IAM-Personenattribute in HISinOne ("Entitlements")
HISinOne bietet die Möglichkeit Personenattribute zu definieren, die dann personenbezogen gespeichert werden werden können. Hier finden Sie Information zu folgenden Themen:
- Welche Personenattribute derzeit im Campus-Management-System HISinOne der Albert-Ludwigs-Universität für das Identity- und Access-Management (IAM) definiert sind und benutzt werden
- Für welche Personen, die welche Rolle haben, dieses Attibute vergeben und gespeichert werden können
Hinweis: Neben den hier aufgelisteten IAM-Personenattribten („Entitlements“) gibt es weitere Personenattribute, die in verschiedenen Funktionsbereichen von HISinOne verwendet wird. Diese sind im HISinOne-Wiki aufgelistet unter Personenattribute in Personen-/ Kontaktdaten. Ggf. werden mit fortschreitender Umsetzung des neuen IAM noch Attibute zwischen den beiden Bereiche verschoben und umbenannnt.
Auflistung der Personenattribute mit Verwendungszweck, die von der Person selbst geändert werden können
| Personenattribut | Abweichender Systemname des Attributs | Wertebereich | nur speicherbar für InhaberInnen folgender Rollen | Verwendungszweck | Erläuterung |
|---|---|---|---|---|---|
| Zustimmung zur Speicherung der Stammdaten „Vorname(n) - Nachname - Geburtsdatum“ aus Anmeldung mit einer eID via BundID. | UFR.iam.eID.data.consent | Freitext (true/false) | Mitarbeiter/in | Identiy- und Accessmanagement (IAM), Selbstverwaltung via Portlet und Personenatttribut | siehe: BundID: eID Stammdaten in HISinOne speichern |
| eID Stammdaten „Vorname(n) - Nachname - Geburtsdatum“ | UFR.iam.eID.data | Freitext | Mitarbeiter/in | STORK-QAA-Level-4, Identiy- und Accessmanagement (IAM) | siehe: BundID: eID Stammdaten in HISinOne speichern |
| 2FA erzwingen für VPN-UFR | UFR.iam.2fa.system.vpn.ufr | Freitext (true/false) | Mitarbeiter/in | Identiy- und Accessmanagement (IAM), Selbstverwaltung via Portlet und Personenatttribut | siehe: Test RZ-Beschäftigte 2FA erzwingen |
| 2FA erzwingen für VPN-ZUV (Subnetz der zentralen Universitätsverwaltung der UFR) | UFR.iam.2fa.system.vpn.zuv | Freitext (true/false) | Mitarbeiter/in | Identiy- und Accessmanagement (IAM), Selbstverwaltung via Portlet und Personenatttribut | siehe: Test RZ-Beschäftigte 2FA erzwingen |
Auflistung der Personenattribute mit Verwendungszweck, die nur von Sachbearbeitungen oder Systemprozessen geändert werden können
| Personenattribut | Wertebereich | nur speicherbar für InhaberInnen folgender Rollen | Verwendungszweck | Erläuterung |
|---|---|---|---|---|
| UFR.iam.elections.UUID | aktuell noch als „Uniwahl-Unique-Identifier“ im HISinOne-Wiki geführt | |||
| UFR.iam.legacy.rufRollenID | aktuell noch als „Uni-Account Rolle“ im HISinOne-Wiki geführt | |||
| UFR.iam.network.radius.filter-id (geplant derzeit nicht umgesetzt) | 001all, 200affiliate, 300student, 400external | Extern / Gast, Mitarbeiter/in, Studieren, | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen Netzbereichen über den Radius-Server, z.B. im Eduroam. Soll zukünftigt automatisch gesetzt werden, über die Auswertung aller gültigen Rollen einer Person. Darf nur einen Wert enthalten. Es wird der Wert mit den hierachisch höchsten Berechtigungen der aktuellen Rolle = MIN(UFR.iam.network.radius.filter-id) gesetzt. |
| UFR.iam.network.radius.filter-id.individual | 001all, 200affiliate, 300student, 400external, 900special | Extern / Gast | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen Netzbereichen über den Radius-Server durch manuelle Zuordnung. Hat höhere Priorität als UFR.iam.network.radius.filter-id. Beispiel: über die Rollen hat eine Person UFR.iam.network.radius.filter-id.individual = 020affiliate, bei der Person wird UFR.iam.network.radius.filter-id.individual = 900special gesetzt, da sie weniger Rechte erhalten soll (z.B. nur VPN nach außen aufbauen) oder es wird 010UFRall gesetzt, weil die Person mehr Rechte erhalten soll. |
| UFR.iam.network.radius.group (geplant derzeit nicht umgesetzt) | VPN-ZUV | Extern / Gast, Mitarbeiter/in, Studieren, | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen VPN-Netzbereichen über den Radius-Server. Stand 2023.12 geplant für VPN-ZUV. Automatische Vergabe geplant. Regeln noch zu klären, z.B. alle Personen mit aktueller Rolle Mitarbeiter/in auf Kostenstellen 3######### |
| UFR.iam.network.radius.group.individual.additional | VPN-ZUV | Extern / Gast | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen VPN-Netzbereichen über den Radius-Server durch manuelle Zuordnung. Als zusätzliches Attribut parallel zu den automatisch ermittelten Werten UFR.iam.network.radius.group vergeben. Anwendungsbeispiel: RZ-Beschäftigte oder externe Prozessbeteiligte, die Zugriff auf das VPN-ZUV bekommen sollen |
| UFR.iam.PersonID | aktuell noch als „HISinOne-PersonID“ im HISinOne-Wiki geführt | |||
| UFR.iam.uklfrUniCardMember | true (oder false, im Normallfall aber kein false explizit gesetzt). | Extern / Gast, Mitarbeiter/in | Identity- und Accessmanagement (IAM) | Wird automatisch gesetzt oder gelöscht beim Import der Daten aus SAP HCM Klinikum. |
| UFR.iam.unicard.legacy.cardnumber | aktuell noch als „UB-Konto Gästekarte altes UniCard-System“ im HISinOne-Wiki geführt | |||
| UFR.iam.unicard.legacy.zeus-id | aktuell noch als „ZEUS-ID“ im HISinOne-Wiki geführt |
Berechtigungen zum Einsehen und Verwalten von Personenattributen
Die Ausflistung welche Rollen welche Personenattribute einsehen und verwalten können finden Sie im HISinOne Wiki unter Personenattribute in Personen-/ Kontaktdaten |