RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

CampusSource-Workshop Dortmund am 04.12.2007

Am 03. und 04.12.2007 luden die Projektverantwortlichen des CampusSource-Projekts an die Universität Dortmund ein. V. Buzek und P. Rygus besuchten gemeinsam den zweiten Tag, an dem die Vorträge eher technischen Charakter hatten.

Eröffnet wurde der Workshop von Herrn M. Postel, der einiges über Hintergründe und Projekthistorie berichtete. So wartet beispielsweise das bewilligte Projekt immer noch auf erste Zahlungen.

Herr Christof Pohl gab anschliessend eine Einführung in die CampusSource Engine (CSE).
Die CSE ist demnach eine Middleware mit Enterprise Service Bus (ESB) Charakter. Sie verhält sich nach dem Grundsatz des ‘Message Based Coupling’, was eine schwache Bindung zwischen den Systemen bedeutet. Die Systeme selbst können dadurch weitestgehend autark bleiben und werden von der Engine nur verwendet. Dabei wird das Prozessmodell von der technischen Umsetzung getrennt. Im Prinzip werden immer jeweils zwei Systeme miteinander verbunden und je nach Anforderungen Daten verschoben. Die Engine selbst kann nur auf Ereignisse reagieren. Eigene Abfragen sind nicht möglich. Das System speichert keine eigenen Daten, hat also auch keine datenschutzrelevanten Probleme, wie sie im Zusammenhang mit Meta-Directories vorkommen. Alle übergreifenden Funktionalitäten sind hier abgebildet und werden zentral umgesetzt. Es geht in die Richtung ‘Virtuelles Directory für Prozesse’. Die CSE ist ein Framework für Kopplungslösungen mit Fokus auf den Bildungsbereich. Guter Ansatz, aber bisher leider nicht sehr weit implementiert.

Bisher gibt es Konnektoren für Web Services, PHP, JAVA, .NET. Clustering der Lösung ist möglich. Die Engine nutzt den Java Messaging Service. Als Voraussetzung muss ein IDM-System mit AAA-Lösung vorhanden sein.

Herr Pohl hält Repositories für die CSE nur bei universitätsübergreifenden Lösungen für nötig. Bei Installationen überschaubarer Größe kommt man ohne aus.

Im folgenden wurden die Komponenten der CSE beschrieben. Die Adapter für Endsysteme (EWS II, HIS LSF, ILIAS, IMC-Clix) sind bereits fertig. Sie erledigen die Kommunikation auf Protokoll- und Prozessebene. Adapter für Datenbanken, Web Services und LDAP gibt es ebenfalls. Jeder Adapter sucht sich die Daten dort zusammen, wo sie liegen. Die Informationen dafür sind intern abgelegt. Das interne Datenmodell kennt alle Veranstaltungen, Personen, Rollen bzw. Verzeichniselemente, deren Relationen frei wählbar sind. Abgelegt wird alles in XML. Abhängigkeiten werden automatisch aufgelöst und so die Geschäftslogik und die Prozessmodellierung umgesetzt. Eine Routine zur Fehlerbehandlung versucht, Inkonsistenzen aufzudecken und zu beheben. Es gibt aber keine Rollback-Funktion. Die CSE wird derzeit nur mit JBoss entwickelt.

Die nächsten Schritte werden sein, zusammen mit der Uni Cottbus eine Referenzinstallation aufzubauen und die Dokumentation zu erstellen. Derzeit gibt es Dokumentation nur im Quelltext. Konnektoren für Moodle, OpenUSS sind in PLanung, die Anbindung von StudIP und Metacoon ist noch in Diskussion. Die Geschäftslogik wird derzeit noch im Java Quelltext abgelegt. Künftig soll dafür jBPM Verwendung finden.

Der Quelltext wird via CVS unter http://cse.campussource.de verfügbar sein.

Anschliessend trug Herr Jauer von der HIS Zukunftsträume vor. Interessant daran ist aus heutiger IDMone-Sicht eigentlich nur, dass die Module weiterhin weitestgehend autark bleiben sollen. Bei den Schnittstellen, die künftig angeboten werden, ist SOAP die Methode der Wahl. Alles Weitere kann erst in die Diskussion einfließen, wenn die Umsetzung in einem realistischen Zeithorizont erwartet werden kann.

Das Identity Management an der Uni Duisburg-Essen wurde im Anschluss von Herrn Lützenkirchen vorgestellt. Leider ging er nicht ins Detail. In Duisburg arbeitet man weitestgehend mit Rollen, um die Geschäftsregeln abzubilden. SSO via CAS ist dort auch bereits realisiert. Das IDM-System basiert auf IBM Tivoli. Verbunden sind die Systeme HIS SVA und SOS, Aleph für die Bibliothek, das Studentenportal, CAS, BSCW, Moodle, ILIAS, LDAP, Radius, AD, Mail und WLAN. Die Matrix der Dienstleistungen aufgetragen über die Kundengruppen passte auf eine Folie. Das kann man durchaus als gelungene Konzentration auf das Wesentliche bezeichnen. Da die Personensuche nur über LSF erfolgt, scheint es keine Gäste zu geben, die wie Personen behandelt werden. CAS wird für den Zugang zu Diensten und Rechnern verwendet. CAS kann zwar Kerberos und SSOut, ist aber nicht in der Lage, Parameter zu übertragen.

Im folgenden Vortrag stellte Herr Dr. Stüttgen den Sun Identity Manager vor. Die Directory Server Enterprise Edition bietet im Unterschied zu den meisten Mitanbietern kein Meta-Directory, sondern ein Virtuelles Directory an. Wie die Probleme mit nicht aktuellen oder unvollständigen Einträgen durch nicht verfügbare Systeme gelöst wurden, blieb aber offen. Bemerkenswert ist, dass alle Produkte als Open Source angeboten werden. Der Sun Identity Manager arbeitet mit einem flachen Rollenkonzept. Er kommt ohne Agenten auf den Zielsystemen aus. Als SSo-Lösung wurde die Liberty-Lösung gewählt, da hier offenbar bereits der SAML 2.0 Standard implementiert ist. Sobald Shibboleth 2.0 verfügbar ist, soll dies eingesetzt werden.

Herr Jens Schwendel vom Bildungsportal Sachsen stellte den OPAL-Dienst vor, der einrichtungsübergreifend von allen Bildungseinrichtungen Sachsens genutzt werden kann. OPAL arbeitet mit einer Shibboleth-Lösung. Die bekannten Probleme (SSOut, Deprovisionierung, Rollenmanagement) sind auch hier nicht gelöst. Leider wurde nur kurz auf das SaxIS-Projekt verwiesen.

Im Anschluss an diesen Vortrag las Herr Kasparek seine Folien über die Entwicklungs- und Laufzeitumgebung der CSE vor. Da die Folien demnächst online sein werden, wird an dieser Stelle auf eine ausführliche Zusammenfassung verzichtet. Die Folien waren allerdings durchaus interressant.

Ein etwas anderes Thema wurde von Herrn Dr. G. Pfüller von Horvath und Partner geboten. Er beleuchtete die technischen Aspekte von der wirtschaftlichen Seite. Seine Folien verdienen auch Beachtung.

Leider entfiel die Live-Präsentation der Referenzinstallation, da das System nicht lief. Dafür konnten viele Fragen beantwortet werden. Als Abschluss wurde noch über Neuigkeiten der Systeme LON-CAPA, ILIAS, OpenUSS und FuXML berichtet.

Leider konnte der Workshop die in ihn gesetzten Erwartungen nicht voll erfüllen, da das CampusSource-Projekt noch zu sehr in den Kinderschuhen steckt, um uns im laufenden IDMone-Projekt zu helfen.

Test-Anbindung WLAN via Radius erfolgreich

In den letzten Wochen konnte gleich bei mehreren Präsentation die testweise Anbindung von WLAN via Radius erfolgreich demonstriert werden.

So wurden eine regel-basierte und zwei workflow-basierte Provisionierungen gezeigt. Bei der regel-basierten handelte es sich um die automatische Erstellung eines WLAN-Accounts bei der Aktivierung der Person. Im Anschluss konnte die Person einen zusätzlichen WLAN-Account oder eine beliebige Anzahl von WLAN-Accounts für einen Kongress beantragen.

IDM-Wochen-E-Mail 47

Die letzten Wochen waren von konzentrierter Arbeit geprägt, weswegen es auch etwas still in Sachen Wochen-E-Mail wurde. Das Team hat die Umsetzung des Systems, das das brandneue eDir-Feature ‘nested groups’ weitestgehend ausnutzt, so weit fertig, dass die initiale Provisionierung einer Person aus DIAPERS funktioniert. Veränderungen, d.h. modifizieren oder löschen einer Person bzw. der dazugehörenden Einträge sind noch nicht fertig. Teile davon liefert die DirXML-Engine allerdings ohne nennenswerten Mehraufwand mit.

Herr Zhelev konnte die Arbeiten an der Anpassung der User Application an unsere Bedürfnisse gut vorantreiben. So wurde die Portierung der Routinen für die User Application auf die Version 3.5.1 fertig gestellt. Auch die Integration des Passwort-Vorschlag-Service in die Aktivierungsmaske ist gelungen. Das Portlet für die Anzeige der ‘Entitlements’ mit PDF-Generierung und die Definition der Workflows für das Arbeitspaket WLAN sind fertig. Eine Bibliothek mit Hilfsroutinen erleichtert das Generieren von Style-Sheets, die Umstellung der Benutzersprache und die PDF-Generierung.

In der vergangenen Woche konnte auch die exemplarische Provisionierung eines WLAN-Accounts realisiert werden. Somit ist erstmals der volle Zyklus vom Neueintrag im DIAPERS über die Aktivierung bis zur Provisionierung eines Zielsystems und dessen Nutzung durchlaufen worden. Damit liegt das Team voll im Zeitplan.

Es sind zwar im Laufe der Entwicklung einige Software-Bugs aufgetreten, das IDMone-Team geht aber davon aus, dass diese zeitnah behoben werden und somit kein großes Problem darstellen. Eine verbindliche Aussage seitens Novell zum Support von IDM 3.5.1 zusammen mit eDir 8.8.2 steht noch aus, wird aber diese Woche erwartet.

Auch die Dokumentation im Wiki wurde überarbeitet. Das wurde zwar teilweise bereits von der jüngsten Entwicklung wieder überholt, ist aber weitgehend aktuell und wird laufend angepasst.

Herr Tröger und Herr Zhelev haben auch im wissenschaftlichen Bereich Fortschritte gemacht und für ihre Promotion den fachlichen Rahmen konkretisiert. Herr Tröger hat in diesem Zusammenhang bereits eine Studienarbeit vergeben.

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

In dieser Woche steht eine Präsentation im Rahmen der AG IDMone und eine Videokonferenz mit den Kollegen von IDM@Bayern an. Des Weiteren werden die nächsten Ziele definiert und die Umsetzung begonnen.

Protokoll der Lenkungsausschusssitzung vom 06.11.2007

Das Protokoll zur heutigen Sitzung des IDMone Lenkungsausschusses fällt wegen einer Präsentation sehr kurz aus.

Tagesordnungspunkt 1: Status Projekt
Herr Tröger und Herr Zhelev präsentierten den aktuellen Stand des Projekts. Dieser umfasst die Übernahme der Organisationsstruktur – derzeit noch aus DIAPERS – sowie die Anlage der Testmitarbeiter. Sowie die Aktivierung neu angelegter Identitäten. Herr Tröger stellte dabei die internen Automatismen des Meta-Directorys vor, die eigentlich vor den Augen aller verborgen bleiben. Herr Zhelev konnte einen ersten Einblick in die Oberfläche des IDM-Self-Service gewähren. Zudem führte er in der Sitzung vor welche Mächtigkeit die Genehmigungsworkflows haben.
Herr Adam wies darauf hin, dass der Punkt Usability noch einigen Aufwand bedarf und es sinnvoll sein wird Testuser mit dem System zu beschäftigen.

Herr Dr. Rygus stellte das weitere Vorgehen vor, dass als nächstes Ziel bis Ende November die Implementierung eines kompletten Durchlaufs am Beispiel WLAN beinhaltet. Im Anschluss daran sollen die Kollegen im RRZE in den Genuss einer öffentlichen Funktionspräsentation kommen. Anschließend wird die Konzeption der Löschporozesse anstehen. Es ist möglich, dass die Zielsysteme DIAPERS und HIS SOS bis Ende Dezember angebunden sind. Dies ist derzeit aber vor allem von der Zustimmung des Datenschutzbeauftragten abhängig.
Herr Dr. Rygus wies noch einmal darauf hin, dass die Zusammenführung der Daten und die Identifikation der Personen eine große und umfangreiche Aufgabe für das Projekt darstellen wird.
Klar wurde anhand der heutigen Präsentation, dass ein Kernsystem auf der Basis der aktuellen Anforderungen steht. Änderungen hieran werden sich im zeitlichen Verlauf aber sicherlich ergeben. Ob das Konzept auch tragfähig ist, hängt von der noch ausstehenden Aussage Novells zu der Performance der Nested Groups ab.

Der Jahresbericht IDMone bedarf vor der Abgabe Ende November einer Aktualisierung. Diese wird Herr Eggers vornehmen und die neue Version den Lenkungsausschussmitgliedern zur Kenntnis geben.

Tagesordnungspunkt 2: Risiko Management – Review der Top Risiken / offene Punkte
Es sind die lang bekannten in jedem Wochenbericht erwähnten Punkte:
– Barrierefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

Tagesordnungspunkt 3: Ausblick bis nächster Termin / Nächster Termin
Der Ausblick wurde bereits unter TOP 1 von Herr Dr. Rygus gegeben.
Der nächste Termin für die Lenkungsausschusssitzung ist am 22.01.2008 – 14 – 17 Uhr vorbehaltlich einer Bestätigung durch Herrn Adam.

Tagesordnungspunkt 4: Sonstiges
Herr Eggers hat nochmal betont, wie sehr das RRZE mit der Arbeit und den Berichten von Herrn Klasen zufrieden ist. Allerdings sind die Berichts zu aufwendig und damit im Verhältnis zum Nutzen zu teuer. Es wurde daher vereinbart, dass Herr Klasen nur noch seine Notizen als Bericht zur Verfügung stellt.

IDM-Wochen-E-Mail 41

Eine sehr ruhige weil mit konstanter Arbeit angefüllte Woche ist vergangen und die Programmierung der Quellsystem-Anbindung DIAPERS sowie der Meta-Directory internen Prozesse ist abgeschlossen. Herr Tröger konnte in der Teambesprechung zeigen, wie das System die Daten aus dem Quellsystem ausliest und entsprechend der Konzeption aufbereitet. Somit ist das System soweit, dass das erste Zielsystem (RADIUS für WLAN) angebunden werden kann. Hierzu passend hat Herr Zhelev die Routinen zur Konto-Aktivierung inkl. Passwort-Vorschlagservice weitestgehend fertig gestellt. Außerdem portiert er die bisher erstellten Routinen auf IDM 3.5.1

Die AG IDMone tagte am Dienstag. Herr Dr. Rygus stellte den aktuellen Projektstatus dar und Herr Büttner informierte über die geplante Migration von der RRZE-Benutzerverwaltung hin zu IDMone.

Das zum Kick-Off geäußerte Ziel der Abschaltung der bisherigen RRZE-Benutzerverwaltung wurde in einer Sitzung mit der RRZE-Geschäftsführung intensiv und ausführlich diskutiert. Auf Grund der bestehenden Abhängigkeiten und der bisherigen Projektentwicklung wurde es vorerst ausgesetzt. Langfristig ist es jedoch zu verfolgen, wobei zu klären bleibt, was eigentlich unter “RRZE-Benutzerverwaltung” zu verstehen ist und ob Abschaltung nicht auch eine gewisse Form der Transformation meint.

Während Herr Singer sich den typischen Aufgaben der Systemadministration der bestehenden IDMone-Infrastruktur widmete, war Herr Eggers fleißig dabei ihm weitere Arbeit zu verschaffen. Er klärte die Randbedingungen für die Aufstellung der IDMone-Hardware in einem besonders gesicherten Teil des Netzwerkes.

Außerdem hat Herr Dr. Rygus diverse Gespräche zu unterschiedlichen Themen, wie UnivIS-Anbindung, RRZE-Abrechnung, Migration und Diapers geführt. Leider scheint das von Novell empfohlene Role Assurance Modul nicht die Lösung für die im Projekt aufgetretenen Probleme zu bieten.

Die diesmal etwas umfangreicheren Inhalte der Videokonferenz Novell.IDM@Bayern hat Herr Dr. Rygus in einem eigenen Blogbeitrag http://www.blogs.uni-erlangen.de/IDM/stories/1156/ zusammen gefasst.

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

Die kommende kurze Woche steht ganz im Zeichen der Feinarbeit und der Dokumentation.

Videokonferenz IDM@Bayern

An der heutigen Videokonferenz nahmen die Kollegen aus Augsburg, Erlangen, Passau, Würzburg und vom LRZ teil. Eichstätt konnte aus technischen Gründen nicht dabei sein.

Im folgenden werden einige Stichpunkte aus der Konferenz wiedergegeben. Zunächst berichtete jeder seinen aktuellen Stand:

Die Kollegen in Passau sind gerade dabei, ihr VoIP-Sysytem anzubinden und die Datenschutzfreigaben zu erhalten.

In Augsburg beschäftigt man sich gerade mit dem Druck der Studentenausweise. Hier soll das initiale Passwort und die Kennung aufgedruckt werden. Die Daten werden nicht im HIS erzeugt und müssen deshalb während der Einschreibung nach HIS gelangen, um gedruckt zu werden. Hier gibt es Probleme. Verwendet wird nicht SOS, sondern LSF (Web-Service), da der Anstoss der Bereitstellung
sonst nicht klappt.

Am LRZ hat man gerade die OpenLDAP- und Exchange-Anbindung fertig. Auf dem Admin-Satelliten war eine Schema-Erweiterung nötig, um Probleme bei der Autorisierung zu beheben. Aktive Beschäftigungsverhältnisse werden in MA-StatusDetails abgelegt. für ausgelaufene Beschäftigungsverhältnisse wurde das Attribut MA-StatusAlumnus erzeugt. Beide Attribute sind multi-valued. Für Studenten gibt es analoge Attribute. Getestet wird das in kürze. Denmächst sollen Rollen anhand von der Organisationsstruktur gebildet werden. Das LRZ ist an einem Erfahrungsaustausch zu diesem Punkt interessiert.

Das RRZE berichtete kurz seinen Stand der Dinge. Eine ausführlichere Vorstellung wurde gewünscht und zugesagt, sobald die Treiber fertig sind und Novell die Skalierbarkeit bestätigt hat.

Als letzter der Runde berichtete Würzburg. Dort wird Mitte November der File- und Print-Service auf eDir 8.8 upgedatet, damit Universal Password eingeführt werden kann.
Die Wiederspruchsfrist für die Veröffentlichung im Adressbuch läuft demnächst aus, sodass dieses Verzeichnis in Kürze mit Daten gefüllt werden kann.
In Sachen SSO ist man noch im Kampf mit dem Shibboleth Identity-Provider.
Die SOS-Anbindung erfolgt im Moment noch mit Hilfe von csv-Dateien, soll aber auf JDBC-Treiber umgestellt werden. Eine Anbindung mittels Views ohne Trigger wurde getestet, ist aber viel zu langsam. Staging-Tabellen mit Triggern funktionieren deutlich performanter.

Nachdem alle Teilnehmer ihren Status berichtet haben, wurde die Diskussion der verschiedenen Schemata begonnen. Zunächst gab Herr Pluta vom LRZ die Möglichkeit, fragen zum IntegraTUM-Schema zu stellen. Dieses Schema mit flachen Objekten und durchnummerierten Objektklassen ist in Betrieb, er ist damit
aber nicht glücklich (warum, wurde nicht näher ausgeführt).

Eine Frage betraf ein Attibut, in dem die SVN-Version der Schema-Datei gespeichert werden soll. Durch die häufigen Schemaänderungen befürchtet man sonst, den Überblick zu verlieren. Das ist zwar geplant, aber noch nicht in Betrieb.
Die Frage nach den Erfahrungen beim Anlegen von Objektklassen (OC) mit einem IDM-Treiber förderte zu Tage, dass es nicht ratsam ist, mit Hilfe des Schemas eine hohe Datenqualität zu erzwingen. Dadurch kann man leicht bei implizit gesetzten OCs ein ‘must’-Attribut vergessen und deshalb in ein Treiber-‘Veto’ laufen.
Ein sehr interessanter Aspekt wurde im folgenden diskutiert: Wie werden 1:n und n:1-Beziehungen mit der dirXML-Engine realisiert. Hier ist ein Austausch geplant, um zu einer ‘best practice’ zu gelangen. Herr Hommel vom LRZ wies darauf hin, dass ein Konsultant von Novell erst kürzlich genau so eine Beziehung bei ihnen implementiert hat. Er sagte zu, dass die E-Mail-Adresse der betreffenden Kollegin an die Anwesenden geschickt wird, damit die Informationen eingeholt werden können.
Das LRZ pflegt eine OID-DB zum Verwalten ihres komplexen Schemas.
Am LRZ werden derzeit Daten gelöschter Objekte 10 Jahre aufgehoben. Es ist angedacht, künftig nie mehr zu löschen um die Anforderungen der Verwaltung und der Alumnibetreuung zu erfüllen. Das gilt aber nicht für die Systeme, die nur zur Provisionuierung dienen. Hier werden alle Daten sofort gelöscht.

Im Würzburg basiert im Gegensatz zum IntegraTUM das ID-Objekt (Person) auf die OC inetOrgPerson. Die anderen OCs werden als aux-Klassen hinzugefügt.
Es wurde kurz angesprochen, dass man das Quota-Attribut als Multi-Valued Attribut auch dafür nutzen könnte, um Teil-Quota zu addieren, ein echter Vorteil wurde aber nicht erkannt.
Es wird nicht erzwungen, dass eine Person ihr Anfangspasswort neu setzt. Es ändern nur ca. 10% der Nutzer. Dadurch kann man Kunden, die ihr Passwort vergessen haben, gut helfen.
Auch in Würzburg benötigt man Attribute zum Erkennen von aktiven oder passiven Einträgen. Hier ist das allerdings vor allem für das Adressbuch relevant.

Als Termin für das nächste Treffen wurde der Freitag, 30.11.2007 10:00 Uhr vereinbart.

 

Videoconference IDM@Bavaria

At today’s video conference the colleagues from Augsburg, Erlangen, Passau, Würzburg and from the LRZ took part. Eichstätt couldn’t take part because of technical difficulties.

In the following some bullet points of the conference will be displayed. At first everybody told something about the current status:

At the moment the colleagues in Passau are integrating their VoIP-system and are trying to keep the data privacy clearance.

In Augsburg student IDs are printed. Here the initial password and ID are supposed to be printed on. The data are not created in HIS and therefore have to be delivered to HIS during the enrollment to be printed. But here are some problems. SOS is not used but LSF (Web Service), because the kick-off for provision would not work in another way.

At LRZ the OpenLDAP- and Exchange integration is finished at the moment. A pattern enhancement was needed on the admin satellite to solve problems with the authorization. Active employments are filed in MA-StatusDetails. For expired employments the attribute MA-StatusAlumnus was created. Both attributes are multi-valued. There are analogue attributes for students. They will be tested soon. Soon roles will be displayed on the basis of an organizational structure. The LRZ is interested at this point in an exchange of experiences.

The RRZE briefly told its current state of affairs. A more detailed presentation was wished for and permitted, as soon as the driver is finished and Novell confirms the scalability.

In the last round Würzburg reported in full. The file- and print-service will be updated to eDir 8.8 in the middle of November so that Universal Password can be introduced.
The opposition period for publication in the address book will expire soon so that this account can be filled with data soon.

In case of SSO there is still a fight with the Shibboleth Identity-Provider.
The SOS connection works at the moment with the help of csv data, but should be transferred to JDBC drivers. A connection via views without trigger has been tested but is way to slow. Staging-tables with triggers clearly work with more performance.

After all the participants reported their status the discussion of the different patterns started. At first Mr. Pluta of LRZ offered the opportunity to ask question to the IntegraTUM-pattern. This pattern with flat objects and numbered object classes is running, but he is not satisfied with it (it was not told in details why this is so).

One question was on an attribute in which the SVN version of a pattern file should be saved. Because of repeated pattern changes, losing track is likely to happen. This was planned but is not running yet.
The question about experience with creating object classes (OC) with an IDM-driver showed that it is not advisable to force high data quality with a pattern. Through this it is likely to miss a ‘must’-attribute and therefore run into a driver-‘Veto’.
A very interesting aspect was discussed in the following: How are 1:n and n:1 relationships realized. An exchange was planned here to reach ‘best  practice’. Mr. Hommel of the LRZ indicated that a consultant of Novell recently implemented a relationship like this. He said that the e-mail address of said colleague will be sent to the attendees for further information.

The LRZ uses a OID-DB to supervise their complex pattern.
At the moment at the LRZ data of deleted objects are saved for 10 years. It is thought of never deleting at all to fulfill the requirements of the management and alumni supervision. This does not only apply to the systems but also to provisioning. Here, all data are deleted immediately.

In opposite to the IntegraTUM, in Würzburg the ID-object is based on OC inetOrgPerson. The other OCs are added as aux-classes.
It was shortly brought up that the Quota-Attribute as Multi-Valued attribute can be used for this case, to add a Part-Quota. A real advantage could not be recognized.
It is not forced that a person has to reset his/her password from the beginning. Only ca. 10% of the user change it. Therefore you can easily help costumers who forgot their password.
Also in Würzburg attributes to recognize activated or passive entries are needed. Here an address book seems relevant.

The next meeting is set for Friday, 30.11.2007, 10 am.

 

IDM-Wochen-E-Mail 40

Heißt es doch eigentlich “Alles neu macht der Mai!” so gilt dies bei IDMone auch für den Oktober.

Herr Singer befasst sich nun seit geraumer Zeit mit dem Update auf IDM 3.5.1. Inzwischen scheint er aber die meisten Klippen umschifft zu haben. Insgesamt verlief das Update nicht vollkommen reibungslos aber der Aufwand hielt sich einem durchaus üblichen Rahmen. Und auch für das Thema Ausfallsicherheit zeichnet sich eine Lösung ab, die allerdings noch intensiver evaluiert werden muss.

Außerdem war endlich mal die Zeit diverse Arbeitsplatzausstattung zu installieren oder geordnet in Betrieb zu nehmen. Mott: Möge der Spieltrieb die Produktivität fördern.

Herr Dr. Rygus hat mit Herrn Heinrich die Abbildung der Druckkontenabrechnung besprochen. Dabei wurde deutlich, dass dafür ein entsprechendes Portlet im IDM-Service-Portal (IDM-S-P) geschaffen muss, dass aber vorrangig der Manipulation von Attributen dienen soll. Die implementierende Verarbeitungslogik wird sich in Grenzen halten, so dass von einer Fleißaufgabe gesprochen werden kann.
Zukünftig staht aber eine Ablösung des Printservers an, aber dieses Thema ist erstmal RRZE-intern zurück gestellt.

Außerdem hat Herr Dr. Rygus die Dokumentation der Anbindung der Personalverwaltung DIAPERS fertig gestellt.
Dieses Arbeitspaket wartet jetzt also auf den Integrationstest. Während die Hardware dafür bereits in Bestellung ist, steht die Zustimmung des Datenschutzbeauftragten noch aus.

Am Wesentlichsten für die Arbeit war jedoch der Termin mit Novell in der vergangenen Woche. Herr Klasen stellte das neue Roles Assurance Module vor, dass Herr Adam bei der letzten Lenkungsausschusssitzung als mögliche Lösung vorgeschlagen hatte. Zum erfolgreichen Einsatz muss aber die Voraussetzung gegeben sein, dass am Ende genau ein Entitlement übergeben wird. Mit anderen Worten die Dienstleistungspakete müssen hinreichend definiert sein und es kann und darf keine Abweichungen davon geben. Denn jede Abweichung würde ein neues Paket ergeben.
Die derzeitige profilierte vernetzte Vielfalt ist also ohne weiteres nicht abzubilden. Eine Verwendung muss daher von Herrn Dr. Rygus intensiv geprüft werden.
Die Diskussion des Planungsstandes endete in einem Konsens über das weitere Vorgehen und der Bestätigung der Aussagen im PP-Wiki.

Im Themenfeld Dienstleistungsportfolio ging es nur insofern voran (s.u.) RRZE-Rechnungswesen, dass Herr Thomalla die Historie, die derzeitigen Prozesse sowie die Anforderungen erläuterte. Dabei wurde deutlich, dass es in diesem Bereich ohnehin Handlungsbedarf gibt, der aber nicht – wie bisher angenommen – ausschließlich auf IDMone durchschlägt.

In Gesprächen zu den Arbeitspaketen wurde deutlich, dass die Spezifikation des E-Mail-Systems auch weiter wegen hochpriorisierten Aufgaben des Tagesgeschäfts zurück gestellt werden muss. Im Bereich der Service Theke wird es diverse Masken und Möglichkeiten zur Problembehebung geben müssen. Diese werden allerdings in Fleißarbeit erstellbar sein und haben wenig bis keinen Einfluss auf die Konzeption.

Die neue Version des Novell IDM und die hinzugekommenen Informationen machten eine Anpassung der IDM-S-P Konzeption sowie der bereits erstellten Portlets durch Herrn Zhelev notwendig.

Frau Meyer-Seidt, die derzeit exklusiv an der Konzeption für die Datenbank-Applikation zur Abbildung der Organisationsstruktur arbeitet, konnte die Use Cases in Abstimmung mit den beteiligten Kollegen verfeinern und das Grundgerüst für das RASCI-CHART zur Analyse der Anwenderstruktur und -berechtigungen erarbeiten.

Angesichts der während seiner Abwesenheit aufgelaufenen Punkte konnte sich Herr Eggers nur mittelbar um IDMone-Belange kümmern.
Sein Reisebericht vom ZKI Arbeitskreisverzeichnisdienst findet sich bereits im Blog http://www.blogs.uni-erlangen.de/IDM/stories/1118/.
Außerdem besteht die realistische Chance, dass endlich eine Nachfolge für die Teamassistenz gefunden wurde, nachdem die Stelle über Monate vakant war.
Leider waren die Recherchen für die Aufbereitung des Dienstleistungsportfolio nicht so erfolgreich. Scheinbar hatte es bisher sehr wenige mit einer ähnlichen profilierten, vernetzten Vielfalt zu tun oder haben kurzer hand tabula rasa gemacht und sind auf der grünen Wiese neu gestartet.

Um die Barrierefreiheit von selbst entwickelten Webanwendungen im Blick zu behalten und zu wissen, welche Punkte bei der Anpassung bestehender Anwendungen beachtet werden müssen, fand am Donnerstag ein Kurs des RRZE Schulungszentrums zum Webbaukasten http://www.vorlagen.uni-erlangen.de/ statt, an dem u.a. auch die Herren Eggers, Singer, Tröger und Zhelev teilnahmen.

Bleibt noch anzumerken, dass auch die bei IDMone ausgeschrieben HiWi-Stellen im RRZE-Autumn of Code http://www.pp.wiki.uni-erlangen.de/index.php/Kategorie:RRZE_autumn_of_code zu finden sind.

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

Die wegen dem Abwesenheit von Herrn Eggers und den Vorbereitungen zur Langen Nacht der Wissenschaften aus gesetzten Workshops werden wohl noch eine weitere Woche ruhen müssen, da es zu Terminüberschneidungen und höher priorisierten Terminen kam.
Die Erkenntnisse des Termins mit Novell sind aufzubereiten und die Änderungen am Konzept umzusetzen.
Am Dienstag treffen sich die Mitglieder der AG IDMone mit einem Statusupdate und der Vorstellung des Migrationskonzepts.

Sitzung des ZKI Arbeitskreises Verzeichnisdienste (vd-ak) 11. + 12.10.2007 in Hamburg

Sitzung des ZKI Arbeitskreises Verzeichnisdienste (vd-ak) 11. + 12.10.2007 in Hamburg
Am 11. und 12.10.2007 tagte der ZKI Arbeitskreis Verzeichnisdienste (ZKI vd-ak) zu seiner zweiten Sitzung an der Universität Hamburg. Trotz der etwas kurzfristigen Ankündigung fanden 45 Kolleginnen und Kollegen den Weg nach Hamburg um sich über die neuesten Entwicklungen im Umfeld zu informieren.

Das Programm ist dem offiziellen Protokoll http://zki.hrz.uni-dortmund.de/ZKI/Content/Protokoll_vd_ak_2007_10_11.shtml zu entnehmen, weshalb hier nur auf die aus IDMone-Sicht erwähnenswerten Punkte eingegangen werden soll.

Das von Herrn Winnemöller vorgestellte Golem-Projekt vereint Elemente aus IDM, Rollenverwaltung und Portal in einer Lösung. Da es sich um eine Hamburger Eigenentwicklung handelt und sehr auf die speziellen Anforderungen zugeschnitten ist, scheint eine Weiterverwendbarkeit fraglich.

In seinem Vortrag zu HISinOne sprach Herr Dr. Hübner über die Möglichkeit auf alle Daten in HIS per web-service nicht nur lesend sondern auch schreibend zugreifen zu können. Dies lies Herrn Eggers aufmerken, da sich dies für POS als nicht machbar erwiesen hatte. Schnell wurde aber deutlich, dass das gesagte sich auf HIS LSF bezog. Herr Dr. Hübner hat jedoch darum gebeten, die entsprechende Anfrage an ihn und Herrn Dr. Klingspohn zu eskalieren.
Die zweite Neuigkeit war, dass HIS PSV kein eigenes Modul sondern integraler Bestandteil von HISinOne werden wird. Es ist damit nur für HISinOne-Pilothochschulen verfügbar. Außerdem hat es wesentliche Änderungen in der bisher kommunizierten Spezifikation gegeben.
Das Resümee muss lauten: Es tut sich was bei der HIS i.S. HISinOne!

In der kurzen Präsentation von Herrn Eggers wurde sowohl der aktuelle Status von IDMone als auch von Novell.IDM@Bayern resümiert. Die anwesenden Kollegen zeigten sich besonders an letzterem sehr interessiert. Allerdings auf die Freigabe der eigenen Dokumentation angesprochen wurde es ruhig, da diejenigen mit realisierten Projekten in der Minderzahl waren.
Herr Eggers wurde aufgefordert IDMone und ein generelles IDM-Konzept bei der nächsten Sitzung des vd-ak ausführlich vorzustellen.

Herr Dr. Hommel stellte IntegraTUM bzw. LRZ-SIM und damit ein Konzept auf der Basis verschiedener Verzeichnisdienste mit verschiedenen Schemata vor. Er betonte dabei den föderativen Charakter dieses Ansatzes, der aus den verschiedenen Kunden des LRZ mit übergreifender Ressourcennutzung entstand. Die lokale Föderation vernetzt sich nach außen über ein SSO mittels shibboleth und bringt so die angebundenen Dienstleistungen i.S. Verwaltung und Design “auf Linie”.

Am zweiten Tag berichtete Herr Deutschmann JD den verhinderten Herrn Kluge über das SaxIS-Projekt, dass inzwischen beendet ist. Der einzige Wissenträger ist inzwischen mit anderen Aufgaben betraut und hatte daher keine Zeit für den Vortrag. Damit scheint auch die Nachnutzung des Wissens ungeklärt. Die TU Chemnitz hatte die Projektführung und dort scheint auch das Hauptwissen angesiedelt zu sein. Die Projektdokumente sind unter http://saxis.tu-freiberg.de verfügbar.
Ein Kernergebnis des Projekt war die Erkenntnis, dass größere Einrichtungen ein IDM benötigen. Kleinere Organisationen können hingegen ggf. darauf verzichten
.
Die TU Chemnitz bietet diesen daher SSO sowie die sonst notwendigen Dienste als Dienstleistung an.

Herr Prof. Stenzel berichtete von der gemeinsamen Sitzung mit dem ZKI AK E-Learning sowie über die Koordinierungsgruppe Schnittstellen. Der AK E-Learning wird vor allem durch Niedersachsen getrieben. Während sich die Koordinierungsgruppe Schnittstellen mit Schnittstellenprobleme, die in BMBF-Projekten auftauchten, befasst. Da Schnittstellen auch ein großes Thema im Bereich E-Learning ist, gibt es viele Gemeinsamkeiten die nun auch in Richtung vd-ak ausgelotet werden sollen. Primär dient die Arbeit der Suche nach Kontakten für eine nachhaltige Nachnutzung.
Besonders im Bereich E-Learning wird ein Problem mit fremd-geförderten Projekten deutlich: Bisherige Projekte sind nur locker an die jeweiligen Rechenzentren gebunden, aber nach Auslaufen der Föderung ist Übernahme der AUfgaben (Produktivbetrieb) durch die RZ notwendig
! Hierfür soll ebenfalls nach Lösungen gesucht werden.
Am Rande des Berichts wurde bekannt, dass die DINI AG Protale nicht weiter existiert. Es wurde aber betont, dass das Thema nicht tot ist, es aber derzeit keinen dedizierten Ansprechpartner gibt.

Die Vorträge von Herrn Kähler und Herrn Gietz zur DFN-AAI bargen den meisten Zündstoff einer Diskussion die von Herrn Dr. Hommel und Herrn Eggers angeführt wurde. So soll die DFN-AAI zwar zur DFN-Betriebstagung bzw. shibboleth-WS online gehen, jedoch ist der Prozess zur Aufnahme von neuen Attributen in die DFN-AAI noch ungeklärt. Und das Bewusstsein für die Dringleichkeit der Ergänzung entstand erst im Laufe der Diskussion.
Herr Kähler hat daraufhin angekündigt die Betroffenen zu einem Termin einzuladen, der aber wohl erst in 2008 stattfinden wird.
Außerdem hat der die Notwendigkeit eines deutschlandweiten Konsenses ins Feld geführt, der aber wohl realistischer Weise nicht möglich sein wird.

Auch die von Herr Gietz aufgestellten Forderungen nach einer Funktion für Benutzer über die Möglichkeit selbst bestimmen zu können, welche Attribute in der DFN-AAI weiter gegeben werden können, wurde diskutiert. Zumal sich bisher existierende Tools als schlecht bedienbar und damit als Support-Monster erweisen haben.
Äußerungen, dass die bayerische Attributanfrage aus datenschutzgründen kritisch gesehen
wird, dass hisPerson und schacPerson ausreichend sein und es eine fehlende Ontologie für Studiengänge
gibt, wurde ebenfalls auch noch nach dem Vortrag intensiv diskutiert.

Zum Thema Kooperationsbereitschaft mag auch passen, dass auf die Anfrage von Herrn Eggers, ob denn ein größeres deutsches Engagement bei Internet2 geboten sein, keine Reaktion und damit eine ablehnde Haltung eingenommen wurde.

Die nächste Sitzung wird an der FU Berlin stattfinden. Es wurde ein Termin in der KW 11 2008 (11. – 14.03.2008) vorgeschlagen. Neben der ausführlichen Vorstellung von IDMone sollen wieder mehr Firmenpräsentationen eingeladen werden.

Außerdem wird eine gemeinsame Veranstaltung zum Thema Portale mit den anderen betroffenen ZKI AK geplant.

Korrigierende Anmerkung zur letzten Lenkungsausschusssitzung

Im Bericht von der letzten Lenkungsauschusssitzung vom 19.09.2007 http://www.blogs.uni-erlangen.de/IDM/stories/1059/ war ein Abschnitt aus dem Risiko-Management enthalten, der zu einiger Verwirrung geführt hat.
Es ist daher notwendig einige korrigierende Worte zu schreiben:
Das Ziel “Ablösung der bisherigen Benutzerverwaltung”
wird widersprüchlich interpretiert. Es wird festgestellt, dass damit auf keinen Fall
die Ablösung der gesamten bisherigen “Benutzerverwaltung” des RRZE
gemeint ist. Für die nächste LA-Sitzung steht eine begriffliche Klärung und Klarstellung durch den Projektleiter auf der Tagesordnung. Im Zuge dessen wird auch darzustellen sein, wie die Ablösung / Weiterentwicklung / Anbindung der bisherigen “Benutzerverwaltung” geplant ist. Zum heutigen Zeitpunkt kann davon ausgegangen werden dass “Benutzerverwaltung” dabei die von Herrn Büttner entwickelte Kerndatenverwaltung des RRZE bezeichnet.

Die verspätete Veröffentlichung dieser Richtigstellung liegt im Urlaubs des Protokollanten begründet.

IDM-Wochen-E-Mail 39

Die Woche stand im Zeichen des Neuanfangs bezüglich der Planung der IDM-Verarbeitungslogik. Es wurde jeder Schritt hinterfragt und pragmatisch auf Nutzen und Machbarkeit abgeklopft. Auch die Verwendung der UserApplication als Self-Service-Portal stand zur Diskussion.

Nachdem sehr kontrovers diskutiert und mehrere Ansätze durchgespielt wurden, kristallisiert sich zum heutigen Zeitpunkt eine Lösung heraus, die zwar noch offene Fragen hinterlässt, aber dennoch machbar scheint und unsere Anforderungen besser abdeckt. Bleibt offen, ob das in KW42 vorgestellte Roles-Assurance-Modul an dieser Stelle Vorteile bringt. Der aktuelle Stand der Planung ist unter https://www.pp.wiki.uni-erlangen.de/index.php/Grundlagen_IDMone abgelegt.

Die wesentlichen Unterschiede zum vorher geplanten System sind der Verzicht auf die Verwendung von Entitlements, eine komplett andere Verknüpfung der anzahlmässig reduzierten Objekte und eine konsequent personenorientierte Auslegung der Self-Service-Anwendung, die bis auf weiteres, d.h. sofern technisch umsetzbar, mit der User-Application realisiert wird.

Herr Singer hat die Zeit genutzt, um sich um die Subversion- und Wiki-Administration zu kümmern, uns bei der Entwicklung zu unterstützen und die Beta-Version von IDM 3.5.1 zu installieren. Letztere scheint nur eine Veränderung im der User-App mit sich zu bringen, aber das muss noch verifiziert werden. Herr Zhelev muss hier noch genauer hinsehen, um die Unterschiede bzw. Vorteile für uns zu erkennen.

Neben der Arbeit am IDM-Konzept konnte der OrgChart-Bug gefixt werden. Für die Radius-Anbindung wurde eine Teststellung vorbereitet.

Das Thema Dienstleistungsportfolio wurde diese Woche durch eine IFB von Herrn Eggers den Mitarbeiterinnen und Mitarbeitern des RRZE nahe gebracht.
Er hat die betriebswirtschaftlichen Zusammenhänge erläutert und einen Bogen über die einzelnen Bereiche im RRZE und die bisherigen Ergebnisse der Dienstleistungs-Workshops gespannt.

In Sachen Organisationsstruktur gab es am Mittwoch in der ZUV einen erneuten Termin. Hier wurde das System der Organisationsstrukturnummern verfeinert. Die Anwendungsfälle haben gezeigt, dass für die vielfältigen Verwendungszwecke die 10 Stellen
langsam knapp werden. Allerdings sind die Stellen auf Grund technischer Restriktionen limitiert.
Es wurde daher beschlossen, dass die “Null-Ebenen” aufgegeben werden und dafür die Ebenen mit einer gewissen Semantik strukturiert werden.
Details dazu werden demnächst in einer Dokumentation veröffentlicht.

Wenn man die Neudefinition der IDM-Logik nicht als Risiko, sondern als Arbeitspaket sieht, sind die Top-Punkte im Risiko-Management derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

Die nächsten beiden Wochen wird das IDMone-Team fast komplett in Urlaub sein. Danach wird Herr Klasen das Roles-Assurance-Modul vorstellen. Der nächste Wochenbericht wird erst in KW42 erstellt.