RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Web-Single-Sign-On mit Hürden

Das Thema Web-Single-Sign-On (Web-SSO) entwickelt sich zu einer endlosen Geschichte. Nach Warten auf die Version 2.0, eine deutschlandweite Definition vor allem für E-Learning und technische Probleme bei der Integration in das IdM-System, kommt nun [Shibboleth-Announce] SECURITY ADVISORY: Shibboleth IdP 2.0 UsernamePasswordLogin Handler Vulnerable to Cross-site Request Attack.

Auf der Suche nach Alternativen haben uns die Kollegen von der Universität Malaga, Spanien auf simpleSAMLphp verwiesen. Wir werden prüfen, ob dies eine Alternative für Shibboleth darstellen kann.

Wir treten also wieder in eine erneute Evaluationsphase ein. Mit einem produktiven Einsatz des Web-SSO ist erst zu Beginn 2009 zu rechnen.

RISIKO: Der IDM-Bewerber hat abgesagt

Leider ist es wieder mal Zeit für eine Risikowarnung bei IDMone.
Der einzige Bewerber, der für die Realisierung der Weboberfläche in Frage gekommen wäre, hat heute um 14:47 Uhr abgesagt!

Damit ist ein wesentlicher Teil der Arbeitspakete für das Release 1 ohne Bearbeiter.
Daraus folgt, dass das Release 1 in seinem geplanten Umfang gefährdet ist.

offener Punkt: Projektname

Sie werden sich sicherlich wundern, dass es noch keine Pressemittleilung zum IDM-Projekt gegeben hat. Dies scheiterte bislang an dem Projektnamen.

Leider hat die Entscheidung vom 17.11.2006 von Herrn Schöck dies Risiko mitnichten aus der Welt geschafft. Da der Projektname laut Frau Missel nicht dem Konzept einer abkürzungsfreien Außenkommunikation entspricht. Dieses Konzept wurde laut Frau Dr.
Schenk im Juni von der Hochschulleitung beschlossen.

Ich habe heute in einem Gespräch mit Frau Missel und Frau Dr. Schenk nochmals auf die Bedeutung eines durchgängigen Namensschemas für die laufenden bzw. anstehenden Innovationsprojekte hingewiesen. Außerdem habe ich den sehr knappen Zeitplan
erläutert.
Es ist meiner Meinung nach wenig sinnvoll über einen Monat nach dem Kickoff in einer Pressemitteilung den Projektstart zu verkünden.
Auch hatte ich eigentlich vor morgen als Seiteneffekt auf einer nationalen Veranstaltung das Projekt wenigstens zu erwähnen.
http://www.mmkh.de/index.php?client=1&lang=1&idcat=51&idart=274
Dies werde ich nun tunlichst unterlassen.

Frau Missel und Frau Dr. Schenk sehen Klärungsbedarf auf höchster Ebene. Außerdem hat mich Frau Missel darauf hingewiesen, dass meine RRZE-Visitenkarten nicht dem Corporate Design der Friedrich-Alexander Universität Erlangen-Nürnberg entsprechen und
ich daher davon absehen sollte, diese zu verwenden.

Es wurde ein Projektnamen wie “UNI ID” vorgeschlagen, der aus meiner Sicht keinerlei Bezug zur Friedrich-Alexander Universität Erlangen-Nürnberg herstellen läßt und damit den Kommunikationsaufwand eher noch erhöht.
Dabei ist außerdem zu berücksichtigen, dass ich auch im (englischsprachigen) internationalen Rahmen tätig bin.

Unter diesen Bedingungen sehe ich mich außerstande dem Ziel einer aktiven Außenkommunikation nachzukommen. So ist die Deadline des DINI am 10.12.
http://www.integriertes-informationsmanagement.de/workshop/2007/ ohne Projektnamen NICHT zu halten.

Auch ist mir im Moment schleierhaft, wie ich aktive Netzwerkarbeit leisten soll, wenn ich meine Visitenkarten nicht brauchbar sind.

Ich habe daher Herrn Schöck und Herrn Dr. Hergenröder um eine Lösung des Problems und klare Anweisungen per E-Mail, wie ich verfahren soll, gebeten.

RISIKO: Abbildung Organisationsstruktur

Bei einem gestrigen Detaillierungstermin hat sich das Problem der Abbildung der Organisationsstruktur zum Risiko wenn nicht zur Gefahr entwickelt.

Die Organisationsstruktur der Universität zerfällt in zwei Teile:
1. den offiziellen, formaljuristischen Teil repräsentiert durch den Organisationsbescheid
2. die realexistierende Organisationsstruktur wie sie tagtäglich gelebt wird.

Leider ist Nr. 2 keine Obermenge zu Nr. 1. Vielmehr wurde die formale Struktur vor allem auf der untersten Ebene nicht nur um Unterebenen ergänzt.
Die ZUV sowie Zentrale Einrichtungen werden ausschließlich erwähnt eine genaue Strukturierung wird nicht dargestellt.
Fächerrepräsentierende Professuren, Interdisziplinäre Zentren, das Studentenwerk, Trägervereine und Stiftungen sowie An-Institute werden gar nicht erwähnt.

Die Letztgenannten existieren und erhalten ihre Struktur auf vielfältige Weise. Basis kann u.a. ein Genehmigungsverfahren bei der Hochschulleitung, ein Bescheid der Hochschulleitung, eine Satzung, ein Brief des Rektors oder ein Geschäftsverteilungsplan sein. Allerdings ist diese Aufzählung nicht abschließend.

Leider fehlt es an integrierten Prozessen, wie eine Gesamtabbildung der gelebten Struktur zusammen gestellt und kommuniziert wird. Zusätzlich gibt es auch keine verantwortliche Stelle, die eine Koordinierungsrolle übernehmen könnte.

Leider sind die Daten in UnivIS zwar die umfassendsten, die zur Organisationsstruktur vorliegen. Allerdings sind diese auf Grund der fehlenden information quality policy für UnivIS bezogen auf den Organisationsbescheid nicht valide. Es kommt durchaus vor, dass einem Lehrstuhlinhaber das Genehmigungsverfahren für die Lehrstuhlumbennung zu lange dauert und der Lehrstuhl vorzeitig oder vom Beschluss abweichend benannt wird. Auch werden Umordnungen vorgenommen, bevor sie durch den Organisationsbescheid abgebildet werden können.

Allerdings wären funktionierende Prozesse, klare und koordinierte Zuständigkeiten sowie valide Daten die Grundlage für eine Abbildung im Identity Management.

Für das Identity Management benötigen wir die möglichst genaue Zuordnung der Personen zu Organisationseinheiten, um die benötigten Informationen für den Ressourcen-Zugriff exakt bereitstellen zu können.

Ich habe versucht von Herrn Merker, als Verantwortlichen für den Organisationsbescheid, nähere Informationen zu der Abbildungsproblematik erhalten. Leider war Herr Merker NICHT von Herrn Schöck über das Projekt Identity Management und meine Rolle informiert.
Für ihn steht die formaljuristische Sicht auf die Universität im Vordergrund. Alle assoziierten Organisationseinheiten sollten seiner Ansicht nach vorerst nicht berücksichtigt werden und er verstand im ersten Anlauf nicht warum eine Orientierung an der täglichen Realität für Identity Management von Relevanz ist.
Er zeigte sich jedoch bereit an einem Lösungsgespräch mitzuwirken.

Es wird daher notwendig sein einen Workshop zu dieser Thematik zu organisieren.
Mit den Teilnehmenden:
– Herr Steinhäuser, CO
– Herr Merker, Referat I
– Frau Schuler-Schweiger, Hochschulplanung
– Herr Micheler, Referat III
– Herr Deinzer, DIAPERS
– Frau Tormann, UnivIS
– Herr Gebhard, Universitätsklinikum

sollen die Fragen:
– Wie entstehen verbindliche Informationen?
– Wie / Welches sind die Entscheidungsprozesse?
– Wie erfolgt die Legitimation der Organisationeinheiten? bzs. Welches sind gültige Legitimationsformen?
– Wie können Entscheidungen durchgehalten / durchgesetzt werden?
– Wie erfolgt die Festlegung der Postanschrift einer Organisationeinheit?
– Wer ist die verantwortliche / koordinierende Stelle für die Informationen der Organisationsstruktur?
diskutiert und möglichst gelöst werden.

Es müssen entsprechende Prozesse entwickelt werden. Darüber hinaus müssen nicht nur die oben genannten Fragen beantworten, sondern auch Prozesse für:
– EINE verbindliche Bezeichnung pro Organisationseinheit sowie
– verbindliche englische Übersetzungen dieser Bezeichnungen
definiert werden.

Erst auf der Basis dieser zu etablierenden Prozesse kann eine Abbildung der Organisationsstruktur im IDM erfolgen.

Darüber hinaus wird das Problem entstehen, dass die Koordination der Organisationsabbildung sowie die Organisationsabbildung selbst der Unterstützung durch ein IT-System bedürfen.
Fraglich ist, welches System diese Aufgabe leisten kann. Von Vorteil wäre es die Pflege mittels SAP zu realisieren. Allerdings ist eine kurzfristige Realisierung mehr als fraglich bis unwahrscheinlich.

Die andere Alternative wird eine Realisierung im Identity Management sein. Hier ist abzuwägen, wie langfristige eine solche Lösung angesichts eines nahenden SAP-Einsatzes ist und wieviel Ressourcen hierfür aufzuwenden sind.

Insgesamt erfordert die Thematik aber eine wesentlich intensivere Auseinandersetzung. Es bleibt abzuschätzen inwieweit dies die Analyse ausdehnen und damit die Erstellung des Fachkonzepts verzögern wird.
Das eine Verzögerung eintreten wird ist jedoch sicher!

Das Thema wird aber sofort angegangen.

Aussagen zur Realisierbarkeit lassen sich erst nach der Teststellung und der intensiveren Auseinandersetzung mit den Novell Produkten treffen. Insofern wird eine abschließende Einschätzung erst Ende Januar möglich sein.