RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Reisebericht JAX 2007 vom 25.04-27.04.07

Frank Tröger besuchte letzte Woche von Mittwoch bis Freitag (25.04 bis 27.04) die “JAX 07” in den Rhein-Main-Hallen in Wiesbaden. Nach Aussage der Veranstalter die No. 1-Konferenz für Java, Enterprise Architekturen und SOA. Die JAX wurde durch die beiden parallelen Konferenzen “Enterprise Architektur Konferenz” (EAKon) und “Eclipse Forum Europe” ideal ergänzt. Hauptziele waren u.a. ein Einblick in Model-Driven Software Development (MDSD), aktuelle Informationen rund um Java und Best-Practices im Umgang mit der Eclipse Platform.

Besuchte Veranstaltungen:

Mi 08:30 – Textuelle domänenspezifische Sprachen (DSLs)
Mi 10:15 – Dynamische Programmierung mit Groovy
Mi 11:45 – Keynote: Bringing Web 2.0 in the Enterprise
Mi 13:45 – Implementierungstechniken für domänenspezifische Sprachen
Mi 15.15 – Keynote: Der Sicherheits-Entwicklungszyklus bei Microsoft
Mi 16:30 – Test First Development Using Eclipse
Mi 17:10 – OpenLDAP, adieu? Ein LDAP-Server in Java: ApacheDS Reality Check
Mi 20:30 – Polyglot Programming

Do 08:30 – Maven 2 – Umstellung eines Projekts von Ant zu Maven 2
Do 10:15 – Keynote: The Role of Java EE in Enterprise SOA Development at SAP
Do 11:00 – Keynote: Java IDE(s) – Then, Now, and Eventually
Do 12:00 – Grails – Rapid Web Application Development
Do 14:15 – Einsatz-Patterns für Skriptsprachen in Java
Do 15:45 – Objektorientiertes Enterprise Java mit Spring und AspectJ
Do 17:00 – Abschlussveranstaltung / Closing Plenary

Fr 09:00-16:30 Power Workshop: MDD with the Eclipse Modeling Tools

Ein erster Einblick in MDSD konnte durch zwei Sessions über domänenspezifische Sprachen (DSLs) gewonnen werden. Beim ganztägigen Power Workshop am Freitag wurde dann das praktische Wissen etwas ausgebaut. Unter Verwendung von Eclipse Modeling Framework (EMF) und openArchitectureWare (oAW), beides Eclipse-Plugins, wurde beispielhaft ein Zustandsautomat (Paradebeispiel für MDD) modelliert und daraus Java-Code generiert. Das Ausgangsmodell wurde mittels der Community-Edition des UML-Tools MagicDraw graphisch erzeugt.

Weiterhin konnte sich Herr Tröger viele Anregungen im Bereich Java-Programmierung sowie im Umgang mit Eclipse holen. Bei einem “Short Talk” beeindruckte Wayne Beaton von der Eclipse Foundation mit einem guter Live-Demo im Programmieren in Eclipse. Hervorzuheben ist auch der Einsatz von Skriptsprachen, vor allem Groovy, in Java. Groovy stellt einen leichtgewichtigen Zugang zu Java bereit und ermöglicht die Entwicklung von ansprechenden Anwendungen in kürzester Zeit. Allgemein mußte sich die Programmiersprache Java mit den Skriptsprachen messen und schnitt dabei nicht immer besser ab. Die Java-Plattform wurde dafür umso mehr “gelobt”.

Die einzige Veranstaltung zum Thema LDAP und Verzeichnisse handelte von dem in Java geschriebenen Directory-Server ApacheDS und dem LDAP-Client LDAP Studio (Eclipse RCP Anwendung). Beide Produkte haben interessante Features. So kann ApacheDS neben einem Stand-Alone-Betrieb auch direkt aus einer Java-Anwendung heraus betrieben werden und LDAP Studio entwickelt sich zu einem ernst zunehmenden Konkurrenten von JXplorer und dem “LDAP Browser” von Jarek Gawor.

Bei der Abschlussveranstaltung am Donnerstag konnte sich Herr Tröger durch seinen außerordentlichen Einsatz bei der Verlosung, einen Gutschein zur Teilnahme an der W-JAX vom 5.-8.November 2007 in München im Wert von 1149 Euro sichern.

Besuch der 'Brainshare' vom 18.03.2007 bis 24.03.2007

Herr Rygus war vom 18.03.2007 bis 24.03.2007 in Salt Lake City, um die Hausmesse ‘Brainshare’ der Firma Novell zu besuchen. Dort wurden alle neuen Produkte vorgestellt. Die Produkte Groupwise, OES2, Orchestra, Teaming & Conferencing, SLED10 etc. werden hier nicht näher beschrieben, da der Fokus dieser Reise auf Idendity Management lag.

Die neue Version 3.5 des Identity Managers, die während der Brainshare released wurde, hat einige neue Funktionen, die uns bei unserem Projekt helfen werden.

User Application:
– Neuer Installer bzw. Migration Tool
– Mit Hilfe von CryptoVision können Digitale Signaturen unterstützt werden.
– Anonymer Access
– ‘Self registration’, d.h. Anmeldung ohne vorherigen Account -> Workflow …
– Die OrgCharts können Beziehungen besser darstellen
– Internationale Zeichensätze und Übersetzungen können eingepflegt werden -> User kann Sprache wählen, falls konfiguriert
– Workflow und Approval kann jetzt mehr:
     – Der Manager kann gewählt werden
     – Verschiedene Verfahren für Approvals (Team, Quorum, etc)
     – Delegation einzelner Tasks bzw. Proxy für alles
     – Workflow kann jetzt Ereignisse auslösen
     – Workflow monitoring API
– Filtered Form Fields: Ausfüllen eines Feldes führt zum automatischen Vorbelegen anderer Felder
– Ajax-Unterstützung
– …

iManager/Designer:
– Support von Solaris 10
– ‘Inspector’ kann Assoziationen von eDirectory-Objekten an Zielsysteme darstellen
– Cron-Jobs via ‘Job Scheduler’ oder ‘Work order Manager’
– Policy Builder kann eine Menge mehr
     – if … then … else …
     – while loops
     – Action ‘Start Workflow’
     – XML und Textverarbeitung verbessert: split, join,
     – reguläre Ausdrücke
– ECMA Script/JavaScript Unterstützung
– Policies werden in einer Library abgelegt und können wiederverwendet werden. Die Policies werden bei Verwendung nur verlinkt. -> Änderungen können zentral gemacht werden, müssen aber wegen ihrer vielschichtigen Auswirkungen auch gut bedacht werden.
– Dokumentation ist jetzt auch als PDF, RTF oder txt möglich; es wurden Filtermöglichkeiten eingebaut.
– ‘Project Checker’ überprüft Projekte vor dem deployment.
– Die Zusammenführung verschiedener Versionen des Identity Managers ist jetzt möglich. Man muss nicht mehr alle in einer Version haben.
– Das Passwort-Handling wurde verbessert. Damit wird u.a. die Unterstützung von SSO-Konzepten verbessert.
– Man kann damit z.B. Usern mit einem PW Zutritt zu Systemen erlauben, dessen PW der User nicht kennt. Novell Secure Login übernimmt den Job.
– Password-Random-Generator baut Zufallspasswörter nach vorgegebenen Policies.
– AD-Treiber wurde verbessert. Insbesondere, was Passwörter angeht. Da gab es wohl einige Fallstricke, die zum Löschen aller Passwörter führen konnten bzw. geführt haben (nettes Feature für den Tag vor der Rente ;-)).
– Queueries von großen Gruppen (5000 User) geht jetzt.
– wenige LDAP-Server (SunLDAP, nicht unsere) können Passwörter bidirektional synchronisieren.
– da sollte man wachsam bleiben, vielleicht folgen andere (OpenLDAP, Fedora, …)
– JDBC-Treiber kann jetzt StoredProcedures und Functions direkt aufrufen.
– Möglichkeit, ‘Trace Noise’ auszublenden, d.h. manche Sachen nicht zu tracen, obwohl der Treiber einen hohen Tracelevel hat. Der zentrale Schalter zum Einschalten aller abgestellten Traces wird nachgeliefert (Anforderung aus Brainshare-Sessions).

Zum Thema RBAC oder überhaupt einem Rollenmanagement hat Novell noch nicht viel zu bieten. Es ist zwar ein ‘Rollenmanagement’ im entstehen, aber so ganau weiss niemand, was dahinter steckt oder was daraus wird. Im Moment bietet das nicht mehr als Templates. Die Firma bHold bietet zwar professionelles Rollenmanagement und ist auch via Konnektor an IDM anzubinden, hält aber alle benötigten Daten redundant in einer Datenbank unter Windows. Die oft nötigen Abfragen über einen relativ komplizierten Mechanismus erscheinen mir nicht ausreichend performant. IDMone tut also gut daran, vorerst mit Templates zu beginnen und ggf. zu einem späteren Zeitpunkt Rollen als Kontainer für Rechte und Resourcen einzuführen.

Das sind sicher nicht alle Neuerungen, aber man kann daran sehen, dass sich einiges getan hat und das IDM-Team sich die Zeit nehmen muss, damit zu spielen, um den Umgang zu lernen. Ein neues Tool, der ‘Enforcer’ wurde erschaffen, um die Datenqualität von Quelldatenhaltungen zu überprüfen. Ob das Tool im Campusvertrag enthalten ist muss noch geklärt werden.

Vielleicht doch noch ein Satz zu einem Tool, das vielversprechend aussieht. ‘Teaming and Conferencing’ ist ein Tool, mit dem Arbeitsgruppen optimal versorgt werden können. Das beinhaltet Blog, Jabber, svn, Telefonkonferenzen, E-Mail Anbindung, etc. Die Software soll im Sommer auf den Markt kommen.

Auf der Brainshare wurde auch ein ‘Resource Kit’ vorgestellt, der die Implementierungen von oft benötigten Use Cases beispielhaft aufzeigt. Diese Implementierungen sind ‘business ready’, d.h. man kann bzw. sollte sie weitestgehend übernehmen, um den optimalen Lösungsweg zu gehen. Dieser Resource Kit ist vorerst nur für Novell und seine Partner vorgesehen. Das RRZE sollte anstreben, da mit ins Boot zu kommen.

Außer den Informationen über Neuerungen, die der Identity Manager 3.5 mit sich bringt, konnte Herr Rygus auch eine Einführung in die Anbindung von Scripts und die Plug-In-Entwicklung erhalten. Die Themen Troubleshooting und Provisioning wurden auch behandelt.

Viel wichtiger als die Vorträge waren allerdings die Gespräche mit den Entwicklern bzw. mit den Product Managern. Dort konnten verschieden Meinungen zu unserem Vorhaben gehört und unsere Probleme angesprochen werden.

Der Tenor ist, dass unsere Vorstellungen zur Realisierung durchaus nicht an den Möglichkeiten des Produkts vorbei gehen. Es wurde allerdings vorgeschlagen, Redundanzen einzubauen. Die Billiglösung wäre, auf der gleichen Hardware eine zweite VMware-Instanz aufzubauen. Besser wäre eine zweite Hardware dafür. Das Thema Barrierefreiheit in Deutschland war in USA gänzlich unbekannt. Die Entwickler wussten allerdings recht gut, was ich damit meine, da sie offenbar für die USA-Ausprägung viel Arbeit investieren mussten. Der Produktmanager machte einen sehr interessierten Eindruck. Mal sehen, was daraus wird.

Als kleines Resumee kann man sagen, dass die Brainshare eine hervorragende Möglichkeit bietet, die neuen Entwicklungen kennen zu lernen, Fragen aller Art beantwortet zu bekommen und Wünsche direkt an die Entwickler und Verantwortlichen zu äußern. Einige der vorgetragenen Wünsche anderer wurden noch auf der Brainshare ‘mal schnell’ umgesetzt.
Diese Möglichkeit sollte man sich auch in Zukunft offen halten.

Besuch am 21.03.2007 des RZUW

Herr Eggers war vom RZUW eingeladen das Projektmanagement von IDMone sowie die theoretischen Grundlagen detailliert vorzustellen.
Von Seiten des RZUW haben folgende Personen teilgenommen:
– Herr Dr. Reichling (Stellv. Leiter, mit Unterbrechungen)
– Frau Dr. Warren (Leiterin IDM)
– Frau Wipler (Mitarbeiterin IDM, nur vormittags)
Herr Rossa war leider verhindert.

Die umfassenden Hinweise aus der Praxis wurden dankend aufgenommen, allerdings wurde am Ende des Gesprächs deutlich, dass die Würzburger Kollegen wegen knapper personeller Ressourcen das Projektmanagement nicht in annäherndem Umfang werden betreiben können.

Für das bayernweite Konzept bleibt anzumerken, dass die Kollegen weiterhin sehr engagiert und interessiert sind. Allerdings wird sich Ihr Beitrag (genannt wurde eine Hausnummer von evtl. 30 Beratungstagen) in sehr engen Grenzen halten wird.

4. Shibboleth-Workshop des DFN-AAI am 28.02.2007 in Berlin

Am 28.02.2007 lud das DFN im Anschluss an die DFN Betriebstagung zu einem Workshop zum Thema DFN-AAI ein. Gefolgt waren der Einladung ca. 100 Interessierte. Das RRZE wurde durch F. Hänel und P. Rygus sowie anfangs durch G. Dobler und F. Prester vertreten.

Nach der Begrüßung durch Herrn U. Kähler vom DFN Verein und einleitenden Worten von Herrn Ato Ruppert von der UB Freiburg via live-webcam-Schaltung gab Herr Franck Borel (UB Freiburg) eine techische Übersicht über die grundsätzliche Funktionsweise und den Aufbau des Shibboleth SSO Systems. Er wies nochmals darauf hin, dass personenbezogene Attribute nur mit Zustimmung des Kunden weitergegeben werden dürfen. In diesem Zusammenhang wurden auch die Tools ShARPE (https://wiki.aai.dfn.de/wiki/index.php/ShARPE) und Autograph (http://federation.org.au/twiki/bin/view/Federation/AutographView) erwähnt.

Er wies auch darauf hin, dass es noch keine Werkzeuge für die Verwaltung der Metadaten gibt. Man muss sich also umsehen, ob jemand etwas gebastelt hat, was sich abzukupfern lohnt.

Im Anschluss gab Herr U. Kähler vom DFN eine Übersicht über Organisation, Richtlinien, Attribute, Zertifikate und Zeitplan der DFN-Förderation. Die Dienste des DFN werden folgendes beinhalten:

– Betrieb der Technik (WAYF, Testumgebung, etc.)
– Vertragswesen (KEINE Lizenzverträge, nur Föderationsverträge) -> Diensthandbuch
– Ausbildung und Beratung
– Verteilung der Metadaten an Mitglieder der Föderation

Voraussetzung für die Mitgliedschaft in der DFN-Föderation:

– IDM mit SSO-Schnittstelle
– Einhalten der Qualitätsanforderungen bzgl. Aktualität, Verlässlichkeit, Verfügbarkeit
– Die benötigten Attribute müssen vorhanden sein.
– Zertifikate vom DFN-PKI o.ä. f. WAYF, Pers. Auth., …

Der nächste Vortrag von Herrn R. Borenius vom DFN erläuterte den Stand der Arbeiten an der Technik des DFN-AAI und den angestrebten Endzustand.

Herr Bernd Oberknapp vom AAR-Team erläuterte nach einer kurzen Kaffepause, wie man Anwendungen mit Shibboleth schützen kann.

Herr W. Hommel vom LRZ München berichtet im Anschluß vom VHB-AAI-Projekt über eLearning + Shibboleth in Bayern und welche Erweiterungen die DFN-AAI-Lösung noch erhalten müsste, um die Anforderungen der VHB zu erfüllen. In diesem Rahmen wurde auf eine Diplomarbeit verwiesen, die einen XACML 2.0-Standard vorschlägt.

Danach erläuterte Herr P. Gietz vom DAASI recht länglich über das voher veröffentlichte DFN-AAI-Schema. Siehe https://wiki.aai.dfn.de/wiki/images/9/98/DFN-AAI-Attribute-V08.doc

Zu guter letzt wurde von Herrn Oberknapp vom AAR-Team ein Ausblick auf Features der ausstehenden Shibboleth Version 2.0 gegeben, auf deren Erscheinen man aufgrund von Verzögerungen der Entwicklung nicht warten sollte. Als zu erwartende Neuerungen wurden u.a. SingleLogOut, ein nicht triviales Problem, sowie andere Methoden des Attributtransfers genannt.

Die Folien der Vorträge werden noch zur Verfügung gestellt werden.

Der anschließend angebotene Frage- und Diskussionsteil wurde wenig genutzt. Einige Teilnehmer verliessen die Veranstaltung aufgrund von ungünstigen Verkehrsverbindungen früher, und zum Abendessen waren die meisten schon auf der Heimreise.

Zum Glück waren die kompetenten AAR-Team Mitglieder und Ingo Müller von der Virtuellen Hochschule Bayern noch bis spät abends zum fachlichen Austausch verfügbar. Sowohl die VHB als auch das AAR-Team zeigt Interesse an einer Zusammenarbeit mit dem RRZE. Das wird sicherlich in Zukunft noch vertieft. So wurde z.B. vereinbart, bei der Anbindung von weiteren Applikationen Erfahrungen auszutauschen.

Herr Oberknapp wird von den entsprechenden Stellen eine Auskunft über die Verträglichkeit der Redirects beim Shibboleth-Procedere mit den Bestimmungen zur Barrierefreiheit von Webseiten einholen. Allgemein fiel mir auf, dass die Problematik der Barrierefreiheit bei keinem der anwesenden Fachleute im Fokus zu sein schien.

Treffen des VHB-AAI-Arbeitskreises am 09.02.2007 am LRZ in München

Am 09.02.2007 trafen sich die Mitglieder des Arbeitskreises, der die technische Zukunft der VHB abstecken sollte, am LRZ in München. Das RRZE wurde von P. Rygus vertreten.

Zunächst gab Herr Ingo Müller von der VHB eine einleitende Übersicht, um die Randbedingungen zu erläutern. Bemerkenswert erschien mir die große Zahl an Anbietern (333 Kurse von 36 Hochschulen pro Jahr) und Konsumenten (44500 Belegungen von 15000 Studenten pro Jahr).

Probleme entstehen durch proprietäre, teilweise noch papiergestütze Verfahren. Die Übermittlung der Leistungsnachweise und deren mangelnde Anerkennung durch die Hochschulen ist verbesserungswürdig.

Im Anschluß gab Herr Wolfgang Hommel vom LRZ eine kurze Einführung in die Software Shibboleth, mit der die VHB künftig die Authentifizierung und evtl. auch die Autorisierung realisieren möchte. Dabei wurde auch schnell klar, dass die vom AAI vorgesehenen Attribute (eduPerson) für die Zwecke der VHB nicht ausreichen werden.

Herr Franck Borell vom AAR-Projekt (UB Freiburg) gab danach einen Erfahrungsbericht über den bisherigen Verlauf des Projekts. Es zeigte sich , dass die Ziele nicht zu hoch gesteckt waren und man genug Zeit für den Support anderer hatte. Die Laufzeit wurde bis Mitte 2008 verlängert. Spätestens dann sollte alles zum DFN-AAI migriert sein, und sowohl der Betrieb, als auch die Beratung von dort aus geleistet werden. Ab Juni 2007 beginnt die Pilotphase des DFN-AAI mit einigen ausgewählten Einrichtungen.

Für uns könnte auch interessant sein, die in Freiburg realisierte Nagios- oder die SOAP-Anbindung abzukupfern.

Nach diesen Übersichtsvorträgen begann eine rege Diskussion, welche Ziele der Arbeitskreis wann in Angriff nehmen sollte. Es kristallisierten sich drei Zielrichtungen heraus.
1. Die Authentifizierung via Shibboleth und deren technische Umsetzung.
2. Die Übermittlung von Leistungsnachweisen bzw. die Anerkennung der erbrachten Leistungen durch die Hochschulen.
3. Die Benutzung von Resourcen von Trägerhochschulen

Man hat sich darauf geeinigt, zunächst den ersten Punkt anzugehen. Da das eh ein Thema des AK Meta-Dir ist, wird das nächste Treffen auch gemeinsam statt finden (09.05.2007 am RRZE). Die VHB und das RRZE haben eine Zusammenarbeit vereinbart, die die FH Coburg gerne nutzen würde. Dort gibt es kaum Personalresourcen, um eine eigene Shibboleth-Lösung aufzubauen. Das RRZE wird dabei helfen.

Der Zweite Punkt wird angegangen, wenn der erste gut vorangeschritten ist. Der dritte Punkt, so die Meinung der Mehrheit, ‘ergibt sich von alleine’. Schau mer mal.

Sitzung des ZKI Arbeitskreises Verzeichnisdienste (vd-ak) 12. + 13.02.2007 in Halle

Sitzung des ZKI Arbeitskreises Verzeichnisdienste (vd-ak) 12. + 13.02.2007 in Halle
In den vergangenen zwei Tagen trafen sich die Mitglieder des ZKI vd-ak in Halle. Der ZKI vd-ak ist ein Zusammenschluss aller i.S. IDM AKtiven in den deutschen Hochschulen deren Treffen zweimal jährlich stattfinden.

Im folgenden seien die aus Sicht des Autors bemerkenswerten Punkte der Vorträge zusammen gefasst.

Herr Gradmann berichtete für das Hamburger eCampus Projekt über den derzeitigen Stand und dass die föderativen Bestrebungen ab März in eCampus II fortgesetzt werden sollen. Das Projekt wird durch Frau Winklmeier vom MMKH begleitet und unterstützt.
Die Hamburger werden zeitnah den von OCLC bereitgestellten SISIS-Konnektor namens “Identity Server” testen. Dabei handelt es sich laut Herrn Gradmann eher um einen Proxy auf LDAP-Basis. Hier können sich interessante Synergieeffekte ergeben.

Für die FU Berlin berichtete Herr Hofmann über FUDIS, das FU Directory und Identity System. Bemerkenswert war dass die Anbindung von SAP CM derzeit nur per LDAPv2 (veraltet) möglich ist, obwohl dies SAP gegenpüber bereits desöfteren bemängelt wurde.
Als Parallele zur Erlangen plant auch die FU Berlin die Abbildung von Geschäftsprozessen und sucht nach einem entsprechenden Tool.
FUDIS basiert komplett auf Open Source Software und eigener Programmierleistung. Die gesamte Lösung wurde in 3 Jahren von 3 Mitarbeitern entwickelt und betreut
. Die Frage von Herrn Lix nach den TCO und seine Aussage, dass kommerzielle Lösungen generell günstiger seien, führten zu einer in die Pause andauernden Diskussion.

Herr Gietz von der DAASI wiederholte in großen Teilen seinen bekannten Vortrag.
Wirklich neues wurde nur auf der “Tonspur” geliefert. So wird das Testsystem von vascoda zur DFN AAI migriert. Das DFN-AAI-schema soll ab der DFN-Betriebstagung bereit stehen. Die Ergebnisse von SCHAC sind seit 20.12.2006 unter http://www.terena.org/activities/tf-emc2/schacreleases.html verfügbar.

Die RWTH Aachen stellte die Open Source Software Signet zum Management von Privilegien vor. Dabei können Privilegien als systemspezifische Berechtigungen
interpretiert werden. Mit der Lösung soll es auch möglich sein Vertretung als zeitlich begrenzte Berechtigungen abzubilden. Leider wurde erst am Ende des Vortrages deutlich, dass die Software in Aachen bisher nur evaluiert aber noch nicht in einem realen Testszenario eingesetzt wurde.

Dies waren die Bemerkenswertigkeiten des ersten Tages.

Der zweite Tag startete mit der Vorstellung der DINI AG Portale durch Frau Weisel von der Uni Marburg. Die DINI AG Portale erarbeitet derzeit Empfehlungen zum Thema Portale, die höchstwahrscheinlich am 05.03.2007 im Vorlauf zur ZKI Frühjahrstagung in Dortmund vorgestellt werden. Die Mitglieder des ZKI vd-ak sind zu einer Mitarbeit eingeladen.

Bemerkenswert an der Lösung von Herrn Schaarschmidt aus Halle ist, dass sie auf Oracle Express basiert, aber im Prinzip einem sehr ähnlichen Konzept wie dem am RRZE diskutierten folgt. Nur dass hier als Basis eben eine Datenbank dient.

Herr Klapper, CIO der Uni Bielefeld berichtete über die dortigen intensiven Anstrengungen zur Verbesserungen der Datenqaulität. Er betonte, dass dies keine einmalige sondern eine laufende Aufgabe ist. Dies gilt auch für Bielefeld, die Fehleingaben durch Regeln zur Datenerfassung und einem entsprechenden Handout für die Erfasserinnen und Erfasser zu minimieren versuchen. Das Konzept und die Algorithmen zur Datenbereinigung wurden in einem Dokument für NRW zusammen gefasst, dass von Herrn Lix verwaltet wird. In Bielefeld erfolgt die Datenbereinigung mit Oracle spezifischen Funktionen, womit eine generelle Wiederverwendung nicht einfach gegeben ist.

Das KIM (Karlsruhe), vertreten durch Herrn Maurer, bindet die HIS-Software via Web-Services (HIS PSV) an. Dabei setzt man Petri-Netze zur Modellierung von Geschäftsprozessen ein. Außerdem hält Herr Maurer Microsoft i.S. Webservices und Sicherheit von Webservices für führend! Open Source Tools seien weit abgeschlagen.

Die HIS war durch Herrn Hübner vertreten, der die Perspektive von HISinOne bis 10/2008 aufzeigte und auf die veränderte Architektur von HIS PSV einging. Inzwischen kann HIS sowohl als kleine IDM-Lösung als auch als Datenlieferant via LDAP oder webservice-Schnittstelle dienen.

Die von Herrn Heitzenröther (Tübingen) vorgestellte PKI-LDAP in Baden-Würtemberg, dient vorerst einem sehr begrenzten Einsatzspektrum, wobei Konstanz auf Tokens und Tübingen auf eine in Horde integrierte Zertifikatsverwaltung
setzen. Langfristig soll die PKI durch die des DFN ergänzt werden.

Das nächste Treffen ist für die 40. KW (01. – 05.10.2007) vorgesehen.

Im Nachgang muss aus Sicht des Autors bemerkt werden, dass diesmal sehr viele Präsentationen aus NRW vertreten waren, die den IBM Tivoli Identity Manager sowie die landesweite Verwendung der Konzepte oft erwähnten. Ob diese jedoch übertragbar sind, muss eine intensivere Auseinandersetzung zeigen. Herr Eggers hat Herrn Lix um die Bereitstellung der Konzepte gebeten.

Es fällt auf, dass sehr viele von Prozessen reden, aber keiner auf eine übergeordnete Modellierung bzw. Generalisierung eingeht. In den Pausengesprächen wurde die Meinung vertreten, wen die Prozesse in die einzelnen Systeme implementiert werde. Eine systemübergreifende Sicht konnten auch die Verfechter von SOA nicht präsentieren.

VHB Workshop am 15.12.06 an der FH München

Hallo Kollegen,

am 15.12.06 war ich mit Björn Reimer, Michael Gräve, Hr. Steinhäußer und einem Mitarbeiter des FIM an der FH München, um einen Workshop der VHB zu besuchen.

Nach begrüßenden Worten von Herrn Prof. Dr. Weber (FH Würzburg-Schweinfurt; Vizepräsident VHB) und Herrn Prof. Dr. Thorsten Hampel (Uni Paderborn; Technik-Gutachter VHB) folgten Fachvorträge.

Prof. Dr. B. Freitag (Uni Passau, Projektleiter ‘Integrierte Campusdienste’):

InteLeC Projekt:

Dahinter verbirgt sich ein IT-gestütztes Campusmanagement mit hochschul- und mediendidaktischem Konzept. Es ist seit Oktober mit dem Teilprojekt eLearning im Probebetrieb. Unter anderem soll ein Kompetenzzentrum für ein virtuelles Rechtslexikon für eLearning geschaffen werden. IDM ist hier nicht die zentrale Instanz, sondern nur eine ‘Prozeßinstanz’. Das ist aber m.E. reine Definitionssache des Begriffes IDM. Sie verwenden einen BizTalk Server von Microsoft für ihr Prozeßmanagement. Es laufen eigene Arbeiten zur Verbesserung der Schnittstelle zu HIS. Was genau, war ihm nicht zu entlocken.

Als weitere Software wird das Lernmanagementsystem StudIP (Open Source), das Web Content Managementsystem Typo3 und der Novell Identity Manager verwendet. StudIP hat offenbar einen Terminplaner. Erfahrungen aus Oldenburg wären da interessant. Da die Uni Passau sich sehr intensiv mit StudIP befasst und hier einige Arbeit investiert hat (z.B. Änderungen, um dem Datenschutz genüge zu tun), berät sie gerne andere Hochschulen. Es wird über eine gute Akzeptanz der Lösung berichtet.

Weitere Infos gibt’s unter http://www.im.uni-passau.de/intelec/

Dr. Sabine Rathmayer (TUM, Projektleiterin ‘Integriertes eLearning etc.):

Integriertes eLearning:

TUM hat nur 20000 Studis, aber 8800 Mitarbeiter (die könnten also locker 2000 MA an uns abgeben ;-)).
Das Projekt hängt sehr stark an IntegraTUM mit den Diensten myTUM, elecTUM, mediaTUM, SAP@TUM, HIS@TUM. Hier wird die Lehrveranstaltungs- und Prüfungsverwaltung versucht, mit HIS zu koppeln. Noch ist man guter Hoffnug, dass dabei was raus kommt (… gehöret hab’ ich wohl, allein mir fehlt der Glaube …). Sie verwenden das mandantenfähige, kommerzielle Produkt CLIX als Learning Management System. An der TUM ist nicht geplant, alle Dienste unter einem Portal zu vereinen, sondern man bastelt für jeden Dienst ein eigenes Portal. Zwischen den Portalen gibt es SSO. Die Übergänge zwischen den Portalen funtionieren via Mausklick. Ob das Barrierefrei ist, wage ich nach den Infos vom WW zu bezweifeln.

Seit Oktober 2005 ist die eLearning- Plattform im Betrieb. Insgesamt gibt es ca. 10400 Nutzer, davon ca. 300 extern. Ca. 1500 Nutzer sind laufend aktiv und können auf ca. 200 Lehrveranstaltungen zugreifen. Im WS 06/07 gibt es bereits 9000 Anmeldungen, Tendenz steigend. Das System kostet aber einiges an Manpower (ca. 5 Leute).

An der TUM wurde das Portal ZePeLin aufgesetzt. Als Basis wurde MOSS ( Microsoft Office Sharepoint Server) gewählt. Dieses Portal wird als zentrales eLearning Portal für Bayern angeboten. Andere Unis können den Dienst der Münchner nutzen und in einem geschlossenen Raum ihre eigenen Angebote platzieren. Hochschulübergreifende Studiengänge sind technisch möglich. Die VHB darf das auch nutzen, wenn sie will.

Prof. Dr. Herbert Kopp (FH Regensburg, Koordinator der Zielvereinbarung der FHs mit dem Freistaat):

Zielvereinbarung zwischen den FHs und dem Ministerium:

Dazu gibt’s a bissl was bei der HIS: http://www.his.de/Abt3/Neuemedien/e-learning/medien6f
und das ganze Dokument unter: http://www.stmwfk.bayern.de/downloads/hs_zv_fh_landshut.pdf.

Am Nachmittag wurden die Teilnehmer in zwei Interessensgruppen aufgeteilt. Eine Gruppe beschäftigte sich mit Lern-Management-Systemen, konnten sich aber dem Vernehmen nach auf keines einigen.

Die Arbeitsgruppe, der ich beiwohnte, beschäftigte sich mit der Technik der Authentifizierung und der Autorisierung der VHB. Die Sitzung war als konstituierende Sitzung gedacht. Als Sprecher wurde Herr Hommel vom LRZ vorgeschlagen und zusammen mit einem RZ-Leiter (woher, weiss ich noch nicht) gewählt. Prof. Dr. Hampel wird beratend zur Seite stehen. Das erste Treffen wird im Februar im LRZ sein.

Einigkeit herrscht offenbar darüber, dass man versuchen wird, mit dem DFN zusammenzuarbeiten. Das verwendete Schema soll einen europäischen Fokus haben. Der Arbeitskreis verfolgt auch das naive Ziel, Leistungen universitätsübergreifend anerkannt zu bekommen. Schau mer mal! Es läuft parallel eine Studie, wie man valide Daten für Studenten finden kann, wo die Leistungen anerkannt werden. Die VHB benötigt für ihre ersten Tests nur sehr wenige Daten. Was genau, wird sie bis zum nächsten Treffen benennen. Erfahrungen mit Shibboleth hat die LMU. Offenbar muss man sich viel mit rechtlichen Aspekten herumärgern. Hatte Kontakt mit SWITCH, die offenbar viel Workflow-Kompetenz und auch sonst viel Know-How haben. Die Java-Implementation wurde beklagt. Scheint ein ziemlicher Schrott zu sein. Das LRZ hat natürlich auch bereits alles gemacht, drängt sich mit weiterführenden Infos aber nicht nach vorne. Man ‘hat es am Laufen und sucht nach Anwendungen’.

Es wurde von Herrn Hommel in einem Nebensatz das Gerücht gestreut, dass das AAR-Projekt im Februar auslaufen soll, aber auf den Folien vom Workshop im Oktober steht, dass es bis Ende 2007 läuft und bis Mitte 2008 verlängert werden soll.

Beim nächsten Treffen im Februar am LRZ wurden folgende Gäste bzw. Vorträge angedacht:

– Ist-Zustand VHB
– Vorstellung aus dem Arbeitskreis Schnittstellen
– SWITCH
– DFN
– HIS

Am Rande der Veranstaltung zeigte sich die Uni Passau sehr interessiert an unseren Bemühungen in Sachen Web SSO und Shibboleth. Da wird es sicher noch Kontakte geben.

Reisebericht AK Meta-Directory am 29.11.2006

Gert Buettner, Hendrik Eggers, Peter Rygus und Frank Troeger besuchten am 29.11.2006 das LRZ Garching um dem Arbeitskreis “BRZL Meta-Directory” beizuwohnen.

Herr Ebner und Herr Pluta vom LRZ hielten einen Vortrag ueber die Schema- und DIT-Variationen in dem Projekt integraTUM. Hauptpunkte waren die Architektur (Stichwort Verzeichnis-Satelliten) und das IntegraTUM-Schema. Neben einem hierarchischen Ansatz (Personen-Containern) wurde ein flacher Ansatz (“dicke” Personenobjekte) gestellt und beide miteinander verglichen.

Danach folgte ein Vortrag zum Verzeichnisdienst der LMU von Herrn Kolontai. Neben einem allg. Ueberblick war vor allem ein selbsterstellter Policy-Driver-Shim zur automatischen Rechteverwaltung von Intresse fuer uns. Auf Anfrage enthaelt man den Source-Code unentgeltlich – ohne Support versteht sich!

Ein Vertreter des Innenministeriums und ein ihm zur Seite gestellter Vertreter des Landesamt fuer Statistik und Datenerfassung baten um Erlaubnis dem AK Meta-Directory beizuwohnen. Als weiterer neuer Teilnehmer war die VHB anwesend.

Herr Miltenberger von der Universitaet Wuerzburg gab eine inoffizielle Prognose zum Thema Shibboleth ab: Bis Ende naechsten Jahres hat jede Hochschule in Bayern Shibboleth. Als Grund nannte er eine Online Version von MSDN. Das Pilotprojekt soll noch dieses Jahr starten.

Zum Schluss stellte Herr Eggers seinen neuen Arbeitsplatz als Projektleiter dieses IDM-Projekts vor und machte ein Angebot zur Teilnahme am ATT in Erlangen. Zusaetzlich schlug Herr Eggers eine monatliche Videokonferenz zur besseren Abstimmung der einzelnen Bemuehungen vor.

Das naechste Treffen findet am 09.Mai 2007 in Erlangen statt.