og mer bruk av Cerebrum sitt API.

Målsystemer

Kan dere gi oss en kartlegging av deres målsystemer?
Active Directory (UIO.NO)

Brukerkontoer og grupper i Cerebrum synkroniseres til AD basert på ulike filter — ikke alle objekter havner i AD. Manuelle grupper blir eksplisitt satt om skal til AD eller ikke.

I tillegg synkroniseres noen samtykker og andre, mindre grupperinger av personer/brukerkontoer til AD regelmessig. Dette er attributter og egenskaper som ikke finnes som grupper i Cerebrum, men som opprettes som grupper i AD.

Tilgang: Alle aktive brukerkontoer som er markert for bruk i AD. Grupper kan brukes for videre tilgangskontroll i AD. Det finnes automatiserte grupper (basert på roller og attributter), samt manuelt vedlikeholdte grupper.

Metode: Synkronisering skjer ved at Cerebrum regelmessig kobler til domenekontrollere og utfører endringer direkte i katalogen.

Frekvens:

  • Synkronisering av passord, enable/disable av brukerkonto, enkelte attributter gjøres ca. hvert 5 minutt (for brukerkontoer som alt eksisterer i AD).
  • Full synkronisering av grupper og brukerkontoer (inkl. oppretting, sletting) gjøres ca. hvert 20 minutt.

Mengde:

  • ~61.000 brukerkontoer
  • ~63.000 grupper

Revokering: Sperring gjennom passord-sync, forsinkelse på ~5 minutt.

Sletting: Brukerkontoer disables, flyttes til annen OU, og ryddes regelmessig. Grupper slettes direkte.

Active Directory (Xpand)

Active Directory ved UiO har et eget gruppe-tre for produktet Incit Xpand.

Tilgang: Alle aktive grupper som også er markert for bruk i Xpand. Gruppene er manuelt vedlikeholdt av EA, og brukes for tilgangskontroll i Xpand.

Metode: Som UIO.NO

Frekvens: hvert ~15 minutt

Mengde: ~40 grupper

Revokering: Tilgang for brukerkontoer baserer seg på domenet UIO.NO

Sletting: Grupper slettes når de passerer sluttdato i Cerebrum.

Active Directory (Exchange)

E-postkontoer og grupper i Cerebrum synkroniseres til et eget AD-miljø for Exchange.

Tilgang: Alle aktive brukerkontoer som har e-postkonto i Exchange.

Metode: Tilkobling og lesing/skriving som UIO.NO, men endringer utføres fortløpende.

Frekvens: Synkronisering skjer umiddelbart, men køes/utføres en og en. Dette kan gi forsinkelse, f.eks. ved stor pågang. I tillegg vil endringer utsettes/prøves senere dersom det oppstår konfikt mellom Exchange-miljø og det ordinære AD-miljøet, f.eks. ved førstegangsprovisjonering, hvor brukerkonto gjerne ikke finnes i AD enda.

Mengde:

  • ~57.000 e-postkontoer
  • ~600 grupper (felles mailboks og/eller distribusjonsliste)

Revokering: Tilgang for brukerkontoer baserer seg på domenet UIO.NO

Sletting: E-postkontoer blir disablet, og egne ryddejobber i Exchange sletter kontoen etter en periode.

CIM

Brukerkonto for saksbehandlere (ansatte) provisjoneres.

Tilgang: Alle aktive brukerkontoer som er markert for bruk i CIM. Ansatt-brukerkontoer blir automatisk markert. Autentisering via Weblogin (LDAP).

Metode: Cerebrum oppdaterer CIM via API. Oppdatering skjer fortløpende (som Exchange).

Frekvens: Oppdatering skjer umiddelbart

Mengde: ~8.200 brukerkontoer

Attributter:

  • brukernavn
  • fornavn
  • etternavn
  • e-postadresse
  • telefonnummer fra hr-system (jobb-fasttelefon, jobb-mobil, privat-fasttelefon, privat-mobil)
  • organisasjonsenhet (primær)
  • stillingstittel

Revokering: Umiddelbar

Sletting: Umiddelbar

BASWARE

Brukerkontoer, roller, org-struktur og org-data synkroniseres.

Tilgang: Brukerkontoer for teknisk, administrative og vitenskapelige, samt brukerkonto tilhørende personer med forretningsrolle innkjøper.

Metode: Cerebrum genererer eksport-filer som lastes opp til en fildelingstjeneste for SAP, BASWARE og datavarehus.

Frekvens: Daglig (kl. 17.00)

Mengde:

  • ~9.200 brukerkontoer
  • ~650 organisasjonsenheter
ePhorte

Sync av brukerkontoer, roller og organisasjonsinformasjon.

Tilgang: Brukere med saksbehandler-rolle i Cerebrum blir overført. Ansatte får automatisk roller ved eget arkivsted/journalenhet, andre roller tildeles manuelt i Cerebrum.

Metode: Cerebrum synkroniseres regelmessig mot et eget ePhorte-API som er utviklet av Evry. Dette igjen bruker ePhorte Integration Service (EIS).

Frekvens:

  • fullsync: daglig (21:00)
  • rollesync: ~ hvert 10 minutt

Mengde:

  • org-enheter: ~350
  • brukerkontoer: ~17.700

Revokering: Autentiseringen bruker UH-AD.

Sletting: Brukere og org-enheter kan ikke slettes, og blir derfor bare disablet.

Cristin

Sync av brukerkonto, organisasjonsinformasjon.

Denne integrasjonen skrus av etter 1. mai 2021, da BOTT-INT lager ny integrasjon for Cristin.

Tilgang: Kun ansatte inkluderes i eksport. Noe slikt som fulltidsansatte som har inst en vitenskapelig stilling, eller ansatt og eksplisitt gitt samtykke til eksport.

Metode: Cerebrum genererer regelmessig en eksport-fil som lastes opp til en egen sftp-tjener.

Frekvens: daglig (01:20)

Mengde:

  • org-enheter: ~650
  • personer: ~5.700

Attributter

  • Org-enhet:
    • stedkode (med institusjonsnummer)
    • struktur (parent)
    • gyldighet (start-, sluttdato)
    • fullt navn (norsk og engelsk)
    • akronym/kortnavn
    • postadresse
    • land
  • Person/brukerkonto:
    • samtykke/reservasjon
    • fødselsnummer
    • brukernavn
    • e-post
    • fornavn
    • etternavn
    • ansettelser (stedkode, start/slutt, stillingskode, stillingstittel, prosent)
    • gjesteroller (stedkode, start/slutt, type)
Felles Studentsystem

Sync av brukernavn, e-post, ansattinformasjon.

Cerebrum har også automatisk synkronisering mellom hvem som har tilgang til å bruke FS-grensesnittet, og grupper for å gi pålogging på FS sine terminaler.

Tilgang: Brukerkontoer og e-postadresser tilbakeføres til FS for alle studenter og ansatte. Ansatt-informasjon skrives til FS for alle ansatte.

Metode: Informasjon skrives direkte til Oracle-database for FS/UiO.

Frekvens:

  • brukernavn/e-post: daglig (04:00)
  • ansatt-informasjon: daglig (04:05)

Mengde: ~54.000 personer

Attributter:

  • brukernavn
  • e-post
  • ansatt: fødselsnummer
  • ansatt: ansattnummer
  • ansatt: navn
  • ansatt: kjønn
  • ansatt: fødselsdato
  • fagperson: jobb-telefon
  • fagperson: jobb-mobil
  • fagperson: jobb-faks
  • fagperson: organisasjonsenhet
  • fagperson: stillingstittel
LDAP (Feide)

Eksport av organisasjonstre (cn=organization,dc=uio,dc=no) og Feide-brukerkontoer (cn=people,dc=uio,dc=no).

Tilgang: For å bli med i Feide-eksporten må en ha en rolle (tilknytning) som gir gyldig eduPersonAffiliation. Kun en brukerkonto per person blir med i eksport.

Metode: Se LDAP

Frekvens: hvert ~20 minutt

Mengde:

  • org-enheter: ~650
  • brukerkontoer: ~52.500

Revokering: Ved neste fullsync

Sletting: Ved neste fullsync, når bruker har passert sluttdato, er slettet, eller har mistet sin ilknytning til universitetet.

LDAP (Posix)

Eksport av Posix-relatert informasjon: brukerkontoer i cn=users,cn=system,dc=uio,dc=no, filgrupper i cn=filegroups,cn=system,dc=uio,dc=no, nettgrupper i cn=netgroups,cn=system,dc=uio,dc=no.

I tillegg til Posix-miljøer brukes LDAP-treet til:

  • Radius-autentisering
  • Autentisering i Weblogin
  • Autentisering og autorisasjon i tjenester med en noenlunde standard LDAP-integrasjon.

Tilgang: Brukerkontoer som er merket med eksport, samt gjestebrukere på trådløsnett (kun synlig for Radius). Grupper markert som filgrupper og/eller nettgrupper kan brukes for videre tilgangskontroll. Her finnes automatiserte grupper (basert på roller og attributter), samt manuelt vedlikeholdte grupper.

Metode: Se LDAP

Frekvens: hvert ~8 minutt

Mengde:

  • users: ~61.000
  • filegroups: ~61.000
  • netgroups: ~15.000

Revokering: Ved neste fullsync (+ eventuell lokal forsinkelse, f.eks. sssd cache)

Sletting: Ved neste fullsync, når brukerkonto har passert sluttdato, eller person har mistet sin tilknytning til institusjonen.

LDAP (sysadm)

Eksport av Feide-brukere til sysadm-vertsorganisasjon. Dette er hva som UiO kaller "driftsbrukere", som brukes for priviligerte tilganger. Disse er skilt ut i en egen Feide-instans for å unngå SSO-utfordringer.

Tilgang: Kun priviligerte brukerkontoer. Alle brukerkontoer får påtvunget to-faktor.

Metode: Se LDAP

Frekvens: hvert ~30 minutt

Mengde: ~400 brukerkontoer

Revokering: Ved neste fullsync

Sletting: Ved neste fullsync, når brukerkonto har passert sluttdato, eller person har mistet sin tilknytning til institusjonen.

LDAP (randsone):

Eksport av Feide-brukere tilhørende randsone-enheter.

Ikke alle randsone-enheter har egen vertsorganisasjon i Feide, men de har Feide-kompatible LDAP-trær.

Tilgang: Brukerkontoer for personer tilknyttet org-enheter som er konfigurert opp som randsone. "Organisasjonstreet" består av en enkelt enhet.

Metode: Se LDAP

Frekvens: hvert ~60 minutt

Mengde:

  • hs: ~50
  • isf: ~75
  • nkvts: ~100
  • nubu: ~75

Revokering: Ved neste fullsync

LDAP (voip)

Eksport av SIP-brukerkontoer, SIP-adresser og annen VoIP-relatert informasjon.

Metode: Se LDAP

Frekvens: hvert ~2 minutt

Mengde:

  • brukerkontoer: ~8.000
  • klienter: ~21.000
LDAP (mail)

Eksport av e-postkontoer og innstillinger.

Inkluderer personlige e-postkontoer, saksbehandlingskøer, e-postlister, e-postforwards, og e-postkontoer under avvikling.

Metode: Se LDAP

Frekvens: hvert ~8 minutt

Mengde:

  • ~340.000 e-postkontoer
  • ~1.440.000 e-postadresser
LDAP (automount)

Eksport av monterbare filområder.

Metode: Se LDAP

Frekvens: hvert ~60 minutt

Mengde: ~40 filområder

Medfak

Informasjon om brukerkontoer tilhørende personell hos medisinsk fakultet, til bruk i interne systemer.

Målsystemet skal over på IntArk ifb. med BOTT-ØL, og avsluttes senest 1. mai 2021.

Tilgang: Brukerkontoer tilhørende ansatte og gjester hos medisinsk fakultet.

Metode: Cerebrum genererer regelmessig eksport-filer som lastes opp til en fildelingstjeneste cerebrum/medfak.

Frekvens: daglig (03:00 - 03:30)

Mengde: ~2.800 brukerkontoer

Oracle

Enkelte tilgangsgrupper eksporteres direkte til et utplukk Oracle-databaser. Dette gjøres blant annet for FS, som nevnt over, men også andre tjenester.

Metode: Synkronisering skjer ved at Cerebrum kobler til database og oppdaterer direkte i relevante tabeller.

Frekvens: To ganger om dagen

Mengde: ~2.500 medlemsskap fordelt på 16 grupper, 7 databaser

Datavarehus

Dump av alle kjente ansatte/ansattnummer, til fil.

Frekvens: Daglig

e-valg

Dump av alle kjente personer/fødselsnummer, til fil.

Frekvens: Daglig

SMS-gateway

Cerebrum sender SMS til brukere ved å snakke med USIT sin SMS-gateway, som igjen snakker med Telenor. Kommunikasjonen går via HTTPS.

Brukes blant annet til å varsle brukere om ny brukerkonto, og når passordet blir for gammelt. Kan også sendes ut manuelt av lokal IT.

Frekvens: Fortløpende, ved behov.

SafeCom
Utskriftsløsningen trenger å vite om en brukerkonto som skriver ut har utskriftskvote eller ikke. Av tekniske begrensninger trenger Safecom dette gjennom LDAP, så Cerebrum oppdaterer et eget felt i LDAP på bakgrunn av forretningsregler om personen er student eller ikke. Se mer detaljer på https://www.uio.no/tjenester/it/utskrift/hjelp/portal/kvoter.html.
Rapporter
Cerebrum rapporterer om status, endringer og annen aktivitet. Ulike rapporter sendes på e-post, som filer eller publiseres på nettsider. Eksempler er antall aktive personer og brukerkontoer, antal som står i fare for å sperres, og endringer gjort av lokale enheter. Målgrupper er primært ledelse og lokal IT.

Integrasjoner

Generelt ønsker vi at flest mulige målsystemer bruker Cerebrum sitt API og notifikasjoner fra RabbitMQ, for å følge IntArk. Bruken øker gradvis, og vurderes ved endringer i eksisterende integrasjoner.

API

I tillegg er det en del målsystemer som bruker cerebrum sine API-er:

  • Kada: Synkronisering av kalenderdata
  • Canvas: Provisjonering av Canvas (LMS)
  • OnGuard: Provisjonering av Lenel OnGuard (UA/kortsystem)
  • Teams: Provisjonering av MS Teams
  • SAP: Tilbakeføring av brukerkonto og e-postadresse til SAP
  • Azure: Integrasjon mot Azure AD
  • CERT: Ulike mikrotjenester fra IT-Sikkerhet
  • RPA: Ulike mikrotjenester for automasjon
  • Passordtjenester: Web-applikasjon for passordbytte og on-boarding
  • Flexera: Provisjonering av FlexNet (lisens-tjeneste)
  • Postmaster: Ulike mikrotjenester for e-post
  • VDI: Automatikk for bestilling av VM-er
  • Aura: Intern web-applikasjon for vitenskaplig ansatter

Samt en del andre tjenester under utvikling/pilot (bl.a. topdesk, kursinfo)

RabbitMQ
Meldinger sendes til meldingstjeneste om alle endringer i autoritative data, samt data tilgjengelig i API.
RPC

Cerebrum har også en RPC-tjeneste hvor brukere kan få innsyn og gjøre enkelte selvbetjeningsoppgaver. Tjenesten har en egen web-frontend (https://brukerinfo.uio.no/), samt en cli-applikasjon (bofh) hvor lokal-it og andre teknisk ansatte kan få innsyn i og administrere brukerkontoer på sine org-enheter. RPC-grensesnittet brukes også av VoIP sitt eget grensesnitt.

Lokale enheter bruker RPC-grensesnittet for automatisering av lokale tilpasninger, for eksempel forretningslogikk for vedlikehold av sine egne, manuelle grupper.

SOAP
Legacy-API for enkeltstående tjenester. De fleste API-ene er utfaset, men ett står igjen: En rollesøketjeneste (affiliations) som brukes av postmaster (https://brukerinfo.uio.no/postmaster/)

Kildesystemer

Kan dere gi oss en kartlegging av deres kildesystemer?

Organisasjonsstrukturer: SAP inneholder alle organisasjonsenheter. FS inneholder alle stedkoder ned til og med instituttnivå - dette vedlikeholdes manuelt, og rutiner sikrer at disse er 1-1 med SAP. Etter 1. mai 2021 vil OrgReg vere nytt kildesystem for organisasjonsenheter. Unntaket er randsoner/eksterne, som blir registrert på egne stedkoder som er manuelt registrert i Cerebrum, siden de ikke er en del av UiOs formelle organisasjon.

SAP

Integrasjon med SAP går gjennom INT-ARK.

Det gjøres en full-sync av person hver gang det mottas en melding om endring på en gitt ansatt.

Egne jobber sørger for å eventuelt:

  • å bygge brukerkonto til ansatte
  • å sette i gang on-boarding
  • sperre gamle brukerkontoer
  • rydde i personinformasjon
  • Vedlikeholde organisasjonsgrupper.

I tillegg finnes det egne tjenester/integrasjoner som:

  • Ser etter endringer som må legges i kø for senere oppdatering
  • Ser etter ny-ansatte og eventuelt korrigerer forwarding av e-post

Datamodell: Etter 1. mai 2021 blir denne omtrent lik som for UiB (DFØ SAP), men med enkelte variasjoner.

Modenhet: ?

FS

Integrasjon med FS går direkte gjennom databaseoppkobling, og skjer nattlig.

  1. Cerebrum gjør en nattlig dump av:
    • relevate edu-data (emnekoder, evu-kurs, studiekull, undervisningsenheter, ...)
    • alle relevante personer (opptak til studieprogram eller enkeltemner, fagpersoner, i permisjon, privatister, forkurs, ...)
    • reservasjonsstatus for publisering på nett
    • endringer i fnr
    • deltakelse i kull, evu, ue, ua, kurs
    • rolle/funksjon i kurs, ue, ua, ...
  2. Informasjonen sammenstilles og lagres i cache-filer.
  3. Person-objekter korrigeres ut fra endringer i fødselsnummer.
  4. Ulike importer ser på disse cache-filene og oppretter/oppdaterer/avvikler person-objekt og cerebrum-roller (tilknytning).
  5. Studentautomatikk går gjennom alle kjente studenter og oppretter/oppdaterer automatisk brukerkonto for personer som skal ha dette. Andre, interne vedlikeholdsjobber sørger for:
    • å sette i gang on-boarding
    • sperre gamle brukerkontoer
    • rydde i personinformasjon
    • Vedlikeholde organisasjonsgrupper.
  6. Ulike jobber ser på kildedata og bygger rolle-grupper:
    • Fronter-grupper - interne rollegrupper som tidligere ble brukt til fronter (oppløsning: student/lærer/gruppelærer/sensor/... @ undervisningsenhet/undervisningsaktivitet)
    • Emne-grupper (oppløsning: student @ emne+semester)
    • Studieprogram-grupper

Eksterne

UiO samarbeider en del med uavhengige institusjoner, bl.a. "randsoner". Disse blir registrert i Cerebrum. Teknisk sett forholder oss til de som "manuelle", da de blir manuelt registrert og vedlikeholdt gjennom Cerebrums administrasjonsgrensesnitt. Enheten "USIT lokal IT" har ansvaret for disse, og har gode rutiner for å vedlikeholde disse brukerne.

Brukerne blir registrert i egne rekneark, og blir regelmessig gjennomgått med de ansvarlige fra organisasjonen. Det er et økonomisk insentiv for organisasjonene å rydde bort brukere som ikke skal ha tilgang lenger. Noen av organisasjonene bruker personalsystem som det kan vurderes å integrere med.

Datamodell:

Modenhet: USIT lokal IT har god kontroll, og har oversikt over hele flyten. Modenheten varierer hos organisasjonene.

Organisasjonsstrukturer: Uavhengige organisasjoner blir registrert på egne stedkoder som er manuelt registrert i Cerebrum. Disse enhetene finnes ikke i SAP eller FS hos UiO. Stedkodene som brukes starter på 7, som ikke brukes i SAP/FS.

"folk"

Webtjener for personlige hjemmesider.

Oversikt over personlige hjemmesider hentes ut daglig fra relevant web-tjener og URL for brukerkontoer som har dette legges inn i Cerebrum.

Integrasjonen har litt uklar fremtid — folk.uio.no er byttet ut med folk.univeristetetioslo.no, og oversikt for ny tjeneste er ikke på plass enda.

Katalogtjenester

Kartlegging av AD og LDAP ut i dag, domene og gruppestruktur

Active Directory

Cerebrum er kildesystem for de fleste brukerkontoer og grupper. Enkelte grupper er manuelt registrert i AD, men håndteres som unntak. Brukerkontoer som er manuelt registrert i AD er domeneadministratorer, og håndteres som unntak.

Cerebrum håndterer unntak ved hjelp av en liste over OU-er som skal ignoreres. Alle andre grupper og brukerkontoer som er utenfor disse vil bli vedlikehold, eller slettet/disablet om de ikke er registrert i Cerebrum.

OU=users,OU=cerebrum,DC=uio,DC=no

Brukerkontoer fra Cerebrum

Bruker-attributter:

  • sn
  • givenName
  • displayName
  • mail
  • userPrincipalName
  • homeDrive,
  • homeDirectory
  • uidNumber
  • gidNumber
  • gecos
  • uid
  • mssfu30name
  • msSFU30NisDomain

Brukere kan også få vilkårlige attributter manuelt i Cerebrum som blir med i synkronisering.

OU=groups,OU=cerebrum,DC=uio,DC=no

Grupper fra Cerebrum.

Gruppenavn (cn, samaccountname, displayName, ...) får et postfix (cerebrum: ansatte, ad: ansatte-gruppe)

Attributter:

  • displayName
  • description
  • displayNamePrintable
  • member
  • gidNumber
  • msSFU30Name
  • msSFU30NisDomain
OU=Groups,OU=ad_only,DC=uio,DC=no

Grupper som kun finnes i AD. Enkelte grupper her oppdateres fra informasjon i Cerebrum (samtykker, informasjon brukt til lisensberegning i office365)

  • uioOffice365staff
  • uioOffice365student
  • uioGoogleConsent
OU=Groups,OU=ad_only,DC=uio,DC=no
Grupper som kun finnes i AD. Enkelte grupper her oppdateres fra informasjon i Cerebrum (samtykker, informasjon brukt til lisensberegning i office365)
OU=xpand,OU=cerebrum,DC=uio,DC=no

Xpand-grupper.

Gruppenavn (cn, samaccountname, displayName, ...) får et postfix (cerebrum: ansatte, ad: ansatte-xp)

Attributter:

  • SamAccountName
  • DisplayName
  • Description
  • Member
OU=users,OU=cerebrum,DC=exprod,DC=uio,DC=no
Exchange-kontoer.
OU=groups,OU=cerebrum,DC=exprod,DC=uio,DC=no
Exchange-grupper (distribusjonslister, felles mailbox)

TODO: Oversikt over bruk

Bør vi dokumentere bruk av AD? Hvem kan evt. bistå med å utarbeide dette?

LDAP

Cerebrum populerer en rekke LDAP-trær.

All LDAP-integrasjon foregår som fullsync. Cerebrum genererer en full LDIF-fil (som ville populert et tomt tre), og flytter dette til egne filområder for videre prosessering. Tjenester på LDAP-siden plukker opp disse filene og oppdaterer LDAP.

Tjenestene på LDAP-siden gjør en hel del med kildemateriellet fra Cerebrum:

  • Validerer innhold
  • Genererer supplementerende innhold (f.eks. generere memberOf fra member)
  • Slår sammen ulike kildefiler som skal til samme tjenere
  • Gjør en diff for å generere LDIF-filer for oppdatering
  • Kjører oppdatering
cn=organization,dc=uio,dc=no

Organisasjonskart (Feide)

  • ou, norEduOrgAcronym, cn finnes også på andre språk (*;lang-*)
cn=people,dc=uio,dc=no

Feide-brukerkontoer.

Objekter har også en uioPersonObject-klasse, med ekstra attributter for UiO-tjenester.

Ekstra attributter:

  • uioMemberOf: referanser til grupper i cn=group,dc=uio,dc=no
  • uioPersonId: intern person-identifikator i Cerebrum
  • uioPersonScopedAffiliation: tilknytninger (Cerebrum-roller)
  • uioPrimaryMail: Primær e-postadresse (mail-attributt inneholder en konstant adresse, <uid>@uio.no, mens primæradresse endres gjerne dersom navn eller tilhørighet endres)
  • uioVisiblePrivateMobile: Publisert, privat mobilnummer (et valg i SAP).
  • uioPersonPartialEmployment: Stillingstitler for personer med delt stilling (på vei ut).
  • TODO: Nemne hidden-attributtet?

Merknader:

  • eduPersonEntitlement vil inneholde referanser til cn=course,dc=uio,dc=no dersom dette finnes.
  • title vil inneholde stillingstittel fra SAP, men kan overstyres med en personlig tittel for enkelte personer.
  • title finnes også på andre språk (title;lang-*)

Bruk: Personkatalogen er åpent tilgjengelig for alle, på samme måte som nettsidene. Brukere som ikke har samtykket til publisering, eller har reservert seg, er skjult i katalogen for alle andre enn enkelte tjenester.

cn=automount,cn=system,dc=uio,dc=no

Informasjon for montering av disk.

Eksport av disk-informasjon. Dette er rene Cerebrum-data - ingen knytning til kildedata, brukerkonto, grupper, e.l.

cn=users,cn=system,dc=uio,dc=no

Brukerkontoer ved UiO. Brukes hovedsaklig i lokale innloggingstjenester.

De fleste brukerkontoer skal eksistere her, men brukerkontoer må merkes som posix-bruker for å bli med. Alle brukerkontoer får i utgangspunktet dette ved oppretting.

Attributter fra uioAccountObject:

  • uioPrimaryAffiliation: Primærtilknytning
  • uioAffiliation: Andre tilknytninger
  • uioMail: e-postadresse
  • uioMemberOf: referanser til medlemsskap i filgrupper, nettgrupper
  • uioPersonId: intern person-identifikator i Cerberum
cn=filegroups,cn=system,dc=uio,dc=no

Filgrupper ved UiO.

Grupper må eksplisitt gjøres om til Posix-gruppe (få tildelt GID), og merkes som filgruppe for å bli med i treet.

cn=netgroups,cn=system,dc=uio,dc=no

Nettgrupper.

Grupper må eksplisitt gjøres om til Posix-gruppe (få tildelt GID), og merkes som nettgruppe for å bli med i treet.

cn=mail,dc=uio,dc=no
Database med alle e-postkontoer og tilhørende adresser, spamregler, innstillinger for videre prosessering.
cn=voip,dc=uio,dc=no
Database med alle SIP-kontoer og -klienter for telefoni.
Alternative "Feide"-trær:

I tillegg til den ordinære Feide-katalogen, så genereres det flere, alternative, Feide-kompatible LDAP-trær.

dc=sysadm,dc=uio,dc=no skiller seg ut - dette er driftskontoer (sekundære brukerkontoer for utvidede rettigheter).

Resten er randsoner - enheter som ikke ligger direkte under UiO, men som likevel får en del tjenester gjennom UiO.

Person-informasjon og brukerkontoer i disse trærene er for det meste manuelt vedlikeholdt i Cerebrum.

  • dc=hs,dc=no,cn=uio-randsone
  • dc=samfunnsforskning,dc=no
  • dc=nkvts,dc=no,cn=uio-randsone
  • dc=nubu,dc=no,cn=uio-randsone
Andre trær
Det finnes en del flere LDAP-trær som kommer fra andre kilder enn Cerebrum.

TODO: Oversikt over bruk

Bør vi dokumentere tjenester som benytter LDAP? Da må evt. ~hbf kobles inn og bistå med dette.

Av fhl
Publisert 17. des. 2020 07:13
Del på e-post