Dies ist eine alte Version des Dokuments!
IAM-Personenattribute in HISinOne ("Entitlements")
HISinOne bietet die Möglichkeit Personenattribute zu definieren, die dann personenbezogen gespeichert werden werden können. Hier finden Sie Information zu folgenden Themen:
- Welche Personenattribute derzeit im Campus-Management-System HISinOne der Albert-Ludwigs-Universität für das Identity- und Access-Management (IAM) definiert sind und benutzt werden
- Für welche Personen, die welche Rolle haben, dieses Attibute vergeben und gespeichert werden können
Hinweis: Neben den hier aufgelisteten IAM-Personenattribten („Entitlements“) gibt es weitere Personenattribute, die in verschiedenen Funktionbereichen von HISinOne verwendet wird. Diese sind im HISinOne-Wiki aufgelistet unter Personenattribute in Personen-/ Kontaktdaten. Ggf. werden mit fortschreitender Umsetzung des neuen IAM noch Attibute zwischen den beiden Bereiche verschoben und umbenannnt.
Auflistung der Personenattribute mit Verwendungszweck, die von der Person selbst geändert werden können
| Personenattribut | Abweichender Systemname des Attributs | Wertebereich | nur speicherbar für InhaberInnen folgender Rollen | Verwendungszweck | Erläuterung |
|---|---|---|---|---|---|
| Zustimmung zur Speicherung der Stammdaten „Vorname(n) - Nachname - Geburtsdatum“ aus Anmeldung mit einer eID via BundID. | UFR.iam.eID.data.consent | Freitext (true/false) | Mitarbeiter/in | Identiy- und Accessmanagement (IAM), Selbstverwaltung via Portlet und Personenatttribut | siehe: BundID: eID Stammdaten in HISinOne speichern |
| eID Stammdaten „Vorname(n) - Nachname - Geburtsdatum“ | UFR.iam.eID.data | Freitext | Mitarbeiter/in | STORK-QAA-Level-4, Identiy- und Accessmanagement (IAM) | siehe: BundID: eID Stammdaten in HISinOne speichern |
| 2FA erzwingen für VPN-UFR | UFR.iam.2fa.system.vpn.ufr | Freitext (true/false) | Mitarbeiter/in | Identiy- und Accessmanagement (IAM), Selbstverwaltung via Portlet und Personenatttribut | siehe: Test RZ-Beschäftigte 2FA erzwingen |
| 2FA erzwingen für VPN-ZUV (Subnetz der zentralen Universitätsverwaltung der UFR) | UFR.iam.2fa.system.vpn.zuv | Freitext (true/false) | Mitarbeiter/in | Identiy- und Accessmanagement (IAM), Selbstverwaltung via Portlet und Personenatttribut | siehe: Test RZ-Beschäftigte 2FA erzwingen |
Auflistung der Personenattribute mit Verwendungszweck, die nur von Sachbearbeitungen oder Systemprozessen geändert werden können
| Personenattribut | Wertebereich | nur speicherbar für InhaberInnen folgender Rollen | Verwendungszweck | Erläuterung |
|---|---|---|---|---|
| Bemerkung | Freitext | Studieren, Vorläufig Studieren, Gasthörerstudium / Sonstige | Studierendenmanagement | Vom SCS gefordert für individuelle Bemerkungen innerhalb des Studierendenmanagement |
| Erzwungener WS-Import PH | Ja, Nein | Bewerben (Studienplatz), Gasthörerstudium / Sonstige, Promovieren, Studieren, Vorläufig Studieren | Bewerbermanagement, Online-Bewerbung, Selbstregistrierung für Interessenten, Studierendenmanagement | - wird noch ergänzt - |
| EPPSG-Fallgruppe | „Sie gehören zur Fallgruppe 1 und sind antragsberechtigt“, „Fallgruppe 2: am 01.12.2022 eingeschrieben aber keine Berechtigung an der UFR“, „Fallgruppe 3: am 01.12.2022 nicht an der UFR eingeschrieben“ | Studieren | Studierendenmanagement | Auswahl der Persongruppen nach EPPSG |
| EPPSG-Stammdaten | Vorname - Nachname - Geburtsdatum | Studieren | Studierendenmanagement | Stammdaten (Vorname, Name, Geburtsdatum), die verschlüsselt an https://www.einmalzahlung200.de übermittelt wurden. |
| EPPSG-Code | Freitext | Studieren | Studierendenmanagement | Persönlicher Zugangscode für https://www.einmalzahlung200.de |
| EPPSG-PIN | Freitext 6 Stellen | Studieren | Accountverwaltung | PIN zum persönlichen Zugangscode für https://www.einmalzahlung200.de |
| European Student Identifier (ESI) | Neue Systematik: <HS-DOMAIN>:<MATRIKELNUMMER> oder <HS-DOMAIN>:<anderer, eindeutiger und unveränderlicher persistenter Identifier>, alte Systematik <LAND>-<PIC-CODE>-<MATRIKELNUMMER> (und Varianten) | Promovieren, Gasthörerstudium / Sonstige, Studieren, Vorläufig Studieren, Weiterbildungsteilnehmer/-in, Bewerben (Studienplatz) | Bewerbermanagement, Online-Bewerbung, Selbstregistrierung für Interessenten, Studierendenmanagement | Hilfsfeld in der Datenbank um den Datenaustausch mit anderen Hochschulen technisch umzusetzen. Wird (Stand 2022-03) für den Datenabgleich mit der PH Freiburg und der MH Freiburg genutzt (Datenempfang Studierende). Beispiel: PH liefert Datensatz mit PH-Matrikelnummer 1234567, in die HISinOne-Datenbank wird als Personenattribut geschrieben: ph-freiburg.de:1234567. Ebenfalls genutzt für Mobility-Online-Incomings (noch alte Systematik Land-PIC), dort nur informativ mitgeführt, nicht als Referenz. |
| FACE Hochschulpartnerschule | Albert Schweitzer Schule II Freiburg, Grundschule Denzlingen, Gymnasium Kenzingen, Julius-Leber-Schule Breisach am Rhein, Kastelbergschule Waldkirch, Montessori Zentrum ANGELL Freiburg Gymnasium, Mooswaldschule Freiburg, Neulinden-Schule Ihringen, Realschule der Heimschule St. Landolin Ettenheim, Sommerbergschule Buchenbach, Theodor-Heuss-Gymnasium Freiburg | Gasthörerstudium / Sonstige | Studierendenmanagement | Kennzeichnung von welcher FACE Hochschulpartnerschule eine Lehrperson kommt, die von der Gasthörergebühr befreit wurde. |
| FACE-Mitgliedschaft | Mitglied | Extern / Gast, Mitarbeiter/in | Personenverwaltung | Kennzeichnung ob und von wann bis wann ein Person Mitglied in FACE ist. Hauptfokus: Beschäftigte. Die Mitgliedschaft von Studierenden in FACE wird über andere Mechanismen verwaltet. |
| Genehmigung der Rolle Personenverwaltung | Freitext | Personenverwaltung | Accountverwaltung | Interne RZ-Dokumentation wer hat wann für welche Kostenstelle die Genehmigung zur Personenverwaltung erteilt, um bei Überprüfungen bei der Person oder Einrichtung nachfragen zu können, die die Genehmigung erteilt hat. Inhaltsbeispiel: „für 4000207001 RZ Campus-Management durch Dr. Thomas M. Mann (Abteilungsleiter RZ Campus-Management)“ mit Datum „Gültig von“ und „Gültig bis“. |
| HISinOne-PersonID | 6-stellig (numerisch) | <alle Rollen> | Accountverwaltung | Im Normalfall eigentlich überflüssige redundante Speicherung der HISinOne-PersonenID, die sowieso beim Personendatensatz steht. Wird bei Personenzusammenführungen automatisiert genutzt, um frühere PersonIds der gleiche Personen (einschließlich Gültigkeitszeitäumen) für den Datenabgleich mit Drittsystemen zu speichern. Für die automatische Verarbeitung ist es notwendig, dass die jeweils aktuelle PersonID grundsätzlich bei allen Personen zusätzlich als Attribut gespeichert ist. Wird im DOC-Kontext benutzt, um bei Promovierenden, für die es eine Dublette gibt, schnell überprüfen zu können, mit welcher ID DOC501 ausgefüllt wurde. |
| Kostenpflichtige Anforderung UniCard Gästeausweis auf Kostenstelle (Schlüssel 10-stellig) | Freitext (10 Zeichen) | Extern / Gast | Personenverwaltung | Dient zur Verrechnung von Erstkarten UniCard Gästeausweise an die anfordernde Einrichtung |
| Matrikelnummer der Dublette | Matrikelnummer | Gasthörerstudium / Sonstige, Bewerben (Studienplatz), Studieren, Vorläufig Studieren | Bewerbermanagement, Studierendenmanagement, Personenverwaltung, Chipkartenverwaltung, Doktorandenmanagement | Querverweis auf weitere Datensätze, wenn Personen aus technischen Gründen mehrfach im System angelegt werden mussten. Häufigster Fall: Registrierte Promovierende für die es auch einen Studierendendatensatz gibt (und umgekehrt). |
| Partneruniversität | Liste von SCS definierter Partnerhochschulen | Studieren, Vorläufig Studieren, Gasthörerstudium / Sonstige , Bewerber/-in | Studierendenmanagement, Bewerbermanagement | Hier der Wert für das gewählte Programm (Erasmus,Eucor, etc.) geschrieben. |
| Postdoc Bemerkung | Freitext | Postdoc | Personenverwaltung | Bemerkung zu einer manuellen Vergabe oder Verlängerung der Rolle Postdoc |
| Promotionsantrag Datum des Bescheids | Datum | Gasthörerstudium / Sonstige, Promovieren, Studieren, Promotionsantrag, Vorläufig Studieren | Studierendenmanagement, Doktorandenmanagement | |
| Sonderstatus | Geflüchtet, Partnerschule | Studieren, Vorläufig Studieren, Gasthörerstudium / Sonstige | Studierendenmanagement | Daten werden vom SCS zu Verwaltung von registrierten Gasthörenden/Schülersstudierenden verwendet. |
| UB-Konto Gästekarte altes UniCard-System | Freitext (8 Zeichen) | Extern / Gast, Mitarbeiter/in | Accountverwaltung, Personenverwaltung | Dient zur Migration der Rechte der alten UniCards für Gäste und Beschäftigte der Vorklinik, für die es im alten UniCard-System (Mifare Classic) keinen Personenbezug zu HISinOne gab. |
| UFR.iam.network.radius.filter-id (geplant derzeit nicht umgesetzt) | 001all, 200affiliate, 300student, 400external | Extern / Gast, Mitarbeiter/in, Studieren, | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen Netzbereichen über den Radius-Server, z.B. im Eduroam. Soll zukünftigt automatisch gesetzt werden, über die Auswertung aller gültigen Rollen einer Person. Darf nur einen Wert enthalten. Es wird der Wert mit den hierachisch höchsten Berechtigungen der aktuellen Rolle = MIN(UFR.iam.network.radius.filter-id) gesetzt. |
| UFR.iam.network.radius.filter-id.individual | 001all, 200affiliate, 300student, 400external, 900special | Extern / Gast | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen Netzbereichen über den Radius-Server durch manuelle Zuordnung. Hat höhere Priorität als UFR.iam.network.radius.filter-id. Beispiel: über die Rollen hat eine Person UFR.iam.network.radius.filter-id.individual = 020affiliate, bei der Person wird UFR.iam.network.radius.filter-id.individual = 900special gesetzt, da sie weniger Rechte erhalten soll (z.B. nur VPN nach außen aufbauen) oder es wird 010UFRall gesetzt, weil die Person mehr Rechte erhalten soll. |
| UFR.iam.network.radius.group (geplant derzeit nicht umgesetzt) | VPN-ZUV | Extern / Gast, Mitarbeiter/in, Studieren, | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen VPN-Netzbereichen über den Radius-Server. Stand 2023.12 geplant für VPN-ZUV. Automatische Vergabe geplant. Regeln noch zu klären, z.B. alle Personen mit aktueller Rolle Mitarbeiter/in auf Kostenstellen 3######### |
| UFR.iam.network.radius.group.individual.additional | VPN-ZUV | Extern / Gast | Identity- und Accessmanagement (IAM) | Zuweisung von speziellen VPN-Netzbereichen über den Radius-Server durch manuelle Zuordnung. Als zusätzliches Attribut parallel zu den automatisch ermittelten Werten UFR.iam.network.radius.group vergeben. Anwendungsbeispiel: RZ-Beschäftigte oder externe Prozessbeteiligte, die Zugriff auf das VPN-ZUV bekommen sollen |
| UFR.iam.uklfrUniCardMember | true (oder false, im Normallfall aber kein false explizit gesetzt). | Extern / Gast, Mitarbeiter/in | Identity- und Accessmanagement (IAM) | Wird automatisch gesetzt oder gelöscht beim Import der Daten aus SAP HCM Klinikum. |
| UniAccount automatisch erzeugen mit Zuordnung zur Organisationseinheit | 4000700031, 9000200000, 9000300000 | Extern / Gast | Automatische Accounterzeugung | Wird von automatischen Prozessen für die automatische Accounterzeugung bei bestimmten Personengruppen genutzt. Stand 2019-04 für nichtstudentische PH-FACE-Mitglieder, Lehrpersonen MH FZM und Lehrpersonen ZfS |
| Uni-Account Rolle | 002 - Eingeschriebene Studierende, 004 - Eingeschriebene Promovierende, 013 - EUCOR-Studierende, 014 - Gasthörende/Schülerstudierende, 028 - Registrierte Gaststudierende, 029 - Weiterbildung/Kontaktstudierende, 040 - Registrierte Promovierende, 102 - Exmatrikulierte Studierende, 104 - Exmatrikulierte Promovierende | Gasthörerstudium / Sonstige, Studieren, Vorläufig Studieren | Studierendenmanagement | In diesem Personenattribut wird für alle Studierenden und Gasthörenden der ermittelte Account-Typ, sowie die Gültikeit und das Datum ab dem diese Rolle gelten soll gespeichert. Diese Daten werden regelmäig täglich aus HISinOne an das RZ-LDAP zur Accountverwaltung weitergeben. |
| Uniwahl-Unique-Identifier | Freitext | Mitarbeiter/in, Studieren | Automatische Accounterzeugung | Redundante Speicherung der HISinOne-UUID einer Person in einem Personenattribut. Wird gefüllt bei der Erstellung des Wählerverzeichnises, um vom Zeitpunkt der Datenlieferung aus HISinOne bis zum Abschluss der Online-Wahl den Uniwahl-Unique-Identfier einer wahlberechtigten Person stabil zu halten. Durch das Konzept, dass eine Person mehrerer Accounts haben kann, würde sich bei eventuell notwendigen Zusammenführungen von Datensätzen (Mitarbeiter/in auf Studieren) im Zeitraum zwischen Datenlieferung und Ende der WWahl ggf. die HISinOne PersonenID eine Person ändern und damit auch die HISinOne-UUID des UniAccounts. Um dies abzufangen, wird für das Wählerverzeichnis nicht direkt die UUID geliefert, sondern das Personenattribut Uniwahl-Unique-Identifier. Bei der Erstellung der Datenlieferung für die Folgewahl wird das Personenattribut Uniwahl-Unique-Identifier mit der dann aktuellen HISinOne-UUID der Person überschrieben bzw. gefüllt. |
| Vertrauensschutz Studiengebühren Internationale | Ja, 20171, 20172, 20181, 20182, 20191, 20192, 20201 | Bewerben (Studienplatz), Studieren, Vorläufig Studieren | Bewerbermanagement, Studierendenmanagement, Gebührenmanagement, Online-Bewerbung | Steuert die Befreiung der Gebühr ohne Antrag über die Gebührenberechnung. |
| Vertrauensschutz Studiengebühren nach Satzung | Ja, 20172, 20181, 20182, 20191, 20192, 20201 | Bewerben (Studienplatz), Studieren, Vorläufig Studieren | Bewerbermanagement, Studierendenmanagement, Gebührenmanagement, Online-Bewerbung | Steuert die Befreiung der Gebühr ohne Antrag über die Gebührenberechnung. |
| Vertrauensschutz Zweitstudiengebühren | Ja, 20171, 20172, 20181, 20182, 20191, 20192, 20201 | Bewerben (Studienplatz), Studieren, Vorläufig Studieren | Bewerbermanagement, Studierendenmanagement, Gebührenmanagement, Online-Bewerbung | Steuert die Befreiung der Gebühr ohne Antrag über die Gebührenberechnung. |
| ZEUS-ID | 6-stellig (numerisch) | Mitarbeiter/in | Mitarbeiterverwaltung | Zeiterfassungsnummer im System ZEUS. Bis Mitte 2019 zur Ausstellung von Ersatz-Beschäftigtenausweisen neben ZEUS auch im alten UniCard-System gespeichert. Für bwCARD neben ZEUS auch in HISinOne gespeichert, jedoch nicht in bwCard. |
| Zustimmung Alumni | keine Zustimmung Alumni; Zustimmung Alumni; keine Angabe | Studieren, Vorläufig Studieren, Gasthörerstudium / Sonstige | Studierendenmanagement | Wurde bei der Immatrikulation/Registrierung der Verwendung der Daten für Alumni wiedersprochen? |
| Zustimmung IGA-Benachrichtigung | keine Zustimmung IGA-Benachrichtigung, Zustimmung IGA-Benachrichtigung, keine Angabe | Studieren, Vorläufig Studieren, Gasthörerstudium / Sonstige | Studierendenmanagement, Doktorandenmanagement | Wurde der Verwendung der Daten für IGA-Benachrichtigung wiedersprochen? |
| Zustimmung Datenübertragung PolyBac FACE PH | keine Angabe (im Normalfall nicht erfasst), keine Zustimmung Datenübertragung PolyBac FACE PH (Widerspruch), Zustimmung Datenübertragung PolyBac FACE PH (im Normalfall nicht erfasst) | Studieren, Vorläufig Studieren | Studierendenmanagement | Dient zur Erfassung eines Widerspruchs der Datenübertragung PolyBac im Rahmen von FACE an die PH Freiburg (dort dann kein Imma, kein PH-Account), M.Ed. haben keine Widerspruchsmöglichkeit |
| Zustimmung Info Deutschlandstipendium | keine Angabe (im Normalfall nicht erfasst), keine Zustimmung Info Deutschlandstipendium (Widerspruch), Zustimmung Info Deutschlandstipendium | Gasthörerstudium / Sonstige | Studierendenmanagement | Dient zur Erfassung der Zustimmung zur Information über das Deutschlandstipendium auf dem Antrag zum/zur Gasthörer/Gasthörerin |
Berechtigungen zum Einsehen und Verwalten von Personenattributen
| Rolle | Verwendungszweck |
|---|---|
| Administration | Studierendenmanagement |
| Benutzer/innen Administration | Accountverwaltung, Automatische Accounterzeugung, Bewerbermanagement, Chipkartenverwaltung, Doktorandenmanagement, Identiy- und Accessmanagement (IAM), Mitarbeiterverwaltung, Personenverwaltung, Selbstregistrierung für Interessenten, Shibboleth-Benutzer, Studierendenmanagement |
| Bewerbungsmanagement | Bewerbermanagement, Online-Bewerbung |
| Chipkartenverwaltung | Chipkartenverwaltung |
| IAM (lesend) | Accountverwaltung, Automatische Accounterzeugung, Chipkartenverwaltung, Identity- und Accessmanagement (IAM), Personenverwaltung |
| Personalverwaltung (lesend) | Chipkartenverwaltung |
| Personenverwaltung | Automatische Accounterzeugung, Personenverwaltung |
| DOC Administration | Doktorandenmanagement, Studierendenmanagement |
| Sachbearbeitung Promotionen | Doktorandenmanagement |
| STU Administration | Doktorandenmanagement, Studierendenmanagement, Gebührenmanagement, Alumnimanagement, Bewerbermanagement, Bibliotheksbenutzermanagement |
| STU Gasthörende Management | Studierendenmanagement, Gebührenmanagement |
| STU Senior Management | Doktorandenmanagement, Studierendenmanagement, Gebührenmanagement, Alumnimanagement, Bibliotheksbenutzermanagement, Bewerbermanagement |
| STU Standard Management | Alumnimanagement, Bewerbermanagement, Studierendenmanagement, Doktorandenmanagement, Bibliotheksbenutzermanagement, Gebührenmanagement |
| Webservice PHUserImport | Accountverwaltung, Automatische Accounterzeugung, Personenverwaltung, Studierendenmanagement |