Identity Management: Automatisierte Benutzerverwaltung für Schulen

Referenzbericht: Stadt Chur

Chur gilt als älteste Stadt der Schweiz und liegt im Osten des Landes am Oberlauf des Rheins. Der Hauptort des Kantons Graubünden hat etwa 37.000 Einwohner und dient als Ausgangspunkt der beiden als UNESCO-Weltkulturerbe eingestuften Bahnlinien über den Albula- und Berninapass. Größere Industriebetriebe weist die Stadt nicht auf, daher dominiert der Dienstleistungssektor mit kantonaler Verwaltung, Bildungseinrichtungen oder Gesundheitswesen. Die Kommune erledigt neben dezidiert kommunalen Aufgaben auch die Verwaltung der städtischen Grundschulen. Insbesondere das Amt für Telematik ist dafür zuständig, die nötige IT-Infrastruktur für 3.000 Schüler und 500 Lehrer bereitzustellen. Zentraler Punkt dabei ist die Einrichtung von Benutzerkonten, so dass Schüler und Lehrer Mailaccounts erhalten und Zugriffsrechte auf die für sie vorgesehenen Ordner und Verzeichnisse auf den Servern der Stadt bekommen.

Berechtigungen für alle Schüler und Lehrer

Dabei besteht die Herausforderung nach Worten von Reto Capeder, dem Leiter IT bei der Stadt Chur, vor allem darin, die Berechtigungen für Verzeichnisse und Accounts stets auf aktuellem Stand zu halten. „Im Jahresrhythmus wechselt die Klassenzugehörigkeit der Schüler und auch in der Lehrerschaft finden Veränderungen statt. Dazu kommen unterjährige Um- und Austritte.“ Gerade ein Wechsel des Schuljahres bedeutete daher bislang mehrere Tage Erfassungsaufwand, um Benutzer und Berechtigungen im Active Directory zu aktualisieren. Die entsprechenden Daten kamen von der Schulverwaltung in Form von Listen und wurden von Capeders Abteilung über Scripte eingelesen. „Zudem hatten wir hatten außerplanmäßige Aufwände, weil unterschiedliche Rückmeldungen aus allen Schulen kamen.“ So machten besonders die Anfänge der Schuljahre Nacharbeiten erforderlich.

Nach längerer Suche nach einer Möglichkeit zur Automatisierung der Rechtevergabe setzt das Amt für Telematik nun auf User Management Resource Administrator (UMRA) von Tools4ever. Bei der Einführung ging es zunächst vor allem darum, die nötigen Prozesse genau zu beschreiben und auch Ausnahmen zu bedenken. Die Zeit dafür war für Capeder gut investiert. „Der Aufwand für die Einführung einer solchen Lösung spielt absolut keine Rolle, die Ersparnis kommt über die Nutzungszeit.“
So haben die Schweizer ihre Vorstellungen grafisch visualisiert und die Spezialisten von Tools4ever haben diese dann technisch umgesetzt. Auch Änderungen visualisiert Capeder und gibt sie dann weiter. „Tools4ever setzt diese Aufgaben dann per Remote-Zugriff um, das hält unsere Kosten sehr überschaubar.“ Besuche von Technikern sind nicht erforderlich. Überhaupt setzt Chur darauf, solche Tätigkeiten auszulagern, die nur selten anfallen und eine hohe Komplexität erfordern. Das Ziel ist, keine eigenen Ressourcen vorhalten zu müssen.

Daten aus der Schulverwaltung automatisch übernehmen

In der Schulverwaltungssoftware der Stadt Chur sind alle Daten enthalten, die für eine korrekte Zuordnung von Personen und ihren Berechtigungen nötig sind – nämlich Klasse und Lehrer. Capeder und seine Kollegen haben daraus Nutzerprofile definiert. „Je nach Klassenzugehörigkeit dürfen die Schüler auf bestimmte Ordner zugreifen. Sie können zum Beispiel Prüfungen ablegen, diese dann jedoch nicht mehr bearbeiten.“ Diese Regeln dienen als Vorgaben für die Vergabe der Berechtigungen und fließen nun dank UMRA automatisch über Schnittstellen ins Active Directory ein. So ist es möglich, die entsprechenden Nutzerkonten jede Nacht automatisch zu generieren und damit stets auf aktuellem Stand zu halten. Wichtig für Capeder ist, dass alle 12 Schulhäuser mit etwa 3.000 Kindern und 500 Lehrern in der Schulverwaltungssoftware erfasst sind. „Die Userverwaltung des gesamten Schulcampus interessiert mich nicht mehr.“ Selbst die Rechtevergabe beim Schuljahreswechsel erfolgt automatisch.

Stark vereinfachte Abläufe

Nach Einführung von UMRA konnte die Stadtverwaltung Chur die Prozesse im Bereich der Rechteverwaltung stark vereinfachen. So kommt es Capeder beispielsweise darauf an, dass die Zugangsdaten von Schüler oder Lehrer nach ihrem Austritt die Gültigkeit verlieren. „In diesen Fällen löscht UMRA die Accounts automatisch.“ Dabei konnten die Schweizer sogar noch Sonderwünsche umsetzen, wie der IT-Leiter betont. „Wir haben so etwas wie eine Angstfunktion eingebaut. Denn die Accounts werden zunächst gesperrt und fallen erst nach 3 Monaten weg.“ So ist sichergestellt, dass sich Fehler problemlos ausbügeln lassen. Auch die Supportcrew kann sich nun anderen Aufgaben widmen, seit der Bereich Rechteverwaltung komplett automatisiert ist. Darüber hinaus liefert Capeder nun alle nötigen Daten für die Revision auf Knopfdruck, weil alle Abläufe protokolliert werden. „Die Qualität unserer Daten stimmt hundertprozentig.“