Einführung der bwIDM-Entitlements
Zusammenfassung[1]
Mit Hilfe von bwCloud können nutzungsberechtigte Personen auf dem Wege der Selbstprovisionierung sehr zeitnah und ohne langwieriges Antragsverfahren virtuelle Maschinen zur Unterstützung bei der Erfüllung von Dienstaufgaben, für Forschung und Lehre betreiben. Diese können analog zu entsprechenden Angeboten kommerzieller Anbieter wie z.B. Amazon EC2 genutzt werden.
Mittlerweile nutzen über 1.700 Nutzerinnen und Nutzer von über 34 verschiedenen Heimatstandorten die bwCloud. Die vier Regionen Mannheim, Freiburg, Karlsruhe und Ulm hosten insgesamt über 1.900 virtuelle Maschinen – Tendenz steigend!
Die virtuellen Maschinen können dabei über unterschiedliche Ressourcen wie „Anzahl der Rechenkerne“ oder Größe des verfügbaren Hauptspeichers“ verfügen. Eine spezifische Konfiguration bezeichnen wir als „Flavor“. Die unterschiedlichen Konfigurationen werden in einer „Flavor-Tabelle“ aufgelistet.
Ab dem 1.10.2019 wird der Registrierungs- und Nutzungsprozess der bwCloud auf die Nutzung von bwIDM-Entitlements umgestellt. Nach dem 1.10.2019 gilt dann: wer nicht über wenigstens eines der beiden bwIDM-Entitlements bwCloud-Basic oder bwCloud-Extended verfügt, kann die bwCloud nicht mehr weiter nutzen.
Mit der Umstellung auf die Auswertung von bwIDM-Entitlements regeln wir mehrere Dinge:
- Die Heimatstandorte der Nutzer können nun selber entscheiden wer Zugang zur bwCloud bekommt
- Wir können den Registrierungsprozess automatisieren und erleichtern den Zugang zur bwCloud
- Wir machen die bwCloud fit für eine zukünftige Leistungs- und Kostenverrechnung 2
Die bwCloud ist für den Einsatz der bwIDM-Entitlements vorbereitet. Das bedeutet: Sobald eine Heimateinrichtung die bwIDM-Entitlements einsetzt, werden die Nutzer:innen gemäß des im Folgenden beschriebenen Vorgehens in der bwCloud angelegt und provisioniert.
Diese Seite enthält Informationen zur geplanten Einführung und Umstellung von / auf bwIDM-Entitlements zur Steuerung und Organisation des Zugangs zum Landesdienst bwCloud.
Wieso stellen wir auf bwIDM-Entitlements um?[2]
Zukünftig werden wir den Zugang zur Nutzung der bwCloud wird auf Basis einer persönlichen Nutzungsberechtigung, dem sogenannten Entitlement, welches durch die Heimateinrichtung vergeben wird, steuern.
Wir unterscheiden hierbei zwischen zwei verschiedenen Entitlements:
- bwCloud-Basic und
- bwCloud-Extended
Was wir mit den bwIDM-Entitlements regeln
-
Wir geben die Antwort auf die Frage, wer Zugang zur bwCloud bekommen darf und wer nicht, an die Heimatstandorte zurück
Die Heimatstandorte der Nutzer entscheiden selbständig über die Vergabe der Entitlements an ihre Mitglieder - und damit letztlich auch, wer und wie die bwCloud genutzt werden soll.
Auf unserer Seite gilt ab dem 1.10.2019: Keine Freigabe durch die Heimateinrichtung mittels Entitlement = Kein Zugang zur bwCloud -
Mit den Entitlements regeln wir, wie viele Ressourcen ein Nutzer nutzen darf
Hierbei gilt: die Flavortabelle ist die Grundlage der Unterscheidung- Nutzer, die ausschließlich über das Entitlement bwCloud-Basic verfügen, können eine Instanz entweder von "nano" oder "tiny" starten. Das ist quasi ein "Schnupperzugang" und richtet sich hauptsächlich an Studierende. Instanzen von diesem Flavor sind kostenfrei.
- Nutzer die über das Entitlement "bwCloud-Extended" verfügen bekommen deutlich mehr Quota eingerichtet und können damit alle angebotenen Flavors nutzen. Für die Nutzung der bwCloud fallen perspektivisch Kosten an.
-
Mit den Entitlements regeln wir, wie wir mit den Instanzen umgehen
Das Entitlement bwCloud-Basic richtet sich hauptsächlich an Studierende, die die bwCloud für diverse Zwecke wie beispielsweise Abschlussarbeiten oder als Software-Repo nutzen möchten. Da es eine große Anzahl Studierender in Baden-Württemberg gibt, erwarten wir eine entsprechend große Anzahl kleiner VMs, die sich mit der Zeit ansammeln. Gleichzeitig gehen wir davon aus, dass diese VMs nicht wirklich bei Wegfall des ursprüngliches Zwecks unmittelbar gelöscht werden. Wir werden daher alle VMs, die von Nutzern mit bwCloud-Basic gestartet wurden, regelmäßig löschen 3 um unsere Systeme aufzuräumen und um anderen Nutzern die Chance zu geben, auch eine Instanz zu starten. Das bwIDM-Entitlement bwCloud-Basic ist nicht dazu gedacht, einen (System-) Dienst dauerhaft zu betreiben.
Bei bwCloud-Extended gibt es diese Einschränkungen dagegen nicht. Hier gilt: die VMs laufen so lange bis sie von den Nutzern selbständig gelöscht werden. -
Mit den Entitlements wissen wir, wer potenziell die virtuellen Maschinen bezahlen kann
Um den nachhaltigen Betrieb der bwCloud und einen regelmäßigen Austausch der Hard- und Software sicherstellen zu können ist eine Verrechnung der in Anspruch genommen Leistungen notwendig. Wir möchten daher und auch aufgrund entsprechender Vorgaben ein Leistungs- und Kostenverrechnungsmodell einführen. Mit den so erzielten Einnahmen wollen wir die Hardwareinfrastruktur regelmäßig erneuern und den Bedarfen anpassen. Um Einzelabrechnungen mit den Nutzern vermeiden zu können, wird es daher für die Heimatstandorte der Nutzer sogenannte Sammelübersichten und -rechnungen“ geben, denn nur die Heimatstandorte kennen ihre Nutzer und wissen, wer über entsprechende Mittel für den Betrieb von VMs verfügt. Mit der Vergabe des Entitlements bwCloud Extended für einen Nutzer signalisiert uns der jeweilige Heimatstandort das- der Nutzer über Zugriff auf ein Konto mit entsprechenden Mitteln verfügt und das
- der Heimatstandort daher die Gesamtrechnung über den Ressourcenverbrauch aller Nutzer des Standortes bezahlen kann.
Wie die Kosten dann am Heimatstandort intern umgelegt werden ist wiederum Sache des jeweiligen Standortes und kann individuell und nach den lokalen Prinzipien organisiert werden. Das Ressourcen, die mit dem bwIDM-Entitlement bwCloud-Basic betrieben werden, bleiben kostenfrei: dieses Flavor wird von dem Ministerium für Wissenschaft, Forschung und Kunst (MWK) gefördert.
- Wir beschleunigen den Registrierungsprozess
Durch die automatisierte Auswertung der bwIDM-Entitlements im Verlauf der Registrierung für den Service bekommen die Nutzer unmittelbar Rückmeldung, wenn die Einrichtung des Accounts in der bwCloud durchgeführt wurde. Es ist keine manuelle Interaktion mehr von unserer Seite aus notwendig – und so gewinnen alle: Die Nutzer kommen innerhalb weniger Minuten in die bwCloud und wir müssen niemanden mehr per Hand freischalten.
Die aktuelle Flavortabelle[3]
Flavor | Ressourcenumfang | |||
Anzahl vCPUs | Größe Rootdisk* | Größe RAM** | Gesamtgröße Festplattenspeicher*** | |
m1.nano | 1 | 12 | 0,5 | 50 |
m1.tiny | 1 | 12 | 1 | |
m1.small | 1 | 12 | 2 | 128 |
m1.medium | 2 | 12 | 4 | |
m1.large | 4 | 12 | 8 | |
m1.xlarge | 8 | 12 | 16 | |
m1.xxlarge | 16 | 12 | 32 |
Stand: 21.06.2019
* | = | In GByte |
** | = | In GByte |
*** | = | In GByte. Die Gesamtgröße bezeichnet das intial insgesamt zur Verfügung stehende „Volume Quota“, was jedem Nutze basierend auf dem verknüpften bwIDM-Entitlement eingerichtet wird. Dieses Volume Quota kann auf beliebig viele unterschiedlich große Volumes (= „Festplatten“) aufgeteilt werden und ist unabhängig von der Anzahl der laufenden Instanzen oder deren Flavors. |
Der zukünftige Registrierungsprozess[4]
Egal ob für das bwIDM-Entitlement bwCloud-Basic oder bwCloud-Extended, die ersten fünf Schritte sind immer gleich:
- Falls noch nicht geschehen: eines der beiden Entitlements zum eigenen Account durch den Heimatstandort hinzufügen
- Registrieren für die Nutzung der bwCloud
- Warten bis die E-Mail zur erfolgreichen Einrichtung vorliegt
- Dienstpasswort für den Login sezten
- Die bwCloud nutzen
Der Registrierungsprozess zu bwCloud-Basic
Der Registrierungsprozess zu bwCloud-Extended
1. | Sollte eine Heimateinrichtung nicht an das bwIDM angeschlossen sein oder keines der bwIDM-Entitlements bwCloud-Basic oder bwCloud-Extended vergeben, kann kein Angehöriger dieser Heimateinrichtung den Landesdienst bwCloud nach dem 01.10.2019 nutzen. |
2. | Sind einem Nutzer beide Entitlements zugeordnet, so werden ihm die Berechtigungen für das höherwertige Entitlement (in diesem Fall die Quota-Einstellungen für bwCloud-Extended) eingerichtet |
Zeitplan und Umsetzung[5]
Technische Vorbereitung der bwCloud: abgeschlossen
Die bwCloud ist technisch und organisatorisch seit Q1 2019 in der Lage, die bwIDM-Entitlements auszuwerten und die entsprechenden Quotaeinstellungen bei der Einrichtung der Nutzer zuzuordnen.
Registrierung neuer Nutzer
Die vollständige Umstellung des Registrierungsprozess für die Nutzung von bwCloud ist für den
geplant. Ab diesem Zeitpunkt werden keine neuen Nutzer, die nicht wenigstens über eines der beiden Entitlements verfügen, für die Nutzung der bwCloud freigeschaltet.
Überprüfung bestehender Nutzer
Automatische Prüfung vor Einführung (ab dem 01.09.2019)
Ab dem 1. September 2019 (01.09.2019) werden alle bereits registrierten Nutzer automatisch bei den IdPs ihrer Heimateinrichtung auf die Existenz der / des Entitlements intern geprüft. Sollte diese Prüfung ergeben, dass kein Entitlement vorhanden ist oder das Ressourcen genutzt werden, für die das Entitlement "bwCloud-Extended“ benötigt wird, dieses aber nicht mit dem Account verknüpft ist, werden allerdings noch keine Maßnahmen ergriffen, solange noch die Freiburger RegApp genutzt wird.
Automatische Prüfung nach Umzug zur Karlsruher RegApp (geplant ab dem 01.12.2019)
Im Zuge des Umzugs auf die Karlsruher RegApp werden alle bereits registrierten Nutzer:innen von uns per E-Mail aufgefordert, sich einmalig in der Karlsruher RegApp zu melden. Die Nutzer:innen hinterlegen auf diese Weise ihre Daten in der Karlsruher RegApp, da ein automatischer Transfer der Datenbank von Freiburg nach Karlsruhe aus Sicherheitsgründen nicht vorgesehen ist. Die Re-Registrierung verändert oder unterbricht die laufeden Instanzen in der bwCloud nicht: Es ändert sich in der Nutzung der bwCloud nichts, alles bleibt gleich (Loginname, Dienstpasswort, Quotas, Instanzen - alles bleibt wie es ist).
Bei diesem Vorgang wird von Anfang an die Existenz von mindestens einem der beiden bwIDM-Entitlements mit dem Account des/der Nutzer:in geprüft. Das bedeutet: Wenn ein:e Nutzer:in zu diesem Zeitpunkt über keines der beiden Entitlements verfügt, kann sie/er sich auch nicht registieren. Nach einer Übergangsphase werden alle Nutzer:innen, die im bwCloud System gespeichert sind, sich aber noch nicht bei der Karlsruher RegApp re-registriert haben, automatisch per E-Mail darüber informiert. Sollten sich Nutzer:innen darüber hinaus nicht re-registriert haben, werden die zugeordneten Instanzen gestoppt und der Account (temporär) deaktiviert.
Fragen & Antworten[6]
Frage: Die Entitlements werden unter anderem für eine zukünftige Ab der Leistungen eingeführt. Warum gibt es aber bislang noch keine Preistabelle?
Antwort: Das ist korrekt, zumindest teilweise. Die Entitlements werden aus mehreren Gründen eingeführt:
- Vorbereitung auf eine zukünftige Ver von Leistungen
- Selbständige Steuerung des Zugangs zur bwCloud durch die Heimatstandorte
- Beschleunigung des Registrierungsprozess durch Automatisierung
Die zukünftige Ver von Leistungen ist dabei ein Aspekt aber nicht der zentrale. Dennoch möchten natürlich die Heimatstandorte der Nutzer:innen wissen, wie hoch die Kosten sind bzw. sein können, die bei der Nutzung durch die Angehörigen des Heimatstandortes entstehen können.
Leider können wir derzeit noch keine verbindliche Preistabelle veröffentlichen. Das liegt nicht daran, dass wir keine hätten - wir haben eine Preisliste schon seit einiger Zeit berechnet. Wir sind intern immer noch damit beschäftigt, die notwendigen Prozesse um a) Rechnungen ausstellen und b) die Gelder ordentlich verbuchen zu können zu entwickeln. Solange wir diese Vorgänge nicht mit allen beteiligten Stellen verbindlich besprochen und geklärt haben ist es aus unserer Sicht nicht sinnvoll, die Preistabelle zu veröffentlichen.
Was wir allerdings versprechen:
- Es wird keine nachlaufende Abrechnung genutzter Leistung geben.
- Wenn wir soweit sind das wir Rechnungen ausstellen können, werden wir dies mit einem Vorlauf von drei Monaten kommunizieren. Jeder Standort der die bwCloud nutzt kann in Ruhe überlegen, ob die angebotene Leistung weiterhin genutzt werden soll und wenn ja, in welchem Umfang Kosten auf den Heimatstandort zukämen.
Entitlements, Abrechnung, Preistabelle, Kosten, Verrechnung
Frage: Wenn die Preisliste noch nicht verfügbar ist, warum soll ich dann überhaupt Entitlements vergeben?
Antwort: Die Vergabe von Entitlements ist derzeit noch nicht an Kosten gebunden. Auch nicht die Vergabe des Entitlements "bwCloud-Extended". Solange noch keine Preisliste veröffentlicht ist und die Einführung der Verrechnung offiziell an alle kommuniziert wurde, ist die Nutzung der bwCloud kostenfrei.
Da wir ab dem Umzug zur Karlsruher RegApp (geplant 01.12.2019) ausschließlich auf Entitlements umstellen, können sich ab diesem Zeitpunkt keine neuen Nutzer:innen für die Nutzung der bwCloud registrieren wenn nicht wenigstens eines beiden Entitlements vorhanden ist.
Wenn die bwCloud weiterhin genutzt werden soll, empfehlen wir daher in jedem Fall die Vergabe von Entitlements!
Entitlements, Abrechnung, Preistabelle, Warum dennoch
Frage: Wir nutzen bislang die bwCloud - aber wir scheuen uns davor, dass Entitlement "bwCloud-Extended" zu vergeben, da die Kosten unklar sind. Was sollen wir tun?
Antwort: Es wird keine nachlaufende Abrechnung von Kosten geben. Sobald wir die internen Prozesse geklärt haben, werden wir dies allen Nutzer:innen und allen Heimatstandorten kommunizieren. Wir werden eine Vorlaufzeit von drei Monaten einräumen. In dieser Zeit werden den Heimatstandorten die Verbrauchsübersichten zur Verfügung gestellt. So kann jeder individuell entscheiden, ob die möglicherweise anfallenden Kosten bezahlt werden sollen oder nicht.
Daneben ist das Entitlement "bwCloud-Basic" grundsätzlich kostenfrei. Wenn also sehr große Vorbehalte vor der Vergabe von "bwCloud-Extended" bestehen, kann immer noch das Entitlement "bwCloud-Basic" vergeben werden.
Wir empfehlen daher folgendes Vorgehen:
- Konfiguration des IDPs für die Vergabe der beiden Entitlements
- Entwicklung eines stanodortspezifischen Prozess zur Vergabe der Entitlements
- Umstellung aller Nutzer:innen und Nutzer auf die Entitlements
Entitlements, Abrechnung, Preistabelle, Warum dennoch
Frage: Wo sehe ich, ob mit meinem Account bereits eines der beiden bwCloud-Entitlements verknüpft ist?
Antwort: Wenn Sie sich an einem der Landesdienste anmelden, die mit der bwIDM-Infrastruktur gekoppelt sind, wird Ihnen zu Beginn des Logins angezeigt, welche Daten von Ihrer Heimateinrichtung an den Landesdienst übermittelt werden. Diese Daten werden in der Regel in Form einer Auflistung angezeigt und umfassen u.a. auch die Werte des Feldes eduPersonEntitlement. Ein Landesdienst ist beispielsweise das bwSupportPortal was wir als zentrales Ticketsystem verwenden.
Wenn die Liste der Werte für das Feld eduPersonEntitlement die Zeile(n)
umfasst, dann sind bereits die bwCloud-Entitlements mit ihrem Account verknüpft.
Wenn Sie keinen der beiden Einträge sehen, dann ist ihr Account noch nicht mit einem der beiden bwCloud-Entitlements verknüpft. Anbei ist ein Screenshot zur Verdeutlichung eingefügt.
Entitlements, bwIDM, Verknüpfung,
Technische Details[7]
Die technischen Details können auch auf der zentralen bwIDM-Website 7 unter https://www.bwidm.de/dienste/#bwcloudscope nachgelesen werden. Im Zweifel oder bei unterschiedlichen Angaben gelten die Angaben auf der zentralen bwIDM-Website!
Notwendige Attribute | sn |
givenName | |
bwidmOrgid | |
eduPersonEntitlement | |
eduPersonPrincipalName | |
eduPersonScopedAffiliation | |
Belegung für eduPersonEntitlement | http://bwidm.de/entitlement/bwCloud-Basic |
http://bwidm.de/entitlement/bwCloud-Extended | |
entityIds | https://bwservices.uni-freiburg.de/sp (bwCloud SCOPE) |
Kontakt und Hilfe[8]
Für Fragen zur Umstellung der lokalen IdP-Systeme haben wir die E-Mail Adresse (ohne die Leerzeichen)
eingerichtet. Sie ist eine Weiterleitung an unsere interne Administrations-Mailingliste, so dass Fragen an alle Administratoren weitergeleitet und von diesen beantwortet werden können.
Weitere technische Informationen sind auf der bwIDM-Webseite www.bwidm.de/dienste unter dem Punkt bwCloud SCOPE verfügbar.
Dateien und Dokumente[9]
Wir stellen für die verantwortlichen Betreiber der IdPs folgende Dokumente zur Verfügung:
Dateiname | Version | Beschreibung |
---|---|---|
bwCloud_Informationsschreiben_Entitlements_2019_07_10-a.pdf | 20190710-a / 379 | Information an alle Betreiber der IdPs sowie an interessierte Personen an den Rechenzentren |
Formale Informationen[formales]
Zuletzt geändert: | 12.11.2019 - 13:08 Uhr Änderung hinsichtlich der Terminangaben, Einfügen der Planung "Umzug zur Karlsruher RegApp" |