Starrsinn steht uns nicht: Univention bricht Rollenmodell von UCS und UCS@school auf

Wir von Univention unterstützen Schulträger und Länder genauso wie Organisationen aus der freien Wirtschaft und der öffentlichen Verwaltung schon seit vielen Jahren mit unserem leistungsstarken Identitätsmanagement, das mit seinem Rollen- und Berechtigungskonzept auf die Belange von Organisationen mit vielen Nutzer*innen in unterschiedlichsten Kontexten, seien es Schulen, Abteilungen oder Niederlassungen, abgestimmt ist.

Die Vorteile von UCS@school

UCS@school als Erweiterung von Univention Corporate Server (UCS) bringt viele Features mit, die es ermöglichen, Schul-Infrastruktur zentral bereitzustellen und zu administrieren. Gleichzeitig räumt UCS@school mit der Vielzahl unterschiedlicher Benutzeraccounts auf, die Lernende und Lehrende im Alltag nutzen.

Statt separate Accounts bei jeder einzelnen Lernanwendung, dem Lernmanagementsystem und auf den Schulgeräten einrichten und pflegen zu müssen, lassen sich die digitalen Identitäten zentral in UCS@school verwalten. Durch die Anbindung externer Anwendungen erhalten Benutzer mit denselben Zugangsdaten Zugriff auf alle eingebundenen Applikationen.

Free the User

Durch unsere vielen Kunden im Schulsegment wissen wir, dass kaum eine Schule der anderen gleicht. So gibt es unterschiedliche pädagogische Konzepte und Rahmenbedingungen in den verschiedenen Bundesländern, durch die vielfältige Rollen und Aufgabenprofile entstanden sind. Doch nicht nur das. In der Bildung sieht man sich oft mehrmals in ganz unterschiedlichen Funktionen. So kann eine Lehrkraft an einer Schule unterrichten, administrative Aufgaben an einer anderen Schule übernehmen und gleichzeitig selbst Schüler*in an einem Berufskolleg sein.

Diese Person füllt also an jeder Schule unterschiedliche Rollen aus und benötigt somit auch für jede Schule unterschiedliche Berechtigungen in der IT-Landschaft. Das kann zu höchst komplexen Szenarien führen, die sich bisher über das Rollen- und Rechte-Modell von UCS@school nicht ganz einfach umsetzen ließen – ganz zu schweigen von individuellen Rollen, die nur in besonderen Schulformen Anwendung finden. Bisher mussten hier Individuallösungen entwickelt werden, die fehleranfällig und pflegebedürftig sind.

Wir finden, dass es an der Zeit ist, das bestehende Rollenmodell aufzubrechen und Schulträger und Landesministerien dazu zu befähigen, sich genau die Rollen selbst zu erstellen, die sie benötigen und diese mit einem frei definierten Berechtigungsprofil auszustatten, das auch in Zukunft flexibel bleibt. Darüber hinaus liefern wir natürlich auch weiterhin vordefinierte Standardrollen mit UCS@school aus, mit denen sich eine Vielzahl von Szenarien bereits umsetzten lassen und die auf Bedarf angepasst werden können.

Damit erhalten Sie umfassenden Gestaltungsspielraum. In dem Zuge werden wir unsere Standardrollen um ein paar weitere neue Rollen erweitern, und zum Beispiel die Rollen „Erziehungsberechtigte“ und „Helpdesk-Mitarbeitende“ einbeziehen.

Gar keine leichte Aufgabe, ein System auf jede erdenkliche Rolle und Kombination aus Berechtigungen zu trimmen, doch wir stellen uns der Herausforderung! Nicht nur für UCS@school, sondern auch für unser Kernprodukt UCS.

Neues Konzept zur Organisation und Auswertung von Berechtigungen

Zugriffsrechte bestimmen, was eine „Rolle“ sehen und tun darf. Sie entscheiden, welche Module angezeigt werden, welche Daten beispielsweise eine Lehrkraft von einem Schüler bzw. einer Schülerin sehen darf oder welche Aktionen von einem „Schuladmin“, im Gegensatz zu einem „Domänenadmin“ ausgeführt werden dürfen.

Exemplarische Darstellung wie Zugriffsberechtigungen die Darstellung von Attributen in der Detailansicht beeinflussen können.

Dabei besteht eine solche Zugriffsberechtigung selten nur aus simplen „darf“ oder „darf nicht“-Regeln, sondern wird häufig auch in Abhängigkeit von gesetzten Attributwerten bestimmt, die in ihrer Gesamtheit darüber entscheiden, ob ein Benutzer beispielsweise ein Passwort für einen anderen setzen darf oder nicht. Die Bedingungen, die erfüllt sein müssen, damit eine Berechtigung greift, sind in UCS und UCS@school aktuell fest vordefiniert, was es Administrator*innen schwer macht, eigenständig einzugreifen.

Um dies zukünftig einfacher zu gestalten, fassen wir die Kombination aus Bedingungen und Berechtigungen in einem Bundle zusammen. Beim Erstellen einer neuen Rolle können Sie dann direkt auf unsere vordefinierten Bundles zurückgreifen oder bei bestehenden Rollen Bundles hinzufügen oder löschen.

Die Auswertung der Zugriffsrechte findet dann separat in dem Open Policy Agent, einer neu integrierten Open-Source-Komponente, statt. Diese Komponente entscheidet letztlich, ob ein Zugriff zulässig ist und welche Daten angezeigt werden dürfen.

Auf unserem Summit veranschaulichte mein Kollege Sönke Schwardt-Krummrich in einem Vortrag die angestrebte Architektur:

Anzeige im Frontend

Eine weitere Voraussetzung für dieses Vorhaben ist außerdem ein flexibles Interface, in dem Informationen angezeigt und Aktionen ausgeführt werden können. In UCS und UCS@school kann auf viele dieser Aktionen und Informationen über das Univention Portal, das sowohl von Administrator*innen als auch nicht-technischen Mitarbeiter*innen genutzt wird, zugegriffen werden.

Damit ein Benutzer im Univention Portal nur die für ihn oder sie bestimmten Daten angezeigt bekommt und nur die Aktionen ausführen kann, für die eine Berechtigung besteht, müssen wir unsere Frontend-Module ebenfalls auf neue Beine stellen. Das Interface muss zukünftig auf verschiedene Teilmengen von Attributen reagieren können und eine individuelle Anzeige aufbauen.

Aktuelle Entwicklung

Die Grundlage für ein solches Interface konnten wir im letzten Jahr in einem großen Kundenprojekt legen. Wir entwickelten für UCS@school ein neues Benutzer- und Gruppen-Modul, welches die Anforderung für den flexibleren Umgang mit Zugriffsrechten erfüllt.

Dabei entstand nicht nur das technische Konzept, wie künftig alle unsere Module in UCS und UCS@school aufgebaut sein werden, sondern wir kombinierten gleich mehrere UCS@school-Module miteinander. Auf diese Weise ist es nicht mehr nötig, viele getrennte Module vorzuhalten, die oftmals nur eine Aktion wie das Zurücksetzen von Schülerpasswörtern oder das Anzeigen einer Klassenliste zur Verfügung stellen.

Vielmehr können so alle Aktionen, beispielsweise rund um Benutzerobjekte, in dem neuen Benutzermodul durchgeführt werden. Dabei helfen clevere Such- und Filteroptionen schnell die richtigen Objekte auszuwählen bzw. anzuzeigen.

In diesem Jahr konzentrieren wir uns darauf, die vielen Puzzleteile in unser Kernprodukt UCS und die beiden neuen Module in UCS@school zu bringen. Sowohl die neue Architektur für das Vorhalten und Auslesen von Rollen samt ihrer Berechtigungen als auch die neuen Module werden wir schrittweise in das Kernprodukt übernehmen. Sicherlich wird uns das Vorhaben längerfristig beschäftigen, bis alle Module auf das neue Konzept umgestellt sind.

Wir halten Sie über unseren Blog zu den neuen Entwicklungen auf dem Laufenden. Um nichts zu verpassen, abonnieren Sie am besten unseren Newsletter.

Schauen Sie auch gern auf unserem YouTube Channel vorbei, wo Sie Mitschnitte der Vorträge meiner Kolleg*innen und mir zur Roadmap von UCS und UCS@school sowie viele weitere Themen finden werden.