Content

IDM-Wochen-E-Mail 024

15.06.2007

Diese Woche stand voll im Zeichen der Realisierung der Treiberlogik zur Anbindung des ersten Quellsystems (DIAPERS) und der weiteren Verarbeitungslogik im Meta-Directory.

Leider zeigte sich, dass während der Umsetzung des Konzepts für die Verarbeitungslogik viele Schwierigkeiten mit der Software zu Tage treten und teilweise auch konzeptionell zum Umdenken zwangen. Der Fortschritt der Arbeiten ist daher nicht im erwünschten Umfang gelungen.

Es konnten dennoch die grundlegenden Daten aus der Testdatenbank ins Meta-Directory übertragen werden. Dabei handelt es sich um die Daten der Personen und der Organisationsstruktur. Allerdings sind die Views auf die Datenbank noch nicht im Endzustand verfügbar, was zur Folge hat, dass alle Treiber nochmal bearbeitet werden müssen.

Darüberhinaus konnte getestet werden, wie die Arbeit verschiedener Entwickler zusammengeführt werden kann.

Herr Zhelev hat sich die Arbeitsumgebung auf seinem neuen Notebook eingerichtet und kann das Team tatkräftig unterstützen.

Die nächsten Schritte werden sein, den Rest der Treiberlogik in kleine Arbeitspakete zu unterteilen, damit man besser parallel arbeiten kann. Danach werden diese Pakete bearbeitet.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Barrierefreie Weboberfläche Novell Front-End
– DIT -Struktur
– Anbindung RRZE-Abrechnung

UserApp-Schulung

17.05.2007

Ziel

Highlight dieser Woche war die dreitägige Schulung zur Anpassung und Erweiterung der Identity Manager User Application (kurz UserApp) durch Herrn Dr. Wolfgang Schreiber von Novell. Ziel dieses Workshops war die Einführung in die Portlet-Entwicklung mit dem JBoss Application Server im Allgemeinen und die Integration eigener Portlets unter Verwendung UserApp-eigener Schnittstellen im Speziellen.

Teilnehmer

Oleg Britvin, Alessandro Dargenio, Hendrik Eggers, Peter Rygus, Patricia Meyer-Seidt, Christoph Singer, Frank Tröger, Krasimir Zhelev

Verlaufsprotkoll

Am Montag startete der Workshop mit einer Einführung in den Portlet-Standard JSR168, den Unterschied zwischen “portlet definitions” und “portlet registrations”, der Bedeutung von Import und Export sowie der Administration von Portlets und Pages. Nach einem kurzen Ausflug in die Anpassung von Themes wurde das grundsätzliche Vorgehen zur Integration eigener Portlets erläutert. Der technische Fokus veranlasste Frau Meyer-Seidt, Herrn Eggers sowie Herrn Dr. Rygus zum vorzeitigen Verlassen des Workshops. Die Bereiche Stylesheets, Localization und “Store and Retrieve” rundeten den ersten Tag ab.

Der Dienstag begann mit der Konfiguration der Arbeitsumgebung der übriggebliebenen Teilnehmer. Danach ging es mit Unterstützung von Herrn Schreiber an die praktische Umsetzung. Beispielhaft wurde eine Passwort-Änderung via LDAP implementiert. Am Mittwoch wurde das Wissen anhand dieser Aufgabe noch weiter vertieft. Es folgten weitere “Lego-Steine”, mit denen IDMone die geplanten Erweiterungen der UserApp umsetzten sollten. Leider gelang dies nur sehr eingeschränkt und falls doch, dann auf dem Fußweg. Das Tempo des Workshops hätte für die verbliebenen Teilnehmer durchaus höher sein können.

Ergebnisprotokoll

Nach Aussage von Wolfgang Schreiber existieren keine für IDMone verwendbaren internen Schnittstellen für den Zugriff auf das der UserApp zugrundliegende eDirectory. “Für IDMone verwendbar” bedeutet dabei, keine offiziellen und/oder dokumentierten Schnittstellen – von Änderungen bei zukünftigen Releases einmal ganz abgesehen. Lediglich folgende Variablen werden durch das UserApp-Portal bereitgestellt:

• Given Name
• Surname
• Email (funktioniert nicht)
• Fdn (LDAP-DN)
• User name
• Canonical fdn (DN in Novell-Schreibweise)
• Fdn (Login – nur mit “enable SSO”)
• fdn pwd (Klartext-Passwort – nur mit “enable SSO”)

D.h. wenn ein eigenentwickeltes Portlet auf ein anderes Attribut der eingeloggten Person zugreifen will, muß es eine eigene LDAP-Verbindung (verschiedene andere APIs stehen zwar zur Verfügung, aber prinzipiell läuft es auf das gleiche hinaus) aufbauen, ggf. mit den Credentials der eingeloggten Person. Dabei ist es aus Portletsicht dann auch egal ob es das der UserApp zugrundeliegende eDirectory ist oder ein beliebiges anderes Verzeichnis. Die im Vorfeld häufig diskutierte Unterscheidung zwischen Meta-Directory und Administrationsbaum kann in Bezug auf die Eigenentwicklung von Portlets nicht aufrecht erhalten werden.

Grundsätzlich kann man sagen, dass IDMone momentan Portlet-Entwicklung im Allgemeinen betreibt. Bis auf kleinere Anpassungen würden alle Beispiele also auch auf einem ganz anderen Application-Server laufen. Entscheidende Punkte konnten nicht geklärt werden. Die erwarteten UserApp-Aha-Erlebnisse blieben aus.

Offene Punkte

• keine verwendbaren APIs
→ Alle Zugriffe eigener Portlets auf das zugrundeliegende eDirectory erfolgen direkt via LDAP.
• kein Zugriff auf das Directory Abstraction Layer (kurz DAL)
→ Dies hat weitreichende Konsequenzen! Alle dort definierten Beziehungen, z.B. Employee-Manager-Beziehung zum Aufbau der Organisationsstruktur, können vom integrierten OrgChart-Modul verwendet werden. Eigene Portlets bleiben außen vor.
• UC1203 Affiliation auswählen
→ Herr Schreiber konnte keine Lösung bieten (fehlende Schnittstellen). Damit ist immernoch nicht geklärt, ob Personen zwischen Ihren verschiedenen Affiliations wechseln können.
• UC1402 Webmaster-Kennung beantragen
→ PDF-Erzeugung wurde nicht behandelt. Selbst der Download von dynamisch generierten Dateien konnte nicht gänzlich geklärt werden.

IDM-Wochen-E-Mail 022 + 023

11.05.2007

IDM-Wochen-E-Mail 022 + 023
Leider verzögerte sich der Wochenbericht für die KW 18 wegen Termindruck beim Verfasser solange, dass die Wochen-E-Mails zusammen gefasst werden konnten. Ich bitte mein Säumen zu entschuldigen.

Die 18. KW war durch den Feiertag arbeitstechnisch kurz und wurde durch einen Workshop mit Herrn Klasen von Novell zur UserApp geprägt, dass der Realisierung des IDM-Service-Portals dienen soll. Gegenstand war der Aufbau einer Schlungsumgebung, die nah an den Zielen des Projekts ist und die andererseits als Grundlage für den Programmierworkshop vom 14. – 16.07. dienen kann.

Daneben arbeitete Herr Dr. Rygus intensiv an der Realisierung seines Konzepts.
Zusätzlich hat er das Kundengespräch zur Anbindung der Personalanwendung DIAPERS geführt.

In dieser Woche berichtete Herr Eggers am Montag dem studentischen Konvent von den Neuigkeiten am RRZE im allgemeinen und bei IDMone im besonderen. Der studentische Konvent hat entschieden Herrn Florian Rampp als Beobachter in die AG IDMone zu entsenden.

Diese tagte am Dienstag erstmals und hatte im wesentlichen die Vorstellung des MetaDirectory-Konzepts durch Herrn Dr. Rygus zum Gegenstand. Die Sitzung ergab die gewünschte anregende Diskussion. Dabei hat Herr Döhler auf die umfänglichen Veränderungsbedarfe im Bereich Novell hingewiesen, die sich durch die Systemanforderungen des neuen Identity Managements auf Softwareseite ergeben. Das Thema wurde von der Novell Gruppe aktiv angegangen und wird auch an Novell eskaliert werden.

Herr Büttner hat die ersten Überlegungen zur Migration vorgelegt und damit viele Fragen aufgeworfen, die in den einzelnen Arbeitspaketen beantwortet werden müssen.

Am Mittwoch war IDMone gastgebendes Projekt für den BRZL AK MetaDir. Gut 40 Teilnehmerinnen und Teilnehmer informierten sich über die aktuellsten Entwicklungen i.S. IDM und SSO in Bayern. Als Quintessenz wird deutlich, dass alle derzeit an den gleichen Problemen arbeiten, nur das der Stand der Arbeiten unterschiedlich weit gediegen ist.
Leider ist Novell.IDM@Bayern hier im Moment auch keine wirkliche Alternative, da sich die Kollegen, bisher eher abwartend bzw. eigenorientiert zeigen.

Herr Tröger hat mit der Abteilung Kommunikationssysteme das Kundengespräch zur Anbindung des RADIUS geführt.

Am Freitag hat Herr Eggers IDMone in aller Kürze vor der “Senatskommission für Rechneranlagen (kurz: SEKORA)” vorgestellt. Zentrale Fragen waren wann etwas zu sehen sein wird und der Kanzler wünschte die Vorbereitung einer Management-Entscheidung zur Organisationsstruktur.

In der nächsten Woche findet der Workshop zur Programmierung der Novell UserApp statt.
Außerdem wird Frau Meyer-Seidt ihren Dienst antreten.
Ab dem Brückentag ruht bei IDMone die Arbeit für drei Wochen wegen Urlaubs. In dieser Zeit wird es keine Wochenberichte geben.

Reisebericht JAX 2007 vom 25.04-27.04.07

30.04.2007

Frank Tröger besuchte letzte Woche von Mittwoch bis Freitag (25.04 bis 27.04) die “JAX 07” in den Rhein-Main-Hallen in Wiesbaden. Nach Aussage der Veranstalter die No. 1-Konferenz für Java, Enterprise Architekturen und SOA. Die JAX wurde durch die beiden parallelen Konferenzen “Enterprise Architektur Konferenz” (EAKon) und “Eclipse Forum Europe” ideal ergänzt. Hauptziele waren u.a. ein Einblick in Model-Driven Software Development (MDSD), aktuelle Informationen rund um Java und Best-Practices im Umgang mit der Eclipse Platform.

Besuchte Veranstaltungen:

Mi 08:30 – Textuelle domänenspezifische Sprachen (DSLs)
Mi 10:15 – Dynamische Programmierung mit Groovy
Mi 11:45 – Keynote: Bringing Web 2.0 in the Enterprise
Mi 13:45 – Implementierungstechniken für domänenspezifische Sprachen
Mi 15.15 – Keynote: Der Sicherheits-Entwicklungszyklus bei Microsoft
Mi 16:30 – Test First Development Using Eclipse
Mi 17:10 – OpenLDAP, adieu? Ein LDAP-Server in Java: ApacheDS Reality Check
Mi 20:30 – Polyglot Programming

Do 08:30 – Maven 2 – Umstellung eines Projekts von Ant zu Maven 2
Do 10:15 – Keynote: The Role of Java EE in Enterprise SOA Development at SAP
Do 11:00 – Keynote: Java IDE(s) – Then, Now, and Eventually
Do 12:00 – Grails – Rapid Web Application Development
Do 14:15 – Einsatz-Patterns für Skriptsprachen in Java
Do 15:45 – Objektorientiertes Enterprise Java mit Spring und AspectJ
Do 17:00 – Abschlussveranstaltung / Closing Plenary

Fr 09:00-16:30 Power Workshop: MDD with the Eclipse Modeling Tools

Ein erster Einblick in MDSD konnte durch zwei Sessions über domänenspezifische Sprachen (DSLs) gewonnen werden. Beim ganztägigen Power Workshop am Freitag wurde dann das praktische Wissen etwas ausgebaut. Unter Verwendung von Eclipse Modeling Framework (EMF) und openArchitectureWare (oAW), beides Eclipse-Plugins, wurde beispielhaft ein Zustandsautomat (Paradebeispiel für MDD) modelliert und daraus Java-Code generiert. Das Ausgangsmodell wurde mittels der Community-Edition des UML-Tools MagicDraw graphisch erzeugt.

Weiterhin konnte sich Herr Tröger viele Anregungen im Bereich Java-Programmierung sowie im Umgang mit Eclipse holen. Bei einem “Short Talk” beeindruckte Wayne Beaton von der Eclipse Foundation mit einem guter Live-Demo im Programmieren in Eclipse. Hervorzuheben ist auch der Einsatz von Skriptsprachen, vor allem Groovy, in Java. Groovy stellt einen leichtgewichtigen Zugang zu Java bereit und ermöglicht die Entwicklung von ansprechenden Anwendungen in kürzester Zeit. Allgemein mußte sich die Programmiersprache Java mit den Skriptsprachen messen und schnitt dabei nicht immer besser ab. Die Java-Plattform wurde dafür umso mehr “gelobt”.

Die einzige Veranstaltung zum Thema LDAP und Verzeichnisse handelte von dem in Java geschriebenen Directory-Server ApacheDS und dem LDAP-Client LDAP Studio (Eclipse RCP Anwendung). Beide Produkte haben interessante Features. So kann ApacheDS neben einem Stand-Alone-Betrieb auch direkt aus einer Java-Anwendung heraus betrieben werden und LDAP Studio entwickelt sich zu einem ernst zunehmenden Konkurrenten von JXplorer und dem “LDAP Browser” von Jarek Gawor.

Bei der Abschlussveranstaltung am Donnerstag konnte sich Herr Tröger durch seinen außerordentlichen Einsatz bei der Verlosung, einen Gutschein zur Teilnahme an der W-JAX vom 5.-8.November 2007 in München im Wert von 1149 Euro sichern.

IDM-Wochen-E-Mail 021

27.04.2007

Diese Woche war von Gesprächen und Sitzungen geprägt und ganz nebenbei nimmt das Arbeitspaket MetaDirectory sehr konkrete Formen an.

Eher mittelbar im Zusammenhang mit IDMone stand die Interne Fortbildung (IFB) zum Projektmanagement, die sehr interessiert aufgenommen wurde.

Am Mittwoch (25.04.2007) fand eine Lenkungsausschusssitzung statt. Dem Protokoll http://www.blogs.uni-erlangen.de/IDM/stories/808/ ist nur noch hinzuzufügen, dass der Stream zum IFB IDMone unter rtsp://ard.rrze.uni-erlangen.de/movies/rrze/20070424-Eggers.smil verfügbar ist.

Viel bedeutender ist jedoch, dass Herr Dr. Rygus am Donnerstag die erste Version seiner Beschreibung des MetaDirectories unter http://www.wiki.uni-erlangen.de/IDM/index.php/Metadirectory#Meta-Directory freigegeben hat. Diese wurde noch am gleichen Tag in einer ersten Runde reviewed. Hierbei ergaben sich aber nur minimale Änderungsbedarfe. Nun wird er die Implementierung angehen.
Allerdings ist am Freitag von Seiten Novell deutlich gemacht worden, dass eine Automatisierung der Folgeprozesse bei Veränderungen der Organisationsstruktur nicht möglich sind. Dies wird erneut zu klären sein.

Der Termin beim Kanzler zum Thema Organisationsstruktur wurde leider kurzfristig auf den 12.06.2007 verschoben.

Herr Hänel hat einen Weg gefunden, wie ausgesuchte Seiten im Wiki Dritten zugänglich gemacht werden können. Hierdurch wird es möglich sein ausgesuchten Kollegen von anderen Universitäten die Mitarbeit am Projekt zu ermöglichen.

Herr Tröger schlaut sich derweil bei der JAX07 – EAKon – Eclipse Forum in Wiesbaden http://eakon.de/ auf.
Derweil befindet sich sein Protokoll des Kundengesprächs HIS SOS Anbindung noch in Abstimmung.

Die nächste Woche wird viel Arbeit beinhalten – ist doch Tag der Arbeit.
Herr Klasen wird zwei Tage vor Ort die UserApp zum Laufen bringen und die Grundlagen für das IDM-Service-Portal klären.
Daneben wird es mehrere Bewerbungsgespräche geben, um die Stelle des Java-Programmierers zu besetzen und damit endlich das Risiko der Personellen Ausstattung zu bekämpfen.
Zu guter Letzt wird das Partnerprojekt “Campus IT – CIT” offiziell seine Arbeit aufnehmen.

Protokoll der Lenkungsausschussitzung vom 25.04.2007

26.04.2007

Herr Dr. Turowski musste wegen einer Dienstreise der Sitzung fernbleiben.
Erstmalig sind Herr Dr. Peter Holleczek und Daniel de West als Kundenvertreter sowie Herr Dr. Peter Rygus vertreten.

1.Projektsituation Novell – RRZE
Herr Dr. Hergenröder führte einleitend aus, dass das Projektbudget mit 260.000 Euro entsprechend 180 Beratungstagen fix ist. Derzeit sind 48% dieses Budgets verbraucht, was bedeutet, dass die Mittel die für das Jahr 2006 eingeplant waren in den ersten 6 Projektmonaten verbraucht wurden. Außerdem ist absehbar, dass das Beratungsbudget über die gesamte Projektlaufzeit knapp wird. Er stellt daher die Frage in den Raum, wie die bereit stehenden Mittel effizienter als bisher eingesetzt werden können?
Außerdem wurde die Frage aufgeworfen, welche Refinanzierungsmöglichkeiten für das Projekt bestehen? Hier spielt vor allem die Möglichkeit über die Verrechnung der Projektergebnisse mit anderen Hochschulen in Bayern (Novell.IDM@Bayern) die Kosten für das RRZE zu senken?

Laut Herrn Lippert wird zukünftig verstärkt darauf zu achten sein, welche Aufgaben durch Novell Mitarbeiter im Gegensatz zu RRZE-MA auf Grund ihrer Erfahrung effizienter zu erledigen sind. Außerdem sind die Aufgaben die evtl. zurück zustellen sind zu identifizieren.

Herr Adam denkt an eine Kostenübernahme durch andere Universitäten (PA, WÜ) in Bayern.
Er stellt sich vor, dass im Rahmen des Projekt eine Standardkonfiguration auf der Basis eines gemeinsamen Prozessmodells erstellt wird. Hierbei möchte sich Novell auf die liefernden Systeme konzentrieren. Er empfiehlt die homogene Systeme zu identifizieren und beispielhafte Anbindung zu realisieren. Dabei ist ein einheitliches Prozessmodell wesentliche Grundlage.
Herr Eggers weist darauf hin, dass genau dies die Zielsetzung des Konzepts Novell.IDM@Bayern ist. Er sieht jedoch eher die Ziel- denn die Quellsysteme im Fokus da die Ähnlichkeiten eher bei letzteren liegen.

Desweiteren berichtet er vom Arbeitstreffen vom 27.03.2007 in Nürnberg bei dem deutlich wurde, dass die Kolleginnen und Kollegen einen proof of concept der Erlanger Lösung fordern. Dies sei wesentliche Voraussetzung für spätere Übernahme durch andere Universitäten.
Die von Novell angestrebte exemplarische Implementierung in Erlangen und deren Abstrahierung, wirft die Frage nach der Verteilung des unternehmersichen Risikos auf. Wenn Novell erst im Nachhinein entscheidet welche Kosten nicht in Rechnung gestellt oder verrechnet werden, liegt dieses komplett beim RRZE, was aus Sicht der RRZE-Vertreter nicht tragbar ist.

Außerdem ist die Verallgemeinerung der Projektergebnisse mit einem gewissen Aufwand verbunden. Vor allem Herr Eggers hat bisher 9,75 Personentage für Koordination des Projektes Novell.IDM@Bayern investiert. D.h. diese Zeit wurde über das RRZE finanziert.

Die Skepsis der anderen Universitäten ggü. der Erlanger Lösung beruht auf negativen Erfahrungen anderer Universitäten mit Novell IDM sowie fehlender success stories für das Konzept der “vielen schlanken, verlinkten Objekte”. Es wird ein Performance-Einbruch befürchtet.
Es wird erörtert vertrauenschaffende Lasttests mittels www.slamd.org durchzuführen. Wenn die Belastungstests durch Novell Consulting vorgenommen werden, stellt sich die Frage der Kostenübernahme für diese nicht projektrelevanten Arbeiten.
Herr Adam fragt daher nach dem Commitment von Wü, PA. Könnten die Belastungstests durch die anderen Universitäten übernommen werden? Außerdem macht er deutlich, dass im IDM Hardware einen wesentlichen Skalierungsfaktor darstellt!

Herr Adam könnte sich eine Refinanzierung durch eine deutschlandweite Lizensierung des Modells vorstellen.
Dies ist aus Sicht von Herrn Eggers politisch im ZKI von Seiten FAU nicht möglich, da die Zusammenarbeit im ZKI auf kostenfreien Erfahrungsaustausch basiert. Er schlägt daher eine Verrechnung über Novell vor. Dies stellt die von der FAU bevorzugte Lösung dar. Dies muss allerdings noch von Novell intern erörtert werden. Eine Rückmeldung wurde bis Mitte Mai erbeten.

Es wird daher beschlossen, die Entscheidung über eine Refinanzierung nach Bereitstellung Prototyp und Vorstellung ggü. Wü, PA zu vertagen. Im August sollte eine finale Entscheidung über Refinanzierung getroffen werden.

Als weitere Schritte seitens des RRZE wird eine Vorstellung der angestrebten Lösung vor allem ggü. PA, Wü vereinbart. Diese sollen um die Durchführung der Lasttests gebeten werden. Herr Dr. Hergenröder versucht bei seinen Kollegen ein entsprechendes Vertrauen herzustellen.

Dennoch stellt sich die Frage, welcher Vorteil aus der Lösung für Novell entsteht?
Für Herrn Adam ist ein gesteigertes Absatzvolumen (mehr Hochschulen) und die damit einhergehenden Skaleneffekte wesentlich. Es sollten daher weitere Hochschulen identifiziert werden (HH?). Dabei ist die Übertragbarkeit der Lösung ein wesentlicher Faktor für einen ROI.

Herr Eggers wird gebeten ein Produktkonzept in Grobstruktur zu entwickeln.
Er wird die Zurverfügungstellung des aktuellen Standes des Novell.IDM@Bayern Konzepts prüfen.
Herr Adam bitte darum in kurzer Form die wiederverwendbare Komponenten, potentielle weitere Kunden sowie das bevorzugte Verrechnungsmodell (Übernahme von Consulting-Tagen) zu erläutern.

Exkurs: Novell stellt sowohl einen freeRADIUS als auch ein MIT Kerberos mit Erweiterung für UniversalPasswort bereit. Herr Dr. Rygus wird gebeten Herr Tröger über die Möglichkeiten zu informieren.

2. Status Projekt
Herr Lippert und Herr Eggers berichten vom Feinkonzept Workshop (12. – 14.03.) und erläutern den daraus entstandenen Projektplan. Es wurden Detail- und Verständnisfragen erörtert.

Herr Eggers stellt die Aufwandsschätzung für das IDM-Service-Portal vor und kann berichten, dass dieses wohl gänzlich mit der User Application realisiert werden kann. Grundlage für die Entwicklung werden die von Herrn Tröger umfassend aufbereiteten Use Cases bilden. Vom 14. – 16.05. wird es eine interne Schulung für die Projekt MA sowie 2 neue HiWis geben, um in die Feinheiten des Customizing eingeführt zu werden.

Herr Eggers berichtet kurz von dem positiven Feedback auf die IFB IDMone (rtsp://ard.rrze.uni-erlangen.de/movies/rrze/20070403-Eggers.smil), weist auf den Artikel in der aktuellen BI 77 auf Seite 3 hin.
Er erläutert kurz die Zielsetzung der AG IDMone, die erstmals am 08.05. zusammen treffen wird und weist auf erste Erfolge im WebSSO hin.
Und die Projekt-Webseite ist in englischer Sprache verfügbar http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm_en.shtml. Die Übersetzung des “Projekt-Verantwortlichen” als “project guarantor” wird in Zweifel gezogen. Daher wollen die Lenkungsausschussmitglieder dies nochmal individuell prüfen.

3. Risiko Management – Review der Top Risiken / offene Punkte
Herr Eggers benennt und erläutert knapp die folgenden Punkte:
a) Kategorie Blocker:
Personelle Ausstattung (Zielkonflikt Ablösung vs. Umfang)
Konsensverfahren
Abbildung der Organisationsstruktur
b) Kategorie Critical:
Ablösung der bisherigen Benutzerverwaltung bis 2007
Barriefreie Weboberfläche Novell Front-End
DIT-Struktur
Anbindung RRZE-Abrechnung

4. Ausblick bis nächster Termin / Nächster Termin
Im Ausblick ist festzuhalten, dass der 16.07.2007 als Meilenstein für ein nach derzeitiger Umfangsplanung vollständiges Pilotsystem genannt werden kann. Detailliertere Angaben zu Terminen sind derzeit seriös nicht möglich.

Am 09.05. wird der BRZL AK MetaDir in Erlangen tagen und IDMone ausführlich vorgestellt.

Der Senatskommission für Rechneranlagen (SEKORA) wird IDMone am 11.05. präsentiert.

Wie oben bereits erwähnt findet vom 14. bis 16.05. eine Schulung zum UserApp Customizing für alle IDMone MA sowie 2 HiWis statt.

Das Testsystem (vor allem UserApp) muss bis Mai stehen, damit der vom Kanzler geplante Entscheidungs-WS statt finden kann. *Aktuelle Ergänzung*: Dies erscheint derzeit zweifelhaft, da ein Termin der evtl. der Vorbesprechung dienen könnte, kurzfristig auf den 12.06. verlegt wurde.
Außerdem ist das Testsystem die Vorraussetzung, damit die Kollegen aus PA und WÜ erste Praxistests sehen können, evtl. Lasttests vornehmen und Novell.IDM@Bayern sich konkretisieren kann.

Die Projekt-Urlaubsphase erstreckt sich vom 17.05. bis 08.06. in dieser Zeit wird es voraussichtlich auch keine Wochenberichte geben.

Der Lenkungsausschuss tagt wieder am 04.07.2007 15 – 17 Uhr.

5.Verschiedenes
– Herr Adam bittet um die Versendung der Tagesordnung einen Tag vor der Lenkungsausschusssitzung.

IDM-Wochen-E-Mail 020

13.04.2007

Die Woche nach Ostern war das Team von IDMone auf ein kleines Restteam,
bestehend aus F. Tröger und P. Rygus zusammengeschrumpft. Herr Eggers
war krankheitsbedingt nur kurz vor Ort. Er bereitet sich im home office
auf seinen Besuch der TERENA in Helsinki nächste Woche vor.
Die Herren C. Singer und G. Büttner sind in Urlaub.

Die Anbindung der im RRZE verwendeten Webanwendungen an die von IDMone
bereitgestellte SSO-Lösung via Shibboleth konnte exemplarisch ein Stück
vorangetrieben werden. So konnten die noch bestehenden Probleme bei der
Blog-Anbindung behoben werden. Herr Hänel stellt im Blog-Artikel
http://www.blogs.uni-erlangen.de/IDM/stories/801/ einen Link zur
Verfügung, um zu einer Testseite zu gelangen.

Seit dieser Woche kann IDMone via Script aufbereitete HTTP-Abzüge von
Wiki-Seiten erstellen. Exporte als PDF erscheinen noch schwierig.

Die Arbeiten an den Arbeitspaketen gehen im Moment zufriedenstellend
voran. Herr Tröger kümmerte sich diese Woche vor allem um die Anbindung
des E-Mail-Systems, bereitete aber auch bereits weitere Kundengespräche
für andere Arbeitspakete vor. Herr Rygus ist mit dem Arbeitspaket
Meta-Directory gut ausgelastet.

Das Treffen mit Herrn Turowski i.S. Config eG für UnivIS am Donnerstag
verlief durchaus zufriedenstellend, zeigte jedoch, dass die Abbildung
und Pflege der Organisationsstruktur auch hier größere Probleme
aufwerfen wird.

Nächste Woche stehen neben der Bearbeitung der Arbeitspakete ein Termin
mit Novell (Herr Orschiedt Di + Mi vor Ort) an, wo Fragen zu den Arbeitspaketen und zur RRZE-NDS geklärt werden sollen. Des Weiteren wird
ein Kundengespräch zum Arbeitspaket HIS/SOS-Anbindung stattfinden. Ende
der Woche wird Herr Büttner die erste Version seines Migrationskonzeptes
vorlegen. Herr Eggers vertritt IDMone auf der TERENA in Helsinki.

IDM-Wochen-E-Mail 019 / Quartalsbericht Q1/2007

05.04.2007

Ein ereignisreichen erstes Quartal liegt hinter uns.

So wurde im Januar eine Teststellung durch Novell erbracht, die die Komplexität beim Kunden Universität verdeutlicht hat. Außerdem wurde deutlich, dass das bisherige System einen wesentlichen Komplexitätsgrad aufweist. So umfasst es Elemente, die nicht in das IDM migriert werden können, und für die alternative Lösungen gefunden werden müssen.
Auf Grund der Erkenntnisse mussten die Aufwandsschätzungen nach oben korrigiert werden.

Das RRZE begonnen seine Dienstleistungen umfassend zu definieren, um eine Grundlage für die Versorgung der Zielgruppen zu bieten.

Das Problem der Organisationsstruktur ist offen zu Tage getreten und wurde daher in einem Papier beschrieben und am 24.01.2007 an den Kanzler übergeben. Die neusten Erkenntnisse haben sich im Fachkonzept nieder geschlagen, dass seit dem 27.02.2007 unter http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/20070228_IDMone_Fachkonzept_1.0.pdf abrufbar ist.

Die Vereinheitlichung der Kartensysteme hat sich als derzeit unmöglich erwiesen. Die zwei derzeit im Einsatz befindlichen Lösungen sind technisch nicht miteinander kompatibel und die investierten Mittel verhindern, die Umstellung des einen zu Gunsten des anderen Systems.

Die Personalsituation konnte bisher leider nicht entspannt werden. Der einzige qualifizierte Bewerber für die letzte vakante Stelle hat leider kurzfristig abgesagt. In der derzeit laufenden Personalausschreibung des RRZE wird aber wieder nach einer geeigneten Person gesucht.

Unter dem Namen Novell.IDM@Bayern haben sich die bayerischen Universitäten, die derzeit ein IDM-Projekt aktiv betreiben, zusammen getan um ein generelles Konzept zu entwickeln. Dies sind vor allem die Universitäten Augsburg, Eichstätt, Passau und Würzburg sowie das LRZ als Review-Partner. Koordiniert wird diese Kooperation von IDMone.
Derzeit warten die anderen Universitäten gespannt ab, ob das in Erlangen entwickelte neuartige Datenmodell allen Anforderungen genügt und auch unter Last seine Stärken zeigt. Das Projektteam ist sich aber sicher, dass die Kollegen Mitte des Jahres überzeugt dem Erlanger Pfad folgen werden.

Aktuell befindet sich das Feinkonzept und die Pilotierung in Arbeit.
Die ersten Gespräche mit den Betreuern der Fachanwendungen laufen oder sind vereinbart. Und der Projektpartner Novell arbeitet mit Hochdruck an einem Konzept für das IDM-Service-Portal, dass die breiten Anforderungen der Universität abdeckt.

Erste Grundmauern eines Piloten sollen Ende der 16. KW zu sehen sein.

Außerdem wurde zu einer “AG IDMone” eingeladen, die monatlich alle maßgeblichen Fachanwendungsbetreuer über den aktuellen Fortgang der Arbeiten informieren und ihnen ein Forum zur Beteiligung bieten soll.

Leider musste die für diese Woche angesetzte Lenkungsausschusssitzung wegen Terminproblemen verschoben werden.

IDM-Wochen-E-Mail 018

30.03.2007

Alle Teammitglieder sind wohlbehalten nach Erlangen zurückgekehrt und haben – von die neuen Erfahrungen inspiriert – intensiv diskutiert.

Dies mündete vor allem in den Use Cases http://www.wiki.uni-erlangen.de/IDM/index.php/Use_Cases die die Funktionen des IDM-Service-Portals beschreiben. Herr Tröger hat diese umfassend aufgearbeitet, so dass sie nun für Novell für eine Aufwandabschätzung zur Verfügung stehen. Klar ist aber auch, dass es sich hierbei um “work in progress – wip” handelt. Wir haben ständig neue Ideen und Verfeinerungen, die wir auf den entsprechenden Unterseiten einarbeiten.

Herr Dr. Rygus hat viele neue Eindrücke von der Brainshare http://www.blogs.uni-erlangen.de/IDM/stories/792/ mitgebracht. Wir suchen noch nach einem Termin an dem er uns mit dem “roten Fieber” anstecken kann.

Der Projektplan https://idmvm1.rrze.uni-erlangen.de/FAUdentity/trunk/01_Planung/Projektplan_IDM.gan bringt es inzwischen überdeutlich zum Ausdruck: Für die anstehende Arbeit sind die Ressourcen mehr als knapp. Nur durch eine Verbindung von Feinkonzept und Pilotierung werden bis August erste Ergebnisse zu sehen sein.

Bei dem Treffen i.S. Novell.IDM@Bayern wurde deutlich, dass vorallem das RZUW Würzburg an dem langjährigen Konzept der “fetten Objekte” festhalten möchte. Als Risko bei dem von Novell empfohlenen Modell der “vielen Objekte” sieht man als besonderes Risiko, dass dieses bisher noch nirgendwo produktiv eingesetzt wurde und daher entsprechende Erfahrungen fehlen. Die Kollegen zeigen sich daher zurück haltend, was eine sofortige Übernahme angeht. Daher wurde vereinbart bis Mitte Mai zu warten. Erste Lasttests mit SLAMD http://www.slamd.com/ sollen dann die Stabilität und Performance des Erlanger Konzepts unter Beweis stellen.

Heute wurde offiziell zur “AG IDMone” eingeladen, die monatlich alle maßgeblichen Fachanwendungsbetreuer über den aktuellen Fortgang der Arbeiten informieren und ihnen ein Forum zur Beteiligung bieten soll. Die erste Sitzung findet am 08.05. direkt nach der Dienstbesprechung statt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

Die durch den Feiertag verkürtzte Woche wird mit der Aufwandsschätzung von Novell für das IDM-Service-Portal starten. Am Dienstag wird die von den Kollegen lange erwartete interne Fortbildung zu IDMone stattfinden. Am Mittwoch diskutiert dann der Lenkungsausschuss über den oben erwähnten Projektplan.

Besuch der 'Brainshare' vom 18.03.2007 bis 24.03.2007

29.03.2007

Herr Rygus war vom 18.03.2007 bis 24.03.2007 in Salt Lake City, um die Hausmesse ‘Brainshare’ der Firma Novell zu besuchen. Dort wurden alle neuen Produkte vorgestellt. Die Produkte Groupwise, OES2, Orchestra, Teaming & Conferencing, SLED10 etc. werden hier nicht näher beschrieben, da der Fokus dieser Reise auf Idendity Management lag.

Die neue Version 3.5 des Identity Managers, die während der Brainshare released wurde, hat einige neue Funktionen, die uns bei unserem Projekt helfen werden.

User Application:
– Neuer Installer bzw. Migration Tool
– Mit Hilfe von CryptoVision können Digitale Signaturen unterstützt werden.
– Anonymer Access
– ‘Self registration’, d.h. Anmeldung ohne vorherigen Account -> Workflow …
– Die OrgCharts können Beziehungen besser darstellen
– Internationale Zeichensätze und Übersetzungen können eingepflegt werden -> User kann Sprache wählen, falls konfiguriert
– Workflow und Approval kann jetzt mehr:
     – Der Manager kann gewählt werden
     – Verschiedene Verfahren für Approvals (Team, Quorum, etc)
     – Delegation einzelner Tasks bzw. Proxy für alles
     – Workflow kann jetzt Ereignisse auslösen
     – Workflow monitoring API
– Filtered Form Fields: Ausfüllen eines Feldes führt zum automatischen Vorbelegen anderer Felder
– Ajax-Unterstützung
– …

iManager/Designer:
– Support von Solaris 10
– ‘Inspector’ kann Assoziationen von eDirectory-Objekten an Zielsysteme darstellen
– Cron-Jobs via ‘Job Scheduler’ oder ‘Work order Manager’
– Policy Builder kann eine Menge mehr
     – if … then … else …
     – while loops
     – Action ‘Start Workflow’
     – XML und Textverarbeitung verbessert: split, join,
     – reguläre Ausdrücke
– ECMA Script/JavaScript Unterstützung
– Policies werden in einer Library abgelegt und können wiederverwendet werden. Die Policies werden bei Verwendung nur verlinkt. -> Änderungen können zentral gemacht werden, müssen aber wegen ihrer vielschichtigen Auswirkungen auch gut bedacht werden.
– Dokumentation ist jetzt auch als PDF, RTF oder txt möglich; es wurden Filtermöglichkeiten eingebaut.
– ‘Project Checker’ überprüft Projekte vor dem deployment.
– Die Zusammenführung verschiedener Versionen des Identity Managers ist jetzt möglich. Man muss nicht mehr alle in einer Version haben.
– Das Passwort-Handling wurde verbessert. Damit wird u.a. die Unterstützung von SSO-Konzepten verbessert.
– Man kann damit z.B. Usern mit einem PW Zutritt zu Systemen erlauben, dessen PW der User nicht kennt. Novell Secure Login übernimmt den Job.
– Password-Random-Generator baut Zufallspasswörter nach vorgegebenen Policies.
– AD-Treiber wurde verbessert. Insbesondere, was Passwörter angeht. Da gab es wohl einige Fallstricke, die zum Löschen aller Passwörter führen konnten bzw. geführt haben (nettes Feature für den Tag vor der Rente ;-)).
– Queueries von großen Gruppen (5000 User) geht jetzt.
– wenige LDAP-Server (SunLDAP, nicht unsere) können Passwörter bidirektional synchronisieren.
– da sollte man wachsam bleiben, vielleicht folgen andere (OpenLDAP, Fedora, …)
– JDBC-Treiber kann jetzt StoredProcedures und Functions direkt aufrufen.
– Möglichkeit, ‘Trace Noise’ auszublenden, d.h. manche Sachen nicht zu tracen, obwohl der Treiber einen hohen Tracelevel hat. Der zentrale Schalter zum Einschalten aller abgestellten Traces wird nachgeliefert (Anforderung aus Brainshare-Sessions).

Zum Thema RBAC oder überhaupt einem Rollenmanagement hat Novell noch nicht viel zu bieten. Es ist zwar ein ‘Rollenmanagement’ im entstehen, aber so ganau weiss niemand, was dahinter steckt oder was daraus wird. Im Moment bietet das nicht mehr als Templates. Die Firma bHold bietet zwar professionelles Rollenmanagement und ist auch via Konnektor an IDM anzubinden, hält aber alle benötigten Daten redundant in einer Datenbank unter Windows. Die oft nötigen Abfragen über einen relativ komplizierten Mechanismus erscheinen mir nicht ausreichend performant. IDMone tut also gut daran, vorerst mit Templates zu beginnen und ggf. zu einem späteren Zeitpunkt Rollen als Kontainer für Rechte und Resourcen einzuführen.

Das sind sicher nicht alle Neuerungen, aber man kann daran sehen, dass sich einiges getan hat und das IDM-Team sich die Zeit nehmen muss, damit zu spielen, um den Umgang zu lernen. Ein neues Tool, der ‘Enforcer’ wurde erschaffen, um die Datenqualität von Quelldatenhaltungen zu überprüfen. Ob das Tool im Campusvertrag enthalten ist muss noch geklärt werden.

Vielleicht doch noch ein Satz zu einem Tool, das vielversprechend aussieht. ‘Teaming and Conferencing’ ist ein Tool, mit dem Arbeitsgruppen optimal versorgt werden können. Das beinhaltet Blog, Jabber, svn, Telefonkonferenzen, E-Mail Anbindung, etc. Die Software soll im Sommer auf den Markt kommen.

Auf der Brainshare wurde auch ein ‘Resource Kit’ vorgestellt, der die Implementierungen von oft benötigten Use Cases beispielhaft aufzeigt. Diese Implementierungen sind ‘business ready’, d.h. man kann bzw. sollte sie weitestgehend übernehmen, um den optimalen Lösungsweg zu gehen. Dieser Resource Kit ist vorerst nur für Novell und seine Partner vorgesehen. Das RRZE sollte anstreben, da mit ins Boot zu kommen.

Außer den Informationen über Neuerungen, die der Identity Manager 3.5 mit sich bringt, konnte Herr Rygus auch eine Einführung in die Anbindung von Scripts und die Plug-In-Entwicklung erhalten. Die Themen Troubleshooting und Provisioning wurden auch behandelt.

Viel wichtiger als die Vorträge waren allerdings die Gespräche mit den Entwicklern bzw. mit den Product Managern. Dort konnten verschieden Meinungen zu unserem Vorhaben gehört und unsere Probleme angesprochen werden.

Der Tenor ist, dass unsere Vorstellungen zur Realisierung durchaus nicht an den Möglichkeiten des Produkts vorbei gehen. Es wurde allerdings vorgeschlagen, Redundanzen einzubauen. Die Billiglösung wäre, auf der gleichen Hardware eine zweite VMware-Instanz aufzubauen. Besser wäre eine zweite Hardware dafür. Das Thema Barrierefreiheit in Deutschland war in USA gänzlich unbekannt. Die Entwickler wussten allerdings recht gut, was ich damit meine, da sie offenbar für die USA-Ausprägung viel Arbeit investieren mussten. Der Produktmanager machte einen sehr interessierten Eindruck. Mal sehen, was daraus wird.

Als kleines Resumee kann man sagen, dass die Brainshare eine hervorragende Möglichkeit bietet, die neuen Entwicklungen kennen zu lernen, Fragen aller Art beantwortet zu bekommen und Wünsche direkt an die Entwickler und Verantwortlichen zu äußern. Einige der vorgetragenen Wünsche anderer wurden noch auf der Brainshare ‘mal schnell’ umgesetzt.
Diese Möglichkeit sollte man sich auch in Zukunft offen halten.

RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"