RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

IDM-Wochen-E-Mail 36

Diese Woche stand im Zeichen der “Wie-nun-weiter”-Gespräche und Aha-Effekte.
Für einige Punkte scheinen sich Lösungen abzuzeichnen – andere harren noch ihrer tieferen Erörterung.
Berücksichtigt man aber, dass die vergangene Woche noch komplett in der Kern-Urlaubszeit lag, so sind die Verzögerungen erklärbar.

So wird es einen Abgleich mit dem RRZE Rechnungswesen geben, um die monetär relevanten Dienstleistungen zu identifizieren. Diese sollen dann bevorzugt abgebildet und aufgearbeitet werden. Die Entscheidungen über den Zuschnitt von Dienstleistungen werden pro Dienstleistung getroffen. Der Stabsstelle Projekte & Prozesse bleibt es dabei überlassen ein in sich stimmiges Gesamtportfolio zusammen zu stellen.

Ebenso steht fest, dass alle Ressourcen für ein schnelles Gelingen von IDMone gebündelt werden.
D.H. auch das Prestige-Projekte wie das E-Learning Projekt studon derzeit nur einmalig Daten erhalten und die Anbindung auf die Zeit nach der Fertigstellung des Kernsystems verschoben wurde. Auch für das Release von WebSSO kann derzeit kein Termin genannt werden.

Die Sitzung des BRZL AK MetaDir am Mittwoch der kommenden Woche übt einen gewissen Druck zur Dokumentation aus.

Die “Aha-Effekte” betrafen Funktionen, die von Novell-Consulting als im IDM-Service-Portal (IDM-S-P) als mit der Novell User Application nicht realisierbar eingestuft wurden.
Zum Einen war das Projekt davon ausgegangen, dass für die Service-Theke zum Setzen von Passworten der iManager statt der UserApp zum Einsatz kommen muss. Herr Zhelev hat erste vielversprechende Ansätze gefunden, diese Funktion mittels der UserApp zu realisieren. Dies war quasi ein Abfallprodukt seiner eigentlichen Arbeit am Aktivierungsprozess.

Außerdem wurde die fehlende Möglichkeit zur Auswahl der Affiliation als Rückschritt gegenüber der derzeitigen Weboberfläche gesehen. Auch hierfür hat Herr Zhelev eine Lösung in der UserApp entwickelt.

Das Projekt-Team ist gespannt, was möglich sein wird, wenn die vollständige Dokumentation vorliegt, nachdem nun die entsprechende NDA unterzeichnet wurde.

Außerdem hat Herr Zhelev das IDM-S-P um eine Funktion erweitert, die ausgewählte, angezeigten Seiten als pdf umzuwandlen.

Herr Rygus arbeiter derweil noch immer an dem sehr zentralen eDir2eDir-Treiber. Dieser ruft nun dynamisch für alle Standard-Ressourcen
einer Person einen Worklow auf, der dann wiederum die Standard-Ressourcen frei gibt. Somit können Standard-Dienstleistungen angeboten werden.
Das Team harrt der Dienstleistungspakete aus dem Dienstleistungsportfolio.

Außerdem hat er ein Konzept für einen Ressource Initiator ausgearbeitet. Dabei handelt es sich um denjenigen, der eine Ressource beantragt bzw. genehmigt, bekommt und dann im MD umherschubst, dass er schliesslich im Resource Descriptor zu liegen kommt.

Und sein großes Thema seit Wochen manifestiert sich als Konzept zur referentiellen Integrität im MD also der ‘Selbstheilung’ kaputter Strukturen …

Herr Tröger hat seinen Vortrag auf der LDAPcon erfolgreich absolviert. Die entsprechenden Links finden sich auf der IDMone Webseite http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm.shtml unter der Überschrift “Publikationen”. Ansonsten sei auf seinen Reisebericht im Blog http://www.blogs.uni-erlangen.de/IDM/stories/1041/ verwiesen.

Für das Datenschutz-Konsensverfahren konnte nun endlich ein Termin gefunden werden bei dem alle Betroffenen zusammen kommen. Die entsprechenden Unterlagen wurden per E-Mail versandt. Bisher gab es darauf keine negativen Reaktionen.

Am 05.09.2007 gab es eine Besprechung zum Thema Organisationsstruktur bei der alle relevanten Akteure (CO, Planung, RRZE, ZAUM) beteiligt waren.
Die Grundlagen für die Abbildung der neuen Organisationsstruktur zeichnen sich nun ab, so dass sinnvoll ist sich über die technische Abbildung nachzudenken. Dafür wurden grundlegende Festlegungen getroffen und konkrete Anforderungen formuliert. Das RRZE (Abteilung Datenbanken und DV-Verfahren sowie IDMone) haben den Auftrag übernommen diese technische Lösung bereitzustellen.
Die Rahmenbedingungen für die technische Abbildung der Organisationsstruktur wurden noch am Freitag von den Herren Eggers, Deinzer, Reimer, und Dr. Rygus festgelegt. Die neue Applikation wird auf einer Datenbank aufsetzen, die in der kommenden Woche eingerichtet wird. Herr Wittig (Abt. Datenbanken und DV-Verfahren und Frau Meyer-Seidt) werden dann in den kommenden Wochen die Oberfläche sowie die dahinter liegenden Prozesse ausgestalten.

Die Top-Punkte im Risiko-Management sind derzeit:
– Konsensverfahren
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

Für die angebrochene Woche ist besonders hervorzuheben, dass Herr Dr. Rygus am Mittwoch einen Statusbericht bei der Sitzung des BRZL AK MetaDir abgeben wird. Und auch die Workshops zum Dienstleistungsportfolio werden fortgesetzt.

LDAPcon 2007

Herr Büttner und Herr Tröger besuchten am 06. und 07. September die 1st International Conference on LDAP in Köln. Das Themenspektrum war wie zu erwarten sehr breit gefächert. Aktuelle LDAP-Server wie OpenLDAP, OpenDS (Sun) und ApacheDS, wurden präsentiert und vorgeführt. Einige sehr bekannte Leute der “LDAP-Szene”, wie z.B. Howard Chu und Kurt Zeilenga vom OpenLDAP Projekt, leisteten Ihren Beitrag zu der Veranstaltung.

Frameworks wie Spring LDAP (“Java LDAP Programming Made Simple”) oder das auf Web-Services basierende E-School vom Greek School Network Directory Service zeigten interessante Ansätze. Spring LDAP könnte Gruppen des RRZE den Einstieg in die LDAP-Programmierung mit Java deutlich erleichtern. Eine weitere Auseinandersetzung mit diesem Thema scheint sinnvoll.

Die ApacheDS-Gruppe stellte die neuen Highlights des ApacheDS vor: Stored Procedures und Triggers. Ihr Apache Directory Studio, eine “Open Source LDAP & Directory Tooling Platform”, entwickelt sich zu einem für IDMone durchaus nutzbaren Produkt; dessen LDAP-Browser wird bereits seit einiger Zeit erfolgreich im Projekt eingesetzt.

Highlight für Herrn Tröger war natürlich sein eigener Vortrag über seine Arbeit am Schema-Design-Prozess. Sein Vortrag “A Reference Schema for LDAP-based Identity Management Systems” wurde vor allem von ein paar Interessierten gut angenommen. Die ApacheDS-Gruppe zeigte Interesse an einer Integration von Herrn Tröger’s Ergebnissen in deren Projekt.

Alles in allem verlief der Besuch dieser Veranstaltung überaus erfolgreich. Die im Projekt vorhandenen Themengebiete wurde sehr gut abegedeckt.

IDM-Wochen-E-Mail 35

Leider löst derzeit Zwangs-Pessimismus den Zweck-Optimismus im Projekt aus folgenden Gründen ab:
Die Arbeiten am Dienstleistungsportfolio zeigen sich umfangreichen als gedacht.
Die Abteilungen arbeiten gut bis sehr gut mit. Allerdings schlägt die über 40 Jahre gewachsene Struktur voll zu. Dinge werden einfach gemacht, weil sie gemacht werden müssen. Es gibt in den meisten Fällen weder Dokumentation wie sie gemacht werden noch warum sie so gemacht werden, wie sie gemacht werden.
Das Projekt IDMone rüttelt damit an den Grundfesten des RRZE, dass sich zwar neu aufstellen will, dass aber den notwendigen Kraftakt unterschätzt hat. Es wird ein wesentlich aufwendigerer und langwierigerer Prozess als bisher angenommen.
Aufwandsschätzungen sind bisher alle ad-absurdum geführt worden, weshalb eine seröse Auskunft über die Erreichung von Meilensteinen schwer möglich ist.
Ich bin verführt dem alten Motto der Forschung “Es dauert so lange, wie es dauert!” anheim zu fallen, was allerdings unter den gegebenen Restriktionen nicht möglich ist.
Gesucht wird eine Möglichkeit mehr als bisher alle Beschäftigten vom Ernst der Lage zu überzeugen, die Komplexität und den Handlungsbedarf zu transportieren.

Von einem IDMone Release zum Berichtszeitpunkt bzw. zum Jahresende kann derzeit NICHT die Rede sein.

Daneben hat das Projekt ein Wissenstransferproblem. Wie kann man den ständig wachsenden Erkenntnisgewinn und die sich dadurch verändernde Entscheidungsgrundlage dokumentieren? Ein Problem, auf dass das Team bisher keine adäquate Antwort gefunden. Mind-Map und Wiki reichen jedenfalls in der bisherigen Verwendung nicht aus.

Die Kenntnisse über die Produktfunktionalitäten wachsen laufend. Außerdem konkretisieren sich Anforderungen aus dem System an die Konzeption, was eine Nacharbeit an vielen Stellen notwendig macht. Auf der anderen Seite muss ich feststellen, dass das Consulting im ersten Projektquartal vollkommen am Produkt vorbei gegangen ist. Es wurden mittlerweile auch die letzten konzeptionellen Feinheiten aus dieser Zeit gestrichen. Außer viel diskutiert und einem Lerneinstieg wurde in dieser Zeit also langfristig nichts zum Projekterfolg beigetragen. Viele offene Fragen wurden auf die Realisierungsphase verschoben, da notwendige Informationen aus nicht vorhandener Dokumentation oder die Detailkenntnisse zum Produkt nicht vorlagen. Dies holt das Projekt nun ein und macht die Nacharbeit am bestehenden Konzept an vielen Stellen notwendig.

IDMone ist angetreten eine langfristige Lösung zu erarbeiten, die eine wesentliche Verbesserung im Vergleich zur bisherigen Lösung darstellt. Dieser hohe Qualitätsanspruch und die vorher genannten Restriktionen lassen ein Release 1 noch im Jahr 2007 fraglich erscheinen.

Neben diesen Grundsätzlichkeiten hat aber auch wieder jede Menge Tagesgeschäfts stattgefunden.
So war Herr Klasen, von Novell Consulting, am 29. + 30.08. im Haus um vor allem die Arbeiten am IDM-S-P voran zu treiben.
Im Rahmen dieses Termin wurde ein Konzept für das Initial-Passwort erarbeitet, Möglichkeiten der Passwort-Migration erörtert sowie ein Workflow zur Generation von initialen Passwörtern erstellt. Daneben wurde kleinere Probleme ausgeräumt und an der Ausgestaltung des IDM-S-P gearbeitet. Hierin waren besonders Herr Zhelev und Herr Tröger involviert.

Herr Dr. Rygus hat das Consulting genutzt Detailfragen in der Meta-Directory Konzeption nach zu schärfen und Details zur Passwort-Provisionierung zu klären.

Außerdem hat das Team die benötigten Attribute der Zielsysteme sowie die Begründungen für diesen Bedarf zusammen getragen. Damit sind nun die Voraussetzung für das Konsensverfahren mit den Fachabteilungen gegeben.

Derweil schlägt sich Frau Meyer-Seidt immer noch mit dem Abgleich der Organisationsstruktur-Daten in UnivIS und DIAPERS rum und einwickelt ganz nebenbei Regelmäßigkeiten für einen automatisierbaren Datenaustausch.

Außerdem hat ein erstes Treffen des internen AK Web-Services stattgefunden, bei dem Herr Tröger die Protokollführung übernommen hat. Der Arbeitskreis unter der Moderation von Herrn Zenglein (CIT) soll den Wissens-Austausch der aktiven Web-Service-Entwickler im RRZE fördern.

Und noch ein wichtiger Hinweis: Seit vergangenem Freitag ist das Wiki unter https://www.pp.wiki.uni-erlangen.de/ zu finden. Es wurde mit den Inhalten des CIT-Projektes fusioniert. Das genannte Wiki wird zukünftig alle Informationen der Projekte unter dem Dach der Stabsstelle “Projekte & Prozesse” enthalten. Außerdem bietet es die Möglichkeit ausgesuchte Inhalte nach Außen für Dritte freizugeben.

Wegen der akuten Arbeitslage konnten Herr Dr. Rygus und Herr Eggers nicht an der Videokonferenz Novell.IDM@Bayern teilnehmen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Konsensverfahren
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

In dieser Woche wird das Team neben der Fortsetzung der Arbeiten an einer Lösung des Dokumentations-Problems arbeiten.
Herr Tröger wird seinen Beitrag auf der LDAPcon 2007 – 1st International Conference on LDAP http://www.guug.de/veranstaltungen/ldapcon2007/index.html vorstellen.

IDM-Wochen-E-Mail 033-034

In den letzten beiden Wochen wurde viel erledigt. Herr Tröger hat seinen Artikel für die LDAP-Konferenz fertig gestellt und an seinem Vortrag gearbeitet.

Das Team hat die nötigen Schritte, die zur Erstellung eines vorzeigbaren Rudimentärsystems notwendig sind, in einer Mind Map ausgearbeitet. Dieses System soll die Anbindung eines Quellsystems (DIAPERS), die Verarbeitung im Meta-Directory (add) und die Anbindung der Zielsysteme SSO (LDAP), WLAN (LDAP) und Linux (LDAP) beinhalten. Das Team strebt an, bis Mitte September fertig zu sein (incl. Doku). Die Arbeiten gehen derzeit gut voran. Bestehende Probleme werden mit den Novell-Konsultants ausgeräumt.

In diesem Stadium können allerdings nur Testsysteme erstellt werden, da zur Einführung der ‘Life-Systeme’ noch viele Informationen fehlen. So fehlen z.B. die Vorgaben, die aus dem Dienstleistungskatalog resultieren. Ohne diese Vorgeben kann das IDMone-Team das entsprechende Regelwerk nicht aufbauen. Die im Moment laufenden Workshops zum Dienstleistungskatalog werden hoffentlich bald Abhilfe schaffen.

Ob auch die Anbindung von NDS und ADS erledigt sind, hängt eng mit dem Terminkalender von Herrn Orschiedt zusammen, der diese Arbeitspakete abarbeiten soll.

Erste Ergebnisse sollen im September im AK Meta-Directory am LRZ präsentiert werden. Herr Rygus wird dies übernehmen.

Die Arbeiten an der Organisationsstruktur gehen zwar voran, jedoch muss für ein verwendbares Ergebnis ein langfristiger Fokus in Betracht gezogen werden.

Diese Woche wird Herr Klasen für zwei Tage bei uns sein, um bestehende Probleme zu lösen. Das Team wird die Umsetzung des Testsystems vorantreiben.

Die Top-Punkte im Risiko-Management sind derzeit:

– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

IDM-Wochen-E-Mail 030-032

In den vergangenen drei Wochen wurde das Basissystem für das Meta-Directory soweit fertig gestellt, dass neu angelegte Personen einen Eintrag im Directory der User-Application erhalten. Hier wird weitergearbeitet, wenn Herr Tröger seinen Artikel für die LDAP-Konferenz der German Unix User Group (guug) fertig hat.

Die Programmierung der Portlets für unsere Use Cases geht auch voran. Fertig ist die Passwortgenerierung (pwgen) mit Kommand Line Interface. Die Doku mit UML Diagrammen wird demnächst im Wiki abgelegt.
In Arbeit sind ein Portlet fuer PwGen und die NMAS-Integration für das Passwort-Vorschlagsystem. Hier gibt es noch Probleme mit der Passwort-Übergabe.

Die Fertigstellung des Dienstleistungskataloges rückt immer näher. Hierzu wurden mehrere Workshops in Zusammenarbeit mit der Redaktion abgehalten. Des Weiteren wurden mehrere Gespräche geführt, um abzuklären, wie die Eingliederung der IDM-Server ins abgesicherte Netz der Universitätsverwaltung realisiert werden kann. Das ist Voraussetzung dafür, dass wir zeitnah valide Testdaten für die Anbindung der Quellsysteme erhalten. Die Anbindung des Quellsystems HIS SOS wurde nochmal diskutiert und im Wiki beschrieben. Im Nachgang wurden entstandene Kommunikationsprobleme aus der Welt geschafft.

In den vergangenen Wochen wurde auch einige Zeit in die Systempflege und Administration gesteckt. Das Integrationssystem, auf dem alle getesteten Teile zusammengeführt werden, wurde neu aufgesetzt. Das IDMone-Repository wurde neu Strukturiert. Ein DIT- und Schema-LDIF wurde erzeugt inkl. Installations-Doku im Wiki. Allgemein wurde die Doku im Wiki überarbeitet. Zur Vereinfachung der Installation der User Application wurde dafür ein Installationsscript erstellt. Um die Systeme soft- und hardwaretechnisch überwachen zu können, wurden Gespräche bzgl. Nagios und openSNMP mit den zuständigen Kollegen geführt.

Der Testserver für Mailgruppe wurde neu aufgesetzt und die E-Mail-Gruppe beraten.

Nicht zuletzt erfolgten Anstregungen zur Personalaquise für einen HiWi für WebSSO und als Teamassistent.

Diese Woche wird die langfristige Urlaubsplanung, die Arbeit am Meta-Directory und an der User Application vorangetrieben. Herr Tröger wird verstärkt an seinem Paper/Vortrag arbeiten. Ein Vorstellungsgespräch für einen HiWi findet heute statt.

Die Top-Punkte im Risiko-Management sind derzeit:

– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

IDM-Wochen-E-Mail 029

Die letzte Woche war nur sehr kurz, da fast alle Teammitglieder ab Donnerstag frei hatten.

Entsprechend klein sind auch die zu berichtenden Schritte in Richtung IDM. Das Kernteam besprach die nächsten Schritte, um die Treiberlogik für die Neuanlage einer Person aus einem Quellsystem exemplarisch und rudimentär fertigzustellen. Endgültig kann das erst geschehen, wenn erste Tests mit dem dann bestehenden System erfolgreich durchgeführt wurden.

Dieses Basissystem soll bis 5.8.07 fertig sein und in der Folgewoche den ersten kritischen Tests unterzogen werden.

Herr Eggers und Herr Rygus überarbeiteten den Projektplan mit den aktuellen Gegebenheiten, so dass er wieder aussagekräftig ist.

Herr Singer hat seine Ausbildung erfolgreich beendet. Herzlichen Glückwunsch dafür! Er steht nun dem Team voll zur Verfügung.

Da sich der Projektleiter in den Flitterwochen befindet, gibt es den nächsten Wochenbericht erst wieder in der KW 32.

Die nächsten Wochen werden dafür genutzt, die besprochenen Treiber zu realisieren und akademische Arbeiten (z.B. Tagungsvorbereitungen von Herrn Tröger) voranzutreiben.

Die Top-Punkte im Risiko-Management sind derzeit:

– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

IDM-Wochen-E-Mail 028

In der vergangenen Woche konnten wichtige Fortschritte bei der Anbindung der Quellsysteme DIAPERS und HIS SOS erzielt werden.

Die DIAPERS-Datenbank ist inzwischen mit Eventlog-Tabelle angebunden und scheint nach einigen Irritationen jetzt auch zu funktionieren. Es gab Probleme auf Datenbankseite, die leider nicht geklärt werden konnten. Bei den letzten Tests traten die Probleme aber nicht mehr auf, so dass der Client (IBExpert) als Ursache vermutet wird.

Bei der Anbindung von HIS SOS ergaben sich in der vergangenen Woche mehrere Aspekte, die geklärt werden mussten. Zum einen scheint es derzeit keinen Weg zu geben, die Anforderungen von HIS mit einer externen Logik zu befriedigen. Andererseits sollen Altlasten minimiert und nicht ohne Perspektive weiter erzeugt werden. Da die Rückmeldung zum Wintersemester Mitte Juli ’07, die Neueinschreibung Ende Juli ’07 und der Bedarf einer IDM-Lösung für CIT Amfang November ’07 eine schnelle Entscheidung erforderten, wurde eine Übergangslösung gewählt, die kurzfristig keiner Änderung des Leporello bedarf, aber eine Umstellung der Versorgung mit Studentendaten zu gunsten IDMone erlaubt. Diese Lösung wird gerade von den DBAs gebaut.

Mit einer eher langfristigen Perspektive soll HIS davon überzeugt werden, mit einem Release der HIS-Software nächstes Jahr eine elegantere Anbindung zu ermöglichen.

Die Arbeiten an der Treiberlogik für das Meta-Directory gehen voran. Das Ziel, bis Mittwoch Abend alles fertig zu haben ist immer noch möglich, aber sehr sportlich. Näheres hierüber kann man Ende dieser Woche berichten.

Diese Woche wird das Team von IDMone an der Treiberlogik des Meta-Directory weiter arbeiten. Herr Singer wird seine Abschlussprüfung ablegen. Das gesamte Team drückt ihm die Daumen!

Die Top-Punkte im Risiko-Management sind derzeit:

– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

IDM-Wochen-E-Mail 027

Nachdem die meisten Themen der letzten Woche bereits im Lenkungsausschuss am Donnerstag angesprochen wurden, fällt dieser Wochenbericht etwas kürzer aus.

Die letzte Woche war geprägt von der Workflow-Schulung durch Herrn Klasen. Er konnte das Team von IDMone und Frau Warren aus Würzburg trotz des sehr unterschiedlichen Vorkenntnisstandes gut in die Thematik einführen und jedem interessante Informationen vermitteln.

Des weiteren konnte die vorläufige Struktur des hierarchischen DIT für den Admin-Baum aufgebaut werden. Als Quelle dienten die Informationen aus DIAPERS.

Sozusagen ‘just in time’ konnten die Lizenzen für die JDBC-Treiber eingespielt werden. Wir sollten jetzt keine Ausfälle aufgrund von Lizenzproblemen mehr haben.

Diese Woche wird das Team von IDMone weiter an der Umsetzung der Treiberlogik arbeiten.

Die Top-Punkte im Risiko-Management sind derzeit:
– Programmierung der dll zur Anbindung von HIS SOS
– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

Protokoll der Lenkungsausschusssitzung vom 05.07.2007

1.Status Projekt:

Es hat sich gezeigt, dass die Ausgestaltung des Migrationskonzepts erst möglich wird, wenn das IDM-System weitestgehend ausgestaltet, also die Integrationstests für das neue System abgeschlossen sind. Migration bedeutet dabei, nach den Ausführungen von Herrn Dr. Rygus, dass es gilt, die einzelnen Systeme schrittweise aus dem bestehenden Verzeichnisdienst herauszulösen. Dabei gilt es unter Orthogonalisierung der Daten und ständiger Konsistenzprüfung die bestehenden Abhängigkeiten abzuschaffen und die alten Systemverbindungen nach und nach abzuschalten.
Schon jetzt wird aber deutlich, dass folgende Funktionen des bisherigen Verzeichnisdienstes nicht durch das IDM abgedeckt werden können:
– Verwaltung sowie Abrechnung der Druckkonten
– RRZE-Rechungswesen
Gerade beim letzteren Punkt heißt dies, dass geprüft werden muss ob HIS FSV eine gangbare Alternative bietet oder ob die Einführung eines Customer-Relationship-Management-System projektiert werden muss.

Die UserApp-Schulung vom 14. – 16.05. hat drei wesentliche Kritikpunkte an der Novell User Application zu Tage gefördert, die bis zur Sitzung nicht durch Novell geklärt wurde. Deshalb wurde diese nochmals angesprochen:
1. Es gibt für die UserApp keine durch Kunden verwendbaren APIs.
D.h. alle Zugriffe eigener Portlets auf das zugrundeliegende eDirectory erfolgen direkt via LDAP.
Herr Adam sah diese Situation ebenfalls als unvorteilhaft. Allerdings betonte er, dass die UserApp und die zugrunde liegenden Novell Produkte nicht als eigenständiges Portal positioniert seien und daher nicht offiziell dokumentiert wurden.
Eine offizielle Dokumentation wird mit der UserApp 3.5.1 voraussichtlich im Oktober verfügbar sein, was aber für IDMone zu spät wäre, um seine Entwicklungen darauf abzustellen. Daher wird Herr Adam versuchen die Novell-interne Dokumentation zeitnah zur Verfügung zu stellen. Diese wird zwar nicht sehr ausführlich sein, sollte aber unter Einbeziehung des Consultants Wolfgang Schreiber zu wiederverwendbaren Ergebnissen führen.

2. Durch die fehlende APIs haben Kundenportlets kein Zugriff auf das Directory Abstraction Layer (kurz DAL).
Daraus folgen weitreichende Konsequenzen! Alle dort definierten Beziehungen, z.B. Employee-Manager-Beziehung zum Aufbau der Organisationsstruktur, können vom integrierten OrgChart-Modul verwendet werden. Eigene Portlets bleiben außen vor.
Für Herrn Adam stellt dies eine wesentliche Funktion der Portalintegration dar. Novell wird demnächst auch einige kommerzielle Portale unterstützen.
Diesbezüglich wies Herr Eggers darauf hin, dass in Universitäten derzeit Portale unter einer Open Source Lizenz bevorzugt werden. Die allgemeine Diskussion dreht sich um Liferay und uPortal . Um die flexible Integration zu gewährleisten, stehen für Universitäten die Standardkonformität im Fordergrund.
Herr Adam berichtete, dass aus Sicht von Novell der JSR168 sich als Sackgasse erwiesen hat, da er nicht alle benötigten Funktionen unterstützt. Ob der Nachfolge-Standard JSR286 Berücksichtigung findet blieb offen. Auch konnte nicht geklärt werden, welche Single-Sign-On-Lösungen (ausgenommen Novell iChain) kompatibel sein werden. Novell arbeitet derzeit an einer Integration auf AJAX-Basis.
Aus diesen Gründen wird Herr Adam einen Call mit dem IDM Produktmanagement organisieren in dem diese Fragen erörtert werden können.
Aus Sicht des RRZE sollte dieser Call nach dem 20.07.2007 statt finden, da vorher noch interne Klärungen notwendig sind.

3. UC1203 Affiliation auswählen
Herr Schreiber konnte keine Lösung bieten (fehlende Schnittstellen). Damit ist immer noch nicht geklärt, ob Personen zwischen Ihren verschiedenen Affiliations wechseln können.
Herr Dr. Rygus machte deutlich, dass die fehlende Möglichkeit in der laufenden Session zwischen den Affiliations wechseln zu können, einen erheblichen Rückschritt gegenüber der derzeitigen Weboberfläche darstellt.
Herr Adam sieht zwar etwaige Möglichkeiten bei einer Änderung des Datenmodells, aber da die Consultants davon abgeraten haben, wird wohl auch dieser Punkt mit dem IDM-Produkt-Management zu diskutieren sein. Eine Lösung ist kurzfristig nicht in Aussicht

In der Zeit vom 18.05. bis 08.06.2007 ruhte die Arbeit bei IDMone wg. Urlaub.

Einzig das Novell Campus-Treffen in dieser Zeit ist erwähnenswert, da es nicht gelang den Kunden das Umstellungsrisiko bei Novell eDirectory bewusst zu machen. Besonders die Migration der Zenworks-Pakete von Version 3 auf aktuelle Version wird einige überraschen.
Es scheint angeraten zu sein, die Novell Anbindung komplett an Novell Consulting out zu sourcen.
Gegenstand des Auftrags wird der Aufbau einer eDirectory 8.8 Enklave in einer eDirectory 8.7.3 Umgebung mit Provisionierung der Enklave aus dem IDM sowie Dokumentation und Integrationstests sein.
Herr Adam wird Herrn Orscheidt zu einem zeitnahen Angebot veranlassen.

Bezüglich des Consultings sah sich das RRZE zu Kritik an der Dokumentation von Herrn Orschiedt veranlasst.
So steht seit über 10 Wochen ein Protokoll eines Kundengesprächs bezüglich der Novell-Anbindung sowie der darauf basierenden Aufwandsschätzung aus. Auch sind Zwischenberichte wie die von Herrn Klasen nach OnSite-Terminen wünschenswert.
Novell empfiehlt daher nach einiger Beratung bei zukünftigen Terminen Zusatzzeiten für Dokumentation durch Herrn Orschiedt einzuplanen da dieser in diverse Projekte eingebunden ist und somit nicht über die notwendigen Pufferzeiten verfügt.

Desweiteren haben die vergangen Wochen der praktischen Arbeit gezeigt, dass die Programmierung der Treiberlogik deutlich aufwendiger ist als geplant.
Die Umsetzung der theoretischen Konzepte stellt sich als sehr arbeits- und abstimmungsintensiv dar.
Auch haben Urlaubszeit und Schulungen als Unterbrechung negative Auswirkungen auf den Projektfortschritt gehabt und auch technische Kleinprobleme trugen messbar zur Verzögerung bei.

Als Beispiele wurden zwei Systemanbindungen eingehend diskutiert.

Zum einen war dies die Anbindung des Quellsystems HIS.
Hier hat das Kundengespräch eine Anbindung durch den Austausch einer zentralen dll als gewünschte Alternative ergeben.
Allerdings verfügt das RRZE nicht über einen dll-Programmierer. Ein Outsourcing kommt wegen fehlender Mittel nicht in Frage. Und die HIS hat starke Bedenken gegen die Lösung bezüglich Antwortverhalten und Systemstabilität vorgebracht. Allerdings verfügt die HIS derzeit auch nicht über die Ressourcen die dll nach den Vorstellungen von IDMone neu zu gestalten.

Es wurden diverse Alternativen ausführlich diskutiert, was in folgendem Ergebnis mündete:
1. Novell Consulting wird um eine schriftliche Stellungnahme per E-Mail gebeten, dass die angestrebte Lösung von Seiten des IDM die Anforderungen an Reaktionszeit und Stabilität erfüllen kann.
2. Liegt diese Stellungnahme in positiver Form vor, wird Krasimir Zhelev eine Aufwandschätzung für die dll-Programmierung anfertigen.
3. Parallel zu dieser Analyse wird nochmal Kontakt mit der HIS gesucht um eine Lösung zu finden, die die Projekt-Ressourcen möglichst wenig belastet.
4. Schlagen alle Versuche fehl die geplante Lösung umzusetzen, wird folgender Alternativplan erzeugt.
4.1. Die bestehende dll findet weiter Verwendung. Die generierte Kennung dient nur noch der Aktivierung.
4.2. Der Ausdruck der E-Mail-Adresse auf dem Leporello wird unterbunden. Die von HIS SOS genereierte Kennung wird mit dem Hinweis “Aktivierungskennung” auf das Leporello gedruckt. Außerdem bekommen die Studierenden ein Hinweisblatt zur Aktivierung mit den damit potentiell verfügbaren Dienstleistungen sowie der RRZE-Nutzungsordnung.
Es wird notwendig sein, Anreize für die Kennungsaktivierung zu schaffen. Hierzu ist die RRZE-Redaktion sowie die Marketing-AG der FAU einzubeziehen.
4.3. Die temporäre Kennung wird bei der Anmeldung durch eine semantik-frei (IDM-konforme) Kennung ersetzt und die Studierenden erhalten die Möglichkeit sich einen Loginbrief mit allen wesentlichen Daten auszudrucken bzw. als pdf abzuspeichern.
4.4. Eine Rücklieferung der aktivierten Kennung an den Datensatz in HIS SOS bleibt zu prüfen.

Die zweite Systemanbindung mit erheblichen Veränderungen betrifft das E-Mail-System.
Hier ist entgegen der Projektannahme ein Wechsel der E-Mail-Software abzusehen, da der Hersteller des bestehenden Systems das Produkt abgekündigt hat. Aus diesem Grund wurde nochmals das Gespräch mit der E-Mail-Gruppe gesucht, die davon überzeugt werden konnte, dass eine vollständige Provisionierung aus dem IDM eine Entlastung von Aufgaben der Benutzerverwaltung und somit erhebliche Arbeitsersparnis mit sich bringt. Allerdings muss nun die Schnittstelle zwischen IDMone und dem E-Mail-System sehr exakt definiert werden. Dies bedeutet einen erheblichen Mehraufwand gegenüber der bisher geplanten Anbindung. Genau läßt sich dieser aber erst im Laufe des Prozesses quantifizieren.
Herr Lippert stellt die aufwändigere Anbindung zu Diskussion, da diese nicht mit einer Ressourcenverstärkung einher geht und somit mit einer Verzögerung des Projekts zu rechnen ist. Herr Eggers machte an dieser Stelle deutlich, dass das IDM mit der Anbindung des E-Mail-Systems steht und fällt und dass diese Anbindung zum Projektstart als essentieller Bestandteil des Release 1 definiert worden war. Er bat darum politische Termine gegen den milden Leidendruck eines mehrheitlich funktionierenden Verzeichnisdienstes gegenüber zu stellen, was durchaus die Möglichkeit zur umfassenden Umsetzung bietet.
Der Lenkungsausschuss folgte zwar mit erheblichen Bedenken dieser Position.

Herr Dr. Rygus wies außerdem daraufhin, dass die anstehende Organisationsstrukturänderung fundamentale Änderungen am IDM mit sich bringen wird, da entgegen ursprünglicher Konzepte der Administrationsbaum doch in einer hierarchischen Struktur aufgebaut werden muss. Veränderungen in der Struktur bringen somit einen erheblichen manuellen Aufwand mit sich, zumal Novell Consulting von einem Programm zur Automatisierung von Organisationsstrukturveränderungen – dem sogenannten Move-Proxy – abgeraten hat. Der Neuordnungsprozess nach der Strukturreform gestaltet sich allerdings auch derzeit so langsam, dass mit verwendbaren Ergebnissen nicht vor dem Release 1 gerechnet werden kann. Gespräche mit Herrn Dr. Steinhäußer bzgl. einer frühzeitigen Informationsbereitstellung laufen jedoch.
Herr Orschiedt wird um eine nochmalige Aufwandsschätzung und Diskussion des pro-und-contra bzgl. des Move-Proxy gebeten.

Insgesamt lässt sich festhalten, dass der Termin 16.07.2007 für ein komplettes Integrationssystem NICHT ZU HALTEN sein wird.

Stattdessen strebt das Team nun an zum 18.07.2007 ein Integrationssystem mit HIS, DIAPERS sowie LDAP fertig zu stellen.
Hierfür wäre es förderlich, wenn ein DBA einen halben Tag pro Woche zur Verfügung stünde. Herr de West wird um eine Lösung gebeten.
Bis zu diesem Zeitpunkt wird auch ein aktualisierter Projektplan vorgelegt.

Herr Lippert berichtet, über den Status der Herstellung der Barrierefreiheit bei der UserApp, dass Novell das Unternehmen DIAS mit einer BITV-Zertifizierung beauftragen werde. Hierbei sei allerdings zu berücksichtigen, dass die BITV sich auf statische Inhalte beziehe und die UserApp erhebliche dynamische Teile beinhalte. Dennoch sei man positiver Stimmung, eine ausreichende Punktzahl zu erreichen.

Herr Eggers beschrieb die Planung der Lasttests mit den Unis Passau und Würzburg als derzeit eingeschlafen, weil alle mit ihren eigenen Projekten beschäftigt seien. Nach der Verfügbarkeit des ersten Integrationssystems will er wieder den Kontakt suchen und einen neuen Anlauf für Novell.IDM@Bayern starten.

Desweiteren wurde der Kostenbericht #8 von Novell kurz erläutert.

2. Risiko Management – Review der Top Risiken / offene Punkte
Da alle Punkte bereits unter TOP 1 angesprochen wurden, sei dieser Ausschnitt aus dem Risiko-Management nur der Vollständigkeit halber erwähnt.
a) Kategorie Blocker:
Konsensverfahren
Novell Lizenzen (JDBC) wurde am 06.07.2007 durch Novell (Volkmar Reiss) gelöst
b) Kategorie Critical:
Ablösung der bisherigen Benutzerverwaltung bis 2007
Barriefreie Weboberfläche Novell Front-End
Abbildung der Organisationsstruktur
DIT-Struktur
Anbindung RRZE-Abrechnung

3. Ausblick bis nächster Termin / Nächster Termin
Bis zum 18.07.2007 wird ein aktualisierter Projektplan vorgestellt.

Die nächste Sitzung des Lenkungsausschusses findet am 19.09.2007 statt und hat vor allem den Bericht an das StMWFK zum Gegenstand.
Die genaue Uhrzeit bestimmt sich nach dem Flug von Herrn Adam

4. Review Projektorganisation / Rollen und Verantwortlichkeiten
Aus Sicht von Novell hat sich die Rolle des Projektcoach erübrigt. Nach einer intensiven Einbindung zu Beginn des Projekts war die Beteiligung und der Beratungsbedarf immer weiter zurück gegangen. Herr Lippert scheidet daher aus dem Projekt aus.
Überraschend teilte Herr Lippert mit, dass er auch Novell verlassen werde um sich neuen Herausforderungen zu stellen.
Das RRZE und IDMone bedankt sich recht herzlich bei Herrn Lippert für die geleistete Arbeit. Er war eine echte Stütze und hat den guten und flotten Projektstart erst möglich gemacht! THX!

Herr Dr. Rygus und Herr Eggers haben ihre Rollen und den Verantwortungsbereich differenziert.
Herr Dr. Rygus ist damit Projektleiter von IDMone.
Herr Eggers wird sich auf seine Arbeit in der Stabsstelle Projekte & Prozesse konzentrieren, aber in Querschnittsaufgaben immer noch aktiv an IDMone mitwirken.

IDM-Wochen-E-Mail 026

In dieser Woche gab es zwei dominierende Themen. Den Umzug in den ersten Stock und den Besuch des Novell-Consulting.

Der Umzug ist inzwischen vollzogen und fast alles wieder einsatzbereit. Vor allem die Telefon-Umleitungen sorgen noch für Verwirrung.

Der Besuch von Herrn Orschiedt konnte zur Klärung einiger Fragen beitragen. Nun ist klar, wie die Datenbankseite für den JDBC-Treiber aussehen muss. Ob die Anbindung von DIAPERS in der gewünschten Form klappt, konnte allerdings aus Zeitgründen nicht mehr getestet werden.

Eine hierarchische Form der Daten für die Organisationsstruktur konnte mit Hilfe eines Treibers rudimentär erstellt werden. Hier muss allerdings noch Arbeit investiert werden. Ob die vorhandenen Daten aus DIAPERS für die Realisierung des IDM-Systems ausreichen muss noch geprüft werden.

Herr Klasen konnte zusammen mit Herrn Zhelev die im Vorfeld abgesprochenen Punkte klären. Hier wird sich in der nächsten Woche zeigen, ob es noch Fragen gibt.

Herr Eggers war mit Herrn Hergenröder in Grenoble auf der EUNIS um IDMone zu vertreten und vorzustellen.

Nächste Woche wird das Team von IDMone eine Schulung erhalten, in der der Umgang mit Workflows vermittelt wird. Danach wird weiterhin die Umsetzung der Treiberlogik im Mittelpunkt stehen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Programmierung der dll zur Anbindung von HIS SOS
– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung