Karlsruher Institut für Technologie (KIT)

Ausführliche Referenz

Gemeinsam an die Spitze: So lautet die Vision, der sich die Universität Karlsruhe und das Forschungszentrum Karlsruhe verschrieben haben. Im Jahr 2009 wollen die beiden Einrichtungen zum Karlsruher Institut für Technologie (KIT) fusionieren. Mit dann 8.000 Mitarbeitern und 700 Millionen Euro Jahresbudget wagt das KIT den Sprung zu einer der weltweit führenden Wissenschaftseinrichtungen. Damit die Fusion reibungslos funktioniert, müssen beide Partner ihre jeweils 4.000 Mitarbeiter und ihre Strukturen auf die neue Situation vorbereiten. Auch die IT-Landschaften der Partner werden sukzessive angepasst und umgestellt.

Ein besonderer Fokus lag hier bei der Identity Management (IDM) Lösung. Bis zu 120 Universitätsinstitute und 22 Institute sowie 11 Forschungsprogramme des Forschungszentrums Karlsruhe werden integriert. Dennoch sollen die einzelnen Institute soweit wie möglich autark bleiben. „Warum auch sollten wir auf bereits bestehende, hoch-effiziente, lokale Prozesse nach einer Fusionierung verzichten“, kommentiert Axel Maurer, Projektmanagement KIT / Uni Karlsruhe. Eine zentrale Lösung mit Meta Datencharakter kam daher nicht in Frage.

IDM mit föderativem Ansatz

Vielmehr wünschten sich die IT-Experten eine Grundarchitektur, die den Instituten erlaubt, ihre jeweiligen Datensätze laufend zu erweitern. Diese sollten jedoch über intelligente Schnittstellen so verknüpft sein, dass eine einheitliche Gesamtsicht für das KIT gewährleistet ist. Dieser Punkt ist insbesondere für den Support wichtig: Nur eine einheitliche Administrationsoberfläche gewährt Nachvollziehbarkeit, sollte es zu Problemen kommen.

„Als wir vor zwei Jahren an der Universität vor einer ähnlichen Entscheidung für den Einsatz eines IDM standen, hatten wir nach diesen Kriterien die in Frage kommenden Produkte evaluiert, da uns die Diversität der Institute klar war“, denkt Maurer an die Entscheidungsphase zurück. Einige Alternativen scheiterten bereits an der Grundbedingung, bei anderen mangelte es an anderen Voraussetzungen. Die Entscheidung der Universität fiel schließlich auf den Sun Identity Manager.

Auch die Wahl des KIT fiel auf den Sun Identity Manager mit dem Sun GlassFish Enterprise Server als J2EE Laufzeitumgebung, dem Sun Directory Server zur Bereitstellung von LDAP Services und dem – bis dato noch nicht produktiven – Sun OpenSSO Enterprise für Authentifizierung, Autorisierung, SSO, Federationen und Absicherung von WebServices. Als Hardware-Plattform für das System wählten die Experten eine Windows-basierte Serverlandschaft, um das vorhandene Know-how zu diesem Betriebssystem zu nutzen.

Umstellung im laufenden Betrieb

Nach dem Startschuss für das Projekt bestand der erste Schritt im Entwurf der auf drei Ebenen basierenden Gesamtarchitektur. Ganz oben rangieren die Dienstleistungen, die für die Geschäftsprozesse des KIT zur Verfügung gestellt und in diesen ausgewertet werden. „Diese Ebene betrifft zum Beispiel Auskünfte zur Stellung eines Mitarbeiters oder Studenten. Ist X angestellt und Y noch immatrikuliert?“, erzählt Thorsten Höllrigl, der zusammen mit seinem Kollegen Frank Schell im Projekt „KIT Integriertes Informationsmanagement (KIM)„ für IDM zuständig ist. Auf der zweiten Ebene ist die Implementierung von Geschäftsprozessen angesiedelt. Das betrifft zum Beispiel die Provisionierung und Deprovisionierung von Personen. Die dritte Ebene beschäftigt sich mit der Synchronisation von personenbezogenen Daten. „Findet zum Beispiel eine Namensänderung statt, müssen solche Daten an alle angeschlossenen Systeme verteilt werden“, erklärt Schell diesen Punkt an einem weiteren Beispiel. „Dank dieser Architektur können wir heute beliebige Erweiterungen – mit Hilfe der XPRESS-Sprache etwa Formulare und Arbeitsabläufe – schreiben, ohne zusätzliche Features implementieren zu müssen“, sagt Thorsten Höllrigl.

Nach einer Testphase stand schließlich die eigentliche Umstellung an, ein schneller Akt in mehreren Schritten. Umstellungen konnten meistens im laufenden Betrieb erfolgen. Nur manchmal waren Ausfallzeiten im Minutenbereich zu verzeichnen. Als erste Anwendung wurde die zentrale Universitätsverwaltung angebunden und im System des Rechenzentrums provisioniert. Nach der Anbindung einer Personalverwaltung kam im Februar 2008 die Studierendenverwaltung hinzu. Weitere Institutionen - aktuell die Universitätsbibliothek und die Fakultät für Informatik – und die zugehörigen Anpassungsarbeiten folgten. So wurde das Hochschulinformationssystem der HIS GmbH durch Webservice gekapselt. „Um den implementierten Webservice anzusprechen, haben wir einen Webservice Adapter für den Sun Identity Manager geschrieben“, erläutert Höllrigl.

Mittlerweile sind auch die beiden – inzwischen zum „Steinbuch Center for Computing“ vereinten – Rechenzentren der Universität und des Forschungszentrums in das seit einem Jahr produktive IDM eingebunden. Als nächstes wird die gemeinschaftliche Benutzerverwaltung aufgebaut. Dank des dreistufigen Konzepts, in dem Prozesse und Synchronisation getrennt verlaufen, kann die endgültige Vereinigung dann auf verschiedenen Ebenen abgewickelt werden, ohne dass das zentrale IDM-System beeinflusst wird.

Sicher, aktuell und konsistent

Ein Jahr nach der Inbetriebnahme der ersten Anwendungen lassen sich bereits deutliche Vorteile erkennen. Während etwa das Rechenzentrum früher gar nicht informiert wurde, wenn ein Mitarbeiter ausschied, wird diese Information heute online weitergegeben. „Die an das IDM angebundenen Einrichtungen verfügen somit über wesentlich aktuellere Daten als zuvor“, erzählt Maurer. Dadurch wurden Ressourcen gespart und Sicherheitslücken geschlossen. Nicht zuletzt haben sämtliche IT-Nutzer dank IDM eine eindeutige Anlaufstelle erhalten. Informationen werden über das zentrale Helpdesk weitergegeben. Jeder Fall wird automatisch provisioniert. „Das Abklappern verschiedener Anlaufstellen bei Fragen zu verschiedenen Accounts ist somit Vergangenheit“, bestätigt Maurer. Davon profitieren die Dozenten – etwa bei der Notenvergabe – ebenso wie die Studenten, die nun Notenauszüge und Informationen zu Vorlesungen zentral abfragen können. Denn seit das Studierendenportal online ist, stehen Dienste des Rechenzentrums, der Bibliothek und der Verwaltung zentral zu Verfügung.

Die größte Herausforderung des Projekts sei es gewesen, ein dienstorientiertes IDM-System für eine föderierte Landschaft von Instituten zu implementieren und so eine lose Kopplung von weiterhin autarken Organisationseinheiten sicherzustellen, erinnert sich Maurer. Die Bilanz falle durchwegs positiv aus, resümiert er: „Lokale Geschäftsprozesse konnten weitgehend erhalten bleiben, über Organisationseinheiten hinweg reichende Prozesse wurden etabliert.“

„Vom technischen Ansatz her ist das Projekt weitgehend abgeschlossen und es wurde nicht zuletzt durch den Einsatz des Sun Identity Manager eine für eine solch komplexe Organisation adäquate und zukunftsfähige Lösung gefunden. Nun beginnt allerdings das IDM in die Organisation zu wirken. Der Mehrwert des IDM, die Erhöhung der Prozesssicherheit und damit verbunden die Steigerung der Qualität, erfordert an vielen Stellen ein Umdenken das uns noch lange Zeit beschäftigen wird“ sieht Professor Hartenstein die Zukunft des Projektes in der Organisationsentwicklung für die eine exzellente technische Basis geschaffen wurde.