In diesem Vortrag berichten Oliver Weigelt und Nico Anastasio über die Erfahrungen aus der Einführung eines zentralen ID-Managements mithilfe von UCS@school für den gesamten Schulträger der Universitätsstadt Marburg. Ziel dieses Projekts ist es, eine zukunftsfähige und benutzerfreundlichere Authentifikationsbasis allen Benutzer in und um den Marburger Schulen herum bereitzustellen. Hierfür stellt die Landesdatenbank LUSD einen Großteil der Daten. Die ersten so zentral angebundenen Dienste sind der Messenger schul.cloud von Heinekingmedia und das Cloud-Office Angebot von Microsoft 365. Die zentrale Weiterentwicklung soll darin liegen zukünftig auch alle Geräte über MDMs und einer Zuordnung zur Cloud-Domain verwaltbar zu machen, unter anderem mit der Integration von Microsoft Endpoint Manager (Intune).

1. Zentrales ID-Management
für
Marburger Schulen
Nico Anastasio und Oliver Weigelt
Universitätsstadt Marburg
Fachdienst Schule

2. Universitätsstadt Marburg
• Schulträger in Mittelhessen
• 77.000 Einwohner
• 23 Schulen
• 800 Unterrichtsräume
• 11.500 Schüler
• 1.100 Lehrkräfte

3. Medienzentrum Marburg
• Städtische IT-Abteilung für die Schulen
• 12 Mitarbeiter*innen davon
• 6 Technik
• 2 Medienverleih
• 1 Digitalisierungsmanagerin
• 1 Projektmanagerin
• Leitung + Stellvertretung
• 4.700 Endgeräte
• 80 Serversysteme
• 500 Access Points, 80 Switche

4. Medienzentrum Marburg
Nico
Anastasio
• Diplom-Verwaltungswirt
• seit 07/2019 Leiter des Medienzentrum Marburg
• seit 2007 im Bereich Schul-IT
• rund 250 IT-Ausstattungsprojekte
• 3 Medienentwicklungspläne
Oliver
Weigelt
• Fachinformatiker Anwendungsentwicklung
• Seit 02/2020 Techniker des Medienzentrum
Marburg
• Etwa 6 Jahre Tätigkeit in verschiedenen
Softwareentwicklungsprojekten

5. Ausgangslage

6. Ausgangslage
• Doppelte Strukturen schon in einer Schule
• 1 Schule = 2 Netze
• 23 Schulen = 46 Netze

7. Motivation und Ziel
• Anbindung der Schulen an Glasfaser
• Netze und Benutzer in einem System
• Verkürzung von Supportlaufzeiten
• Möglichkeit mehr und schneller Dienste bereitzustellen
• Physischer Zusammenschluss von Netzen und logischer
Trennung
• Technische Probleme und Aufgaben zentral sollen
verwaltbar sein
• Mehr und flexibler auf neue Probleme reagieren
• „Schatten-IT“ in den Griff bekommen
• Schulen besser mit allen Bereichen in ihrer Realität
abbilden

8. Am Anfang war der Login
• Lösungsansätze teilen den Punkt: Benutzerspezifische Logins nötig
• Fast 13000 Lehrkräfte und SchülerInnen
• Lehrer- und Schülerdatenbank (LUSD) existiert in Hessen
• Zwei vom Ministerium freigegeben Produkte auf dem Markt
• UCS bot den modulareren Aufbau und erscheint geeigneter für Schulträger

9. Die ersten Schritte
• Anschaffung zentraler Serverressourcen
• Einstieg in die Virtualisierung
• Einfache und begleitete Bereitstellung der initialen UCS
Installationen
• Netzkonzept
• Passende Domain und Zertifikate
• Master, Backup, Monitoring, Slave LDAP VM
• Das Ziel:
• Ein Domäne die sich über ein Schulträgernetz erstreckt

10. Das zentrale Feature
LUSD Import
• Eigentlich „nur“ Schülerimport.
• GPG verschlüsselte CSV Datei
• Aktuell noch jede Umsetzung ein kundenspezifisches
Repository
• Umsetzung als Cool-Solution in Arbeit bei UCS
• Für Lehrkräfte gibt es keine festen Exportformate  Excel
• Erfahrung aus der Umsetzung:
• Lehrkraftdaten in LUSD nicht aktuell genug
• Neue Quelle NzüK (Netzwerkzonen übergreifende
Kommunikation)

11. Pandemieereignisse
• Auswahl und Einkauf einer schulträgerweiten
Kommunikationslösung
schul.cloud
• Erwerb von Microsoft 365 durch den Schulträger
• Großer Anstieg an Geräten, vor allem iPads
Weitere Komponenten benötigt
• Einrichtung Reverse-Proxy
• Konfiguration LDAP Connector VM für externe Dienste
• UCS Microsoft 365 Connector

12. Die ersten Freuden
• SAML Authentifizierung mit Microsoft 365 Tenants
• LDAP Authentifizierung
• Anbindung der schul.cloud Organisationen
• Grundeinrichtungen sehr schnell
• Zeitbedarf für Grenzfalltests, Möglichkeiten und
Beschränkungen der Zielsysteme in der Integration
• schul.cloud wird produktiv von Pilotschulen genutzt und ab
Sommer 2022 allen Schulen bereitgestellt
• IDM funktioniert nur mit Automatisierung für
Benutzergruppen mit eindeutiger und guter Datenquelle

13. Game Breaker
• Pandemieereignis: Lehrkraftdienstgeräte – iPads oder
Windows-Notebooks
• Sehr gute Erfahrungen mit JAMF MDM für iPads
• Neues Ziel: Microsoft Intune als MDM Lösung für
Windowsgeräte
• Anmeldung nicht mit den UCS Microsoft 365 Connector
Accounts möglich
• Lehrkraftgeräteaccounts getrennt von UCS
• Beibehalten des Gedankens Geräteverwaltung ausschließlich
über MDM: Neue Connector Umsetzung erforderlich

14. Erfahrungen
• Der Teufel steckt wie immer im Detail
• Projektpläne sind notwendig; schützen nicht vor allen Ereignissen
• UCS Instanzen laufen zuverlässig in den genutzten Szenarien
• Die UCS Dokumentation ist besser als der Durchschnitt,
aber auch noch nicht perfekt
• Benutzerimport bietet weites Potential
• Hooks erweitern schnell und einfach
• Benutzerrückmeldungen werden aber zu vorgelagerten Lösungen führen
• LDAP ist eine wunderbar vielfältige, verbreitete, gut unterstützte und unglaublich komplizierte und
schwerfällige erweiterbare Authentifizierungsbasis
• Microsoft 365 im Single Tenant wesentlich einfacher, Multi-Tenant braucht Automatisierung, richtige
Trennung nur im Multi-Tenant
• Für jedes weitere Anliegen bietet das UCS Ökosystem ein hilfreiches Startelement

15. Vielen Dank!
Nico Anastasio und Oliver Weigelt
Universitätsstadt Marburg – Medienzentrum
info@medienzentrum-marburg.de