Mötesanteckningar POC Admin av elever grupper i läromedel

Närvarande

Susanne Bergqvist, Alingsås kommun
Christian Alfredsson, Alingsås kommun
Clara Behrmann, Clio
Markus Törnroth, Digilär
Marcus Ander, Gleerups Utbildning
Hans Ekdahl, Gleerups Utbildning
Stefan Karlstam, Göteborgs stad
Sara Zetterberg, Haldor
Jarle Skogheim, Haldor
Niclas Fransson, Höglandets IT/Eksjö
Staffan Hagnell, IIS
Stefan Halén, IIS
Anna Sundqvist, IIS
Agneta Wistrand, IIS
Johnny Jonasson, IST
Christoffer Hansson, JENSEN education
Jakob Schlyter, Kirei
Jonas Linde, Liber
Michael Poijes, Natur & Kultur
Arvid Hemberg, NE
Fredrik Linnander, OnLinePartner
Niklas Ternvall, OnLinePartner
Palle Girgensohn, PingPong
Ulf Palmgren, SKL
Katrin Wiberg, Stockholm
Jan Segersten, Stockholm
Mattias Olsson, Stockholms stad
Helene Mossberg, Stockholms stad
Patrick Rundin, Studi.se
Bengt Wällstedt, Ängelholms kommun

Inledning

Staffan Hagnell hälsade välkomna och presenterade sina tankar för POC:en, se bifogad presentation.
Christian Alfredsson och Susanne Bergqvist presenterade Alingsås kommuns visioner och mål för POC:en, se bifogad presentation.
Bengt Wällstedt, presenterade Ängelholm kommuns mål för POC:en, se bifogad presentation.
Jakob Schlyter och Palle Girgensohn presenterade förutsättningarna avseende attribut för POC:en, se bifogad presentation.
Jakob Schlyter presenterade de tekniska förutsättningarna för federerad SCIM, se bifogad presentation.

Organisering av arbetet

För att komma i gång och jobba praktiskt formades följande "POC-grupper" mellan Skolhuvudmannen och Läromedelsföretagen:

• Ängelholms kommun: NoK
• Höglandets IT: Gleerups, Clio Online och ev NE
• Alingsås kommun: NE och NoK
• Jensen education: Gleerups, NoK och NE

Avsikten är att när de väl har implementerat standarden, ska den kunna användas för att kommunicera mellan alla kombinationer av de medverkande Skolhuvudmännen och Läromedelsföretagen.

Diskussion

Avgränsning för POC:en

Mötet diskuterade omfattningen för POC och enades kring att POC:en ska begränsas till livscykelhantering av konton; skapa, ändra och radera. Vilka händelser som ska stödjas under en livscykel bör förtydligas (t.ex. hantering av vikarier, flytt, nyanlända). Även frågor kring uppdatering bör specificeras, såsom: Hur ofta ska det ske? Ska det göras i batch eller inkrementellt? Hur säkerställa att konton har tagits bort?
Det finns många andra intressanta frågor kring tillgång och hantering av läromedel, men de ligger utanför det gemensamma intresset för denna POC.

Användning av SCIM

SCIM kan både användas av Skolhuvudmän och Läromedelsföretag för att hämta och lämna data. Jakob Schlyter framhöll dock att i normalfallet bör det vara Skolhuvudmannen som väljer ut och lämnar data hos Läromedelsföretaget. Detta då Skolhuvudmannen är PUL-ansvarig. Om Läromedelsföretagen tillåts hämta data hos Skolhuvudmannen är det svårare för denna att kontrollera vilket data som lämnats ut till vem och varför och uppfylla sitt ansvar.
Det ska dock inte uteslutas att det kan finnas specialfall som motiverar att Läromedelsföretagen hämtar data.
I POC:en bör Skolhuvudmannen (sändaren) kunna sända alla de i POC:en ingående attributen för att Läromedelsleverantören (mottagaren) sedan ska kunna använda dem om den så önskar.

Öppenhet och informationsspridning

Mötet diskuterade hur det ska undvikas att uppfattas som en de facto standard skapad av några få.
Det påpekades därför att POC:en inte baseras på en de facto standard utan på de jure standarden SS 12000. Deltagarna uppmanas att inte lägga till egna attribut, då syftet med POC:en är att tillämpa standardens attribut. Om nya/egna attribut önskas bör detta tas upp till diskussion med SIS om standardisering, ett arbete som ligger utanför POC:en.
Målsättningen för POC:en ska vara att vara transparent. En uppgift för POC:en är därför att visa upp resultaten och sprida information till icke närvarande Skolhuvudmän och Läromedelsföretag.
Tänkbara evenemang under hösten att visa upp POC:en på är:

• Erfarenhetsutbyte Skolfederation hos Botkyrka kommun den 14 september
• Skolforum v44 (Stockholmsmässan i Älvsjö)
• Internetdagarna 21 november (Waterfront, Stockholm)

AP: Kontakta SKL för att diskutera samordning och informationsspridning.

Noteringar från den tekniska diskussionen

"Flerfamiljshus ( multi tenants)"

Hur hantera att en skola inte av misstag ska kunna skriva över data för en annan skola?
SP måste kunna utläsa vilken klient det är som gör anropet och med hjälp av det avgränsa åtkomst till resurser. Det kan behövas ta höjd för att flera klienter behöver åtkoms till samma resurser. En lösning kan vara att man lägger "tenant_id" på entitets nivå.

Återställa data

Hur hantera om en SP, vid bortfall av data, blir tvungen att återställa en backup som är äldre än senaste synk.
Klienter behöver kunna hantera bulk-uppdateringar.

Inkrementella uppdateringar

Klienter behöver transaktionsloggar för att kunna hantera inkrementella uppdateringar.

Metakatalog

Vad behöver finnas i metadatan?
Hur är det tänkt att metadatan ska distrubieras?
Metadatan signeras med JSON Web signature och publiceras med HTTPS.

Gracetime

Gracetime – användare tas inte bort med en gång.
(Stefan fundering: Är det förenligt med GDPR "utan onödigt dröjsmål och under alla omständigheter senast en månad")

Personaldata

Personaldata underhålls separat, men det får man hantera separat.

Var finns källan till attributen

Det diskuterades om det finns en källa som det går att hämta alla attribut ifrån. Det fastslogs snabbt att så är inte fallet. Det kommer att behöva hämtas data från flera källor. Antingen om det görs dynamiskt eller om man som mellanlager har en katalog som aggregerar användardata.

Sommaren

Över sommaren händer massor. användar-id finns inte i elevregistret.

Mappa användare

Hur mappar man på bästa sätt ett SAML intyg mot användardata som är skapat via SCIM?
Ett gemensamt attribut behövs.

SCIM låda

Hur bygga en implementation som hämtar attribut med LDAP och överför dessa med SCIM. LDAP <-> SCIM.

Tilldelning av läromedel

Alla är överens om att tilldelningen av läromedel är något som läromedelsföretaget sköter, och det är utanför vårt sammanhang (out of scope).

Vad behöver vi

Rekommendation över vad som verkligen behövs, så mycket uppstyrt som möjligt

• klientprogramvara
• serverprogramvara
• domänmodellering
• metadata

Övrigt

Epost är helt meningslöst, elever läser inte.
Telefonnummer finns inte i katalogen.
Stoppa in i metadata vad Läromedelsleverantören önskar för attribut om elever.
Man får inte skicka skyddsklassade uppgifter. juridiskt.

Diverse frågor

Att diskutera vidare under POC:en

• Hur implementera en "SCIM-låda". Hur mycket jobb är det? Vad finns färdigt?
• Definiera och namnge den delmängd av attributen från SS12000 som förutsätts användas i POC:en.
• Kan Läromedelsleverantörerna ange vilken data de vill önskar och göra det tillgängligt för alla deltagare?

Diverse frågor utanför POC:en

• Hur hålla reda på vem som har vilket läromedel?
• Hur presentera och ge tillgång till läromedel? Bör det vara en central lösning för alla Skolhuvudmän, en lösning för varje Skolhuvudman något däremellan (t ex regionala samarbeten).
• Licenshantering och affärsmodeller
• Specificera vilka händelser som ska stödjas under en livscykel
• Specificera hur uppdatering ska göras. Hur ofta ska det ske? Ska det göras i batch eller inkrementellt? Hur säkerställa att konton har tagits bort?

Tidplan

POC:en ska avgränsas till livscykelhantering och i stället ska snabbhet prioriteras för att nå resultat.
Målet är att ha färdiga resultat att visa upp under hösten och att på Internetdagarna 21 november slutredovisa POC:en. Inget hindrar dock att resultaten visas upp innan dess.
Innan nästa möte den 21 augusti förutsätts de olika grupperna ha kommit i gång med sina arbeten.

Projektsamordning

IIS kan ta på sig en projektsamordningsroll.

• Mejllista Aegl-poc@lists.iis.se har upprättats för POC:en.
• En publik webb-sida kommer att finnas: https://www.skolfederation.se/administration-av-elever-och-grupper-i-laromedel/
• En samarbetsyta för projektdeltagarna kan sättas upp om så önskas.

Fortsatta arbetet

Nästa möte bestämdes till 21 augusti hos IIS, Hammarby kaj 10 D, Stockholm eller via länk. Mötestiden bestämdes till 12.30-16.00 med lunch för de som önskar 11.30. (Not - tiden bestämdes efter mötet p g a tillgången till lokalen).
Mötet ska handla om tekniska frågor för POC:en och innan mötet förutsätts de olika arbetena ha kommit igång.