Wir möchten Sie auf dieser Seite über die geplanten Änderungen der Login-Prozesse in den BIS-Anwendungen und weiteren universitären Diensten informieren, die in den kommenden Monaten stattfinden werden. Der aktuelle Fortschritt wird hier laufend dokumentiert.
Diese Änderungen betreffen die Anmeldung im eKVV und der Prüfungsverwaltung sowie bald auch in Systemen wie den Lernräumen/Moodle und generell die Web-Authentifizierung per Shibboleth. In dieser Zeit werden Sie regelmäßig E-Mails von uns erhalten. Um diese von Phishing-Versuchen unterscheiden zu können, dokumentieren wir hier immer den aktuellen Stand der Veränderungen.
Statusübersicht
- Meilenstein 0 - Vorarbeiten: ABGESCHLOSSEN ☑️
- Meilenstein 1 - Ablösung BIS Login: ABGESCHLOSSEN ☑️
- Meilenstein 2 - Verbesserung der Passwortsicherheit: 14.08.2024 - ABGESCHLOSSEN ☑️
- Meilenstein 3 - Umstellung der Loginseite auf login.uni-bielefeld.de: 21.08.2024 - ABGESCHLOSSEN ☑️
- Meilenstein 4 - Zusammenführung der Loginsysteme login.uni-bielefeld.de und shibboleth.uni-bielefeld.de - SEPTEMBER
Warum sind diese Änderungen notwendig
Obwohl wir die Störungen durch die Umbauarbeiten auf ein Minimum beschränken möchten, sind sie manchmal unvermeidlich. Beispielsweise müssen wir alle Nutzer*innen auf Passwörter umstellen, die den aktuellen Regelungen der Universität entsprechen. Bei den Änderungen verfolgen wir diese Ziele:
- Vereinfachung: Die Anzahl der unterschiedlichen Logins wird reduziert. Sowohl das BIS- als auch das PRISMA-Passwort werden abgelöst und durch das zentrale Web-Passwort des BITS-Logins ersetzt.
- Weniger Loginvorgänge: Die beiden großen Loginsysteme der Universität, Shibboleth und die BIS-Loginseite, werden zu einem System zusammengeführt. Dies ermöglicht nach der ersten Anmeldung den Zugriff auf alle angeschlossenen Anwendungen ohne erneutes Login.
- Sicherheit: Die Erhöhung der Sicherheit der Universitätssysteme ist der Hauptgrund für die Änderungen. Längere und komplexere Passwörter sowie die Einführung der Multi-Faktor-Authentifizierung (MFA) werden den Schutz erhöhen.
BITS Login und BIS Login: Was war der Unterschied
In der Beschreibung der Meilensteine wird oft von diesen beiden Begriffen gesprochen:
- BITS Login: Dies ist das Login, welches alle Angehörigen der Universität automatisch erhalten. Siehe dazu die Seite 'Persönlicher Account' des BITS. Studierende haben dieses Login im eKVV bereits immer in Kombination mit ihrer Matrikelnummer bzw. Uni-ID genutzt. Das BITS Login wird in Zukunft das Login sein, welches für alle Anmeldungen verwendet wird. Das zugehörige Passwort wird bisher als 'Web (Shibboleth) Passwort' bezeichnet
- BIS Login: Für den Zugriff auf die internen Anwendungen des BIS mussten Mitarbeitende aus historischen Gründen vor der Umstellung ein spezielles BIS Login verwenden. Der BIS Anmeldename war dabei in den meisten Fällen schon identisch mit dem BITS Anmeldenamen, aber die Passworte waren nicht synchron und der BIS Zugang musste auch separat freigeschaltet werden. Das BIS Login wurde in Meilenstein 1 abgelöst
Stufenweises Vorgehen
Die geplanten Änderungen werden nicht auf einen Schlag durchgeführt, da sie technisch komplex sind, kommunikativ gut vorbereitet sein müssen und durch das schrittweise Vorgehen zu nicht zu großen Störungen führen sollen. Die Meilensteinplanung, die hier vorgestellt wird, wird nach und nach weiter präzisiert:
Meilenstein 0: Bisher erfolgte Vorarbeiten (Erledigt)
- Für das Login in die BIS Anwendungen für Mitarbeitende (eKVV Eingabe, PEVZ Bearbeitung) ist kein BIS Login mehr notwendig, der Zugriff kann über die UniID und das BITS Passwort erfolgen. Voraussetzung ist weiterhin ein Eintrag im PEVZ
- Das PRISMA-Login wird beim Passwortreset und bei der Passwortänderung immer synchron mit dem Passwort des BITS-Logins (Web-Passwort) gehalten. Die Vorgänge Passwortreset und Passwortänderung sind im Folgenden immer beide gemeint, wenn von einem der Begriffe die Rede ist
Meilenstein 1: Komplette Ablösung des BIS Logins / 2-Faktor-Authentifizierung für Alle (Erledigt)
- Dieser Schritt wurde am 1. August 2024 durchgeführt
- Alle Details finden Sie in dieser Meldung
Meilenstein 2: Verbesserung der Passwortsicherheit (Erledigt)
- Dieser Schritt wurde am 14. August 2024 durchgeführt
- Alle Details finden Sie in dieser Meldung
Meilenstein 3: Umstellung der Adresse der BIS Loginseite (Erledigt)
- Dieser Schritt wurde am 21. August 2024 durchgeführt
- Im Zuge dieser Umstellung wurde auch die Information bei Logins von neuen Geräten eingeführt
- Alle Details findet Sie in dieser Meldung
Meilenstein 4: Zusammenführung der Loginsysteme (Zeitplanung: September)
- In diesem Schritt wird die Web-Authentifizierung mit Shibboleth (shibboleth.uni-bielefeld.de) mit dem bisherigen BIS Loginsystem verknüpft, die Loginvorgänge landen von da an ebenfalls auf der Adresse login.uni-bielefeld.de
- Alle an die Shibboleth Anmeldung angeschlossenen Systeme erben damit die Sicherheitseigenschaften des neuen Loginsystems, darunter die 2-Faktor-Authentifizierung
- Es sind keine doppelten Logins mehr notwendig, zum Beispiel im eKVV und in Moodle
- Zusätzlich werden die Logins generell langlebiger
- Das PRISMA Login wird in diesen Verbund integriert und das separate PRISMA Passwort damit abgelöst
- Die Passwortänderung des Web-Passworts kann nun ausschließlich über die Kontenverwaltung durchgeführt werden
Meilenstein 5: Einführung eines neuen Verfahrens zur Mehr-Faktor-Authentifizierung - FIDO Tokens (Zeitplanung: Ende August / Anfang September)
- Hier wird in der Kontenverwaltung die Option verfügbar gemacht sogn. FIDO Tokens zu registrieren
- Das Loginsystem unterstützt damit das WebAuthn Loginverfahren, welches einen besonders hohen Schutz gegeben Logindiebstähle (Phishing) bietet
- Das BITS stellt für Mitarbeitende die dafür notwendigen Geräte - die Tokens - zur Verfügung. Die Funktion steht aber allen Nutzer*innen zur Verfügung
Meilenstein 6: Verpflichtende Mehr-Faktor-Authentifizierung für Mitarbeitende (Zeitplanung: 2024)
- In diesem Schritt wird die Nutzung einer Mehr-Faktor-Authentifizierung für Mitarbeitende verpflichtend und damit die IT-Sicherheit deutlich verbessert. Auch Nutzer*innen besonders sicherheitskritischer Anwendungen können zur Nutzung einer MFA verpflichtet werden
- Die Universität folgt dabei den Vorgaben, die von der Landesregierung im Rahmen der Verbesserungen der Cyberresilienz gemacht wurden
- Dieser Meilenstein ist noch nicht fest terminiert, die Planung hängt von den Ergebnissen der vorherigen Schritte ab
Folgende Arbeiten
- Mit den genannten Punkten enden die Arbeiten zur Verbesserung der Loginsicherheit nicht, da die IT-Sicherheit ein sich immer weiter entwickelndes Thema ist
- Ziele sind es u. a. weitere IT-Dienste in den Loginverbund zu integrieren, um die besten, verfügbaren Sicherheitseigenschaften in möglichst vielen Bereichen nutzen zu können