Uni Luzern setzt als Erste auf SWITCH edu-ID

Seit dem 1. Februar 2019 verwenden die Angehörigen der Universität Luzern ihre langlebigen SWITCH edu-ID Identitäten für den Zugriff auf alle föderierten Dienste der Hochschulgemeinschaft. Marco Antonini, IT-Leiter der Universität Luzern hat die Umstellung auf SWITCH edu-ID vorbereitet und mit seinem Team durchgeführt. Wir haben ihm beim Debriefing Fragen gestellt. Hier ein Auszug seiner Antworten:

Text: Petra Kauer-Ott, publiziert am 30.04.2019

Was ist Dein Resumée zum Umstieg von AAI auf SWITCH edu-ID?

Marco Antonini: Da wir bereits eine zentrale Benutzerverwaltung hatten, waren wir gut aufgestellt für den Wechsel auf SWITCH edu-ID. Eigentlich war die Migration ein klassisches IT Projekt. In der Praxis lief es aber etwas anders ab, da wir intensiver kommunizieren mussten. Typisch war allerdings, dass der Zieltermin verschoben wurde: Wir hatten mit dem 31. Dezember 2018 ein günstiges Zeitfenster gewählt. Mit den Problemen von doppelten swissEduPersonUniqueIDs wurde es etwas eng, um Ende 2018 umstellen zu können. Wir fanden jedoch ein Alternativdatum und konnten somit am 1. Februar auf den SWITCH edu-ID IdP umschalten. Für uns war das ein spannendes und lehrreiches Projekt, das wir erfolgreich durchführen konnten.

Welches war die grösste Herausforderung für euch?

Marco Antonini: Sicher die Kommunikation. Wir haben mit unserer Kampagne zwar erreicht, dass gut die Hälfte der Nutzerinnen und Nutzer bis zur Umstellung ein Konto erstellt und verknüpft haben, aber unsere Erwartung war höher. Unsere Hochschulangehörigen wurden zuerst über die Website der Uni und zwei Newsletter informiert, danach direkt mehrmals via E-Mail. Aber selbst die mehrfache persönliche Ansprache griff bei vielen nicht. Das entspricht leider unseren früheren Erfahrungen.
Im Vorfeld der Umstellung von Nutzenden Aktivitäten einzufordern ist nicht einfach. Man muss erklären, warum das SWITCH edu-ID Konto jetzt schon, wenn es noch kaum aktiv verwendet werden kann, erstellt und mit dem Hochschulkonto verbunden werden muss. Auch Informationen dazu, wo welches Konto nach der Umstellung zu verwenden ist, sind nötig. Nach erfolgtem Umstieg war das alles viel klarer.

Was funktioniert denn, wenn nicht eine Kommunikations-Kampagne?

Marco Antonini: Wenn die Benutzerinnen und Benutzer etwas Konkretes erledigen müssen oder noch besser wollen, z. B. eine Anmeldung zu Lehrveranstaltungen oder die Einsicht in Prüfungsresultate. Wenn dort ohne SWITCH edu-ID keine Anmeldung möglich ist, erhöht das die Motivation deutlich, sich ein Konto anzulegen und es mit der Hochschule zu verknüpfen. Man könnte einzelne Dienste so als Sprungbrett nutzen, um das Verknüpfen von lokalem mit SWITCH edu-ID Konto zu fördern.

Gab es bei Planung oder Umsetzung unvorhergesehene Überraschungen?

Marco Antonini: Ja, wir fanden z. B. doppelte swissEduPersonUniqueIDs. Das konnte aber bilateral mit den betreffenden Diensten und Organisationen wie z. B. OLAT von der UZH gelöst werden.
Bei der Entwicklung hatte unser externer Partner nur die verbindlichen Attribute aus der Spezifikation berücksichtigt. Deshalb wurden zuerst nicht alle von uns verwendeten Attribute via API aktualisiert. Auch das war keine grosse Sache, als die Ursache mal erkannt war.
Einzelne Studierende konnten nach der Umstellung nicht mehr auf das Uni-Portal zugreifen. Dies betraf Personen mit mehreren Rollen (Affiliationen). Da wir nur mit jeweils einer Rolle getestet hatten, war das vorher nicht aufgefallen. Am Nachmittag des Migrationstages war auch dies bereits behoben.

Wie hoch war der Support-Aufwand?

Marco Antonini: Am ersten Wochenende nach der Umstellung – wir haben die Migration an einem Freitag gemacht - gab es relativ viele Anfragen. Ca. 10% unserer 4000 Benutzerinnen und Benutzer nahmen Support in Anspruch – eben primär diejenigen Personen, die vorher nicht auf unsere E-Mails reagiert hatten. Es gab v.a. Rückfragen, weil beim nachträglichen Verknüpfen der Zugang zu Diensten erst nach einer kurzen Wartezeit funktionierte oder weil die Leute den Linking-Prozess nicht abgeschlossen hatten. Wir wollten aber nicht ins System eingreifen und haben diese Anfragen in Kauf genommen. Wir haben u.a. TeamViewer eingesetzt, um schnell und effizient helfen zu können.
Nach der «heissen» Phase haben wir dann Hinweise an Personen, die noch nicht migriert hatten geschickt, um bekannte Probleme oder Rückfragen zu vermeiden. Anfangs forderten wir neue Mitarbeitende auf, sich mittels Linking Service eine edu-ID zu erstellen. Es hat sich jedoch in der Praxis gezeigt, dass es besser funktioniert, wenn sie zuerst eine edu-ID erstellen und dann mittels Linking Service ihr lokales Konto verknüpfen.

Viele Nutzerinnen und Nutzer lesen unsere Infos nicht und möchten dann bei Problemen nicht auf eine Lösung warten müssen. Das sollte man immer im Hinterkopf behalten. Erklärungen wieso und wie etwas gemacht werden sollte, muss man deshalb in den Prozess selbst einbauen.

Marco Antonini, IT-Leiter, Universität Luzern

Siehst Du Verbesserungspotential bei SWITCH edu-ID?

Marco Antonini: Für uns waren die technischen Anforderungen in der Resource Registry nicht klar,
z. B. als es darum ging, die richtigen Einstellungen für die Online Anmeldung vorzunehmen und die richtigen Attribute zu setzen. SWITCH hat uns dabei unterstützt. Eine bessere Führung durch die Resource Registry hätte es uns vermutlich ermöglicht, dies alleine zu meistern.
Es gab auch einige Unklarheiten und Fragen dazu, wie Dinge tatsächlich im Detail funktionieren, z. B. wie das Login nach der Umstellung für unterschiedliche Benutzergruppen bei verschiedenen Services aussieht, was an Attributen bei den Services ankommt etc. Testen kann man nur beschränkt. Hier wäre eine genauere Dokumentation sicher hilfreich gewesen.
Die Zusammenarbeit mit SWITCH hat aber gut funktioniert und unser Ansprechpartner beim Entwickler-Team konnte unsere Fragen immer schnell beantworten.

Die Migration ist abgeschlossen. Ergeben sich daraus weitere Schritte?

Marco Antonini: Aktuell haben noch ca. 600 Uni-Angehörige kein verlinktes edu-ID Konto. Diese werden sich wohl erst nach und nach eines anlegen. Einzelne kommen vielleicht sogar nur mit dem lokalen Konto aus. Es ist aber klar, dass sich auch diese Personen sehr schnell eine edu-ID zulegen werden, sobald eduroam via SWITCH edu-ID erschlossen ist.
Wir haben weiterführende Pläne für den Einsatz der edu-ID: Wir haben zusätzliche Benutzergruppen wie Hörer, Weiterbildungsstudierende oder Alumni im Auge, die künftig auch über SWITCH edu-ID auf unsere Dienste zugreifen sollen. Ideal wäre es, wenn auch das Webmail mit dem edu-ID Konto zugänglich gemacht werden könnte. Two-Step Login mit Google Authenticator wäre ausserdem eine interessante Option.

Welche Tipps kannst Du anderen Hochschulen mitgeben, die auf SWITCH edu-ID wechseln?

Marco Antonini: Unbedingt genügend Zeit und zwei passende Zeitfenster einplanen, für den Fall, dass Probleme auftreten. Die Perioden, in denen wenig läuft sind rar. Man muss diese identifizieren und sich intern gut absprechen.
Freitag hat sich als guter Tag für die Umstellung entpuppt. Die Leute haben sich übers Wochenende teilweise selber organisiert und sich gegenseitig mit Informationen weitergeholfen.
Und auf jeden Fall daran denken, dass bei Diensten, die die Metadaten z.B. nur einmal am Tag laden, etwas getan oder entsprechend kommuniziert werden muss.

Identitätsmanagement ist und bleibt eine grosse Herausforderung für die Universitäten. Mit dem edu-ID-Projekt hat die Universität Luzern einen wesentlichen Schritt Richtung Automatisierung und Modernisierung getan – tatkräftig unterstützt durch SWITCH und durch Fördermittel von swissuniversities.

 

Weitere Informationen zur Migration auf die SWITCH edu-ID finden Sie in im Identity Blog:
https://identityblog.switch.ch/2019/03/14/university-of-lucerne-the-edu-id-pioneer/

Über den Autor
Petra   Kauer-Ott

Petra Kauer-Ott

Nach mehrjähriger Tätigkeit als E-Learning Koordinatorin an der Universität Zürich wechselte die dipl. Geographin 2009 zu SWITCH und übernahm Koordination und Leitung von Innovations- und Kooperationsprojekten. Seit 2014 arbeitet sie für das Swiss edu-ID Projekt.

E-Mail
Weitere Beiträge