RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Treffen des VHB-AAI-Arbeitskreises am 09.02.2007 am LRZ in München

Am 09.02.2007 trafen sich die Mitglieder des Arbeitskreises, der die technische Zukunft der VHB abstecken sollte, am LRZ in München. Das RRZE wurde von P. Rygus vertreten.

Zunächst gab Herr Ingo Müller von der VHB eine einleitende Übersicht, um die Randbedingungen zu erläutern. Bemerkenswert erschien mir die große Zahl an Anbietern (333 Kurse von 36 Hochschulen pro Jahr) und Konsumenten (44500 Belegungen von 15000 Studenten pro Jahr).

Probleme entstehen durch proprietäre, teilweise noch papiergestütze Verfahren. Die Übermittlung der Leistungsnachweise und deren mangelnde Anerkennung durch die Hochschulen ist verbesserungswürdig.

Im Anschluß gab Herr Wolfgang Hommel vom LRZ eine kurze Einführung in die Software Shibboleth, mit der die VHB künftig die Authentifizierung und evtl. auch die Autorisierung realisieren möchte. Dabei wurde auch schnell klar, dass die vom AAI vorgesehenen Attribute (eduPerson) für die Zwecke der VHB nicht ausreichen werden.

Herr Franck Borell vom AAR-Projekt (UB Freiburg) gab danach einen Erfahrungsbericht über den bisherigen Verlauf des Projekts. Es zeigte sich , dass die Ziele nicht zu hoch gesteckt waren und man genug Zeit für den Support anderer hatte. Die Laufzeit wurde bis Mitte 2008 verlängert. Spätestens dann sollte alles zum DFN-AAI migriert sein, und sowohl der Betrieb, als auch die Beratung von dort aus geleistet werden. Ab Juni 2007 beginnt die Pilotphase des DFN-AAI mit einigen ausgewählten Einrichtungen.

Für uns könnte auch interessant sein, die in Freiburg realisierte Nagios- oder die SOAP-Anbindung abzukupfern.

Nach diesen Übersichtsvorträgen begann eine rege Diskussion, welche Ziele der Arbeitskreis wann in Angriff nehmen sollte. Es kristallisierten sich drei Zielrichtungen heraus.
1. Die Authentifizierung via Shibboleth und deren technische Umsetzung.
2. Die Übermittlung von Leistungsnachweisen bzw. die Anerkennung der erbrachten Leistungen durch die Hochschulen.
3. Die Benutzung von Resourcen von Trägerhochschulen

Man hat sich darauf geeinigt, zunächst den ersten Punkt anzugehen. Da das eh ein Thema des AK Meta-Dir ist, wird das nächste Treffen auch gemeinsam statt finden (09.05.2007 am RRZE). Die VHB und das RRZE haben eine Zusammenarbeit vereinbart, die die FH Coburg gerne nutzen würde. Dort gibt es kaum Personalresourcen, um eine eigene Shibboleth-Lösung aufzubauen. Das RRZE wird dabei helfen.

Der Zweite Punkt wird angegangen, wenn der erste gut vorangeschritten ist. Der dritte Punkt, so die Meinung der Mehrheit, ‘ergibt sich von alleine’. Schau mer mal.

IDM-Wochen-E-Mail 014

Es ist wieder mal Freitag und damit Zeit für einen Wochenbericht. Da wir uns diese Woche f2f gesehen haben, fasse ich mich hoffentlich kurz.

Nachdem das Fachkonzept endlich fertiggestellt wurde und die Lenkungsausschussitzung statt fand. Haben wir sofort Kurs auf das Feinkonzept genommen.

Herr Tröger hat dafür die Arbeit an der Liste der benötigten Attribute (Arbeitstitel: “Kampfstern Attributica”), dem Schema-Vergleich (Arbeitstitel: “Schlacht um Mittelschema”) sowie dem Konzept zur Anbindung des E-Mail-Systems fortgesetzt und verstärkt.

Herr Dr. Rygus und err Hänel waren auf dem DFN AAI Workshop in Berlin. Ihr Reisebericht folgt im Blog.

Das Thema Kartensysteme wird wohl nicht weiter zu verfolgen sein. Die technischen Lösungsanbieter der Universität und des Studentenwerks sind nicht kooperationsbereit und Herr Meyer vom Studentenwerk sieht derzeit in dieser Thematik auch keine Veränderung. Sollte die Universität über ein IDM-System verfügen und bereit sein, wie die FH Ingolstadt Geld für einen neuen Studierendenausweis zur Verfügung zustellen, ist er jedoch gesprächsbereit.

Anmerkung am Rande: Das Essen in der Südmensa soll sich bis Sommer bessern. Auch hier sind allerdings Investitionen notwendig.

Das bayernweite IDM-Konzept wurde heute in einer Videokonferenz diskutiert. Dabei zeigt sich, dass nur in Erlangen der Weg einer klaren Dienstleistungsdefinition und eines differenzierten Dienstleistungsportfolios gegangen wird. Da die anderen Rechenzentren dies nicht tun, unterscheiden sich die Anforderungen an das IDM massiv. Es wird sich zeigen, wohin das Konzept sich entwickelt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

In der nächsten Woche gilt es den Feinkonzept Workshop 12. – 14.03. vorzubereiten.
Am Mittwoch und Donnerstag gibt es drei Bewerbungsgespräche, u.a. hoffen wir auf einen Webprogrammierer.
Außerdem findet am Freitag wieder die Videokonferenz Novell.IDM@Bayern statt, die als einzigen Tagesordnungspunkt das gemeinsame Konzept hat.

Protokoll Lenkungsausschusssitzung 02

Am 27.02.2007 fand die zweite Sitzung des IDMone Lenkungsausschusses statt. Hier nun der Bericht:

0. Aktuell
Unter dem Titel Mit IDMone fit für morgen” berichtet die aktuelle Ausgabe des uni kurier aktuell http://www.uni-erlangen.de/infocenter/presse/publikationen/unikurier_aktuell/uka_pdf/UKA_65.pdf auf Seite zwei über das Identity Management Projekt.

1.Status Projekt:
Das Projekt hat sich über die folgenden Meilensteine seit der letzten Sitzung am 12.12.2006 entwickelt.

Die Teststellung vom 15. – 25.01. hat nicht die Erwartungen der Teilnehmer erfüllt. Sie war zu ambitioniert und zu umfangreich angelegt. Allerdings hat sie in einigen technischen Punkten wesentliche Klarheit geschaffen.

Das zusätzlich aufgekommene Thema “Abbildung der Organisationsstruktur” wurde in einem Workshop am 22.01.2007 erstmalig mit einem breiten Kreis von Betroffenen thematisiert. Fest steht, dass es sich hierbei um keine Kernaufgabe von IDMone handelt. Es wurde mit den Ateuren ein gemeinsames Positionspapier entworfen und dem Kanzler übergeben. Die Umsetzung und personelle Ausstattung sind jedoch nach wie vor unklar.

Das Advanced Technical Training für den Novell Identity Manager 3 vom 13. – 15.02. wurde von den Beteiligten als sehr lehrreich gewertet. Im Hinblick auf technische Fragen, hat es Klarheit geschaffen. Allerdings wurden auch bestehende Hürden noch stärker sichtbar als zuvor. Zu nennen sind hier zum Einen die Berücksichtigung von Rollen und zum anderen der Themenkomplex “IDM Service-Portal”.

Insgesamt wurde die Zeit zwischen den zwei Lenkungsausschussitzungen intensiv für die interne Abstimmung der Know-How-Stände sowie die Fertigstellung des Fachkonzepts verwendet.

Zum Fachkonzept ist anzumerken, dass das Ziel das Altsystem abzulösen eine erhebliche Umfangserweiterung mit sich bringt. Herr Eggers hat dies Ziel bereits von August auf Dezember 2007 prolongiert. Der in Kapitel 4.7 des Fachkonzepts beschriebene Arbeitsumfang übersteigt die im Projekt derzeit vorhandenen personellen Ressourcen.
Am besten veranschaulicht dies ein Vergleich von Herrn Tröger, der das Bild des Mikadospiels benutzt. Die Schrittweise Migration ähnelt dem Ziehen von Stäbchen. Auf Grund des hohen Integrationsgrades der existierenden Lösung muss man jeweils schauen was wackelt. Eine genaue Abschätzung lässt sich wegen der fehlenden Prozess-Dokumentation nicht treffen. Auch kann die Migration nicht beschleunigt werden, da nur Gert Büttner und Dr. Peter Rygus hierzu in der Lage sind.
Um die Projektdokumentation zu fördern wir Novell Vorlagen für die Dokumentation der Konnektoren liefern.
Insgesamt liegt also ein Zielkonflikt zwischen der zeitnahen Ablösung des Altsystems und der einschränkungsfreien Migration vor.
Nach intensiver Diskussion sind die Lenkungsausschussmitglieder zu dem Schluss gekommen, dass eine Entscheidung hierzu erst getroffen werden kann, wenn die Arbeitspakete im Umfang und zeitlicher Reihenfolge definiert und der Projektplan aktualisiert wurde. Dies zu leisten wird Aufgabe des Feinkonzept-Monats März sein.
Es wurden noch kleinere Änderungen am Fachkonzept vorgenommen, das dann in der vorgelegten Form akzeptiert wurde.
Das Fachkonzept wird nach der Lenkungsausschussitzung unter http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/20070228_IDMone_Fachkonzept_1.0.pdf online zur Verfügung gestellt.

2. Risiko Management – Review der Top Risiken / offene Punkte
Nach der
intensiven Diskussion zum ersten Tagesordnungspunkt stellt Herr Eggers kurz die aktuellen Projektrisiken vor.
a) Kategorie Blocker:
– Personelle Ausstattung (Zielkonflikt Ablösung vs. Umfang)
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT-Struktur
b) Kategorie Critical:
– Ablösung der bisherigen Benutzerverwaltung bis 2007
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

Zum Punkt “Barriefreie Weboberfläche Novell Front-End” ist anzumerken, dass Novell einen aus Ihrer Sicht kompetenten Berater benannt hat, der am Feinkonzept mitarbeiten soll. Auf Grund des wesentlich vergrößerten Funktionsumfanges im Webbereich soll IDMone sofort mit der neusten Version 3.5 des Novell Identity Managers starten.
Wenn fest steht welche Aufwände durch die benötigten Funktionserweiterungen und die Bereitstellung einer barrierefreien Weboberfläche zu erwarten sind, soll bei der nächsten Lenkungsausschussitzung eine Aufgabenverteilung vorgenommen werden.

3.Ausblick bis nächster Termin / Nächster Termin
IDMone bfindet sich derzeit noch im Projektplan allerdings ist – wie oben ausgeführt – eine Planungsüberschreitung absehbar.

Das Projekt wird vom 12. bis 14.03. in einem Feinkonzept-Workshop alle offenen Fragen zusammen tragen, die Arbeitspakete definieren, verteilen und darauf aufbauend einen aktuellen Projektplan erstellen. Danach wird Herr Dr. Rygus versuchen einige offene Punkte auf der Brainshare in Salt Lake City (USA) zu klären.
In einem zweiten Workshop sollen vom 27. bis 29.03. sollen dann evtl. mit den Kollegen aus Würzburg die Detaillierungen zusammengetragen und die Projektplanung finalisiert werden.

Der geplante Entscheidungsworkshop zur IT-Prozessunterstützung wurde nach Rücksprache mit dem Kanzler vertagt, da die Akteure bisher kein entscheidungsförderndes Problembewusstsein entwickelt haben. Es wurde ein neuer Termin Mitte Mai ins Auge gefasst, zu dem ein Blick in das neue IDM-System Fragen aufwerfen und zur Beantwortung drängen soll.
Dieses Entwicklungssystem muss ausdrücklich noch nicht dem CD der FAU entsprechen.
Bis August und damit zum Berichtszeitpunkt an das StMWK wird nur Teilproduktivsystem online sein. Der bisherige Verzeichnisdienst wird parallel laufen müssen.

Der nächster Termin der Lekungsausschussitzung wurde auf den 04.04.2007 von 15 bis 17 Uhr im RRZE festgelegt.

4. Scope-Veränderung
Herr Lippert weist daruafhin, dass bei dem Start des Projekts davon ausgegangen wurde, dass der damals noch nicht eingestellte Projektleiter exklusiv für das Projekt arbeiten würde.
Er sieht derzeit Beeinträchtigungen für IDMone zum Einen im Projektmanagement, da Herr Eggers mit Campus Management, der Arbeit in Arbeitskreisen sowie der Koordination des bayernweiten IDM-Konzepts umfangreiche neue Aufgaben übernommen hat. Dadurch steht Herr Eggers zwangsläufig weniger für inhaltliche Arbeit zur Verfügung, was spürbare Auswirkungen im Projekt zeigt.
Zum Zweiten sieht Herr Lippert durch die im Laufe der Fachkonzeptphase neu hinzugekommenen Projektaufgaben, wie der Anbindung des RRZE-Rechnungswesens und der Abbildung Organisationsstruktur, eine Gefahr für die planungsgemäße Umsetzung des Projekt,

5.Verschiedenes:
Herr Eggers erläutert die Idee eines Sammelbandes IDM. Die Teammitglieder arbeiten derzeit soviele Themen auf, die so oder in ähnlicher Form auch von anderen Projekten geleistet werden müssen. Dies legt die Idee nahe, solche Informationen in einer Form zu dokumentieren, dass diese in einem Sammelband veröffentlicht werden können.
Der Lenkungsausschuss nimmt diese Idee zur Kenntnis allerdings unter der Auflage, dass die Arbeit im Projekt davon nicht beeinträchtigt werden darf.

Nach Ansicht von Herrn Eggers bietet das bayernweite IDM-Konzept für Novell Consulting Deutschland die Chance eine IDM Branchenlösung Universitäten zu entwickeln. Herr Adam ist zwar skeptisch aber durchaus aufgeschlossen und sieht drei alternative
Lösungsansätze:

5.1 Novell Consulting entwickelt generische Produkte stellt diese aber nicht mehr kostenfrei zukünftigen Kunden zur Verfügung, sondern verkauft Consulting Pakete. Dies wird für Novell aus bilanzieller Sicht problematisch.

5.2.
Die Hochschulen mit Consultingverträgen investieren einen gewissen Teil in einen gemeinsamen Pool und lassen Novell Consulting eine generalisierte Lösung entwickeln. Alle investierenden Hochschulen dürfen diese Gemeinschaftsentwicklungen nutzen. Neu hinzukommende Hochschulen müssen Fortentwicklungen finanzieren.

5.3. Es entsteht ein Bundlingprodukt von Hochschulen, dass ein Kernsystem und vorkonfektionierte Treiber samt Dokumentation umfasst und ohne Consulting erworben werden kann. Dies ist mit dem Produktmanagement in Provo zu diskutieren.

Herr Adam hat zugesagt, das Thema aufzugreifen und Novell intern zu kommunizieren.

IDM-Wochen-E-Mail 013

Der 13. (in Worten: dreizehnte!) Wochenbericht von IDMone.

Die Woche stand komplett im Zeichen des Fachkonzepts.
Der Dienstag wurde dazu verwendet die von Gert Büttner zusammen gefassten Anmerkungen ausführlich zu diskutieren und weitestgehend abschließend zu beantworten.
Am Mittwoch hat das Team mit Jürgen Orschiedt von Novell das Fachkonzept finalisiert.
Das heute von Herrn Dr. Rygus den letzten Schliff erhält.

In einem Telefonat mit Herrn Kanzler Schöck wurde am Mittwoch beschlossen, dass der für den 12.03. terminierte Entscheidungsworkshop IT-Prozessunterstützung wegen fehlendem Problembewusstsein bei den Akteueren auf Mai vertagt wird. Bis dahin soll ein “IDM-System zum Anfassen” vorliegen, dass die Probleme wesentlich anschaulicher macht und offen zu Tage treten läßt.

Am Donnerstag wurde mit Jürgen Orschiedt die Feinkonzeption besprochen. Hierbei wurde der komplette Umfang des Release 1 durch gegangen und die vielen offenen Fragen zusammen getragen. Am Rande konnten wesentliche Begrifflichkeiten geklärt und definiert werden.
Fest steht nun, dass wir von Novell verbindliche Aussagen zum Leistungsspektrum der UserApp benötigen. Derzeit ist nicht klar, wer der Experte auf Seiten von Novell ist und ob sich die Anforderungen des Projekts mit diesem Produkt überhaupt umsetzen lassen.
Die Frage nach der Verantwortlichkeit für die Umsetzung verschärft der folgende Absatz.

Ausgerechnet heute musste eine Riskowarnung versendet werden:
http://www.blogs.uni-erlangen.de/IDM/stories/751/
Mit der derzeitigen personellen Ausstattung des Projektes wird der Termin August 2007 für das Release 1 in dem notwendigen Umfang, um das Altsystem komplett abschalten zu können, NICHT zu halten sein!

Das bayernweite IDM-Konzept nimmt weiter Formen an. Heute wurde die Version 0.3 kommuniziert. Außerdem hat auch die LMU ein reges Interesse an einer Mitarbeit bekundet.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

Die kommende Woche wollen die Teammitglieder nutzen um den Feinkonzept-Workshop vorzubereiten. Am Dienstag wird der IDMone Lenkungsausschuss tagen, dem das Fachkonzept vorzulegen sein wird.
Herr Dr. Rygus wird in Berlin an der DFN-Betriebstagung i.S. DFN-AAI teilnehmen und aktuellste Informationen einholen.
Außerdem findet am Freitag wieder die monatliche Videokonferenz Novell.IDM@Bayern statt, die als einzigen Tagesordnungspunkt das gemeinsame Konzept hat.

IDM-Wochen-E-Mail 012

Leider etwas spät, aber nun doch der Wochenbericht der vergangenen Woche, die ganz und gar vom Advanced Technical Training (ATT) bestimmt wurde:

Das ATT begann am 12.02.07 mit der Besichtigung des ATT-Raumes. Nach
kleineren Ergänzungen konnten der Raum als nutzbar definiert werden.
Herr Krause kam um ca. 12:00 Uhr und wurde von mir empfangen. Wir
sprachen das Programm nochmal durch und besichtigten nochmal den
ATT-Raum, wo doch noch ein paar Kleinigkeiten fehlten. Das konnte der
Christoph aber bereinigen.

Das ATT selbst begann am Dienstag. Teilnehmer waren 5 Beschäftigte des
RRZE und 3 externe Gäste.

Nach einer kurzen Einführung mit Überblick über die Komponenten von
Novell Identity Manager 3 führte Herr Krause den Designer vor.
Anschliessend wurden alle für uns interessanten Treiber und ihre
Eigenheiten kurz besprochen. Das ganze wurde immer wieder mit viel
Hintergrundwissen bereichert und auf Fragen jederzeit eingegangen.

Am zweiten Tag stand der Policy Builder im Vordergrund. Auch hier wurde
wieder auf Fragen ausführlich eingegangen. Besprochen wurde i.d.R. am
Beispiel des AD-Treibers u.A. die Einbindung von XML, Java und andere
Kniffe.

Am Donnerstag wurde in praktischen Übungen vertieft, was vorher
theoretisch gelehrt wurde.

Zum Abschluß wurden noch die User Application, Password Synchronisation,
Role Based Entitlements und Workflows mit Approval besprochen.

Das gesamte Training war beherrscht von einer atemberaubenden
Geschwindigkeit. Jede Menge Informationen in kürzester Zeit
beanspruchten die Aufmerksamkeit bis an die Grenzen. Herr Krause
verstand es aber, sich immer wieder bei Bedarf zu bremsen und dadurch
niemanden abzuhängen.

Es zeigte sich, dass unsere zwei technischen Consultants und Herr Krause
durchaus drei unterschiedliche Sichten für Lösungen unserer Aufgaben
haben und wir uns nochmal Gedanken machen müssen, wie wir die Software
optimal nutzen und trotzdem noch genug Transparenz für die Abläufe behalten.

Bleibt noch ein Dank an den Christoph Singer, der sich um das Setup des Raumes
gekümmert hat und an den Frank Tröger, der den Kaffee für die Koffein-Junkies
besorgt hat.

Außerdem war Herr Eggers am Montag und Dienstag auf der Sitzung des ZKI Arbeitskreises Verzeichnisdienste in Halle. Die Details entnehmen Sie bitte dem Reisebericht unter http://www.blogs.uni-erlangen.de/IDM/stories/731/.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

Diese Woche sollen die Arbeiten am Fachkonzept abgeschlossen werden, wozu auch Herr Orschiedt vor Ort sein wird.

Sitzung des ZKI Arbeitskreises Verzeichnisdienste (vd-ak) 12. + 13.02.2007 in Halle

Sitzung des ZKI Arbeitskreises Verzeichnisdienste (vd-ak) 12. + 13.02.2007 in Halle
In den vergangenen zwei Tagen trafen sich die Mitglieder des ZKI vd-ak in Halle. Der ZKI vd-ak ist ein Zusammenschluss aller i.S. IDM AKtiven in den deutschen Hochschulen deren Treffen zweimal jährlich stattfinden.

Im folgenden seien die aus Sicht des Autors bemerkenswerten Punkte der Vorträge zusammen gefasst.

Herr Gradmann berichtete für das Hamburger eCampus Projekt über den derzeitigen Stand und dass die föderativen Bestrebungen ab März in eCampus II fortgesetzt werden sollen. Das Projekt wird durch Frau Winklmeier vom MMKH begleitet und unterstützt.
Die Hamburger werden zeitnah den von OCLC bereitgestellten SISIS-Konnektor namens “Identity Server” testen. Dabei handelt es sich laut Herrn Gradmann eher um einen Proxy auf LDAP-Basis. Hier können sich interessante Synergieeffekte ergeben.

Für die FU Berlin berichtete Herr Hofmann über FUDIS, das FU Directory und Identity System. Bemerkenswert war dass die Anbindung von SAP CM derzeit nur per LDAPv2 (veraltet) möglich ist, obwohl dies SAP gegenpüber bereits desöfteren bemängelt wurde.
Als Parallele zur Erlangen plant auch die FU Berlin die Abbildung von Geschäftsprozessen und sucht nach einem entsprechenden Tool.
FUDIS basiert komplett auf Open Source Software und eigener Programmierleistung. Die gesamte Lösung wurde in 3 Jahren von 3 Mitarbeitern entwickelt und betreut
. Die Frage von Herrn Lix nach den TCO und seine Aussage, dass kommerzielle Lösungen generell günstiger seien, führten zu einer in die Pause andauernden Diskussion.

Herr Gietz von der DAASI wiederholte in großen Teilen seinen bekannten Vortrag.
Wirklich neues wurde nur auf der “Tonspur” geliefert. So wird das Testsystem von vascoda zur DFN AAI migriert. Das DFN-AAI-schema soll ab der DFN-Betriebstagung bereit stehen. Die Ergebnisse von SCHAC sind seit 20.12.2006 unter http://www.terena.org/activities/tf-emc2/schacreleases.html verfügbar.

Die RWTH Aachen stellte die Open Source Software Signet zum Management von Privilegien vor. Dabei können Privilegien als systemspezifische Berechtigungen
interpretiert werden. Mit der Lösung soll es auch möglich sein Vertretung als zeitlich begrenzte Berechtigungen abzubilden. Leider wurde erst am Ende des Vortrages deutlich, dass die Software in Aachen bisher nur evaluiert aber noch nicht in einem realen Testszenario eingesetzt wurde.

Dies waren die Bemerkenswertigkeiten des ersten Tages.

Der zweite Tag startete mit der Vorstellung der DINI AG Portale durch Frau Weisel von der Uni Marburg. Die DINI AG Portale erarbeitet derzeit Empfehlungen zum Thema Portale, die höchstwahrscheinlich am 05.03.2007 im Vorlauf zur ZKI Frühjahrstagung in Dortmund vorgestellt werden. Die Mitglieder des ZKI vd-ak sind zu einer Mitarbeit eingeladen.

Bemerkenswert an der Lösung von Herrn Schaarschmidt aus Halle ist, dass sie auf Oracle Express basiert, aber im Prinzip einem sehr ähnlichen Konzept wie dem am RRZE diskutierten folgt. Nur dass hier als Basis eben eine Datenbank dient.

Herr Klapper, CIO der Uni Bielefeld berichtete über die dortigen intensiven Anstrengungen zur Verbesserungen der Datenqaulität. Er betonte, dass dies keine einmalige sondern eine laufende Aufgabe ist. Dies gilt auch für Bielefeld, die Fehleingaben durch Regeln zur Datenerfassung und einem entsprechenden Handout für die Erfasserinnen und Erfasser zu minimieren versuchen. Das Konzept und die Algorithmen zur Datenbereinigung wurden in einem Dokument für NRW zusammen gefasst, dass von Herrn Lix verwaltet wird. In Bielefeld erfolgt die Datenbereinigung mit Oracle spezifischen Funktionen, womit eine generelle Wiederverwendung nicht einfach gegeben ist.

Das KIM (Karlsruhe), vertreten durch Herrn Maurer, bindet die HIS-Software via Web-Services (HIS PSV) an. Dabei setzt man Petri-Netze zur Modellierung von Geschäftsprozessen ein. Außerdem hält Herr Maurer Microsoft i.S. Webservices und Sicherheit von Webservices für führend! Open Source Tools seien weit abgeschlagen.

Die HIS war durch Herrn Hübner vertreten, der die Perspektive von HISinOne bis 10/2008 aufzeigte und auf die veränderte Architektur von HIS PSV einging. Inzwischen kann HIS sowohl als kleine IDM-Lösung als auch als Datenlieferant via LDAP oder webservice-Schnittstelle dienen.

Die von Herrn Heitzenröther (Tübingen) vorgestellte PKI-LDAP in Baden-Würtemberg, dient vorerst einem sehr begrenzten Einsatzspektrum, wobei Konstanz auf Tokens und Tübingen auf eine in Horde integrierte Zertifikatsverwaltung
setzen. Langfristig soll die PKI durch die des DFN ergänzt werden.

Das nächste Treffen ist für die 40. KW (01. – 05.10.2007) vorgesehen.

Im Nachgang muss aus Sicht des Autors bemerkt werden, dass diesmal sehr viele Präsentationen aus NRW vertreten waren, die den IBM Tivoli Identity Manager sowie die landesweite Verwendung der Konzepte oft erwähnten. Ob diese jedoch übertragbar sind, muss eine intensivere Auseinandersetzung zeigen. Herr Eggers hat Herrn Lix um die Bereitstellung der Konzepte gebeten.

Es fällt auf, dass sehr viele von Prozessen reden, aber keiner auf eine übergeordnete Modellierung bzw. Generalisierung eingeht. In den Pausengesprächen wurde die Meinung vertreten, wen die Prozesse in die einzelnen Systeme implementiert werde. Eine systemübergreifende Sicht konnten auch die Verfechter von SOA nicht präsentieren.

IDM-Wochen-E-Mail 011

Diese Woche verlief vergleichsweise ereignislos und war von Bewerbungsgesprächen und anderen organisatorischen Pflichtaufgaben beherrscht.

Das Fachkonzept wurde nochmal redigiert und gestrafft. Besonders kontrovers wurde dabei der Zeitplan für das Release 1 diskutiert. Nach den Erfahrungen mit der Teststellung steht für das Team fest, dass keine Zeit für die Formulierung eines vollständigen Feinkonzepts bleibt. Es wird daher notwendig sein, den Gesamtrahmen aus Arbeitspaketen bestehend zu definieren und diese dann im Dreiklang Konzeption, Implementation, Dokumentation abzuarbeiten.
Eine endgültige Entscheidung hierzu wird auf der Lenkungsausschusssitzung am 27.02. zu treffen sein.

Die Bewerbungsgespräche verliefen leider nur mittelprächtig. Derzeit hoffen wir zwei neue Mitarbeiterinnen (66% + 50%) gefunden zu haben. Allein Formalia sowie die Zusagen der KandidatInnen stehen aus.

Zur Idee einer IDM-Branchenlösung hat Herr Eggers einen ersten Entwurf eines Konzepts verfasst, dass die derzeitige Situation analysiert, die notwendigen Maßnahmen auf Seiten der Hochschulen skizziert und auch die Situation Novells nicht außer Acht läßt. Es geht damit zwar weit über den Rahmen eines reinen Produktkonzepts hinaus. Es könnte jedoch eine Lösungsperspektive für die aktuellen Probleme der betroffenen Hochschulen darstellen.

Herr Dr. Rygus war am 09.02. auf der Arbeitssitzung der vhb an der TUM. Sein Reisebericht folgt in der nächsten Woche.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Neueinführung Novell IDM

In der nächsten Woche findet von Dienstag bis Freitag ein Advanced Technical Training für den Novell Identity Manager 3 mit Gästen aus Eichstätt, Würzburg und Passau statt. Herr Eggers wird am 12. + 13.02. an der Sitzung des ZKI Arbeitskreises Verzeichnisdienste teilnehmen.
Desweiteren wird es an der Zeit die research agenda zu formulieren und die Inhalte für den Einscheidungsworkshop zusammen zu stellen.

IDM-Wochen-E-Mail 010

Nach der Teststellung ist vor dem Fachkonzept könnte das Motto der vergangenen Woche sein. Nachdem erstmal all die liegen gebliebene Arbeit der vergangenen zwei Wochen aufgearbeitet wurde, ging es mit neuen Ideen und Elan wieder an das Fachkonzept. Änderungen und Restrukturierungen blieben nicht aus.
Die Ergebnisse werden in der nächsten Woche diskutiert.

Das Gespräch mit der Designerin war höchst erfolgreich. Die Modellierung wird also hinsichtlich Design keine Probleme haben.

Die monatliche Videokonferenz mit den anderen bayerischen Novell IDM Universitäten hat eine erhebliche Unzufriedenheit mit Novells Produktpolitik ergeben. Das Fehlen einer Universitätsbranchenlösung und der dadurch unvermeidliche der erhebliche Consultingaufwand werden zeitnah mit dem Novell Management zu diskutieren sein.

Auch diese Woche hat der Nebenschauplatz Campus Management wieder erhebliche Zeit verschlungen.

Viel wichtiger war jedoch der heutige Termin mit dem Kanzler in dem es galt die bisher “entdeckten” Defizite in der Uni hinsichtlich Prozessunterstützung aufzuzeigen. Herr Schöck hat entschieden, alle relevanten Akteure zu einem Entscheidungsworkshop Mitte März einzuladen. Und Herrn Eggers sowie Frau Tannapfel mit der Organisation beauftragt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Neueinführung Novell IDM

Die nächsten Woche steht ganz im Zeichen des Fachkonzepts und der Besetzung der noch offenen Stellen nicht nur im Identity Management.

IDM-Wochen-E-Mail 009

Diese Woche resümiert zuerst Herr Dr. Peter Rygus über die vergangene Woche und die alles beherrschende Teststellung:

Auch diese Woche beherrschte die Teststellung das Geschehen. Aufbauend auf die Ergebnisse der letzten Woche konnten tiefere Einblicke in den Umgang mit den Entwicklungswerkzeugen gewonnen werden. Einige Detailfragen zur Realisierung konnten auch bereits diskutiert werden.

Leider musste wir lernen, dass wir uns viel zuviel vorgenommen hatten und wir ‘Mut zur Lücke’ haben mussten.

Interessant war, dass auch Werkzeugteile, die aus einem laufenden System entnommen werden, durchaus noch ihre Tücken haben können.
Mit dem Ziel im Hinterkopf, etwas wiederverwertbares zu designen, beschäftigten wir uns mit einem Generator-Treiber für eindeutige IDs und mit dem Loopback-Treiber, der zur Realisierung von Policies mit Anpassungen im DIT notwendig ist.
Wir besprachen im Detail, welche Auswirkungen Einträge innerhalb eines Treibers haben und wie man Java-Klassen und XSML-Scripten verwendet. Zum Schluß begannen wir mit dem LDAP-Treiber, um die Provisionierung eines OpenLDAP Servers zu üben. Wir scheiterten an der zu geringen Zeit und an den Tücken der Sicherheitsmechanismen.

Abschließend kann man sagen, dass wir die Woche zwar gut genutzt haben, aber mit unserer Zeitabschätzung gewaltig daneben lagen. Uns wurde klar, dass wir nach geeigneter Vorbereitung weitere Unterstützung benötigen werden, bis wir die Software soweit verstanden haben, dass wir ohne externe Unterstützung planen und entwickeln können.

Außerdem hat Herr Eggers abseits des Kernteams wieder einige Nebenschauplätze zu beackern gehabt. So fand am 22.01. ein Workshop zur Abbildung der Organisationsstruktur mit fast allen relevanten TeilnehmerInnen aus ZUV und RRZE statt, bei dem die TeilnehmerInnen schnell übereinkamen, dass es eine zuständige Stelle braucht die sich der Thematik fachlich annimmt und dass diese Stelle durch die IT unterstützt werden muss. Das daraus entstandene Positionspapier wurde am Mittwoch (24.01.) zusammen mit dem Projektleitdokument offiziell dem Kanzler übergeben und harrt nun dem Beschluss.

Und last but not least floß diese Woche erhebliche Zeit in die Abklärung der möglichen Synergien zwischen dem Identity Management und dem anstehenden Campus Management.

Am Donnerstag Abend wurden mit den fünf BewerberInnen für die noch offene Stelle Telefoninterviews geführt. Als Ergebnis werden nun vier Bewerberinnen zu Bewerbungsgesprächen am 06. + 08.02. eingeladen.

Und nicht zu vergessen:
Das Projekt heißt seit dem heutigen Tage IDMone!

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Neueinführung Novell IDM

In der nächsten Woche wird das Team die Teststellung aufarbeiten und mit neuem Elan das Fachkonzept ein ganzes Stück weiter zur Fertigstellung tragen.
Außerdem ist aus dem Tagesgeschäft einiges liegen geblieben, dass es aufzuarbeiten gilt.
Darüber hinaus wird es zwei Gespräche mit potentiellen HiWis geben und am Freitag die monatliche Videokonferenz mit den bayerischen Kollegen.

IDM-Wochen-E-Mail 008

Frei nach dem Motto divide et labora hat das Projektteam sich gespalten und zum Großteil an der Teststellung gearbeitet, während der Projektleiter mit diversen Nebenschauplätzen beschäftigt. Doch dazu später mehr. Zuerst berichtet Herr Tröger von der Teststellung:

Diese Woche stand ganz im Zeichen der Teststellung. Herr Orschiedt von Novell
hat das Projekt-Team mit den Eigenheiten der Novell Software rund um den
Identity Manager 3.01 vertraut gemacht. Zu Beginn der Woche ging es vorrangig um die reibungslose Installation der einzelnen Komponenten. Uns wurde wieder einmal eindrucksvoll demonstriert, dass die Probleme im Detail liegen. Das für
Montag angestrebte Ziel, die Installation aller Applikationen, wurde nicht
vollständig erreicht, da die Voraussetzungen für die sog. User Application
erst im Laufe der Woche erfüllt werden sollten.

Am Dienstag ging es mit einer Einführung in das zentrale Konfigurations- und
Deployment-Werkzeug, dem Designer, weiter. Anhand der Anbindung der
Personalanwendung DIAPERS mittels des JDBC-Konnektors ist das grundlegende
Konzept des Designers vermittelt worden. Dieses Vorgehen bot sich an, da man mit einem leeren Meta-Directory nicht viel anfangen kann und DIAPERS als erste
Datenquelle diesen Zustand ändert. Während die für den Zugriff auf
DIAPERS bereitgestellte Datenbank noch eingerichtet wurde, nutzten wir die Zeit
für eine Diskussion über die sog. DIT-Struktur, also den eigentlichen Aufbau
des Meta-Directorys. Zwar geschah dies bereits im Vorfeld, jedoch wurden
diesmal auch die technischen Aspekte durch Herrn Orschiedt mit eingebracht.

Nach der Diskussion über die DIT-Struktur konnten am Mittwoch die daraus
resultierenden Schema-Erweiterungen eingespielt werden. Zwar war die Datenbank zu diesem Zeitpunkt bereits fertig eingerichtet, jedoch kam es durch, bis dahin unbekannte Voraussetzungen, erneut zu Verzögerungen. Während eine Voraussetzung durch Anpassung des Treibers vorerst überrückt werden konnte, erforderte die andere das erneute Eingreifen des Datenbank-Administrators. Hinzu kamen weitere Schwierigkeiten mit der bereitgestellten Datenbank, welche letztendlich erst am Donnerstag durch Herrn Büttner gelöst werden konnten.

So konnte DIAPERS gestern erfolgreich angebunden werden. Ein Rückblick auf die
vorgenommenen Konfigurationen am Designer rundete die erste Woche der
Teststellung ab. Die Zusammenfassung des Erarbeiteten wurde wegen eines
heranrückenden Unwetters auf nächste Woche verschoben.

Am Dienstag (16.01.2007) gab es unter dem Motto “IDM meets Alumni” ein Gespräch mit der Alumni-Koordinatorin und der Referentin des Kanzlers in der auf die verschiedenen Aspekte der Alumni-Arbeit aus rechtlicher und IT-Dienstleistungssicht hingewiesen wurde. Das IDM wird maximal eine Funktion im Self Service zum Ein- und Austragen als Alumni sowie eine Datenübergabe realisieren.

Am Mittwoch (17.01.2007) fand unter der Leitung von Herrn Eggers ein RRZE-interner Workshop zur Dienstleistungsdefinition statt. Dieser diente der Einführung in die Problemstellung und der Erarbeitung eines Formulars zur Beschreibung der vom RRZE angebotenen Dienstleistungen. Die Verantwortlichen sollen erste Ergebnisse bis zum 25.01.2007 einreichen.

Die Sichtung der Stellenanzeigen im Bereich Redaktion hat noch zwei Kandidaten für andere Aufgaben im RRZE zu Tage befördert. Insgesamt die Lage aber immer noch mau aus.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Konsensverfahren
– Projektname
– Neueinführung Novell IDM

Die nächste Woche sind wir noch einmal komplett mit der Teststellung ausgelastet. Außerdem wird Herr Eggers am 22.01. einen Workshop zur Organisationsstruktur moderieren. Und am 24.01. werden Herr Dr. Hergenröder und Herr Eggers das PID an den Kanzler übergeben.