Sök

Automatisk synk av användaruppgifter

Autosynk spar tid och ökar informationssäkerheten.

Unikum är byggt för att automatiskt synkroniseras med användaruppgifter från kommunens övriga system via metakatalog eller annat synkroniseringsnav. Här kan du som är systemadministratör eller arbetar med integration läsa mer om hur det går till.

.

1. System som kopplas ihop

En kommun har oftast många olika webbtjänster för medborgare och personal. Vid sidan av Unikum (gult i bilden) kan det t.ex. handla om e-posttjänster, kalendertjänster, läromedel på webben, osv. Konton för användare behöver skapas i alla dessa tjänster, så att användare kan logga in och använda tjänsterna. När nya elever, vårdnadshavare eller personal kommer till, eller byter skola, så behöver ändringar göras.

För att skapa och hantera konton automatiskt (eng. Provisioning) så används ofta en central metakatalog eller ett synkroniseringsnav. Exempel på metakataloger och nav är Novells e-Directory, Microsofts MIIS/ILM/Forefront, TEIS, Decapus, NordicEdge AAM osv.

För att skapa konton behöver metakatalogen uppgifter om vilka användare, klasser, grupper och skolor som finns i kommunen. Dessa uppgifter hämtas från t.ex. skoladminsystem, personalsystem, folkbokföring, epostsystem och katalogtjänster.

Metakatalogen sammanställer och lagrar regelbundet (varje natt, eller oftare) en bild av alla användare, grupper och skolor i kommunen. Metakatalogen jämför sedan denna kontobild med bilden från föregående tillfälle (t.ex. föregående natt), och sparar skillnaden mellan de två bilderna. Därefter skickar metakatalogen uppgifter om dessa ändringar till varje webbtjänst, på det format som respektive webbtjänst föredrar.

Genom att alla webbtjänster har synkroniserade uppgifter om användare så kan t.ex. inloggning för användare förenklas genom så kallade Single Sign-On-lösningar.

.

2. Unikums användarmodell

Webbtjänsten Unikum hanterar samarbete kring pedagogiska processer i skolan. Därför behöver Unikum korrekta uppgifter om vilka elever, lärare, vårdnadshavare, klasser och skolor som finns i kommunen. Dessa uppgifter behöver uppdateras allteftersom användare t.ex. börjar, slutar eller ändrar roll i en skola.

Unikums användarmodell är kraftfull, och låter en och samma person ha flera olika roller med en och samma inloggning. Exempelvis kan en person ha följande roller i Unikum i ett konto:

• Är musiklärare i klass 7A, 7B och 7C i Storskolan
• Är mentor för 15 elever i klass 7A i Storskolan
• Är dessutom musiklärare i klass 7A i Lillskolan
• Är vårdnadshavare till en elev i Centralskolan
• Är vårdnadshavare till ett barn i Förskolan Gläntan
• Är skoladministratör i Unikum i Storskolan
• Har rektorn i Storskolan som sin egen mentor

Uppgifter om användare kan hanteras på tre sätt:

• Manuellt av en Unikum-administratör på skolan, kommunen eller för klassen
• Genom manuell filimport av listor från skoladmin-system
• Genom automatisk synkronisering av användaruppgifter från en metakatalog / synknav, som ju beskrivs på denna sida

Det är möjligt att låta delar av användaradministrationen vara manuell, medan andra delar är automatiskt synkroniserade.

.

3. Mappning Unikum <-> övriga system

För varje uppgift som behöver hämtas av Unikum via metakatalogen måste bestämmas:

• Vilket system är källa till informationen?
• Finns informationen direkt att hämta, eller behöver den bearbetas på något sätt?
• Ett unikt ID för den specifika användaren, klassen eller skolan

Nedan ses en översikt över mappningen mellan systemen. Ett detaljerat exempel på mappning i Excel finns här >>

.

4. Filöverföring från metakatalog till Unikum

Överföring av uppgifter från metakatalogen till Unikum görs med valfritt intervall, t.ex varje natt.

4.1. Metakatalogen hämtar ny data från källsystemen

Metakatalogen skapar en ny uppdaterad bild av konton/skolor/klasser med den nya informationen.

4.2. Skapa lista på ändringar i Unikum-format.

Ändringarna sparas i två typer av filer:

• Principal-filer, med grunduppgifter om användare, klasser och skolor
• Relationsfiler, med uppgifter om hur användare är relaterade till varandra, och till klasser och skolor

Filformatet är en tab-, komma- eller semikolonavgränsad texfil i formatet UTF-8 eller ISO-8859-1. Se detaljerad beskrivning här >>

En principalsfil kan se ut som nedan med användardata

Exempel på principalsfil >>
Observera att den alltid måste ha filändelsen .principals

En relationsfil kan se ut som nedan med användardata

Exempel på relationsfil >>
Observera att den alltid måste ha filändelsen .relations
Möjliga relationstyper >>

4.3. Paketera och kryptera filerna

a. Generera filerna med rätt filändelse: ".principals" eller ".relations"
b. Packa filerna i ett zip-arkiv.
c. PGP-kryptera zip-filen med Unikums publika PGP-nyckel och signera
den med kommunens PGP-nyckel.

PGP-kryptering används för att säkerställa att ingen obehörig kan manipulera filerna, och signering för att Unikum skall kunna säkra att
filerna kommer från rätt kommun och ingen annan.

GPG - http://www.gnupg.org/ är en öppen implementation av PGP som ni kan använda.

4.4. Överföring från kommunen till Unikum

Kommunen får konto för att kunna använda en katalog på Unikums ftp-server.
Den krypterade filen skickas till denna FTP-server.

4.5. Filerna importeras automatiskt

Unikum importerar filerna automatiskt. Detta sker vanligen nattetid, en gång per dygn.

4.6. Automatisk rapport till kommunadmin

Ett epost-meddelande går automatiskt till kommunens Unikumadministratörer efter avslutad import. Meddelandet berättar hur det gått, och loggar eventuella fel.

.

5. Hur andra gör

Umeå kommun

• Metakatalog: Novell eDirectory
• Källsystem: Procapita (skoladmin), Heroma (personaldata), epost (email-adresser)
• Synkfrekvens: Varje natt
• Kompetens synkronisering: Intern hos IT-avdelninen

Lerums kommun

• Metakatalog: Microsoft ILM (aka MIIS, Forefront)
• Källsystem: Procapita (skoladmin)
• Synkfrekvens: Varje natt
• Kompetens synkronisering: Extern konsult - Atea

Pysslingen Förskolor och Skolor AB

(en av landets största friskolekedjoer)

• Synknav: NordicEdge AAM
• Källsystem: Adela (skoladmin), MS AD
• Synkfrekvens: Varje natt
• Kompetens synkronisering: Extern konsult - NordicEdge

.

6. Projektplan

Ett synkroniseringsprojekt tar vanligen en termin att genomföra. Det är mycket viktigt att göra noggranna testkörningar i testmiljöer innan lösningen driftsätts.

Steg i projektet

• Förstudie - Källor, mappning, rutiner, ansvar
• Förberedelser - sätt upp test- och utvecklingsmiljöer, osv
• Utveckling av synkroniseringslösning
• Informera administratörer och andra berörda
• Verifiera synkronisering i testmiljöer
• Verifiera synkronisering i produktionsmiljöer
• Inför rutiner för att hantera lösningen efter driftsättningen

När auto-synken är klar kan exempelvis SSO-lösning vara ett naturligt nästa steg.

Medverkande i projektet

Projektgrupp - utvecklar lösningen
• Projektledare Kommunen, Unikum, eventuell konsult
• Erfaren administratör för skoladminsystemet
• Systemutvecklare med kompetens om metakatalog och synkronisering
• Teknisk kontaktperson på Unikum

Testgrupp - medverkar i testning och verifiering
• 2-4 Skoladministratörer

Driftsorganisation - för den färdiga Auto-synklösningen
• Systemägare: Den som är systemägare för Unikum, t.ex skolchef
• Systemförvaltare: Den som är systemförvaltare för Unikum, IT-koordinator på skolförvaltningen
• Systemadmin: Skoladministratörer

Frågor för förstudien

• Källor - Vilka system är tänkbara källor till data för Unikum?
• Datakvalitet - Finns gammal data (lärare som slutat)? Är data komplett (t.ex. alla vårdnadshavare med)? Har personnummerfält verifierats?
• Mappning - Finns all data direkt tillgänglig, eller behöver den transformeras eller formatkonverteras på något sätt? Personnummer i format ååååmmdd-ssss?
• Status - Finns redan skolor inlagda i Unikum, eller startar vi från noll?
• Testning - Vilka kan vara med och verifiera testimporter?
• Driftsättning - Hur hantera första importer?
• Rutiner - Vad behöver fortsatt göras av kommunadmin respektive skoladmin i Unikum?
• Skolstart - Krävs särskild hantering av skolstart?

Testing och verifiering

För testning genereras en komplett uppsättning filer med alla användare, klasser och skolor. Unikum öppnar en testmiljö som innehåller en kopia av hela kommunen och ni kan här importera in era filer. Ni måste sedan själva säkerställa att allt ser ut som det skall efter importen. Detta är ett omfattande arbete och här brukar skoladministratörer hjälpa till. Testimport behöver upprepas till dess allt är verifierat och fungerar som det skall.

.

7. Mer detaljer

Exempelfil Mappning Unikum - källdata

Detaljerad beskrivning av Unikums standardiserade importformat