RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Identity Management (IdM) Self Service löst Benutzerverwaltung ab

Identity Management (IdM) Self Service löst Benutzerverwaltung ab

Studierende und Beschäftigte der Friedrich-Alexander-Universität können ab 11.11.08 das neue Identity Management (IdM) Self Service des Regionalen RechenZentrum Erlangen (RRZE) nutzen.

Die Funktionen des Identity Management (IdM) Self Service im Überblick

Ab 11.11.2008 12.00 Uhr erhalten Beschäftigte und Studierende der Universität unter www.selfservice.rrze.uni-erlangen.de den zentralen Zugang zu ihrem Benutzerkonto und können damit die erweiterten Funktionen des Identity Management (IdM) Self Service nutzen. Folgende Funktionen stehen zur Verfügung:

  • Aktivierung der Benutzerkennung,
  • Neusetzen des Passwortes,
  • Setzen von mindestens zwei Sicherheitsfragen für das Passwort,
  • Anzeige der nutzbaren Dienstleistungen,
  • Einsicht in die gespeicherten Daten sowie
  • Ausdruck des Benutzer-Info-Briefs und anderer Dokumente via pdf-Datei.

Darüber hinaus bietet die Oberfläche Komfortfunktionen wie einen Passwort-Generator, der bei der Passwortvergabe Vorschläge erzeugt, die übernommen werden können. Die Oberfläche ist barrierearm nach den Vorgaben des Web-Baukastens des Regionalen RechenZentrums Erlangen (RRZE) gestaltet.

Vorgehen

Um das Identity Management (IdM) Self Service nutzen zu können, muss dort zu Beginn die persönliche Benutzerkennung einmalig aktiviert werden. Studierende finden Aktivierungskennung und -passwort auf ihrer Immatrikulationsbescheinigung. Beschäftigte erhalten die zur Aktivierung notwendigen Informationen bei den Service-Einrichtungen des RRZE gegen Vorlage eines gültigen Ausweises. Nach der Aktivierung muss der Benutzer das Passwort für alle Konten setzen sowie zwei Sicherheitsfragen für das Passwort definieren. Ist dies getan, kann das persönliche Benutzerkonto in vollem Umfang eingesehen und bearbeitet werden. Universitätsangehörige, die bereits ein Benutzerkonto am RRZE besitzen, können die neue Weboberfläche ohne erneute Aktivierung nutzen.

Bild: Screenshot von der Weboberfläche des Identity Management(IdM) Self Service
Bild in der Orginalgröße (Bei eingeschalteten JavaScript als Popup).

Abbildung 1: Screenshot von der Weboberfläche des Identity Management(IdM) Self Service

IdM: Begleitung durch das gesamte “Universitätsleben”

Die neue Benutzerverwaltung speichert und verwaltet ab sofort die wichtigsten Daten aller Universitätsangehörigen, seien es Studierende oder Beschäftigte. Mit diesen Daten wird jede Person in einer digitalen Identität abgebildet – daher der Name Identity Management, kurz IdM. Das neue Identity Management wird die Angehörigen der Universität künftig in allen Phasen begleiten und sämtliche Veränderungen dokumentieren: Vom Eintritt in die Hochschule über Umzüge, Statusveränderungen oder ähnliches bis zum Austritt aus der Universität. Natürlich kann jeder die über sich im Identity Management gespeicherten Daten in seinem persönlichen Konto einsehen.

Grafik: Das Identity Management (IdM) speichert die Daten aller Universitätsangehörigen und dokumentiert sämtliche Veränderungen

Bild in der Orginalgröße(Bei eingeschalteten JavaScript als Popup).

Abbildung 2: Das Identity Management (IdM) speichert die Daten aller Universitätsangehörigen und dokumentiert sämtliche Veränderungen

Über das Projekt IDMone

Vier Mitarbeiter am RRZE arbeiten seit November 2006 im Rahmen des Projekts “IDMone” am Aufbau einer zentralen Identity Management Infrastruktur, die als Grundlage für eine effiziente Nutzung der universitären IT-Dienste dienen soll. Das Projekt, das Teil der Zielvereinbarung mit dem Bayerischen Staatsministerium für Wissenschaft, Forschung und Kunst ist, hat die automatisierte Verarbeitung von Benutzerkonten zum Ziel. Hierfür werden die Daten aller aktivierten Benutzer automatisch an die angeschlossenen Zielsysteme – u.a. in das Webportal für Studierende und Prüfer “mein campus” – weitergeleitet. Benutzer müssen nicht wie bisher vergessene Passworte neu beantragen, sondern können diese selbst zurücksetzen. Dies trägt zur Service-Verbesserung sowie einer wesentlichen Entlastung der Hotline und der RRZE Service-Einrichtungen bei.

Stand der technischen Realisierung

Die folgende Abbildung gibt Auskunft über den Stand der anzubindenden Systeme im Projekt IDMone. Im Zentrum steht die IdM-Engine mit dem Meta Directory (MD) als zentraler Datendrehscheibe. Dort werden nicht nur die benötigten Daten gespeichert, sondern hier laufen auch die Prozesse zur Verarbeitung. Grün gekennzeichnete Systeme, wie die Personalverwaltung, die Studierendenverwaltung und das Identity Management (IdM) Self Service, wurden bereits angebunden.

Grafik: Überblick über die anzubindenden Systeme. Die grün gekennzeichneten Anwendungen sind bereits angebunden
Bild in der Orginalgröße(Bei eingeschalteten JavaScript als Popup).

Abbildung 3: Überblick über die anzubindenden Systeme. Die grün gekennzeichneten Anwendungen sind bereits angebunden.

Weitere Informationen zum Projekt finden Sie unter:
www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm.shtml.

Kontakt:
Dr. Peter Rygus
Regionales RechenZentrum Erlangen (RRZE)
Projekt IDMone
Martensstraße 1, 91058 Erlangen
Telefon: 09131 / 85-28899
Fax: 09131 / 302941
E-Mail: idm@rrze.uni-erlangen.de

Vielen Dank an Martina Schradi für die Unterstützung bei dieser Pressemitteilung.

FAU.ORG sucht Verstärkung

Das Projekt FAU.ORG sucht noch immer personelle Verstärkung.
Nachdem Krasimir Zhelev wieder komplett bei IDMone gebraucht wird, ruht die Arbeit an FAU.ORG mehr oder minder komplett auf den Schultern von Aneliya Todorova. Als studentische Hilfskraft ist Ihre Arbeitszeit jedoch sehr stark begrenzt, so dass es derzeit nur sehr sehr langsam voran geht.

Nachdem die letzte Ausschreibung keine ausreichende Anzahl qualifizierte Bewerber erbrachte und nicht alle ausgeschriebenen Stellen besetzt werden konnten, hat das RRZE die Personalsuche wieder aktiv aufgenommen.

Gesucht wird ein engagierter Java-Web-Entwickler mit Affinität für Tapestry, JBoss AS, JackRabbit (JSR170), uvm., die oder der Lust hat in einem jungen, kreativen Team aktiv mitzuarbeiten und die Zukunft einer Universität zu gestalten.

Motto: Wissen muss man nicht alles – nur bereit sein das notwendige schnell zu lernen!

Details finden Sie in der offiziellen Stellenausschreibung.

FAU.ORG Recruitment

Project FAU.ORG is still searching for a qualified developer.
Since Krasimir Zhelev is needed full time at the IDMone project again, the whole workload is up to Aneliya Todorova at the moment. SInce she is a student programmer, her ressources are limted and so progress is very slow.

As the last recruitment did not bring in enough skilled devolopers to staff all vacant developer positions at RRZE, we are now starting to search again.

We are looking for a passionate Java web developer with knowledge and interest in Tapestry, JBoss AS, JackRabbit (JSR170), etc., who is also interested in working with a young, creative Team and helping to redesign a German university.
Motto: You don’t have to know everything – but you have the ability to learn the necessary things fast!

Detailed Advertisement can be found here (Sorry, German only). If you need a translation, please do not hesitate to contact me.
Foreign developers with very good English skills are also welcome to apply! We are already bi-lingual as you can see. 😉

Wochenbericht KW 43 – 44

Das Release musste verschoben werden. Der neue Release-Termin ist der 11.11.2008 12 Uhr. – So lautet die wohl wichtigste Nachricht der vergangenen Woche bei IDMone.

Mit Hochdruck arbeitete das Team an der Fertigstellung der Version 2 mit der die öffentliche Weboberfläche – dem IDM-Self-Service – zum Einsatz kommen kann. Dem viel sogar der Wochenbericht 43 zum Opfer. Allerdings traten im letzten Moment technische Probleme aus, die auch der Projektpartner mit “das haben wir noch nie gehabt” kommentierte. Und wie so oft in diesem Projekt war “auf Naht” also ohne Pufferzeiten geplant worden. Also hieß es Release vertagen und sich auf die Suche nach einer Lösung machen. Diese scheint nun in erreichbarer Nähe, so dass von einem Release am 11.11.08 ausgegangen werden kann.

Nichtsdestotrotz wurden diverse Termine zur Release Vorbereitung wahrgenommen.
So stellten Herr Zhelev und Herr Eggers die neue Weboberfläche den Mitarbeitern der RRZE Service-Theke und des IT-Betreuungszentrums Innenstadt (IZI) vor.
In einem zweiten Termin wurde die neue Webanwendung von Herrn Tröger und Herrn Eggers den Mitarbeitern des IT-Betreuungszentrums Nürnberg (IZN) vorgestellt.
Und last bur not least hat auch die Redaktion des RRZE einen kritischen Blick auf die Gestaltung und Textformulierung in der Weboberfläche geworfen.
Aus diesen Termine wurden jede Menge kleine Änderungen mit genommen, die schnell umgesetzt werden konnten, aber den Service-Kräften hoffentlich die Arbeit dadurch erleichtern, dass die Webanwendung nun für die Benutzer intuitiv zu bedienen ist.

Dank dem Teamassistenten Bastian Melsheimer gibt es nun auch eine Video-Hilfe für den IDM-Self-Service. Diese hat er unter Anleitung des Bildschirm-Video-Experten Dietmar Lanz von CIT nach einem Storyboard von Herrn Tröger erstellt. Vielen Dank den beiden für Ihre tatkräftige Unterstützung!

Die Bugs und Features im Details zu beschreiben, würde zwar Berichtslänge bringen, aber wenig informativ sein. Wen es interessiert, der möge sich nach dem Release beim IDMone-Team um Einblick in den bugzilla bemühen.
Nur soviel sei gesagt: Die Info-Briefe die zukünftig im IDM-Self-Service generiert werden, erweisen sich als intensiv diskutierte neue Funktion. Die vielen Änderungswünschen unterliegt.

Am 28.11.2008 fand vormittags eine AG IDMone und Nachmittags eine Sitzung des internen Lenkungsauschusses statt. Eigentlich für die direkte Vorbereitung des Release 2 gedacht, dienten Sie nun dazu nicht nur das Release 2 vorzustellen, sondern auch etwaige Auswirkungen zu eruieren.
Der Lenkungsauschuss thematisierte daneben, die langfristigen Perspektiven für IDMone. Es gibt noch viel zu tun – und so wurde das langfristige Vorgehen abgestimmt. Eine Übersicht über diese Planung folgt spätestens in der nächsten Woche.

Und sehr langfrisitge musste auch mal wieder gedacht werden. Das neue bayerische Personalverwaltungsverfahren VIVA betrachtet wird aus IDM-Sicht des längeren mit Sorgen betrachtet. Es handelt sich um ein zentralisiertes Verfahren, das bisher kaum Schnittstellen bietet und schon garnicht mit den geringen Latenzen, wie sie für ein zeitgemäßes IDM von Nöten sind. Insofern wird die FAU nun die Initiative übernehmen und einen erneuten Versuch des koordinierten Antrag einer Schnittstelle für IDM übernehmen. Dies erfolgt in enger Zusammenarbeit mit Herrn Deinzer, der das Personalverfahren technisch betreut und Mitglied der Projektgruppe VIVA Pro ist.

Und am Ende der Schilderung der Ereignisse noch eine freudige Nachricht: Herr Tröger ist Vater 2.0! Wir gratulieren!

Die Top-Punkte im Risiko-Management sind diese Woche:

  • manuelle Umschlüsselung wg. nix FAU.ORG
  • Überlastung einzelner Mitarbeiter vermeiden
  • Dokumentation
  • Druckabrechnung als Showstopper für NDS-Anbindung
  • Dienstleistungsportfolio

Diese Woche gilt es die letzten Arbeiten abzuschließen und unter Einbeziehung der Kollegen aus dem gesamten RRZE einen Lasttest zu fahren. Danach wird sicherlich der eine oder andere Fehler zu beheben sein.
Dennoch gilt weiterhin: Volle Kraft voraus Richtung Release 2!

Wochenbericht KW 39 – 42

Wie Sie sich denken können, war der Berichtsdroide im Urlaub. Durch den dadurch entstandenen backlog mussten die IDMone Wochenberichte ins Hintertreffen, aber deshalb die gesammelten Werke.

Die wichtigste Nachricht vorab: Das IDM-Kern-System – zu gut neudeutsch Backend – ist mit der lesenden und schreibenden Anbindung der Studierendenverwaltung sowie der lesenden Anbindung der Personalverwaltung sei 08.10.2008 online! Damit ist ein wesentlicher Meilenstein genommen. Derzeit generiert es zwar mehrheitlich Refenzdaten, die dazu dienen einzuschätzen, ob es mit den anderen Systemen Interferenzen geben wird, aber ohne diese Phase des Parallelbetriebs wäre ein Release 2 am 31.10.2008 zum Scheitern verurteilt.

Was sonst noch geschah:

Hat Herr Tröger sich zum Beginn der Berichtszeit noch intensiv um WAID also den IDM-Self-Service gekümmert, so unterstützt er nun intensiv Herr Dr. Rygus bei der Treiberentwickler und optimiert diverse Treiber durch Refactoring.
So basiert WAID – wie alle PPSA-Komponenten – auf auf Tapestry 5.0.15 und beinhaltet auch erste rudimentäre Administrationsfunktionen für die Mitarbeiter der Service-Theken des RRZE.
Daneben obliegt Herrn Tröger die Durchführung der Abnahmen der einzelnen Komponenten für das Produktivsystem.

Außerdem widmet sich Herr Tröger der Nachwuchsförderung in dem er den Auszubildenen des zweiten Lehrjahrs des RRZE seit der KW 40 die Programmierung am Beispiel der Sprache Groovy nahe bringt.

U.a. durch die immer dringlicher gewordene Anbindung von “mein campus” musste Herr Dr. Rygus nochmal konzeptionell tätig werden. In Zusammenarbeit mit dem Team von Campus IT (CIT)
und mit Unterstützung von Herrn Tröger läuft diese nun sowohl gegen die Benutzerverwaltung sowie das Identity Management.

Außerdem hat er mit Herrn Büttner viel Zeit in die lesende und schreibende Anbindung des Altsystems investiert. Diese ist für den Termin am 30.10.08 essentiell.

Währenddessen kämpft Herr Singer den fortwährenden Kampf mit den Systemen.
Es kam zu einigen Performance-Engpässen und unvorhergesehenen Teilausfällen, denen er intensiv auf den Grund gehen musste. Zu diesem Zweck hat er das Monitoring erweitert und einen Weg gefunden wie er das Novell eDirectory mittels Nagios genauer als bisher im Blick halten kann.
Außerdem hat er ein Start-Stop-Skript programmiert, mit dem einzelne Treiber gesteuert werden können. Diese Funktion wird von manchen angeschlossenen Systemen wg. Backups benötigt.

Die Verwendung von Herrn Zhelev mit Einsatzwechseltätigkeit zu bezeichnen, ist blanker Euphemismus! FAU.ORGmein campusPPSAWAID statt Pattensen – Peine – Paris waren seine Stationen.
Im Rahmen der Arbeitnehmerentleihung hat er die Programmierung bei CIT für “mein campus” übernommen.
Außerdem hat er die abschließende Entwicklung von WAID für das Release 2 von Frank Tröger übernommen, damit der sich ganz den Treibern und der Unterstützung von Dr. Rygus kümmern kann.
Ebenfalls im Rahmen der Arbeitnehmerentleihung wurde Herr Zhelev von Frau Pavlova – studentische Hilfskraft der RRZE webmaster – beim Design-Feinschliff unterstützt.
Die Liste der von Herrn Zhelev im bugzilla geschlossenen bugs füllt Seiten. Deshalb erspare ich es der Leserschaft hier anzulisten.
Interessierten sei nur gesagt, dass das was läuft unter https://www.test.selfservice.rrze.uni-erlangen.de/ (derzeit nur aus dem Netz der FAU erreichbar) einzusehen ist.

Die Top-Punkte im Risiko-Management sind diese Woche:

  • manuelle Umschlüsselung wg. nix FAU.ORG
  • Überlastung einzelner Mitarbeiter vermeiden
  • Dokumentation
  • Dienstleistungsportfolio

Die nächsten zwei Wochen werden eine ähnlich berichtsarme Zeit liefern. Es stehen abschließende Arbeiten am MetaDirectory und WAID an. Außerdem werden mit Unterstützung von Herrn Lanz aus dem CIT-Team, die Hilfe-Videos für den IDM-Self-Service gedreht werden. Herr Tröger und Herr Eggers werden sich auf Promotion-Tour durch die Service-Theken für den neuen IDM-Self-Service begeben.
Mit anderen Worten: Es wird mit Hochdruck am IDMone Release 2 gearbeitet!

Und zum Schluss sei nochmal auf die j*gen-Tools hingewiesen.

j*gen Tools freigegeben

j*

Das Regionale RechenZentrum Erlangen (RRZE) der Friedrich-Alexander-Universität stellt ab sofort den Source-Code zweier Java-Programme online:

  • jpwgen – erzeugt Passworte, die sowohl relativ einfach zu merken aber auch im täglichen Gebrauch sicher sind.
  • jidgen – erzeugt Login-Namen, die verschiedene Regeln beachten und nicht mit existierenden IDs kollidieren.

Beide Programme stehen unter der GNU LGPL v2.1 und können somit von Entwicklern für eigene Projekte verwendet, modifiziert oder erweitert werden.

jpwgen

ist eine zu 100% Java-basierte und somit plattformunabhängige Reinkarnation des Klassikers pwgen. Als Fortentwicklung zu den
bestehenden Funktionen bei pwgen werden bei der Java-Version die Passworte mit Hilfe regulärer Ausdrücke, hinsichtlich bestimmter Bedingungen, wie z.B. des Vorhandenseins eines Symbols am Anfang, überprüft. Jpwgen unterstützt außerdem blacklists und verschiedene Typen sicherer Zufallszahlengeneratoren. Darüber hinaus kann jpwgen als Bibliothek eingebunden werden, wodurch sehr schnell und einfach Passwort-Richtlinien in Applikationen implementiert und den Benutzern darauf basierende, konforme Passworte vorgeschlagen werden können.

Detaillierte Informationen zu jpwgen finden Sie hier.

jidgen

von Florian Löffler ist ein java-basierter ID Generator, der sowohl direkt auf der Kommandozeile benutzt als auch als Bibliothek in größere Anwendungen eingebunden werden kann. Die Idee dahinter ist, die Generierung von Benutzerkennungen (IDs) zu automatisieren. Um dies so einfach wie möglich zu gestalten, kommt eine einfache Beschreibungssprache zum Einsatz mittels der die Struktur (Bildungsvorschriften) der zu generierenden IDs definiert werden kann. Dies geht zurück auf eine Sammlung aus dem Jahr 2005 von Klaus Rosifka (Uni Jena) der 15 häufigsten Bildungsvorschriften für Nutzerkennungen. Jidgen unterstützt Kollisionsfilter für verschiedene Backends um die Eindeutigkeit der generierten Kennung in der jeweiligen Systemumgebung sicher zustellen. Zusätzlich können blacklists eingebunden werden, um politisch korrekte Kennungen zu erzeugen. Als Kommandozeilen Programm kann es einfach von anderen Programmen aufgerufen oder vom Anwender direkt benutzt werden. Als Bibliothek steht es zur Einbindung in Anwendungen zu automatisierten ID Generierung oder eines entsprechenden Vorschlagsdienstes zur Verfügung.

Detaillierte Informationen zu jidgen finden sie hier.

j*gen-Tools published

The Regional Computing Center (RRZE) of the Friedrich-Alexander-Universitaet publishes the source code of two java tools:

  • jpwgen – generates passwords, which are easy to remember and secure for everyday usage.
  • jidgen – generates login names, which comply to different rules and do not collide with existing user ids.

Both tools are licensed under GNU LGPL v2.1, so they can be modified, extended or included in any other project.

jpwgen

The program is a Java-based password generator whose functionality resembles the popular pwgen program.
The basic idea is to generate passwords that although relatively easy to remember are secure enough for everyday usage. ‘jpwgen’ uses 100% Java and is thus platform independent. It extends the pwgen functionality by using regular expressions for checking different types of conditions such as whether a password starts with a symbol or not. ‘jpwgen’ also supports blacklist and different types of secure random generators. It is also extremely useful as an embedded library that can be employed in the process of password generation according to certain password policies.

Please refer to the project website for more information.

jidgen

is a Java-based id generator by Florian Loeffler that can be used as a command line program or as a library. The idea is to make automated generation of user ids as easy as possible by introducing a simple, straightforward template language to describe the structure of the desired IDs. jidgen uses 100% Java and is thus platform independent. The tool was inspired by a collection of uid composition rules collected in 2005 by Klaus Rosifka (Uni Jena). The tool jidgen supports collision filters for different backends to ensure the
generated ID is unique in your environment. Additionally, blacklists are available to make sure all IDs are socially acceptable. As a command line program it can easily be accessed by scripts or directly by the user. As an embedded library it can easily be employed in the process of automated id generation and suggestion.

Please refer to the project website for more information.

Neue Benutzerverwaltung geht in die erste Produktivrunde

Das am Regionalen RechenZentrum Erlangen angesiedelte Projekt IDMone hat den Aufbau einer zentralen Identitätsverwaltung zur automatisierten Vergabe von Benutzerkennungen für alle Angehörigen und Kunden der Friedrich-Alexander-Universität zum Ziel.

Vier Mitarbeiter des Projekts IDMone arbeiten seit November 2006 am Aufbau einer zentralen Identity-Management-Infrastruktur die als Grundlage für eine effiziente Nutzung der universitären IT-Dienste dienen soll. Am Mittwoch, den 8.Oktober 2008, geht IDMone “hinter den Kulissen” mit einem ersten Teilergebnis in den Produktivbetrieb. Die Daten aller aktivierten, also frei geschalteten, Studierenden werden automatisch in das Webportal für Studierende und Prüfer ,mein campus, provisioniert. Damit müssen Benutzeraccounts nicht mehr manuell angelegt werden und Studierende können ihr Passwort jederzeit über die Funktion “Passwort vergessen” selbst zurücksetzen. Dies trägt zu einer wesentlichen Entlastung der Hotline und des Helpdesks von mein campus bei. Eine Weboberfläche, über die schließlich die zentrale Passwortverwaltung für verschiedene Dienste erfolgt, erhält IDMone in den kommenden Wochen.

Das Projektleitdokument sowie das Fachkonzept mit grundsätzlichen Überlegungen zur technischen Realisierung sind unter http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm.shtml veröffentlicht. Alle Arbeitsschritte werden darüber hinaus von IDMone unter http://www.blogs.uni-erlangen.de/IDM/ gebloggt.

Wochen-E-Mail KW 38

Nach der 3 stündigen AG IDMone Sitzung am vergangenen Dienstag (16.09.08) kann man wohl RRZE-intern die Frage stellen: “Alle Klarheiten beseitigt?”. 😉

Damit ist auch das Highlight der Woche bereits benannt. Die Kollegen am RRZE wurden umfassend über den Stand der Arbeiten, den Hintergrund hinter manchen Funktionen sowie die Release-Planung informiert. Und das erforderte Stehvermögen!

Außerdem wurde die Anbindung der Quellsysteme in großer Runde besprochen. Ein internes Protokoll beschreibt die Details. Als wichtiges Element kann man jedoch die indirekte Anbindung von “mein campus” bezeichnen. Hierfür muss eine Systemanbindung zwar nochmal verfeinert werden und auch bei “mein campus” gibt es Anpassungsbedarf, aber dann werden die Studierendendaten bis nach “mein campus” gelangen. Die leidige Passwort-Problematik sollte damit endgültig ein Ende haben!

Herr Dr. Rygus hat u.a. dafür mit Herrn Büttner an der sowohl lesenden wie schreibenden Anbindung des Altsystems gearbeitet. Außerdem stellte er dem internen Lenkungsausschuss die aktuelle Lage im Projekt dar.

Herr Singer hat das Backup erfolgreich am zukünftigen Produktivsystem getestet. Auch für einen Totalausfall ist das IDM also nun gewappnet. Außerdem hat er verschiedene Arbeiten an der Infrastruktur vorgenommen. Von seiner Seite sollten in der nächten Woche die Systeme für den Produktivbetrieb bereit sein.

Herr Tröger hat wieder einmal den Projektplan aktualisiert und vor allem an WAID gearbeitet. So ist er dabei den “Data Linkage Gopher” in WAID zu integrieren. Außerdem integriert er die von Herrn Zhelev im Rahmen von PPSA definierten Komponenten. Dies wird zu einer einheitlichen Software-Basis für alle P&P-Web-Anwendungen führen.

Herr Zhelev hat sich wieder hauptsächlich um FAU.ORG und PPSA gekümmert. Nur bei WAID musste er kurz hinfassen, da eine Verbesserung der Applikationssicherheit und die Behebung eines Fehlers in der PDF-Erstellung anstanden.

Die Top-Punkte im Risiko-Management sind diese Woche:

  • manuelle Umschlüsselung wg. nix FAU.ORG
  • Überlastung einzelner Mitarbeiter vermeiden
  • Dokumentation
  • Dienstleistungsportfolio

Und in den nächsten zwei Wochen kann das Team endlich mal wieder produktiv und in Ruhe arbeiten, denn Herr Eggers macht Urlaub. Ansonsten werden Herr Büttner und Herr Dr. Rygus die Anbindung des Altsystems voran treiben, Herr Tröger wird die Adminfunktionen in WAID programmieren und Herrn Rygus zu diensten sein.

Volle Fahrt in Richtung Release 1 am 08.10.2008 also!

AK Meta-Dir am 23.07.2008

Herr Dr. Rygus nahm für das RRZE am Arbeitskreis Meta-Directory in Augsburg teil.

Zunächst stellte Frau Maria Schmaus aus Augsburg den aktuellen Stand des IDM-Systems dar. Nach einem Überblick über die bereits früher vorgestellte Gesamtstruktur wurde das Konzept für die Gruppenverwaltung erläutert.

– In Augsburg wird die Gruppenverwaltung dezentral geschehen. In jeder OU der ‘gelebten’ Organisationsstruktur, die keinen offiziellen Status geniesst, gibt es eine Gruppe ‘admins’, die Adminstrationsrechte innerhalb dieser OU hat. Die Gruppe und die OU selbst wird nur zentral von den IDM-Admins verwaltet. Die Berechtigungsverwaltung geschieht über ‘Sets’, was die Funktionalität von ‘nested groups’ bei Novell eDirectory abbildet.
– Das Matching der Datenbestände wurde händisch durchgeführt.
– Self-Service für Studierende oder Mitarbeiter ist nicht geplant.
– Für die Anbindung von SOS ist eine DLL vorhanden, die es erlaubt, die Kennung extern, d.h. im IDM-System zu generieren.
– Die Administration wird via Kommandozeile durchgeführt. Ein Webtool ist in Planung.

Nach dem Vortrag von Frau Schmaus berichtete Herr Rygus vom aktuellen Stand von IDMone.

Herr Hommel vom LRZ referierte im Anschluss über die Fortschritte im Projekt LRZ-SIM, über das DFN-AAI E-Learning-Profil und Shibboleth 2.0

LRZ-SIM konnte ohne Probleme über ein langes Wochende die alte Benutzerverwaltung ablösen und wird sehr gut angenommen. Jetzt werden einige Dienste (z.B. RADIUS, Webmail) über LDAP-Authentifizierung bedient. Das WEb-Frontend wird rege genutzt. Seit der Inbetriebmnahme wurden zusätzliche Authentifizierungsserver zur Lastverteilung in Betrieb genommen und das Web-Frontend verbessert.

Aktuell wird am Merge von Personenobjekten, der Integration von Grid-Kennungen, der Dokumentation via phpMyFAQ und der Bereinigung des eigenen Datenbestands gearbeitet.

Die aktuelle Version des E-Learning-Profils wurde vorgestellt. Inzwischen liegt die aktuelle, aber noch inoffizielle Version auch schriftlich vor, weswegen hier nicht näher darauf eingegangen wird.

Shibbolleth 2.0 in Stichpunkten:
– verschiedene Authentifizierungsmechanismen wurden integriert.
— Der SP kann einen vorgeben oder eine Re-Authentifizierung fordern.
— Passive Authentifizierung möglich, d.h. ohne Interaktion des Benutzers mit dem WAYF/Discovery Service
– Single-Sign-out ist noch nicht verfügbar.
– Die Installation ist ähnlich zu der Version 1.3, allerdings kann die Konfig nicht übernommen werden.
– Der WAYF-Service heisst jetzt Discovery Service.

Das IDM-Projekt aus Passau stellte Herr Absmeier vor.
In Passau wird das IDM-System für eine überschaubare Anzahl an Diensten geplant:
– Ablösung der bisherigen Benutzerverwaltung (Gäste, Mitarbeiter, Studierende)
– Provisionierung von StudIP
– Provisionierung von Groupwise
– Bereitstellung eines IP für DFN-AAI

Es wird eine Kopplung der Datenbestände durch die Duplizierung der Schlüssel in die anderen Datenbanken angestrebt.

Der Aufbau des DIT wird flach sein, wobei statt eigener Objekte für Komplexe, mehrfach, unbestimmt oft vorhandene Objekte Auxiliary-Objektklassen verwendet werden. Es wird je einen Kontainer für Personen, Accounts, Gruppen und die Organisationsstruktur geben. Die Zuordnung wird über Zeiger realisiert.

Diapers wurde triggerless via JDBC direkt (über Views) angebunden. Die Telefondatenbank ist kurz vor fertigstellung. Der SSO-Server ist noch vor der Realisierung, die Implementierung des IP wird gerade begonnen. Die NDS-Anbindung wurde mit Unterstützung von Novell Consulting begonnen. Für Groupwise gilt das gleiche. Die Anbindung von StudIP ist noch in der Planungsphase. Das gleiche gilt für das Self Service Portal. Derzeit werden die Daten aus SOS noch über Access gewonnen. Eine bessere IDM-Anbindung soll erfolgen.

Frau Warren berichtete im Anschluss vom aktuellen Stand aus Würzburg.
An IDM angebunden sind SOS, VOIP, moodle und ein Adressbuch (LDAP) für E-Mail.
In Vorbereitung sind die Einführung des Universal Password (voraussetzung zur bidirektionalen Anbindung an IDM) und das ‘contextless login’. Eine Dienstvereinbarung und eine Erweiterung der Datenschutzfreigabe sind in Arbeit. Ebenso in Vorbereitung sind die NDS-Anbindung, ein Upgrade auf Shibboleth 2.0 und die Anbindung eines Zutrittskontrollsystems. Evaluiert werden der Access Manager und der Storage Manager von Novell. Man denkt hier inzwischen über ein zentrales Berechtigungskonzept nach.

Matching wurde nur rudimentär betrieben. Bei der Provisionierung von Multi-Value-Feldern im LDAP wird das erste gelieferte genommen. Die anderen Werte werden ignoriert.

Die Universität der Bundeswehr war das erste mal mit einer Präsentation im AK. Herr Dörfler stellte den aktuellen Stand vor.

Hier besteht eine Landschaft aus ca. 20 Datenbanken, die alle personenbezogene Daten halten. Nicht alle dürfen in ein IDM einfliessen, aber die meisten sollen in eine Zentrale DB integriert werden. Verwendet wird PostgreSQL. Das Projekt steht noch am Anfang.

Anschliessend berichtete Herr Zahn über die geplante Anbindung der ADS in Augsburg.

Für die TUM waren Her Pongratz und Herr Pluta beim AK. Herr Pongratz berichtete über die extrem sportlichen Fortschritte von TUM online. Die Zusammenarbeit mit der Uni Graz wurde sehr gelobt. Das Projekt ist von der Auslegung und der Schnelligkeit mit CIT vergleichbar. Leider wurde nicht transparent, wiviel Manpower hineingesteckt wurde.

Herr Pluta stellte die inzwischen dritte Version des IntegraTUM-Schemas vor. Offenbar vereinfachen sich viele Anforderungen an das Projekt durch die Verlagerung einiger Teilaufgaben auf das System aus Graz.

Die VHB war durch Herrn Mller vertreten. Er stellte das neue Portal vor, das im September in Betrieb gehen soll. Ebenso wurde eine Testanwendung für Shibboleth vorgestellt. Offenbar wird dieses Vorhaben jetzt vorangetrieben. Die VHB sucht Testpartner.

Nach den Präsentationen der AK-Mitglieder wurde über die Anbindung der Bibliotheken diskutiert. Es kursierte ein Schreiben aus Berlin, das für Verwirrung gesorgt hatte. Leider konnte keine abschliessende Klarheit geschaffen werden. Das RRZE kündigte an zu prüfen, ob die Bibliothek ohne SISIS-Konnektor via JDBC angebunden werden kann.

Das Thema VIVA beunruhigt die Kollegen aus dem AK. Es kursiert das Gerücht, dass Schnittstellen zu IDM-Systemen nicht vorgesehen sind. Augsburg ist ein Pilot-Kunde von VIVA. Herr Blaschek wird versuchen, mehr herauszufinden.

Termine:

ZKI in München, Termin steht noch nicht fest.
AK Meta-Dir in Würzburg am 18.02.09

Hendrik Eggers

Foto Hendrik Eggers

I studied Business Administration focused on service management and European Law focused on intellectual property rights at University of Oldenburg. During my studies I was working for the chair “Production and Economic Management” of Prof. Uwe Schneidewind as IT administrator. I was also core team member of Campus Virtuell, which is an online platform supporting students in a management system distinct to the learning environment. Due to this position I was in the consulting team for Bremen University (Germany), Oldenburg and Groningen University (Netherlands) introducing one of Europe’s first online supported courses of study in law Hanse Law School. I also improved my knowledge in some consulting projects for SME and Universities in Northern Germany considering IT process optimisation and documentation.

After finishing studies I joined i3sic! – a project to establish and develop integrated IT services within university. There I was taking part in the sub-project Identity Management (IDM), responsible for process design and legal questions. In that time I also developed a method of decision support in evaluation and procurement of complex IT solutions.

Starting in my last year of studies I was teaching a practically oriented seminar “P30” on open source software and project management for three years. This had an interdisciplinary focus and adressed computer science and business administration students.

After two years I was recruited by the RRZE to lead the Identity Management project IDMone. After three month of work so many needs for sub-projects where discovered as the impact of introducing IDM to a working computing centre and university became so big – that the staff unit “Projects & Processes” was founded, which I was assigned to lead.

Contact me or share your Contact on Xing.

Vorstellung Hendrik Eggers

An der Carl von Ossietzky Universität Oldenburg habe ich BWL mit Schwerpunkt Dienstleistungsmanagement und Europarecht mit Schwerpunkt Immaterialgüterrecht studiert. Während dieser Zeit war ich am Fachgebiet “Produktion und Umwelt” von Prof Dr. Uwe Schneidewind als Administrator beschäftigt. Nebenbei habe ich bei Campus Virtuell, einer Studierendenunterstützungsplattfrom – statt der heute üblichen Lern-Management-Systeme also bottom-up – mitgearbeitet. Im Rahmen von Campus Virtuell war ich u.a. in dem Beraterteam, dass die Universitäten Bremen, Oldenburg und Groningen (Niederlande) bei der Einführung eines der ersten online-unterstützten Rechts-Studiengänge der Hanse Law School beraten hat. Außerdem habe ich in verschiedene Kleinprojekte für KMU und Hochschulen in Norddeutschland im Bereich IT Prozessoptimierung und Dokumentation Erfahrungen sammeln können.

Nach dem Ende meines Studium arbeitete ich bei i3sic! – einem Projekt zur Entwicklung einer integrierten, service-orientierten Hochschul-IT. Bei i3sic! war ich im Teilprojekt Identity Management (IDM) für die Prozessgestaltung und alle wirtschaftlichen und rechtlichen Fragen zuständig. Im Rahmen dieser Tätigkeit entstand auch eine Methode zur Entscheidungsfindung bei der Evaluation und Beschaffung komplexer IT-Anwendungen.

Seit meinem letzten Studienjahr habe ich das praxisorientierte Seminar “P30” gehalten, in dem die Themen Open Source Software und Projektmanagement vermittelt wurden. Dieses war interdisziplinär angelegt und richtete sich an Studierende der Informatik sowie der Wirtschaftswissenschaften.

Nach zwei Jahren Projekttätigkeit in Oldenburg wurde ich vom RRZE angestellt, um das Projekt IDMone zu leiten. Allerdings wurde nach drei Monaten deutlich, dass soviele Teilprojekte und Veränderungen von IDMone ausgingen, dass ein größerer Rahmen vonnöten war. Aus diesem Grund wurde die Stabsstelle Projekte & Prozesse gegründet und mir die Leitung übertragen.

Kontaktieren Sie mich oder “netzwerken” Sie mit mir auf Xing.