RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

IDM-Wochen-E-Mail 029

Die letzte Woche war nur sehr kurz, da fast alle Teammitglieder ab Donnerstag frei hatten.

Entsprechend klein sind auch die zu berichtenden Schritte in Richtung IDM. Das Kernteam besprach die nächsten Schritte, um die Treiberlogik für die Neuanlage einer Person aus einem Quellsystem exemplarisch und rudimentär fertigzustellen. Endgültig kann das erst geschehen, wenn erste Tests mit dem dann bestehenden System erfolgreich durchgeführt wurden.

Dieses Basissystem soll bis 5.8.07 fertig sein und in der Folgewoche den ersten kritischen Tests unterzogen werden.

Herr Eggers und Herr Rygus überarbeiteten den Projektplan mit den aktuellen Gegebenheiten, so dass er wieder aussagekräftig ist.

Herr Singer hat seine Ausbildung erfolgreich beendet. Herzlichen Glückwunsch dafür! Er steht nun dem Team voll zur Verfügung.

Da sich der Projektleiter in den Flitterwochen befindet, gibt es den nächsten Wochenbericht erst wieder in der KW 32.

Die nächsten Wochen werden dafür genutzt, die besprochenen Treiber zu realisieren und akademische Arbeiten (z.B. Tagungsvorbereitungen von Herrn Tröger) voranzutreiben.

Die Top-Punkte im Risiko-Management sind derzeit:

– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

Your submission to LDAPcon 2007

Am Montag dieser Woche erhielt Teammitglied Frank Tröger eine Annahmebestätigung seines eingereichten Abstracts. Herr Tröger wird darüber am 6.September auf der “1st International Conference on LDAP” in Köln einen Vortrag halten.

E-Mail:

Dear Frank Tröger,

thank you very much for your submission

A Reference Schema for LDAP-based Identity Management Systems

to the 1st International Conference on LDAP.

In the name of the program committee I am delighted to notify you that
we have unanimously accepted your talk and scheduled it for

Thursday, September 6, 16:00-16:45.

These are the next steps we kindly ask you to perform as soon as possible:

1. Please confirm (via e-mail to me) that you are willing to present
your talk at the LDAPcon.

2. Please check the abstract of your talk at the yet unlinked page

http://www.guug.de/veranstaltungen/ldapcon2007/abstracts.html#3_5_1

If you want to make any changes to it please send them to Martin
Schulte .

3. If you need sponsoring for your travel, please also contact Martin
Schulte ; otherwise we assume that you
will take care of your travel expenses yourself.

4. Martin will in any case contact you soon to give you further details
especially with regard to the details on the submission of the final
papers and accommodation.

5. Please remember to send in your final papers by August 12.

Looking forward to see you in Cologne,

Peter Gietz, chairman of LDAPcon 2007 program committee

Veranstaltungslink: http://www.guug.de/veranstaltungen/ldapcon2007

IDM-Wochen-E-Mail 028

In der vergangenen Woche konnten wichtige Fortschritte bei der Anbindung der Quellsysteme DIAPERS und HIS SOS erzielt werden.

Die DIAPERS-Datenbank ist inzwischen mit Eventlog-Tabelle angebunden und scheint nach einigen Irritationen jetzt auch zu funktionieren. Es gab Probleme auf Datenbankseite, die leider nicht geklärt werden konnten. Bei den letzten Tests traten die Probleme aber nicht mehr auf, so dass der Client (IBExpert) als Ursache vermutet wird.

Bei der Anbindung von HIS SOS ergaben sich in der vergangenen Woche mehrere Aspekte, die geklärt werden mussten. Zum einen scheint es derzeit keinen Weg zu geben, die Anforderungen von HIS mit einer externen Logik zu befriedigen. Andererseits sollen Altlasten minimiert und nicht ohne Perspektive weiter erzeugt werden. Da die Rückmeldung zum Wintersemester Mitte Juli ’07, die Neueinschreibung Ende Juli ’07 und der Bedarf einer IDM-Lösung für CIT Amfang November ’07 eine schnelle Entscheidung erforderten, wurde eine Übergangslösung gewählt, die kurzfristig keiner Änderung des Leporello bedarf, aber eine Umstellung der Versorgung mit Studentendaten zu gunsten IDMone erlaubt. Diese Lösung wird gerade von den DBAs gebaut.

Mit einer eher langfristigen Perspektive soll HIS davon überzeugt werden, mit einem Release der HIS-Software nächstes Jahr eine elegantere Anbindung zu ermöglichen.

Die Arbeiten an der Treiberlogik für das Meta-Directory gehen voran. Das Ziel, bis Mittwoch Abend alles fertig zu haben ist immer noch möglich, aber sehr sportlich. Näheres hierüber kann man Ende dieser Woche berichten.

Diese Woche wird das Team von IDMone an der Treiberlogik des Meta-Directory weiter arbeiten. Herr Singer wird seine Abschlussprüfung ablegen. Das gesamte Team drückt ihm die Daumen!

Die Top-Punkte im Risiko-Management sind derzeit:

– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

IDM-Wochen-E-Mail 027

Nachdem die meisten Themen der letzten Woche bereits im Lenkungsausschuss am Donnerstag angesprochen wurden, fällt dieser Wochenbericht etwas kürzer aus.

Die letzte Woche war geprägt von der Workflow-Schulung durch Herrn Klasen. Er konnte das Team von IDMone und Frau Warren aus Würzburg trotz des sehr unterschiedlichen Vorkenntnisstandes gut in die Thematik einführen und jedem interessante Informationen vermitteln.

Des weiteren konnte die vorläufige Struktur des hierarchischen DIT für den Admin-Baum aufgebaut werden. Als Quelle dienten die Informationen aus DIAPERS.

Sozusagen ‘just in time’ konnten die Lizenzen für die JDBC-Treiber eingespielt werden. Wir sollten jetzt keine Ausfälle aufgrund von Lizenzproblemen mehr haben.

Diese Woche wird das Team von IDMone weiter an der Umsetzung der Treiberlogik arbeiten.

Die Top-Punkte im Risiko-Management sind derzeit:
– Programmierung der dll zur Anbindung von HIS SOS
– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

Protokoll der Lenkungsausschusssitzung vom 05.07.2007

1.Status Projekt:

Es hat sich gezeigt, dass die Ausgestaltung des Migrationskonzepts erst möglich wird, wenn das IDM-System weitestgehend ausgestaltet, also die Integrationstests für das neue System abgeschlossen sind. Migration bedeutet dabei, nach den Ausführungen von Herrn Dr. Rygus, dass es gilt, die einzelnen Systeme schrittweise aus dem bestehenden Verzeichnisdienst herauszulösen. Dabei gilt es unter Orthogonalisierung der Daten und ständiger Konsistenzprüfung die bestehenden Abhängigkeiten abzuschaffen und die alten Systemverbindungen nach und nach abzuschalten.
Schon jetzt wird aber deutlich, dass folgende Funktionen des bisherigen Verzeichnisdienstes nicht durch das IDM abgedeckt werden können:
– Verwaltung sowie Abrechnung der Druckkonten
– RRZE-Rechungswesen
Gerade beim letzteren Punkt heißt dies, dass geprüft werden muss ob HIS FSV eine gangbare Alternative bietet oder ob die Einführung eines Customer-Relationship-Management-System projektiert werden muss.

Die UserApp-Schulung vom 14. – 16.05. hat drei wesentliche Kritikpunkte an der Novell User Application zu Tage gefördert, die bis zur Sitzung nicht durch Novell geklärt wurde. Deshalb wurde diese nochmals angesprochen:
1. Es gibt für die UserApp keine durch Kunden verwendbaren APIs.
D.h. alle Zugriffe eigener Portlets auf das zugrundeliegende eDirectory erfolgen direkt via LDAP.
Herr Adam sah diese Situation ebenfalls als unvorteilhaft. Allerdings betonte er, dass die UserApp und die zugrunde liegenden Novell Produkte nicht als eigenständiges Portal positioniert seien und daher nicht offiziell dokumentiert wurden.
Eine offizielle Dokumentation wird mit der UserApp 3.5.1 voraussichtlich im Oktober verfügbar sein, was aber für IDMone zu spät wäre, um seine Entwicklungen darauf abzustellen. Daher wird Herr Adam versuchen die Novell-interne Dokumentation zeitnah zur Verfügung zu stellen. Diese wird zwar nicht sehr ausführlich sein, sollte aber unter Einbeziehung des Consultants Wolfgang Schreiber zu wiederverwendbaren Ergebnissen führen.

2. Durch die fehlende APIs haben Kundenportlets kein Zugriff auf das Directory Abstraction Layer (kurz DAL).
Daraus folgen weitreichende Konsequenzen! Alle dort definierten Beziehungen, z.B. Employee-Manager-Beziehung zum Aufbau der Organisationsstruktur, können vom integrierten OrgChart-Modul verwendet werden. Eigene Portlets bleiben außen vor.
Für Herrn Adam stellt dies eine wesentliche Funktion der Portalintegration dar. Novell wird demnächst auch einige kommerzielle Portale unterstützen.
Diesbezüglich wies Herr Eggers darauf hin, dass in Universitäten derzeit Portale unter einer Open Source Lizenz bevorzugt werden. Die allgemeine Diskussion dreht sich um Liferay und uPortal . Um die flexible Integration zu gewährleisten, stehen für Universitäten die Standardkonformität im Fordergrund.
Herr Adam berichtete, dass aus Sicht von Novell der JSR168 sich als Sackgasse erwiesen hat, da er nicht alle benötigten Funktionen unterstützt. Ob der Nachfolge-Standard JSR286 Berücksichtigung findet blieb offen. Auch konnte nicht geklärt werden, welche Single-Sign-On-Lösungen (ausgenommen Novell iChain) kompatibel sein werden. Novell arbeitet derzeit an einer Integration auf AJAX-Basis.
Aus diesen Gründen wird Herr Adam einen Call mit dem IDM Produktmanagement organisieren in dem diese Fragen erörtert werden können.
Aus Sicht des RRZE sollte dieser Call nach dem 20.07.2007 statt finden, da vorher noch interne Klärungen notwendig sind.

3. UC1203 Affiliation auswählen
Herr Schreiber konnte keine Lösung bieten (fehlende Schnittstellen). Damit ist immer noch nicht geklärt, ob Personen zwischen Ihren verschiedenen Affiliations wechseln können.
Herr Dr. Rygus machte deutlich, dass die fehlende Möglichkeit in der laufenden Session zwischen den Affiliations wechseln zu können, einen erheblichen Rückschritt gegenüber der derzeitigen Weboberfläche darstellt.
Herr Adam sieht zwar etwaige Möglichkeiten bei einer Änderung des Datenmodells, aber da die Consultants davon abgeraten haben, wird wohl auch dieser Punkt mit dem IDM-Produkt-Management zu diskutieren sein. Eine Lösung ist kurzfristig nicht in Aussicht

In der Zeit vom 18.05. bis 08.06.2007 ruhte die Arbeit bei IDMone wg. Urlaub.

Einzig das Novell Campus-Treffen in dieser Zeit ist erwähnenswert, da es nicht gelang den Kunden das Umstellungsrisiko bei Novell eDirectory bewusst zu machen. Besonders die Migration der Zenworks-Pakete von Version 3 auf aktuelle Version wird einige überraschen.
Es scheint angeraten zu sein, die Novell Anbindung komplett an Novell Consulting out zu sourcen.
Gegenstand des Auftrags wird der Aufbau einer eDirectory 8.8 Enklave in einer eDirectory 8.7.3 Umgebung mit Provisionierung der Enklave aus dem IDM sowie Dokumentation und Integrationstests sein.
Herr Adam wird Herrn Orscheidt zu einem zeitnahen Angebot veranlassen.

Bezüglich des Consultings sah sich das RRZE zu Kritik an der Dokumentation von Herrn Orschiedt veranlasst.
So steht seit über 10 Wochen ein Protokoll eines Kundengesprächs bezüglich der Novell-Anbindung sowie der darauf basierenden Aufwandsschätzung aus. Auch sind Zwischenberichte wie die von Herrn Klasen nach OnSite-Terminen wünschenswert.
Novell empfiehlt daher nach einiger Beratung bei zukünftigen Terminen Zusatzzeiten für Dokumentation durch Herrn Orschiedt einzuplanen da dieser in diverse Projekte eingebunden ist und somit nicht über die notwendigen Pufferzeiten verfügt.

Desweiteren haben die vergangen Wochen der praktischen Arbeit gezeigt, dass die Programmierung der Treiberlogik deutlich aufwendiger ist als geplant.
Die Umsetzung der theoretischen Konzepte stellt sich als sehr arbeits- und abstimmungsintensiv dar.
Auch haben Urlaubszeit und Schulungen als Unterbrechung negative Auswirkungen auf den Projektfortschritt gehabt und auch technische Kleinprobleme trugen messbar zur Verzögerung bei.

Als Beispiele wurden zwei Systemanbindungen eingehend diskutiert.

Zum einen war dies die Anbindung des Quellsystems HIS.
Hier hat das Kundengespräch eine Anbindung durch den Austausch einer zentralen dll als gewünschte Alternative ergeben.
Allerdings verfügt das RRZE nicht über einen dll-Programmierer. Ein Outsourcing kommt wegen fehlender Mittel nicht in Frage. Und die HIS hat starke Bedenken gegen die Lösung bezüglich Antwortverhalten und Systemstabilität vorgebracht. Allerdings verfügt die HIS derzeit auch nicht über die Ressourcen die dll nach den Vorstellungen von IDMone neu zu gestalten.

Es wurden diverse Alternativen ausführlich diskutiert, was in folgendem Ergebnis mündete:
1. Novell Consulting wird um eine schriftliche Stellungnahme per E-Mail gebeten, dass die angestrebte Lösung von Seiten des IDM die Anforderungen an Reaktionszeit und Stabilität erfüllen kann.
2. Liegt diese Stellungnahme in positiver Form vor, wird Krasimir Zhelev eine Aufwandschätzung für die dll-Programmierung anfertigen.
3. Parallel zu dieser Analyse wird nochmal Kontakt mit der HIS gesucht um eine Lösung zu finden, die die Projekt-Ressourcen möglichst wenig belastet.
4. Schlagen alle Versuche fehl die geplante Lösung umzusetzen, wird folgender Alternativplan erzeugt.
4.1. Die bestehende dll findet weiter Verwendung. Die generierte Kennung dient nur noch der Aktivierung.
4.2. Der Ausdruck der E-Mail-Adresse auf dem Leporello wird unterbunden. Die von HIS SOS genereierte Kennung wird mit dem Hinweis “Aktivierungskennung” auf das Leporello gedruckt. Außerdem bekommen die Studierenden ein Hinweisblatt zur Aktivierung mit den damit potentiell verfügbaren Dienstleistungen sowie der RRZE-Nutzungsordnung.
Es wird notwendig sein, Anreize für die Kennungsaktivierung zu schaffen. Hierzu ist die RRZE-Redaktion sowie die Marketing-AG der FAU einzubeziehen.
4.3. Die temporäre Kennung wird bei der Anmeldung durch eine semantik-frei (IDM-konforme) Kennung ersetzt und die Studierenden erhalten die Möglichkeit sich einen Loginbrief mit allen wesentlichen Daten auszudrucken bzw. als pdf abzuspeichern.
4.4. Eine Rücklieferung der aktivierten Kennung an den Datensatz in HIS SOS bleibt zu prüfen.

Die zweite Systemanbindung mit erheblichen Veränderungen betrifft das E-Mail-System.
Hier ist entgegen der Projektannahme ein Wechsel der E-Mail-Software abzusehen, da der Hersteller des bestehenden Systems das Produkt abgekündigt hat. Aus diesem Grund wurde nochmals das Gespräch mit der E-Mail-Gruppe gesucht, die davon überzeugt werden konnte, dass eine vollständige Provisionierung aus dem IDM eine Entlastung von Aufgaben der Benutzerverwaltung und somit erhebliche Arbeitsersparnis mit sich bringt. Allerdings muss nun die Schnittstelle zwischen IDMone und dem E-Mail-System sehr exakt definiert werden. Dies bedeutet einen erheblichen Mehraufwand gegenüber der bisher geplanten Anbindung. Genau läßt sich dieser aber erst im Laufe des Prozesses quantifizieren.
Herr Lippert stellt die aufwändigere Anbindung zu Diskussion, da diese nicht mit einer Ressourcenverstärkung einher geht und somit mit einer Verzögerung des Projekts zu rechnen ist. Herr Eggers machte an dieser Stelle deutlich, dass das IDM mit der Anbindung des E-Mail-Systems steht und fällt und dass diese Anbindung zum Projektstart als essentieller Bestandteil des Release 1 definiert worden war. Er bat darum politische Termine gegen den milden Leidendruck eines mehrheitlich funktionierenden Verzeichnisdienstes gegenüber zu stellen, was durchaus die Möglichkeit zur umfassenden Umsetzung bietet.
Der Lenkungsausschuss folgte zwar mit erheblichen Bedenken dieser Position.

Herr Dr. Rygus wies außerdem daraufhin, dass die anstehende Organisationsstrukturänderung fundamentale Änderungen am IDM mit sich bringen wird, da entgegen ursprünglicher Konzepte der Administrationsbaum doch in einer hierarchischen Struktur aufgebaut werden muss. Veränderungen in der Struktur bringen somit einen erheblichen manuellen Aufwand mit sich, zumal Novell Consulting von einem Programm zur Automatisierung von Organisationsstrukturveränderungen – dem sogenannten Move-Proxy – abgeraten hat. Der Neuordnungsprozess nach der Strukturreform gestaltet sich allerdings auch derzeit so langsam, dass mit verwendbaren Ergebnissen nicht vor dem Release 1 gerechnet werden kann. Gespräche mit Herrn Dr. Steinhäußer bzgl. einer frühzeitigen Informationsbereitstellung laufen jedoch.
Herr Orschiedt wird um eine nochmalige Aufwandsschätzung und Diskussion des pro-und-contra bzgl. des Move-Proxy gebeten.

Insgesamt lässt sich festhalten, dass der Termin 16.07.2007 für ein komplettes Integrationssystem NICHT ZU HALTEN sein wird.

Stattdessen strebt das Team nun an zum 18.07.2007 ein Integrationssystem mit HIS, DIAPERS sowie LDAP fertig zu stellen.
Hierfür wäre es förderlich, wenn ein DBA einen halben Tag pro Woche zur Verfügung stünde. Herr de West wird um eine Lösung gebeten.
Bis zu diesem Zeitpunkt wird auch ein aktualisierter Projektplan vorgelegt.

Herr Lippert berichtet, über den Status der Herstellung der Barrierefreiheit bei der UserApp, dass Novell das Unternehmen DIAS mit einer BITV-Zertifizierung beauftragen werde. Hierbei sei allerdings zu berücksichtigen, dass die BITV sich auf statische Inhalte beziehe und die UserApp erhebliche dynamische Teile beinhalte. Dennoch sei man positiver Stimmung, eine ausreichende Punktzahl zu erreichen.

Herr Eggers beschrieb die Planung der Lasttests mit den Unis Passau und Würzburg als derzeit eingeschlafen, weil alle mit ihren eigenen Projekten beschäftigt seien. Nach der Verfügbarkeit des ersten Integrationssystems will er wieder den Kontakt suchen und einen neuen Anlauf für Novell.IDM@Bayern starten.

Desweiteren wurde der Kostenbericht #8 von Novell kurz erläutert.

2. Risiko Management – Review der Top Risiken / offene Punkte
Da alle Punkte bereits unter TOP 1 angesprochen wurden, sei dieser Ausschnitt aus dem Risiko-Management nur der Vollständigkeit halber erwähnt.
a) Kategorie Blocker:
Konsensverfahren
Novell Lizenzen (JDBC) wurde am 06.07.2007 durch Novell (Volkmar Reiss) gelöst
b) Kategorie Critical:
Ablösung der bisherigen Benutzerverwaltung bis 2007
Barriefreie Weboberfläche Novell Front-End
Abbildung der Organisationsstruktur
DIT-Struktur
Anbindung RRZE-Abrechnung

3. Ausblick bis nächster Termin / Nächster Termin
Bis zum 18.07.2007 wird ein aktualisierter Projektplan vorgestellt.

Die nächste Sitzung des Lenkungsausschusses findet am 19.09.2007 statt und hat vor allem den Bericht an das StMWFK zum Gegenstand.
Die genaue Uhrzeit bestimmt sich nach dem Flug von Herrn Adam

4. Review Projektorganisation / Rollen und Verantwortlichkeiten
Aus Sicht von Novell hat sich die Rolle des Projektcoach erübrigt. Nach einer intensiven Einbindung zu Beginn des Projekts war die Beteiligung und der Beratungsbedarf immer weiter zurück gegangen. Herr Lippert scheidet daher aus dem Projekt aus.
Überraschend teilte Herr Lippert mit, dass er auch Novell verlassen werde um sich neuen Herausforderungen zu stellen.
Das RRZE und IDMone bedankt sich recht herzlich bei Herrn Lippert für die geleistete Arbeit. Er war eine echte Stütze und hat den guten und flotten Projektstart erst möglich gemacht! THX!

Herr Dr. Rygus und Herr Eggers haben ihre Rollen und den Verantwortungsbereich differenziert.
Herr Dr. Rygus ist damit Projektleiter von IDMone.
Herr Eggers wird sich auf seine Arbeit in der Stabsstelle Projekte & Prozesse konzentrieren, aber in Querschnittsaufgaben immer noch aktiv an IDMone mitwirken.