myAccount - Die Benutzerschnittstelle

Mit diesem Text beginnen wir den Versuch, innerhalb des RZ-Wiki nach und nach eine umfassende Dokumentation zu myAccount aufzubauen.

Die Web-Applikation „myAccount“ ist eine Komponente des Identity Management der Universität Freiburg. Sie beherbergt neben der Benutzerselbstverwaltung auch einen administrativen Teil, der dem Benutzerservice des Rechenzentrums und einigen kooperierenden Verwaltungseinheiten des Rektorates zur Verfügung steht.

Es ist der Zug der Zeit, dass Dienste möglichst rund um die Uhr und von überall her erreichbar sein sollen. So fiel die Wahl für eine Schnittstelle zu myAccount auf ein Web-Interface, das plattformunabhängig und mit SSL auch hinreichend sicher den Service zum Benutzer trägt.

Technisch realisiert wurde myAccount als reine Servlet-Lösung innerhalb von Apache Tomcat (stand alone). JavaScript wird nur sparsam eingesetzt um die Abhängigkeit von der Client-Umgebung so gering wie möglich zu halten. Die Trennung der Darstellung von Daten und Prozessen wird mit Hilfe eines eigenen Template-Framewoks weitgehend eingehalten. Auf eine aufwändige Umsetzung der Model View Controller - Architektur haben wir zu Gunsten einer kurzen Entwicklungszeit verzichtet. Die Webseiten stehen in deutscher und englischer Sprache zur Verfügung, wobei die beim Aufbau der Sitzung vom Browser mitgeteilte Sprachpräferenz zunächst ausschlaggebend ist.

Über Links auf diversen Webseiten des Rechenzentrums ist die Anmeldemaske von myAccount auf kürzestem Wege erreichbar.

Falls in den Texten über myAccount einseitig von Benutzern oder Benutzerinnen gesprochen wird, ist das andere Geschlecht grundsätzlich eingeschlossen.

Mitarbeiter der Universität können sich im Abschnitt „Registrieren“ als neue Nutzer des Rechenzentrums eintragen. Ein Abgleich der Registrierungs-Angaben mit einem zentralen LDAP-Server der Verwaltung und ein automatisch generierter Hauspostbrief mit Initialpasswort für die Freischaltung des neuen Benutzerkontos ersetzen die manuelle Bearbeitung durch den Benutzerservice komplett. Der Rückgriff auf einen postalischen Kontakt über die im zentralen Datenbestand ermittelte Dienst-Adresse erhöht dabei die Sicherheit, es mit der richtigen Person zu tun zu haben.

Studierende werden im Zuge der Immatrikulation grundsätzlich als neue Nutzer in den Datenbestand aufgenommen. In Zusammenarbeit mit dem Rechenzentrum vergibt das Studierendensekretariat die Authentisierungsdaten und exportiert nächtlich die neu aufgenommenen Studentendaten an die Verwaltung der Benutzerdaten.

Falls man einmal sein Passwort vergessen hat und eine gültige externe Mailadresse hinterlegt ist, kann man sich bei „Passwort vergessen?“ ein Einmalpasswort zuschicken lassen. Die Betonung liegt deshalb auf „externe Mailadresse“, weil die vom RZ verwalteten Mailkonten ebenfalls das vergessene Passwort besitzen und im vorliegenden Fall also auch nicht gelesen werden können.

Bereits registrierte Benutzer melden sich mit Benutzerkennung und zentralem Passwort an. Ihnen ermöglicht myAccount z.B. …

• Das Ändern des zentralen Passwortes:
  Das „single password“ wird in myAccount zentral gesetzt bzw. modifiziert und wirkt auf allen Systemen instantan, die direkt am LDAP-Server authentisieren. Einzelne Systeme werden von myAccount über eine API direkt mit dem neuen oder geänderten Passwort beliefert.
• Das Setzen eines RAS-Kennwortes, das in Verbindung mit der Benutzerkennung bei der Anmeldung im VPN eingesetzt wird.
• Das Überprüfen der in myAccount gespeicherten benutzerbezogenen Daten.
• Eine Online-Aufwertung des Druckerkontos mit Hilfe einer nur für den aktuellen Vorgang gültigen Abbuchungsermächtigung.
• Einrichten eines beim Rechenzentrum gehosteten Mailkontos. Der Name der Mailbox wird aus Vor- und Nachname sowie einer spezifischen Domain-Adresse zusammengesetzt. MitarbeiterInnen wird eine von der beschäftigenden Einrichtung benannte Domain (z.B. jura) zugewiesen. Mailkonten für Studierende erhalten einen Planetennamen als Domain (z.B. jupiter).
• Die Bekanntgabe externer Mailkonten (private oder Institusmailadresse).
  myAccount verifiziert diese Mailadressen mit Hilfe eines automatisierten Maildialoges mit den Eigentümern.
• Verwalten der Abonnements einiger offizieller Mail-Listen, die von der Uni-Verwaltung oder den Einrichtungen betrieben werden.
• Das Verwalten der Knoten in der TSM-Datensicherung.
  Darunter fällt u.a. die Festlegung des Sicherungspasswortes, die Auswahl der Sicherungs-Policy, der Umzug von Knoten in eine andere Domain oder die Übergabe eines Knotens an einen anderen Verantwortlichen.
• Eingeschränkte Verwaltung von Fremdkonten (z.B. classroom accounts) durch das Lehrpersonal.
• Freischalten der Unicard für die von der zentralen Schließanlage überwachten Türen.
• Einrichten temporärer RAS-Konten (steht nur MitarbeiterInnen zur Verfügung).
  Damit können vorübergehend (max. 10 Tage) gültige Zugänge zum VPN z.B. für Besucher der Universitätseinrichtung beantragt werden.

Die Beschreibung der administrativen Schnittstelle von myAccount steht nur RZ-intern zur Verfügung.