Nach der Veröffentlichung von Guardian zu Beginn dieses Jahres setzen wir unsere Reise fort, um das Rollen- und Rechtemodell unserer Produkte auf ein neues Niveau zu heben. Wir freuen uns, Ihnen die nächsten Schritte in dieser spannenden Entwicklung vorzustellen.
Wie die Guardian Apps zusammenspielen
Der Guardian steht im Mittelpunkt unserer flexiblen Rollengestaltung und übernimmt die Berechtigungsprüfung in Nubus, UCS und UCS@school. Er ermöglicht die einfache Verwaltung von Rollen über eine grafische Benutzeroberfläche (GUI). Doch seine Reichweite geht weit darüber hinaus. In dem Schaubild unten wird der Zusammenhang zwischen den drei Komponenten des Guardians (Authorization API, Management API und Management UI) und anderen Teilen des Produktes deutlich.
Wird eine App von einem Nutzenden (Actor) geöffnet und verwendet, holt sich die Guardian Authorization API Informationen zur Berechtigung des Actors, basierend auf seiner oder ihrer Rolle. Diese Berechtigungen sind in einer PostgreSQL-Datenbank gespeichert und können über die Guardian Management API abgefragt, gespeichert oder verändert werden. Die gleiche API wird demnach auch von der Guardian Management UI verwendet, welche Nutzenden ein einfaches Webmodul liefert, um komfortabel Rollen anzulegen und zu editieren. Die Trennung der UI und der Management API bietet zusätzlich den Vorteil, dass die UI nicht zwangsläufig genutzt werden muss. Es könnten stattdessen externe Anwendungen angekoppelt werden, die diese Aufgabe übernehmen.
Schließlich wird das Berechtigungsprofil der Rolle des Actors an den angebundenen Open Policy Manager übergeben, welcher die abschließende Auswertung übernimmt und der App zurückmeldet was dem oder der Nutzer*in in dieser App gestattet ist. Da diese Berechtigungen sehr granular auf der Grundlage von beliebigen Attributen festgelegt werden können, benötigt der Open Policy Manager unter Umständen mehr Daten für die Auswertung, als die App selbst liefern kann. Daher bezieht die Authorization API alle zusätzlichen Informationen direkt aus dem LDAP, sodass der Guardian autonom agieren kann.
Mein Kollege Daniel Tröder hat auf dem Univention Summit 2024 die Funktionsweise ausführlich erläutert. Schauen Sie sich seinen Vortrag einfach einmal an, wenn Sie nicht dabei waren, es lohnt sich:
Darüber hinaus steht eine detaillierte Dokumentation zur Verfügung, die Sie im Guardian Handbuch finden. Wir freuen uns über Ihr Feedback im persönlichen Austausch oder in den Kommentaren unter diesem Artikel!
Um sicherzustellen, dass jede App den Guardian als maßgebliche Instanz für Berechtigungsanfragen nutzt, müssen alle Module und Anwendungen entsprechend angepasst werden. Dieser Prozess hat bereits begonnen, und wir freuen uns, dass ausgewählte Kunden und Partner aus dem Bildungsbereich derzeit eine Testversion des neuen Schulbenutzermoduls ausprobieren.
Testphase mit unseren Early Birds
Mit einer Gruppe von „Early Birds“ arbeiten wir intensiv daran, die Benutzerfreundlichkeit des Guardians und des neuen Schulbenutzermoduls zu verbessern. Wir erkunden außerdem weitere Use Cases für zusätzliche Rollen und ermitteln, welche Funktionalitäten für diese erforderlich sind.
Hier eine kleine Vorschau auf die Rollenverwaltung mit der Guardian Management UI:
1) Übersicht der Rollen:
2) Berechtigungen (Capabilities) der Rolle Lehrkraft:
3) Maske zum Hinzufügen einer neuen Berechtigung, die es Lehrkräften erlaubt die Passwörter anderer Lehrkräfte der selben Schule zurückzusetzen. Hier wird ausgewählt, in welcher App (Schulbenutzer Modul) dies gilt und welche Bedingungen erfüllt sein müssen (Target hat die selbe Rolle Lehrkraft und ist an der selben Schule):
4) Nun wird die Berechtigung aus der Liste ausgewählt:
5) Vollständige Maske, die nun gespeichert wird und sogleich aktiviert ist:
Die ersten Workshops haben bereits stattgefunden und sowohl wir als auch unsere Early Birds haben wertvolle Einblicke gewonnen. Die Möglichkeiten, die sich mit dem Guardian eröffnen, haben viele Teilnehmer*innen unserer Testreihe begeistert. Durch die granulare Einstellung von Berechtigungen für einzelne oder mehrere Schulen können Aufgaben, die bisher nur von zentralen Administrator*innen erledigt werden, an Schuladministrator*innen delegiert werden. Dies kann die Verwaltung effizienter gestalten, da weniger Support-Tickets zentral auflaufen und für Nutzende an den Schulen mit kürzeren Bearbeitungszeiten zu rechnen ist.
Die Workshops werden bis Ende des Monats abgeschlossen sein, und anschließend werden weitere Use Cases integriert. Bleiben Sie über unseren Blog auf dem Laufenden, wo wir Sie regelmäßig mit Updates zu dem Projekt versorgen werden.
Ein herzliches Dankeschön geht an die Early Birds, die mit ihrer Erfahrung und Expertise dazu beitragen, die nächste Evolutionsstufe unserer Produkte mitzugestalten.
Wir hoffen, dass Sie ebenso gespannt sind wie wir. Geben Sie gern in der Kommentarspalte oder persönlich Feedback zum Thema. Zusammen gestalten wir die Zukunft Ihrer Berechtigungsverwaltung!
