RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

AK Meta-Directory TUM

Herr Rygus vertrat das RRZE am 12.07.2007 beim Treffen des AK Meta-Directory bzw. des AK VHB-AAI an der TUM in München.
Zunächst berichtete er über den Fortschritt der Arbeiten an IDMone in Erlangen. Die Resonanz war überdurchschnittlich groß, was sich in einer Reihe von Fragen, die erschöpfend beantwortet werden konnten, wiederspiegelte. Insbesondere erwarten einige Unis die Schnittstelle zu UnivIS mit grossem Interesse.

Im Anschluss daran gab Herr Absmeier von der Uni Passsau Enblick in den aktuellen Stand der Planung. Analog zu IDMone soll die Novell User Application als Service Portal dienen. Im Unterschied zu IDMone werden in Passau auch Raumdaten im IDM-System verarbeitet. Es ist dort auch nicht geplant, Daten in HIS zurück zu schreiben.

Der DIT kennt flache Äste für die Organisationsstruktur, Personenobjekte, Accounts und Gruppen. Die Verknüpfung zwischen Account und Organisationen ist nicht reversibel. Da keine Abrechnung für Dienste geplant ist, bedeutet das aber keinen Nachteil. In Passau wird die Kosten-Leistungs-Rechnung eingeführt. Die Granularität soll aber auf sehr niedrigem Niveau bleiben, so dass pro Organisation nur eine Kostenstelle geplant ist. Deren Nummern richten sich nach einem festen Schema. Beschäftigungsverhältnisse werden durch Aux-Klassen abgebildet. Hier ist eine zweistellige Anzahl möglich. Die Uni Passau plant die Einführung ihres Systems im Frühjahr 2008.

Als nächstes gab Frau Warren von der Uni Würzburg einen Statusbericht. Dort ist das Meta-Directory fertig und in Form eines Telefon- und E-Mail-Verzeichnis seit Juli diesen Jahres im produktiven Einsatz. Hier musste in Abstimmung mit den Datenschützern eine Veto-Möglichkeit für alle Personen via E-Mail propagiert werden. Bisher gab es allerdings keine Rückläufer.

Die Struktur der Organisatorischen Einheiten wird aus SAP exportiert, was aber noch auf recht unbefriedigendem Weg (csv) geschieht. Das LDAP-Schema orientiert sich soweit möglich an Standards (inetOrgPerson, eduPerson) mit lokalen Ergänzungen (wuePerson, wuePersonOEH01, …). Beschäftigungsverhältnisse werden auch hier mit Aux-Klassen abgebildet. Einige Diskussionen gab es um die Verwendung der ‘primaryAffiliation’, die schwierig sinnvoll zu besetzen scheint. Aus diesm Grund wurde ein DFN-weiter Standard gefordert und in Frage gestellt, ob das Attribut für DFN-AAI verwendet werden sollte.

Des weiteren wurde dazu aufgerufen, Frau Prof. Rodriguez aus Brasilien als Diskussionspartner für eine Schemadiskussion im universitären Bereich zur Verfügung zu stehen. Nähere Infos stehen suf den Folien, die ab nächste Woche für Mitglieder des AK Meta-Dir zugänglich sind.

Herr Hübner von der HIS referierte als nächster. Er berichtete über HIS-Möglichkeiten zur hochschulübergreifenden Authentifizierung in Bezug auf Studienortwechsel und Teilstudium an mehreren Universitäten. Auch hier wurde ein Standard für mindestens alle deutschen Hochschulen gefordert.

Die Zugriffmöglichkeiten auf Daten in HIS-Produkten waren das nächste Thema. Hier wurde die Verwendung der Web-Services empfohlen. Leider bieten diese keine Eingriffsmöglichkeiten auf oder in laufende Prozesse.

Das HIS-Portal als zentrale Anlaufstelle für alle wurde als nächstes vorgestellt. HIS bietet ein proprietäres ‘pseudo’- SSO an. Die Anbindung von Shibboleth wurde bisher nicht weiter verfolgt, da HIS darin keinen Vorteil sieht, geschweige denn Anwender, die es brauchen. In diesem Punkt konnte HIS noch vor Ort einen Eindruck gewinnen, dass sich letzteres als Fehleinschätzung erwies. Dennoch bittet HIS darum, dass jeder, der gerne eine Shibboleth-Authentifizierung für HIS-Produkte hätte, eine E-Mail an Herrn Hübner schickt, worin erklärt wird, dass, warum und wofür man Shibboleth einsetzen möchte. Allerdings steht HIS ‘in regem Kontakt mit DFA-AAI’. Es wurde aber gesagt, dass man eigentlich gerne hätte, dass jemand den Shibboleth-Wunsch äussert, es mit HIS realisiert und bezahlt.

Nebenbei wurde erwähnt, dass Moodle (eLearning) angebunden wurde, sodass direkt Daten übernommen werden können. Duisburg-Essen hat’s offenbar gemacht.

Zum Abschluss wurden noch die Möglichkeiten bzgl. Mehrsprachigkeit vorgestellt. Benutzeroberflächen und Dateninhalte sind hier offenbar bereits realisiert. Es fehlt noch die Abstimmung der Begriffswelten, Geschäftsprozesse, Austauschformate, etc.

Herr Hommel (LRZ) berichtete im Anschluss kurz über die Bestrebungen, Shibboleth im Münchner Wissenschaftsnetz in- und extern zu nutzen. So können alle Dienste mit einer Aktion für beide Welten fit gemacht werden. Da es eine entsprechende Beschlussfassung in München gibt, ist die Nachhaltigkeit der Lösung gesichert. Eine Hochverfügbarkeitslösung für Tomcat mit Shibboleth ist in Arbeit. Die Doku darüber und zur allgemeinen Administration von Shibboleth soll anderen Unis zur Verfügung gestellt werden, sobald sie fertig ist.

Der Status des CASUS-Projekts, eine proprietäre eLearning-Plattform, wurde von Herrn Graf (TUM) kurz vorgestellt. Unified Login und Remot Login via DFN-AAI sind realisiert, CLIX soll dem Beispiel folgen. Näheres dazu kann man den Folien entnehmen.

Herr Ebner vom LRZ berichtete danach vom aktuellen Stand der Datenaustauschmöglichkeiten des Integratum- Meta-Directorys mit dem Bibliothekssystem SISIS (alter Name) bzw. OCLC Pica (neuer Name) via von OCLC Pica programmierten Konnektor.

Der Konnektor scheint alles andere als ausgereift und erfordert noch sehr viel Handarbeit via Java. Konfiguriert wird er via XSLT. Den Erstimport hat man in München mit Perl realisiert, da der Konnektor dafür nicht geeignet ist.

Als Codierung wird Base64 verwendet. Die Dokumentation ist unzureichend. Ein Austausch der XSLT-Scripten mit München ist möglich, ohne umfangreiche Anpassung aber nicht einsetzbar.

Es scheint ratsam, den Kontakt mit der Bibliothek frühzeitig vor der Anbindung zu suchen, um bereits im Vorfeld zu klären, was gewünscht ist und das gegen die Möglichkeiten des Treibers zu testen. Nur so kann eine realistische Aufwandsschätzung gelingen.

Die Uni Duisburg-Essen hat den Treiber offenbar bereits im Einsatz. Hier wird aber nur eine Richtung synchronisiert.

Am Ende des Vortrags wurde sehr kurz auf die XML-Schnittstelle von UnivIS eingegangen. Hier hofft aber offenbar jeder, dass die Schnittstelle, die für Erlangen geschaffen wird, bald zur Verfügung steht. Herr Rygus wies darauf hin, dass mit Kosten für diese Schnittstelle zu rechnen ist.

Der folgende Vortrag war ein extremer Kurzvortrag, da alle Teilnehmer sehr stark an einer Pause interessiert waren. Deshalb konnte Herr Pluta vom LRZ nur etwa fünf Minuten über den Unterschied zwischen ACI und ACL reden. Näheres versprechen die Folien.

Nach der Pause lauschten die Teilnehmer den Ausführungen von Herrn Ohlinger (FH Rosenheim). Diese FH ist recht überschaubar mit ca. 3500 Studenten und 400 Mitarbeitern. In Rosenheim ist allerdings einiges bereits realisiert, wovon manche Unis noch träumen. Ein Beispiel ist die flächendeckende Einführung von Kerberos. Allgemein sind die Mechanismen zur Synchronisation und Authentifizierung durchaus vorzeigbar. Auch hier sei auf die Folien verwiesen.

Den Abschluss der Veranstaltung bildete ein Bericht der VHB (Hr. Müller) über die Ergebnisse der Umfrage zu den gewünschten Attributen für Shibboleth. Es zeigte sich, dass die Resonanz eher gering war. Offenbar haben die Anbieter entweder nicht das entsprechende technische Verständnis um die Umfrage zu bewerten, oder sie sind mit den bereits vorgeschlagenen Attributen zufrieden.

Die allgemein etwas zähe Diskussion wurde über den Sinn oder Unsinn von Attributen, wie ‘Sprachkenntnis’, ‘Studiengang-Nummer’ oder ‘primaryAffiliation’ geführt. Nach viel zu langer Zeit hatte Herr Hommel ein Einsehen und erlöste die Menge mit dem Vorschlag, eine Vorlage auszuarbeiten und mit Request of Comment herumzuschicken. Ein gemeinsamer Wunsch für eine Erweiterung des DFN-AAI-Schemas muss noch rechtzeitig vor dem DFN-AAI-Treffen in Berlin eingebracht werden.

SSO via Shibboleth für Anbieter in der VHB wurde noch nicht in Erwägung gezogen, da sie bis dato ein proprietäres Tool mit eigenem Login verwenden müssen, um an die für sie relevanten Daten zu kommen.

Das nächste Treffen wird, sofern Herr Müller geeignete Räumlichkeiten findet, in Bamberg am 20.02.08 statt finden.