Der Umstieg der FernUni auf die SWITCH edu-ID

Am 6. März 2019 hat die FernUni Schweiz als zweite Hochschule den Wechsel auf SWITCH edu-ID für die Authentisierung und den Zugriff zu föderierten Diensten vollzogen. SWITCH hat sich mit Jörg Andenmatten, Leiter IT, über seine Erfahrungen unterhalten und wollte insbesondere wissen, welche Empfehlungen er anderen Hochschulen mitgeben kann.

Text: Jörg AndenmattenPetra Kauer-Ott, publiziert am 02.05.2019

Ihr seid die zweite Hochschule, welche auf SWITCH edu-ID umgestiegen ist. Welche Vorteile bringt dies für die FernUni Schweiz?

Jörg Andenmatten: Die FernUni Schweiz ist mit ca. 2300 Benutzern eine relativ kleine Hochschule und verfügt über eine stringente IT-Umgebung. Studierenden stehen im Wesentlichen 11 webbasierte hochschuleigene Dienste über AAI / SWITCH edu-ID zur Verfügung.

Wir sehen mehrere Vorteile, die uns auch dazu bewogen haben, als eine der ersten Hochschulen auf SWITCH edu-ID umzustellen:

  • Die FernUni Schweiz nutzt bereits andere Ressourcen von SWITCH wie SWITCHengines, SWITCHdrive, SWITCHtube, also Dienste die bereits über SWITCH edu-ID laufen. Da nun auch unsere eigenen Dienste via edu-ID zugänglich sind, müssen sich Lehrpersonen und Studierende nur noch ein Login merken und können so vom SSO (Single Sign On) profitieren.
  • Der Unterhalt eines eigenen Identity Providers entfällt. Der IdP (Identity Provider) stellt für unsere Hochschule eine kritische Komponente dar. Die Verwaltung ist komplex und da man selten Anpassungen macht, fehlt die Routine. Daher sind wir froh, dass wir diese Aufgaben nun einem kompetenten Team übergeben konnten.
  • Des Weiteren können die Benutzer ihre persönlichen Daten nun selbst auf der edu-ID Plattform (https://eduid.ch) verwalten und aktualisieren. Dadurch erhalten wir dank des nächtlichen Abgleichs immer die aktuellen Daten. Für unsere HR-Abteilung bedeutet das einen geringeren Aufwand als zuvor.

Auch SWITCH selbst hat grosses Interesse daran, Organisationen auf die Nachfolgelösung von AAI zu bringen. Mit diesem gemeinsamen Ziel vor Augen konnten wir eng zusammenarbeiten und jederzeit sofern erforderlich Hilfe und Unterstützung seitens SWITCH in Anspruch nehmen. Aufgrund unserer Anforderungen und Gegebenheiten war es uns ausserdem möglich, uns aktiv an der Entwicklung des SWITCH edu-ID Dienstes zu beteiligen.

Welche Szenarien habt ihr für eure Benutzergruppen gewählt?

Jörg Andenmatten: Studierende registrieren sich neu online mit ihrer edu-ID und werden im OpenERP erfasst. Mitarbei-tende geben uns ihre edu-ID über einen Webservice bekannt. Diesen Dienst haben wir während der Umstellung auch als Fallback verwendet für Personen, die am Tag X noch kein Linking über das edu-ID Konto vorgenommen hatten.
Die Administration umfasst zurzeit 92 Personen. Wir setzten diese als Pilotgruppe ein, da sie nahe bei uns angesiedelt ist und wir so direkt ihre Erfahrungen entgegennehmen konnten.
Die 344 Professorinnen und Professoren und Assistierenden stellten eine zweite Gruppe dar und die 1804 Studierenden die dritte und grösste Gruppe. Sobald jeweils ein Projektschritt bei den administ-rativen Mitarbeitenden erfolgreich umgesetzt war, erfolgte zeitnah derselbe Schritt zuerst bei den Lehrpersonen und anschliessend bei den Studierenden.

Welche Rolle hatten IT und andere Abteilungen?

Jörg Andenmatten: Die Leitung und Hauptarbeit in diesem Projekt lag bei der IT-Abteilung. Diese hat alles geplant und die Umstellung durchgeführt. Dabei wurden mit regelmässigen Informationen alle anderen Abteilungen der FernUni Schweiz auf dem Laufenden gehalten.
Auf Grund der Tatsache, dass in diesem Projekt viele Informationen und Mails an Mitarbeitende, Lehrpersonen und Studierende verschickt wurden - und dies in zwei Sprachen - war auch die Marketing-Abteilung stark eingebunden. Die Informationen wurden jeweils von der IT-Abteilung vorbereitet. Danach organisierte Marketing die Übersetzung, Formgebung und den Versand.
Als weitere Gruppe waren die Student Manager, welche bei uns Erstansprechpartner für Studierende und Lehrpersonen sind, in das Projekt involviert. Sie wurden von der IT-Abteilung regelmässig über den Status informiert und in der Handhabung der SWITCH edu-ID geschult. So konnten sie bei Anfragen und Problemen seitens Studierende und Lehrpersonen die bestmögliche Unterstützung bieten. 

In welchem Zeitrahmen und mit welchem Aufwand erfolgte die Umstellung?

Jörg Andenmatten: Im Winter 2018 hat die FernUni Schweiz entschieden, mit dem Projekt der Migration zur SWITCH edu-ID zu starten. Ab Frühling 2018 haben wir dann in Arbeitssitzungen mit SWITCH das Projekt geplant, die technischen Punkte definiert und die Umsetzung in die Wege geleitet. Ab Sommer 2018 starteten wir mit der Informationskampagne. Diese bereitete Mitarbeitende, Lehrpersonen und Studierende auf die bevorstehende Umstellung auf SWITCH edu-ID vor. Der definitive Wechsel erfolgte am 6. März 2019. Wir benötigten also knapp ein Jahr für Planung und Durchführung.
Bei der IT war ein Mannmonat für die technische Umsetzung nötig. Da wir hier grosse Unterstützung seitens SWITCH bekamen, hielt sich der Aufwand in Grenzen, und wir stiessen auch auf keine grösseren Probleme. Der grössere Aufwand für die IT-Abteilung fiel bei Projektführung und insbesondere bei der Kommunikation an. Im Durchschnitt wendeten wir einen Tag pro Woche seit Projektstart bis zur Umstellung auf. Der Aufwand für die Benutzer war sehr klein - maximal eine Viertelstunde für Kontoerstellung und Verlinkung. Zusätzliche Zeit erforderte wohl das Lesen der kommunizierten Informationen in Form von Rundschreiben und Mails. 

Wieviel Flexibilität war von eurer Seite her erforderlich?

Jörg Andenmatten: Die Zeitplanung in diesem Projekt hat sehr gut geklappt und wir konnten die vorgesehene Planung im Wesentlichen einhalten. Wir waren gut vorbereitet, arbeiteten eng mit dem SWITCH-Team zusammen und konnten deshalb auch auf Unvorhergesehenes schnell reagieren.
Schlussendlich haben wir die Umstellung vom Januar 2019 auf den März verschoben, da die Schnittstelle zwischen der FernUni Schweiz und SWITCH noch nicht ganz fertigentwickelt war. Wir hätten zwar den Termin halten können, haben aber aufgrund des Schulbetriebs auf eine Verschiebung gesetzt, was sich im Nachhinein als richtiger Entscheid erwiesen hat. 

Was war für euch die grösste Herausforderung?

Jörg Andenmatten: Das war eindeutig die Kommunikation mit den Benutzern, um sie zur Erstellung eines SWITCH edu-ID Kontos und zum Verlinken der Konten zu bewegen. Wir zeigten mittels unserer Informationskampagne den Mehrwert der SWITCH edu-ID auf. Man muss aber bedenken, dass es für Benutzer primär einfach um eine Authentisierungsmethode geht - dementsprechend war das Interesse nicht sehr gross.
Wir haben früh mit der Kommunikation gestartet. Da aber die Umstellung und Nutzung der SWITCH edu-ID im Regelfall erst später erfolgte, sahen viele Hochschul-Angehörige noch keine unmittelbare Notwendigkeit und warteten mit dem Anlegen des Kontos zu. Wie viele Personen bis zum Tag der Umstellung (Tag X) das Nötige unternommen haben würden, war schwer im Voraus einzuschätzen.

Letztendlich konntet ihr aber über 3/4 eurer Benutzer dazu bewegen, vor der Umstellung ein Konto anzulegen. Wie habt ihr das geschafft?

Jörg Andenmatten: Die Umstellung auf SWITCH edu-ID war wie gesagt ursprünglich auf den Januar 2019 geplant. Erste Informationen erhielten die Benutzer ab Sommer 2018. Ab September 2018 wurden dann alle FernUni-Angehörigen per E-Mail aufgefordert, sich eine SWITCH edu-ID zu erstellen und dieses mit unserem lokalen Hochschul-Konto zu verbinden. Benutzer, welche der Aufforderung nicht folgten, wurden in regelmässigen Abständen daran erinnert, die nötigen Schritte zu unternehmen.
Sobald die Benutzer Sinn und Zweck der SWITCH edu-ID als selbstverwaltetes Konto für Single Sign On-Zugriff auf alle unsere Dienste verstanden hatten, war auch die nötige Akzeptanz vorhanden.
Unsere Informationskampagne lief bis zur definitiven Umstellung im März 2019.

Hast Du Tipps für andere Hochschulen, wie sie die Migration erfolgreich angehen können?

Jörg Andenmatten: Den Aufwand für Kommunikationsmassnahmen sollte man nicht unterschätzen, v.a. nicht als mehrsprachige Hochschule. Die Migration eines Benutzers vor dem Zeitpunkt der Umstellung geht viel schneller und die Hochschule hat damit deutlich weniger Aufwand. Nach der Umstellung ist dies anspruchsvoller. Ich empfehle deshalb das Szenario «Linking before day X» für bestehende Benutzer anzuwenden.
Wenn man auf Power User wie unsere Student Manager zurückgreifen kann, sollte man diesen Vorteil unbedingt nutzen, um den Support zu entlasten und nötige Informationen im direkten Kontakt zu vermitteln. 

Welche Nacharbeiten und Folgeschritte stehen bei der FernUni Schweiz nun an?

Jörg Andenmatten: Zurzeit haben wir noch rund 150 Benutzer, welche kein SWITCH edu-ID Konto haben. Dabei handelt es sich einerseits um Benutzer, welche aktuell beurlaubt sind oder nur im Herbstsemester aktiv sind, andererseits haben wir aber auch fehlerhafte Daten im System. Wir nutzen die Umstellung auf SWITCH edu-ID, um unsere Datenbestände zu prüfen, zu aktualisieren und zu bereinigen.

In einem weiteren Schritt werden wir dann unser Office365 Login mit SWITCH edu-ID verbinden. Wenn seitens SWITCH edu-ID auch eduroam verfügbar ist, werden wir auch dies gerne bei uns implementieren.

 

Weitere Informationen finden Sie in im Identity Blog:
https://identityblog.switch.ch/2019/04/01/distance-university-too-uses-now-edu-id/

 

 

Weitere Beiträge