Content

Your submission to LDAPcon 2007

18.07.2007

Am Montag dieser Woche erhielt Teammitglied Frank Tröger eine Annahmebestätigung seines eingereichten Abstracts. Herr Tröger wird darüber am 6.September auf der “1st International Conference on LDAP” in Köln einen Vortrag halten.

E-Mail:
Dear Frank Tröger,


thank you very much for your submission
   A Reference Schema for LDAP-based Identity Management Systems
to the 1st International Conference on LDAP.
In the name of the program committee I am delighted to notify you that

we have unanimously accepted your talk and scheduled it for
   Thursday, September 6, 16:00-16:45.
These are the next steps we kindly ask you to perform as soon as possible:
1. Please confirm (via e-mail to me) that you are willing to present

   your talk at the LDAPcon.
2. Please check the abstract of your talk at the yet unlinked page
   http://www.guug.de/veranstaltungen/ldapcon2007/abstracts.html#3_5_1
   If you want to make any changes to it please send them to Martin

   Schulte .
3. If you need sponsoring for your travel, please also contact Martin

   Schulte ; otherwise we assume that you

   will take care of your travel expenses yourself.
4. Martin will in any case contact you soon to give you further details

   especially with regard to the details on the submission of the final

   papers and accommodation.
5. Please remember to send in your final papers by August 12.
Looking forward to see you in Cologne,

Peter Gietz, chairman of LDAPcon 2007 program committee

Veranstaltungslink: http://www.guug.de/veranstaltungen/ldapcon2007

IDM-Wochen-E-Mail 028

16.07.2007

In der vergangenen Woche konnten wichtige Fortschritte bei der Anbindung der Quellsysteme DIAPERS und HIS SOS erzielt werden.

Die DIAPERS-Datenbank ist inzwischen mit Eventlog-Tabelle angebunden und scheint nach einigen Irritationen jetzt auch zu funktionieren. Es gab Probleme auf Datenbankseite, die leider nicht geklärt werden konnten. Bei den letzten Tests traten die Probleme aber nicht mehr auf, so dass der Client (IBExpert) als Ursache vermutet wird.

Bei der Anbindung von HIS SOS ergaben sich in der vergangenen Woche mehrere Aspekte, die geklärt werden mussten. Zum einen scheint es derzeit keinen Weg zu geben, die Anforderungen von HIS mit einer externen Logik zu befriedigen. Andererseits sollen Altlasten minimiert und nicht ohne Perspektive weiter erzeugt werden. Da die Rückmeldung zum Wintersemester Mitte Juli ’07, die Neueinschreibung Ende Juli ’07 und der Bedarf einer IDM-Lösung für CIT Amfang November ’07 eine schnelle Entscheidung erforderten, wurde eine Übergangslösung gewählt, die kurzfristig keiner Änderung des Leporello bedarf, aber eine Umstellung der Versorgung mit Studentendaten zu gunsten IDMone erlaubt. Diese Lösung wird gerade von den DBAs gebaut.

Mit einer eher langfristigen Perspektive soll HIS davon überzeugt werden, mit einem Release der HIS-Software nächstes Jahr eine elegantere Anbindung zu ermöglichen.

Die Arbeiten an der Treiberlogik für das Meta-Directory gehen voran. Das Ziel, bis Mittwoch Abend alles fertig zu haben ist immer noch möglich, aber sehr sportlich. Näheres hierüber kann man Ende dieser Woche berichten.

Diese Woche wird das Team von IDMone an der Treiberlogik des Meta-Directory weiter arbeiten. Herr Singer wird seine Abschlussprüfung ablegen. Das gesamte Team drückt ihm die Daumen!

Die Top-Punkte im Risiko-Management sind derzeit:

– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

IDM-Wochen-E-Mail 027

09.07.2007

Nachdem die meisten Themen der letzten Woche bereits im Lenkungsausschuss am Donnerstag angesprochen wurden, fällt dieser Wochenbericht etwas kürzer aus.

Die letzte Woche war geprägt von der Workflow-Schulung durch Herrn Klasen. Er konnte das Team von IDMone und Frau Warren aus Würzburg trotz des sehr unterschiedlichen Vorkenntnisstandes gut in die Thematik einführen und jedem interessante Informationen vermitteln.

Des weiteren konnte die vorläufige Struktur des hierarchischen DIT für den Admin-Baum aufgebaut werden. Als Quelle dienten die Informationen aus DIAPERS.

Sozusagen ‘just in time’ konnten die Lizenzen für die JDBC-Treiber eingespielt werden. Wir sollten jetzt keine Ausfälle aufgrund von Lizenzproblemen mehr haben.

Diese Woche wird das Team von IDMone weiter an der Umsetzung der Treiberlogik arbeiten.

Die Top-Punkte im Risiko-Management sind derzeit:
– Programmierung der dll zur Anbindung von HIS SOS
– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

Protokoll der Lenkungsausschusssitzung vom 05.07.2007

06.07.2007

1.Status Projekt:

Es hat sich gezeigt, dass die Ausgestaltung des Migrationskonzepts erst möglich wird, wenn das IDM-System weitestgehend ausgestaltet, also die Integrationstests für das neue System abgeschlossen sind. Migration bedeutet dabei, nach den Ausführungen von Herrn Dr. Rygus, dass es gilt, die einzelnen Systeme schrittweise aus dem bestehenden Verzeichnisdienst herauszulösen. Dabei gilt es unter Orthogonalisierung der Daten und ständiger Konsistenzprüfung die bestehenden Abhängigkeiten abzuschaffen und die alten Systemverbindungen nach und nach abzuschalten.
Schon jetzt wird aber deutlich, dass folgende Funktionen des bisherigen Verzeichnisdienstes nicht durch das IDM abgedeckt werden können:
– Verwaltung sowie Abrechnung der Druckkonten
– RRZE-Rechungswesen
Gerade beim letzteren Punkt heißt dies, dass geprüft werden muss ob HIS FSV eine gangbare Alternative bietet oder ob die Einführung eines Customer-Relationship-Management-System projektiert werden muss.

Die UserApp-Schulung vom 14. – 16.05. hat drei wesentliche Kritikpunkte an der Novell User Application zu Tage gefördert, die bis zur Sitzung nicht durch Novell geklärt wurde. Deshalb wurde diese nochmals angesprochen:
1. Es gibt für die UserApp keine durch Kunden verwendbaren APIs.
D.h. alle Zugriffe eigener Portlets auf das zugrundeliegende eDirectory erfolgen direkt via LDAP.
Herr Adam sah diese Situation ebenfalls als unvorteilhaft. Allerdings betonte er, dass die UserApp und die zugrunde liegenden Novell Produkte nicht als eigenständiges Portal positioniert seien und daher nicht offiziell dokumentiert wurden.
Eine offizielle Dokumentation wird mit der UserApp 3.5.1 voraussichtlich im Oktober verfügbar sein, was aber für IDMone zu spät wäre, um seine Entwicklungen darauf abzustellen. Daher wird Herr Adam versuchen die Novell-interne Dokumentation zeitnah zur Verfügung zu stellen. Diese wird zwar nicht sehr ausführlich sein, sollte aber unter Einbeziehung des Consultants Wolfgang Schreiber zu wiederverwendbaren Ergebnissen führen.

2. Durch die fehlende APIs haben Kundenportlets kein Zugriff auf das Directory Abstraction Layer (kurz DAL).
Daraus folgen weitreichende Konsequenzen! Alle dort definierten Beziehungen, z.B. Employee-Manager-Beziehung zum Aufbau der Organisationsstruktur, können vom integrierten OrgChart-Modul verwendet werden. Eigene Portlets bleiben außen vor.
Für Herrn Adam stellt dies eine wesentliche Funktion der Portalintegration dar. Novell wird demnächst auch einige kommerzielle Portale unterstützen.
Diesbezüglich wies Herr Eggers darauf hin, dass in Universitäten derzeit Portale unter einer Open Source Lizenz bevorzugt werden. Die allgemeine Diskussion dreht sich um Liferay und uPortal . Um die flexible Integration zu gewährleisten, stehen für Universitäten die Standardkonformität im Fordergrund.
Herr Adam berichtete, dass aus Sicht von Novell der JSR168 sich als Sackgasse erwiesen hat, da er nicht alle benötigten Funktionen unterstützt. Ob der Nachfolge-Standard JSR286 Berücksichtigung findet blieb offen. Auch konnte nicht geklärt werden, welche Single-Sign-On-Lösungen (ausgenommen Novell iChain) kompatibel sein werden. Novell arbeitet derzeit an einer Integration auf AJAX-Basis.
Aus diesen Gründen wird Herr Adam einen Call mit dem IDM Produktmanagement organisieren in dem diese Fragen erörtert werden können.
Aus Sicht des RRZE sollte dieser Call nach dem 20.07.2007 statt finden, da vorher noch interne Klärungen notwendig sind.

3. UC1203 Affiliation auswählen
Herr Schreiber konnte keine Lösung bieten (fehlende Schnittstellen). Damit ist immer noch nicht geklärt, ob Personen zwischen Ihren verschiedenen Affiliations wechseln können.
Herr Dr. Rygus machte deutlich, dass die fehlende Möglichkeit in der laufenden Session zwischen den Affiliations wechseln zu können, einen erheblichen Rückschritt gegenüber der derzeitigen Weboberfläche darstellt.
Herr Adam sieht zwar etwaige Möglichkeiten bei einer Änderung des Datenmodells, aber da die Consultants davon abgeraten haben, wird wohl auch dieser Punkt mit dem IDM-Produkt-Management zu diskutieren sein. Eine Lösung ist kurzfristig nicht in Aussicht

In der Zeit vom 18.05. bis 08.06.2007 ruhte die Arbeit bei IDMone wg. Urlaub.

Einzig das Novell Campus-Treffen in dieser Zeit ist erwähnenswert, da es nicht gelang den Kunden das Umstellungsrisiko bei Novell eDirectory bewusst zu machen. Besonders die Migration der Zenworks-Pakete von Version 3 auf aktuelle Version wird einige überraschen.
Es scheint angeraten zu sein, die Novell Anbindung komplett an Novell Consulting out zu sourcen.
Gegenstand des Auftrags wird der Aufbau einer eDirectory 8.8 Enklave in einer eDirectory 8.7.3 Umgebung mit Provisionierung der Enklave aus dem IDM sowie Dokumentation und Integrationstests sein.
Herr Adam wird Herrn Orscheidt zu einem zeitnahen Angebot veranlassen.

Bezüglich des Consultings sah sich das RRZE zu Kritik an der Dokumentation von Herrn Orschiedt veranlasst.
So steht seit über 10 Wochen ein Protokoll eines Kundengesprächs bezüglich der Novell-Anbindung sowie der darauf basierenden Aufwandsschätzung aus. Auch sind Zwischenberichte wie die von Herrn Klasen nach OnSite-Terminen wünschenswert.
Novell empfiehlt daher nach einiger Beratung bei zukünftigen Terminen Zusatzzeiten für Dokumentation durch Herrn Orschiedt einzuplanen da dieser in diverse Projekte eingebunden ist und somit nicht über die notwendigen Pufferzeiten verfügt.

Desweiteren haben die vergangen Wochen der praktischen Arbeit gezeigt, dass die Programmierung der Treiberlogik deutlich aufwendiger ist als geplant.
Die Umsetzung der theoretischen Konzepte stellt sich als sehr arbeits- und abstimmungsintensiv dar.
Auch haben Urlaubszeit und Schulungen als Unterbrechung negative Auswirkungen auf den Projektfortschritt gehabt und auch technische Kleinprobleme trugen messbar zur Verzögerung bei.

Als Beispiele wurden zwei Systemanbindungen eingehend diskutiert.

Zum einen war dies die Anbindung des Quellsystems HIS.
Hier hat das Kundengespräch eine Anbindung durch den Austausch einer zentralen dll als gewünschte Alternative ergeben.
Allerdings verfügt das RRZE nicht über einen dll-Programmierer. Ein Outsourcing kommt wegen fehlender Mittel nicht in Frage. Und die HIS hat starke Bedenken gegen die Lösung bezüglich Antwortverhalten und Systemstabilität vorgebracht. Allerdings verfügt die HIS derzeit auch nicht über die Ressourcen die dll nach den Vorstellungen von IDMone neu zu gestalten.

Es wurden diverse Alternativen ausführlich diskutiert, was in folgendem Ergebnis mündete:
1. Novell Consulting wird um eine schriftliche Stellungnahme per E-Mail gebeten, dass die angestrebte Lösung von Seiten des IDM die Anforderungen an Reaktionszeit und Stabilität erfüllen kann.
2. Liegt diese Stellungnahme in positiver Form vor, wird Krasimir Zhelev eine Aufwandschätzung für die dll-Programmierung anfertigen.
3. Parallel zu dieser Analyse wird nochmal Kontakt mit der HIS gesucht um eine Lösung zu finden, die die Projekt-Ressourcen möglichst wenig belastet.
4. Schlagen alle Versuche fehl die geplante Lösung umzusetzen, wird folgender Alternativplan erzeugt.
4.1. Die bestehende dll findet weiter Verwendung. Die generierte Kennung dient nur noch der Aktivierung.
4.2. Der Ausdruck der E-Mail-Adresse auf dem Leporello wird unterbunden. Die von HIS SOS genereierte Kennung wird mit dem Hinweis “Aktivierungskennung” auf das Leporello gedruckt. Außerdem bekommen die Studierenden ein Hinweisblatt zur Aktivierung mit den damit potentiell verfügbaren Dienstleistungen sowie der RRZE-Nutzungsordnung.
Es wird notwendig sein, Anreize für die Kennungsaktivierung zu schaffen. Hierzu ist die RRZE-Redaktion sowie die Marketing-AG der FAU einzubeziehen.
4.3. Die temporäre Kennung wird bei der Anmeldung durch eine semantik-frei (IDM-konforme) Kennung ersetzt und die Studierenden erhalten die Möglichkeit sich einen Loginbrief mit allen wesentlichen Daten auszudrucken bzw. als pdf abzuspeichern.
4.4. Eine Rücklieferung der aktivierten Kennung an den Datensatz in HIS SOS bleibt zu prüfen.

Die zweite Systemanbindung mit erheblichen Veränderungen betrifft das E-Mail-System.
Hier ist entgegen der Projektannahme ein Wechsel der E-Mail-Software abzusehen, da der Hersteller des bestehenden Systems das Produkt abgekündigt hat. Aus diesem Grund wurde nochmals das Gespräch mit der E-Mail-Gruppe gesucht, die davon überzeugt werden konnte, dass eine vollständige Provisionierung aus dem IDM eine Entlastung von Aufgaben der Benutzerverwaltung und somit erhebliche Arbeitsersparnis mit sich bringt. Allerdings muss nun die Schnittstelle zwischen IDMone und dem E-Mail-System sehr exakt definiert werden. Dies bedeutet einen erheblichen Mehraufwand gegenüber der bisher geplanten Anbindung. Genau läßt sich dieser aber erst im Laufe des Prozesses quantifizieren.
Herr Lippert stellt die aufwändigere Anbindung zu Diskussion, da diese nicht mit einer Ressourcenverstärkung einher geht und somit mit einer Verzögerung des Projekts zu rechnen ist. Herr Eggers machte an dieser Stelle deutlich, dass das IDM mit der Anbindung des E-Mail-Systems steht und fällt und dass diese Anbindung zum Projektstart als essentieller Bestandteil des Release 1 definiert worden war. Er bat darum politische Termine gegen den milden Leidendruck eines mehrheitlich funktionierenden Verzeichnisdienstes gegenüber zu stellen, was durchaus die Möglichkeit zur umfassenden Umsetzung bietet.
Der Lenkungsausschuss folgte zwar mit erheblichen Bedenken dieser Position.

Herr Dr. Rygus wies außerdem daraufhin, dass die anstehende Organisationsstrukturänderung fundamentale Änderungen am IDM mit sich bringen wird, da entgegen ursprünglicher Konzepte der Administrationsbaum doch in einer hierarchischen Struktur aufgebaut werden muss. Veränderungen in der Struktur bringen somit einen erheblichen manuellen Aufwand mit sich, zumal Novell Consulting von einem Programm zur Automatisierung von Organisationsstrukturveränderungen – dem sogenannten Move-Proxy – abgeraten hat. Der Neuordnungsprozess nach der Strukturreform gestaltet sich allerdings auch derzeit so langsam, dass mit verwendbaren Ergebnissen nicht vor dem Release 1 gerechnet werden kann. Gespräche mit Herrn Dr. Steinhäußer bzgl. einer frühzeitigen Informationsbereitstellung laufen jedoch.
Herr Orschiedt wird um eine nochmalige Aufwandsschätzung und Diskussion des pro-und-contra bzgl. des Move-Proxy gebeten.

Insgesamt lässt sich festhalten, dass der Termin 16.07.2007 für ein komplettes Integrationssystem NICHT ZU HALTEN sein wird.

Stattdessen strebt das Team nun an zum 18.07.2007 ein Integrationssystem mit HIS, DIAPERS sowie LDAP fertig zu stellen.
Hierfür wäre es förderlich, wenn ein DBA einen halben Tag pro Woche zur Verfügung stünde. Herr de West wird um eine Lösung gebeten.
Bis zu diesem Zeitpunkt wird auch ein aktualisierter Projektplan vorgelegt.

Herr Lippert berichtet, über den Status der Herstellung der Barrierefreiheit bei der UserApp, dass Novell das Unternehmen DIAS mit einer BITV-Zertifizierung beauftragen werde. Hierbei sei allerdings zu berücksichtigen, dass die BITV sich auf statische Inhalte beziehe und die UserApp erhebliche dynamische Teile beinhalte. Dennoch sei man positiver Stimmung, eine ausreichende Punktzahl zu erreichen.

Herr Eggers beschrieb die Planung der Lasttests mit den Unis Passau und Würzburg als derzeit eingeschlafen, weil alle mit ihren eigenen Projekten beschäftigt seien. Nach der Verfügbarkeit des ersten Integrationssystems will er wieder den Kontakt suchen und einen neuen Anlauf für Novell.IDM@Bayern starten.

Desweiteren wurde der Kostenbericht #8 von Novell kurz erläutert.

2. Risiko Management – Review der Top Risiken / offene Punkte
Da alle Punkte bereits unter TOP 1 angesprochen wurden, sei dieser Ausschnitt aus dem Risiko-Management nur der Vollständigkeit halber erwähnt.
a) Kategorie Blocker:
Konsensverfahren
Novell Lizenzen (JDBC) wurde am 06.07.2007 durch Novell (Volkmar Reiss) gelöst
b) Kategorie Critical:
Ablösung der bisherigen Benutzerverwaltung bis 2007
Barriefreie Weboberfläche Novell Front-End
Abbildung der Organisationsstruktur
DIT-Struktur
Anbindung RRZE-Abrechnung

3. Ausblick bis nächster Termin / Nächster Termin
Bis zum 18.07.2007 wird ein aktualisierter Projektplan vorgestellt.

Die nächste Sitzung des Lenkungsausschusses findet am 19.09.2007 statt und hat vor allem den Bericht an das StMWFK zum Gegenstand.
Die genaue Uhrzeit bestimmt sich nach dem Flug von Herrn Adam

4. Review Projektorganisation / Rollen und Verantwortlichkeiten
Aus Sicht von Novell hat sich die Rolle des Projektcoach erübrigt. Nach einer intensiven Einbindung zu Beginn des Projekts war die Beteiligung und der Beratungsbedarf immer weiter zurück gegangen. Herr Lippert scheidet daher aus dem Projekt aus.
Überraschend teilte Herr Lippert mit, dass er auch Novell verlassen werde um sich neuen Herausforderungen zu stellen.
Das RRZE und IDMone bedankt sich recht herzlich bei Herrn Lippert für die geleistete Arbeit. Er war eine echte Stütze und hat den guten und flotten Projektstart erst möglich gemacht! THX!

Herr Dr. Rygus und Herr Eggers haben ihre Rollen und den Verantwortungsbereich differenziert.
Herr Dr. Rygus ist damit Projektleiter von IDMone.
Herr Eggers wird sich auf seine Arbeit in der Stabsstelle Projekte & Prozesse konzentrieren, aber in Querschnittsaufgaben immer noch aktiv an IDMone mitwirken.

IDM-Wochen-E-Mail 026

29.06.2007

In dieser Woche gab es zwei dominierende Themen. Den Umzug in den ersten Stock und den Besuch des Novell-Consulting.

Der Umzug ist inzwischen vollzogen und fast alles wieder einsatzbereit. Vor allem die Telefon-Umleitungen sorgen noch für Verwirrung.

Der Besuch von Herrn Orschiedt konnte zur Klärung einiger Fragen beitragen. Nun ist klar, wie die Datenbankseite für den JDBC-Treiber aussehen muss. Ob die Anbindung von DIAPERS in der gewünschten Form klappt, konnte allerdings aus Zeitgründen nicht mehr getestet werden.

Eine hierarchische Form der Daten für die Organisationsstruktur konnte mit Hilfe eines Treibers rudimentär erstellt werden. Hier muss allerdings noch Arbeit investiert werden. Ob die vorhandenen Daten aus DIAPERS für die Realisierung des IDM-Systems ausreichen muss noch geprüft werden.

Herr Klasen konnte zusammen mit Herrn Zhelev die im Vorfeld abgesprochenen Punkte klären. Hier wird sich in der nächsten Woche zeigen, ob es noch Fragen gibt.

Herr Eggers war mit Herrn Hergenröder in Grenoble auf der EUNIS um IDMone zu vertreten und vorzustellen.

Nächste Woche wird das Team von IDMone eine Schulung erhalten, in der der Umgang mit Workflows vermittelt wird. Danach wird weiterhin die Umsetzung der Treiberlogik im Mittelpunkt stehen.

IDM-Wochen-E-Mail 025

25.06.2007

In der vergangenen Woche arbeitete das Team an verschiedenen Arbeitspaketen (AP). Leider ist der Vortschritt am AP Meta-Directory nicht so, wie ursprünglich geplant. Zum einen liegt das an den noch fehlenden Datenbank-Views bzw. Trigger und zum anderen an Startschwierigkeiten beim erstellen eines Treibers für die Generierung der Benutzerkennungen. Auch die Detailplanung der Treiberlogik hinkt hinter den Erwartungen hinterher. Allerdings sind die APs DIAPERS und HIS-SOS parallel in Arbeit und werden sofort integriert.

Letzte Woche konnten einige wichtige Vereinbarungen getroffen werden. Am Donnerstag wurde die Anbindung von HIS-SOS an das Meta-Directory neu konzipiert und modelliert. Es ist jetzt kein Web-Service mehr nötig, was den Vorteil hat, dass die Treiberlogik nicht verlassen werden muss. Der einzige ungeklärte Punkt ist noch, wer die nötige dll schreibt, die von der HIS-Anwendung aufgerufen wird.

Die zweite Neuerung ist, dass das E-Mail-System nicht nur zwischenprovisioniert wird, sondern den endgültigen Datenbestand direkt aus dem IDM-System erhält. Bisher war geplant, dass die E-Mail-Gruppe ihre Daten selbst aufbereitet. Die aktuelle Verfahrensweise bedeutet zwar deutlich mehr Arbeit für das Team von IDMone, spart aber nachhaltig erhebliche Ressourcen bei der E-Mail-Gruppe ein.

Herr Singer war mit der Perfektionierung seines Azubi-Abschlussvortrages beschäftigt. Zusätzlich waren einige Arbeiten am IDMone-svn nötig. Inzwischen ist die LDAP-Authentifizierung möglich. Die Installation von ‘php LDAP-Admin’ konnte auch abgeschlossen werden.

Die Einarbeitung von Frau Meyer-Seidt ist noch nicht abgeschlossen. Sie beschäftigt sich derzeit mit Schlüsseln der Hochschulfinanzstatistik und der universitären Kosten-Leistungs-Rechung.

Die nächsten Schritte werden sein, den Rest der Treiberlogik in kleine
Arbeitspakete zu unterteilen und diese zeitnah zu realisieren. In dieser Woche sind zwei Consultants von Novell zu Gast. Sie sollen dabei helfen, einige Treiber etc. final abzuschliessen und noch offene Fragen zu klären.

IDM-Wochen-E-Mail 024

15.06.2007

Diese Woche stand voll im Zeichen der Realisierung der Treiberlogik zur Anbindung des ersten Quellsystems (DIAPERS) und der weiteren Verarbeitungslogik im Meta-Directory.

Leider zeigte sich, dass während der Umsetzung des Konzepts für die Verarbeitungslogik viele Schwierigkeiten mit der Software zu Tage treten und teilweise auch konzeptionell zum Umdenken zwangen. Der Fortschritt der Arbeiten ist daher nicht im erwünschten Umfang gelungen.

Es konnten dennoch die grundlegenden Daten aus der Testdatenbank ins Meta-Directory übertragen werden. Dabei handelt es sich um die Daten der Personen und der Organisationsstruktur. Allerdings sind die Views auf die Datenbank noch nicht im Endzustand verfügbar, was zur Folge hat, dass alle Treiber nochmal bearbeitet werden müssen.

Darüberhinaus konnte getestet werden, wie die Arbeit verschiedener Entwickler zusammengeführt werden kann.

Herr Zhelev hat sich die Arbeitsumgebung auf seinem neuen Notebook eingerichtet und kann das Team tatkräftig unterstützen.

Die nächsten Schritte werden sein, den Rest der Treiberlogik in kleine Arbeitspakete zu unterteilen, damit man besser parallel arbeiten kann. Danach werden diese Pakete bearbeitet.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

Abbildung und Pflege der Organisationsstruktur

12.06.2007

English Version
Im heutigen Gespräch – diesmal unter Beteiligung des Kanzlers – ging es mal wieder um das oben genannte Thema. Es hat ergeben, dass sich IDMone erstmal primär um die Abbildung der Bereiche der Uni kümmert, zu denen bereits Daten vorliegen.

Die jeweiligen Probleme, auf die das Projekt bei der Organisationsabbildung stößt, werden in schriftlicher Form zusammen gefasst und im Kanzlerbüro bei Frau Tannapfel eingereicht. Diese wird dann – ggf. über den Kanzler – die Fragestellungen an die ZUV zur Klärung weiterleiten. IDMone erhält dann die geklärten Sachverhalte ggf. nach Entscheidung durch die HSL zur Umsetzung zurück.

Sollte eine Problemstellung Diskussionen zur Klärung erfordern, so sind folgende Personen an den jeweiligen Arbeitstreffen zu beteiligen:
– Hans-Rudolf Deinzer (IZH = RRZE, Anwendungsbetreuer DIAPERS)
– Hendrik Eggers (RRZE, Leiter “Projekte & Prozesse”)
– Christine Friedrich (stellv. Leiterin Referat IV/6 – ZAUM)
– Dr. Gerhard Hergenröder (techn. Direktor RRZE)
– Robert Kraml (Referat III/4 – Stellenhaushalt)
– Karl-Ernst Merker (Leiter Abteilung I – Akademische und Rechtsangelegenheiten)
– Herbert Micheler (Leiter Abteilung III – Personal)
– Patricia Meyer-Seidt (RRZE, “Projekte & Prozesse”)
– Claudia Ochmann (SG Hochschulplanung und -statistik)
– Hans Riepel (Leiter Referat IV/2 – Sachhaushalt)
– Doris Schuler-Schweiger (Leiterin SG Hochschulplanung und -statistik)
– Dr. Alfred Steinhäußer (Controller)
– Dr. Angela Tormann (Betreuung UnivIS)

Desweiteren scheint es die nahe liegendste Lösung die faktische Organisationsstruktur durch eine umfassende und flexible Kostenstellenstruktur abzubilden. Hierzu wird Herr Dr. Steinhäußer als Leiter des KLR-Projekts gebeten:
– zeitnah ein Kostenstellensystem zu entwerfen, dass ausreichend Flexibilität für eine hierarchische Abbildung in verschiedenen Ausprägungen bietet.
– Handlungsanweisungen zu formulieren, nach denen die Organisationseinheiten ihre gewählte Struktur in dem Kostenstellensystem abbilden können.
Zur Klärung von Detailfragen werden Frau Meyer-Seidt und Herr Eggers Kontakt mit Herrn Dr. Steinhäußer aufnehmen.

Display and Maintenance of Organisational Structure

In today’s discussion – this time with the chancellor attending – the topic was the said above. Results were that IDMone should primarily be concerned with the display of university fields to which data is already available.

The respective problems which the project is going to face at the organisational display are going to be summarized in written form and be handed in to Ms. Tannapfel in the chancellor’s office. She then will – if neccessary via the chancellor – pass the questions forward to the ZUV for answers. IDMone then receives the completed issues, if needed after decision by the HSL about accomplishment.

Should an issue need a discussion for clarification, the following persons should be involved in the respective work meetings:
– Hans-Rudolf Deinzer (IZH = RRZE, application advisor DIAPERS)
– Hendrik Eggers (RRZE, supervisor “Projekte & Prozesse”)
– Christine Friedrich (stellv. chief of department IV/6 – ZAUM)
– Dr. Gerhard Hergenröder (techn. director RRZE)
– Robert Kraml (department III/4 – employment)
– Karl-Ernst Merker (chief of unit I – academic and law)
– Herbert Micheler (chief of unit III – personell)
– Patricia Meyer-Seidt (RRZE, “Projects & Processes”)
– Claudia Ochmann (SG university planning and statisics)
– Hans Riepel (chief of department IV/2 – business)
– Doris Schuler-Schweiger (chief SG university planning and statistics)
– Dr. Alfred Steinhäußer (Controller)
– Dr. Angela Tormann (maintenance UnivIS)

Furthermore it seams feasible to use the obvious solution to display the factual organisational structur with an extensive and flexible cost centre structure. Therfore Dr. Steinhäußer chief of the KLR-project will be asked to:
– create a prompt cost centre structure which provides enough flexibility for hierarchic display in various specifications.
– formulate behaviour guidelines from which the oranisational unit can display its chosen structure in the cost unit structure.

For clarification of questions on details Ms. Meyer-Seidt and Mr. Eggers will contact Dr. Steinhäußer.

UserApp-Schulung

17.05.2007

Ziel

Highlight dieser Woche war die dreitägige Schulung zur Anpassung und Erweiterung der Identity Manager User Application (kurz UserApp) durch Herrn Dr. Wolfgang Schreiber von Novell. Ziel dieses Workshops war die Einführung in die Portlet-Entwicklung mit dem JBoss Application Server im Allgemeinen und die Integration eigener Portlets unter Verwendung UserApp-eigener Schnittstellen im Speziellen.

Teilnehmer

Oleg Britvin, Alessandro Dargenio, Hendrik Eggers, Peter Rygus, Patricia Meyer-Seidt, Christoph Singer, Frank Tröger, Krasimir Zhelev

Verlaufsprotkoll

Am Montag startete der Workshop mit einer Einführung in den Portlet-Standard JSR168, den Unterschied zwischen “portlet definitions” und “portlet registrations”, der Bedeutung von Import und Export sowie der Administration von Portlets und Pages. Nach einem kurzen Ausflug in die Anpassung von Themes wurde das grundsätzliche Vorgehen zur Integration eigener Portlets erläutert. Der technische Fokus veranlasste Frau Meyer-Seidt, Herrn Eggers sowie Herrn Dr. Rygus zum vorzeitigen Verlassen des Workshops. Die Bereiche Stylesheets, Localization und “Store and Retrieve” rundeten den ersten Tag ab.

Der Dienstag begann mit der Konfiguration der Arbeitsumgebung der übriggebliebenen Teilnehmer. Danach ging es mit Unterstützung von Herrn Schreiber an die praktische Umsetzung. Beispielhaft wurde eine Passwort-Änderung via LDAP implementiert. Am Mittwoch wurde das Wissen anhand dieser Aufgabe noch weiter vertieft. Es folgten weitere “Lego-Steine”, mit denen IDMone die geplanten Erweiterungen der UserApp umsetzten sollten. Leider gelang dies nur sehr eingeschränkt und falls doch, dann auf dem Fußweg. Das Tempo des Workshops hätte für die verbliebenen Teilnehmer durchaus höher sein können.

Ergebnisprotokoll

Nach Aussage von Wolfgang Schreiber existieren keine für IDMone verwendbaren internen Schnittstellen für den Zugriff auf das der UserApp zugrundliegende eDirectory. “Für IDMone verwendbar” bedeutet dabei, keine offiziellen und/oder dokumentierten Schnittstellen – von Änderungen bei zukünftigen Releases einmal ganz abgesehen. Lediglich folgende Variablen werden durch das UserApp-Portal bereitgestellt:

• Given Name
• Surname
• Email (funktioniert nicht)
• Fdn (LDAP-DN)
• User name
• Canonical fdn (DN in Novell-Schreibweise)
• Fdn (Login – nur mit “enable SSO”)
• fdn pwd (Klartext-Passwort – nur mit “enable SSO”)

D.h. wenn ein eigenentwickeltes Portlet auf ein anderes Attribut der eingeloggten Person zugreifen will, muß es eine eigene LDAP-Verbindung (verschiedene andere APIs stehen zwar zur Verfügung, aber prinzipiell läuft es auf das gleiche hinaus) aufbauen, ggf. mit den Credentials der eingeloggten Person. Dabei ist es aus Portletsicht dann auch egal ob es das der UserApp zugrundeliegende eDirectory ist oder ein beliebiges anderes Verzeichnis. Die im Vorfeld häufig diskutierte Unterscheidung zwischen Meta-Directory und Administrationsbaum kann in Bezug auf die Eigenentwicklung von Portlets nicht aufrecht erhalten werden.

Grundsätzlich kann man sagen, dass IDMone momentan Portlet-Entwicklung im Allgemeinen betreibt. Bis auf kleinere Anpassungen würden alle Beispiele also auch auf einem ganz anderen Application-Server laufen. Entscheidende Punkte konnten nicht geklärt werden. Die erwarteten UserApp-Aha-Erlebnisse blieben aus.

Offene Punkte

• keine verwendbaren APIs
→ Alle Zugriffe eigener Portlets auf das zugrundeliegende eDirectory erfolgen direkt via LDAP.
• kein Zugriff auf das Directory Abstraction Layer (kurz DAL)
→ Dies hat weitreichende Konsequenzen! Alle dort definierten Beziehungen, z.B. Employee-Manager-Beziehung zum Aufbau der Organisationsstruktur, können vom integrierten OrgChart-Modul verwendet werden. Eigene Portlets bleiben außen vor.
• UC1203 Affiliation auswählen
→ Herr Schreiber konnte keine Lösung bieten (fehlende Schnittstellen). Damit ist immernoch nicht geklärt, ob Personen zwischen Ihren verschiedenen Affiliations wechseln können.
• UC1402 Webmaster-Kennung beantragen
→ PDF-Erzeugung wurde nicht behandelt. Selbst der Download von dynamisch generierten Dateien konnte nicht gänzlich geklärt werden.

IDM-Wochen-E-Mail 022 + 023

11.05.2007

IDM-Wochen-E-Mail 022 + 023
Leider verzögerte sich der Wochenbericht für die KW 18 wegen Termindruck beim Verfasser solange, dass die Wochen-E-Mails zusammen gefasst werden konnten. Ich bitte mein Säumen zu entschuldigen.

Die 18. KW war durch den Feiertag arbeitstechnisch kurz und wurde durch einen Workshop mit Herrn Klasen von Novell zur UserApp geprägt, dass der Realisierung des IDM-Service-Portals dienen soll. Gegenstand war der Aufbau einer Schlungsumgebung, die nah an den Zielen des Projekts ist und die andererseits als Grundlage für den Programmierworkshop vom 14. – 16.07. dienen kann.

Daneben arbeitete Herr Dr. Rygus intensiv an der Realisierung seines Konzepts.
Zusätzlich hat er das Kundengespräch zur Anbindung der Personalanwendung DIAPERS geführt.

In dieser Woche berichtete Herr Eggers am Montag dem studentischen Konvent von den Neuigkeiten am RRZE im allgemeinen und bei IDMone im besonderen. Der studentische Konvent hat entschieden Herrn Florian Rampp als Beobachter in die AG IDMone zu entsenden.

Diese tagte am Dienstag erstmals und hatte im wesentlichen die Vorstellung des MetaDirectory-Konzepts durch Herrn Dr. Rygus zum Gegenstand. Die Sitzung ergab die gewünschte anregende Diskussion. Dabei hat Herr Döhler auf die umfänglichen Veränderungsbedarfe im Bereich Novell hingewiesen, die sich durch die Systemanforderungen des neuen Identity Managements auf Softwareseite ergeben. Das Thema wurde von der Novell Gruppe aktiv angegangen und wird auch an Novell eskaliert werden.

Herr Büttner hat die ersten Überlegungen zur Migration vorgelegt und damit viele Fragen aufgeworfen, die in den einzelnen Arbeitspaketen beantwortet werden müssen.

Am Mittwoch war IDMone gastgebendes Projekt für den BRZL AK MetaDir. Gut 40 Teilnehmerinnen und Teilnehmer informierten sich über die aktuellsten Entwicklungen i.S. IDM und SSO in Bayern. Als Quintessenz wird deutlich, dass alle derzeit an den gleichen Problemen arbeiten, nur das der Stand der Arbeiten unterschiedlich weit gediegen ist.
Leider ist Novell.IDM@Bayern hier im Moment auch keine wirkliche Alternative, da sich die Kollegen, bisher eher abwartend bzw. eigenorientiert zeigen.

Herr Tröger hat mit der Abteilung Kommunikationssysteme das Kundengespräch zur Anbindung des RADIUS geführt.

Am Freitag hat Herr Eggers IDMone in aller Kürze vor der “Senatskommission für Rechneranlagen (kurz: SEKORA)” vorgestellt. Zentrale Fragen waren wann etwas zu sehen sein wird und der Kanzler wünschte die Vorbereitung einer Management-Entscheidung zur Organisationsstruktur.

In der nächsten Woche findet der Workshop zur Programmierung der Novell UserApp statt.
Außerdem wird Frau Meyer-Seidt ihren Dienst antreten.
Ab dem Brückentag ruht bei IDMone die Arbeit für drei Wochen wegen Urlaubs. In dieser Zeit wird es keine Wochenberichte geben.

RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"