En el futur la font principal de dades serà el Banner i utilitzaran el SUN Identity Manager per a sincronitzar amb altres sistemes (correu, etc).
Respecte al SUN Identity Manager, ens han explicat que els adapters que porta incorporats funcionen molt be. Però que estan tenint molts problemes per a desenvolupar els adapters que no venien ja "de fàbrica", els estan intentant desenvolupar conjuntament amb SUN i el suport que estan rebent és molt dolent, les coses no funcionen...
Autenticació vs. autorització
Ens han explicat que a l'inici la UVIC van confondre els dos termes. Només donaven un compte a qui tenia una relació amb la universitat: estudiant matriculat, personal contractat... Això feia que no puguessin donar comptes a possibles futurs alumnes interessats en la UVIC, etc.
La idea és que qualsevol persona pugui tenir un compte a la UVIC. Fins i tot s'estan plantejant no donar de baixa mai els compte quan algú deixi la universitat. El que si faran és donar d'alta i de baixa els rols que calgui, és a dir, les autoritzacions.
El temps de cortesia abans de teure-li un rol a un usuari, és de 150 dies tan per estudiants com per a treballadors.
Estan considerant la possibilitat d'oferir un "email for life", però els costos son alts i encara no saben si ho faran.
Arquitectura
Actualment el sistema està muntat tal i com es veu en aquesta imatge, tot i que en el futur Banner serà la font de dades.
Aquí podeu veure com quedaria més endevant.La base de dades és oracle i l'LDAP és openldap, tot i que pensen canviar a l'LDAP de SUN (una pega que ens han dit de l'openldap és que no permet fer cerques on el resultat torni ordenat).
Funcionament
A la nit comparen el que tenien el dia anterior amb el dia actual i fan altes, baixes i modificacions a la base de dades en funció d'això, comprovant no crear duplicats, etc, més o menys com fem nosaltres. Tenen un sistema de prioritats de fonts de dades (PDI mana sobre estudiants). Ens han comentat un problema que nosaltres no tenim: es veu que un estudiant d'origen xinés s'inscriu normalment amb el seu nom real, perquè és el nom que vol al diploma quan es graduï. Però si passa a ser treballador, és molt probable que dongui un nom més adaptat a l'anglés.
Els usuaris internament tenen un codi numèric, però poden escollir el seu login.
Tenen un timestamp que els permet cada dia actualitzar l'LDAP amb els canvis.
Amb l'LDAP fan:
- autenticació
- autorització: per això hi posen molta informació a l'LDAP, en forma de grups. Alguns dels grups son estàtics però la majoria son dinàmics, en funció dels atributs.
- person
- inetOrgPerson
- posixAccount
- eduPerson (definit per educause, molt utilitzat en universitats)
- uvicEduPerson: té els atributs eduPersonAffiliation (role info, pot ser "student", "employee"...) i eduPersonEntitlement (aplicacions que té l'usuari: "fulanito té CampusGlobal"). No hem tingut temps de veure com calculen el camp eduPersonEntitlement.
Per tant, totes les aplicacions que consulten l'LDAP, com per exemple l'VPN o la WIFI, han de fer 2 passos:
- autenticació
- autorització
Tenen informació de la matrícula dels estudiants tan a l'Identity Registry com a l'LDAP, son alguns dels grups que fan servir.
Workflows
Com que el SUN Identity Manager no ho fa tot, volen muntar un sistema de workflows per a, per exemple, engegar tot el procés que s'ha de fer quan una persona deixa de treballar a la UVIC: baixa de telèfon, recuperar la seva clau del despatx, etc.
Han mirat eines de workflow, però utilitzaran la del Banner.
No hay comentarios:
Publicar un comentario