Zum Hauptinhalt springen

DVDV-Bundesmaster

Die wichtigste Komponente des DVDV ist der zentrale DVDV-Bundesmaster, der vom ITZBund betrieben wird. Er besteht aus dem sog. Kernsystem und der Master-Datenbank, dem IAM sowie Admin- und Pflege-Client. Der DVDV-Bundesmaster stellt das DVDV-Referenzsystem dar, sämtliche schreibende Zugriffe auf das DVDV erfolgen ausschließlich an diesem zentralen System durch dazu berechtigte „Pflegende Stellen“. Diese verwenden für Datenänderungen einen als Web-Anwendung konzipierten Pflege-Client. Zur Verwaltung der Zugriffsrechte und Rollen innerhalb des Systems dient eine weitere Komponente, der sog. Admin-Client. Diese Rechte werden im IAM hinterlegt und von diesem zur Authentifizierung von Benutzern verwendet. Der DVDV-Bundesmaster ist nur an die Netze des Bundes (NdB) angeschlossen, nicht jedoch an das Internet. Regelungen für den Betrieb des DVDV-Bundesmasters sind in einer Policy zusammengefasst, die von der Koordinierenden Stelle DVDV erarbeitet und herausgegeben wird.

Aufbau des Bundesmasters

Abbildung 2: Aufbau des DVDV-Bundesmasters

Kernsystem DVDV-Bundesmaster

Über das Kernsystem werden alle fachlichen Daten des DVDV-Systems langfristig abgelegt und bereitgestellt. Dabei handelt es sich etwa um:

  • Informationen zu Organisationen und Behörden, die Dienste anbieten,
  • Informationen zu den von Organisationen und Behörden angebotenen Diensten und deren Dienstelementen, wie z.B. Zertifikate und URLs,
  • Dienstbeschreibungen, die die angebotenen Dienste spezifizieren,
  • Vorläufig erfasste Daten zur Qualitätssicherung und Übernahme ins System,
  • Zugriffsprotokollierung und Historie der Änderungen an diesen Daten,
  • Daten zu Favoriten und Vorbelegungen (Defaults) von Masken.

Das DVDV-Kernsystem ist als reine Serverkomponente ausgeprägt, der Zugriff erfolgt ausschließlich über die angebotene Directory-Schnittstelle. Der DVDV-Bundesmaster hat die folgenden Schnittstellen zu anderen Systemen und Nutzern:

  • Schnittstelle zum Pflege-Client für die Erfassung, Änderung und Löschung der im DVDV hinterlegten Organisationen und Dienste
  • Schnittstelle zum Admin-Client für die Verwaltung der Metadaten des Systems, etwa Benutzerrechte, Rollen, Dienstbeschreibungen, Ressourcentypen, aber auch Anpassungen am Datenmodell.
  • Schnittstelle zu den DVDV-Servern, über die die Replikation des Datenbestands durchgeführt wird.

Pflege-Client

Der Pflege-Client ist eine Browser-basierte Webapplikation und wird ausschließlich durch das ITZBund betrieben. Er dient der Datenpflege im DVDV und wird von den Pflegenden Stellen über die Netze des Bundes (NdB) genutzt.

Mit dem Pflege-Client können die im DVDV gehaltenen Datenobjekte, wie Organisationen, Provider, Dienste, Dienstbeschreibungen, Zertifikate und Favoriten, angelegt, geändert oder gelöscht werden. Dazu kann der Datenbestand über den Pflege-Client durchsucht, gefiltert und angezeigt werden. Darüber hinaus kann der Pflege-Client auch Statistiken und Änderungshistorien der Daten erzeugen und darstellen. Zum Funktionsumfang des Pflege-Clients gehört ein integriertes Benutzerhandbuch. Die Screenshots vermitteln einen Eindruck von der Benutzungsoberfläche des Pflege-Clients.

Oberstes Auswahlmenü des Pflege-Client

Abbildung 3: Oberstes Auswahlmenü des Pflege-Client

Funktion „Organisation suchen“ im Pflege-Client

Abbildung 4: Funktion „Organisation suchen“ im Pflege-Client

Admin-Client

Neben dem zuvor beschriebenen Pflege-Client ist auch der Admin-Client ein Bestandteil der vom ITZBund zentral betriebenen DVDV-Bundesmaster-Infrastruktur. Während der Pflege-Client zur Erfassung, Änderung oder Löschung fachlicher Daten dient, werden über den ebenfalls Browser-basierten Admin-Client die notwendigen Metadaten gepflegt, z.B. Benutzer und Benutzergruppen, Stellvertreterregelungen, Rollen und Rechte und Ressourcengruppen für die Steuerung der Authentisierung und Autorisierung.

Des Weiteren sind administrative Tätigkeiten rund um die Ressourcenpflege im Admin-Client möglich. Dazu gehören etwa die Anlage neuer Dienst-Typen, z.B. durch Upload einer entsprechenden Dienstbeschreibung, die Erstellung neuer Ressourcen-Typen und die Pflege von Organisationskategorien. Über den Admin-Client kann in einem gewissen Umfang auch das Datenmodell flexibel angepasst werden, sofern neu entstehende Anforderungen dies sinnvoll erscheinen lassen.

Der Admin-Client kommuniziert mit den beiden angebundenen Komponenten Kernsystem und Identity and Access Management (IAM). Die administrativen Änderungen werden im DVDV-Kernsystem dauerhaft gespeichert („persistiert“), alle die Authentifizierung betreffenden Daten werden im angebundenen DVDV-IAM gespeichert.

Der nachfolgende Screenshot stammt vom obersten Auswahlmenü des Admin-Clients, über das die Hauptfunktionen ausgewählt werden. Wie auch beim Pflege-Client, bietet der Admin-Client für die berechtigten Nutzer ein integriertes Benutzerhandbuch.

Oberstes Auswahlmenü des Admin-Client

Abbildung 5: Oberstes Auswahlmenü des Admin-Client

DVDV-IAM

Zum DVDV-Bundesmaster gehört außerdem eine zentrale Komponente „Identity and Access Management“ (IAM). Das IAM realisiert das Benutzer- und Zugriffskontrollmanagement auf das DVDV-Gesamtsystem. Zum Benutzermanagement gehören dabei die Pflege von Benutzern (Identitäten), Benutzergruppen und deren Anmeldeinformationen sowie die Pflege von Rollen, Rechten und Vertreterregelungen.

Das IAM gewährleistet, dass nur die dafür autorisierten Benutzer und Client-Systeme in dem vorgesehenen Umfang Zugriff auf die Clients des DVDV-Bundesmasters sowie bestimmte Funktionen der DVDV-Server erhalten. Das DVDV-IAM authentifiziert die Zugriffe auf das DVDV, insbesondere auf den Pflege- und Admin-Client beim DVDV-Bundesmaster sowie auf die Auskunfts-Clients bei den DVDV-Servern.

Das IAM-System im DVDV basiert auf dem Produkt Keycloak, welches um zusätzlich benötigte Fähigkeiten erweitert wurde. Das IAM nutzt eine MySQL-Datenbank.

Im Zusammenhang mit den seit 2022 möglichen DVDV-Anfragen über die Directory Schnittstelle ist das IAM außerdem für technisch dafür ausgelegt. Berechtigungstoken auszustellen und zu validieren, die angebundene Systeme (insb. Fachverfahren) benötigen, um sich bei Anfragen auf den DVDV-Servern zu authentifizieren. In der Praxis wird diese Methode derzeit nicht verwendet, sondern die Authentifizierung findet am Kernsystem statt.

Das DVDV-IAM hat die folgenden Schnittstellen zu anderen Systemen und DVDV-Nutzern:

  • Schnittstelle zum Admin-Client, über die das IAM administriert wird. Damit werden DVDV-Nutzer und angebundene Systeme zur Durchführung von Anfragen berechtigt, sowie die Berechtigung der Pflegenden Stellen zur Dateneingabe verwaltet.
  • Schnittstelle zur Token-Ausgabe, über die das IAM den DVDV-Verfahrensbeteiligten auf Anfrage in den folgenden Situationen Token ausstellt:
    • für Administratoren bei Authentifizierung per Zertifikat
    • für Pflegende Stellen bei Authentifizierung per Zertifikat
    • für Nutzer des Auskunfts-Client bei Authentifizierung per Benutzername/Passwort
    • für angebundene Systeme, die Anfragen auf das DVDV über die Directory-Schnittstelle durchführen, bei Authentifizierung per Zertifikat

Schnittstellen des DVDV-IAM

Abbildung 6: Schnittstellen des DVDV-IAM