Federerad Roll Administration ÄR GROUPER EN MEDSPELARE? OVE OLANDER MITTUNIVERSITETET

Transkript

1 Federerad Roll Administration ÄR GROUPER EN MEDSPELARE? OVE OLANDER MITTUNIVERSITETET

2 Vad är/var problemet? NyA webben har behörigheter/roller via federerade attribut edupersonentitlement/gmai Studentcentrum STU har önskemål att själva hantera rollerna Hur ge tillgång till att lägga till / ta bort behörigheterna * Base * Department * Department_assessment * Department_late_admission * Department_late_adminission_read_only

3 Följdfrågor En fråga jag ställde mig var. Kommer det fler tjänster där roller/behörigheter tillhandahålls per individ via IdP? Ex. Ladok3 kommer (ev.) använda sig av federerade behörigheter Wisum har men ändå inte har federerade roller (i produktion) Fler? Skall man ta ett större grepp kring detta? Finns det ytterligare behov?

4 Lösningar på problem 1 STU administrerar via Personal Administrations Webben PAW IT-avd. administrerar via AD grupper IT-avd. administrerar via LDAP kommandon STU/IT-avd via något grupphanteringsprogram STU administrerar via något GUI

5 Komponenter PAW Personal Admin Webben LDAP GUI Cmd / shell aduc Grouper LAMP GUI

6 Valet blev 1: STU dvs. ägarna till frågan/tjänsten administrerar 2: Det skall vara enkelt/intuitivt och inte generera Helpdesk ärenden 3: Grafiskt gränsnitt, steg för steg hantering. Få val. Kort inlärningstid. 4: Eget system, jag kan LAMP -> LAMP det blev. Jag ansåg att Grouper innebar: * Lång utvecklingstid (installation, konfiguration, design, integration) * Lång Inlärningstid (Mig, kollegor, användare) * Tillför många funktioner och användningsområden som bör beaktas Tanken blev att föra in grouper senare när den är på plats och kunskapen förhoppningsvis finns i organisationen.

7 Hur byggde jag FRA? Federerad Roll Administration! PHP MySQL Apache CAS PAW / Active Directory / openldap Ladok - > inppassdb (inpassering/kort-systemets mellanlager, aggr.data)

8 FRA

9 FRA

10 FRA

11 FRA

12 FRA

13 FRA

14 FRA

15 FRA

16 Hur kommer nu grouper in? Grouper kan (kanske) ersätta hela FRA Grouper kan (kanske) ersätta FRA-databasen Exempel.

17 Federerad Roll Administration idag

18 Grouper lösning 1

19 Grouper lösning 2

20 Vad är då grouper för nått? Jag ser det som ett system för att hantera grupper på ett dynamiskt sätt. Dessa grupper kan ha olika/kombinerade mål. Exempel Applikationsdrivna (mail, LMS, portal, SP) Rättighetsdrivna (ansluta till andra grupper, läsa information, ladda upp filer, administrera något någonstans, etc. ) Sammarbetsdrivna (grupparbeten, forskningssamarbeten, intressenätverk etc.).. ENTERPRISE dvs, det är omfattande och stort.

21 En bild säger mer än.

22 .kort. Grupper (union, snitt, delmängd) Behörigheter Regler Jag har gjort en liten POC.

23 Prerequisites

24 Eventuella förberedelser Java >= En databas, medföljande eller egen extern Ant >= Java Servlet Container (API v2.3, Tomcat 6) Apache Browsers bör ha: XHTML, CSS2.1, Cookies enabled, AJAX compatible Mitt system, Ubuntu , Oracle Java 7, Grouper Installer 2.1.5

25 Installation, hur svårt kan det vara? Grouper Installer enkelt och smidigt Konfiguration..hmm grouper.hibernates.properties groupers databas grouper.properties bl.a. uppstarts behörigheter och auto skapade grupper. sources.xml källor för personal/studenter/kurser/grupper grouper-loader.properties automatisk uppdatering / cron log4j.properties styra loggning Authentication flera olika val

26 Integration

27 Integrations möjligheter CAS Shib/SAML/IdP - External user GSH Grouper Command Shell Loader WS PSP Provisioning Service Provider SPMLv2 Service Provisioning Markup Language - XMLish Notification/Changelog - Händelser

28 Integration mot vad? Federerade tjänster Studentportal liferay Lärplattform moodle Inpasserings/kort system AD LDAP Ladok3? ESB

29 Framtiden?

30 Begrepp

31 Lite erfarenheter Namnsättning av folder/group bör testas live i UI Vid konfig av loader, välj bra subject_id/subject_identifier i sources.xml samt i loaderquery multipla sources för subject(konton/grupper). OBS kan ställa till det Struktur: Bushy / Flat, hur ska trädstrukturen se ut Vilka är konsumenter? Hur är det tänkt att de skall anslutas? Authentiserings-säkerhet Hur Vad Mängd: kommer att konsumeras? = prestanda Include/exclude/composite group kan vara användbart JDBC bygg frågorna smart, överväg warehouse och views Se exempel på Grouper Wiki Home. Implementera och se resultat via olika gränssnitt.

32 Dokumentation och exempel Dok. - Se Internet2 Grouper Training Exempel Tulsa - From Box to ERP Uppsala University Grouper Project Page Newcastle University- Protecting UI With Shib Demo Grouper demo jump page Inkubators produktjämförelse produktjämförelsen mellan FIM och Grouper

33 Grouper UI

34 Grouper UI

35 Grouper UI

36 Grouper UI

37 Grouper UI

38 Grouper UI

39 Grouper UI

40 Grouper UI

41 Grouper UI

42 Grouper UI

43 Tack för mig