Oversikt over Cerebrum sine integrasjonar på UiO

Ein oversikt over kva integrasjonar som finnast og er i bruk av Cerebrum, med formålet til integrasjonen og lenker til meir informasjon. Relatert automatikk er ikkje beskreve her.

Merk: Dokumentet er delvis generelt og delvis UiO-spesifikt. Bør ryddast på sikt.

1   Oversikt

Cerebrum har mange integrasjonar med andre system. I henhold til UiO:IntArk jobber INT med å gradvis få integrasjonar over til å bruke den meir generelle CerebrumWS (REST API).

Utdatert oversikt over gamle integrasjonar hos Cerebrum:

integrasjonsoversikt.jpg

Brune boksar er delar av Cerebrum, medan alle dei blå er system som Cerebrum snakker med, på ulike vis. Pilene beskriver i kva retningen informasjon vert overførd. Kjeldesystem, system som Cerebrum får informasjon frå, ligg på venstre side. Dei fleste eksport-systema, som Cerebrum gir informasjon til, ligg på høgre side, og nedanfor på bildet. Nokre system er både kjeldesystem og eksport-system. Nokre av integrasjonane er meir kategorisert som klientar.

Merk at det er berre UiO sine integrasjonar som er dekka i figuren.

Dei fleste integrasjonane har sin eigen måte å integrere på. Mange av integrasjonane bruker CSV- eller XML-filer med eit eigendefinert format, men Cerebrum integrerer også vha. andre filformat, samt SQL-koblingar, XMLRPC-kommunikasjon, WinRM, SOAP, med meir.

Frekvensen for når og kor ofte synkroniseringar køyrer varierer. Nokre, spesielt integrasjonar med masse data, køyrer berre nokre få ganger om dagen, til dømes importen frå SAPUiO og FS. Integrasjonar som har behov for oppdaterte data, som NIS og AD, oppdaterast oftare enn ein gang i timen. Nokre integrasjonar køyrer fortløpande, som Exchange, som er eventbasert og vert oppdatert straks ei endring dukker opp i Cerebrum. Det er spesielt eldre integrasjonar som er batch-baserte.

1.1   Krav og dokumentasjon

Litt generell informasjon som er relatert til dette dokumentet:

  • Lenke til dokument som beskriver krav til kva dokumentasjon som er påkrevd for ein Cerebrum-integrasjon. TODO: Dette finnast ikkje i dag.
  • Lenke til krav til driftsdokumentasjon om ein integrasjon. TODO: Dette finnast ikkje i dag.
  • Lenke til krav til dokumentering og etterettelighet rundt bestillingar og oppsett av integrasjonar - til dømes kven som har bedt om kva, og når. TODO: Dette finnast ikkje i dag.

2   CerebrumWS (REST API)

CerebrumWS er eit generelt API for å hente og oppdatere alt som er ein del av kjernen til Cerebrum. Kven som har tilgang til kva administrerast i https://api-uio.intark.uh-it.no/.

Dette er den anbefalte måten å integrere med Cerebrum på, i henhold til UiO:IntArk.

Formål med integrasjonen

Gjere det enklare og meir kostnadseffektivt å integrere med Cerebrum. Meir fleksibilitet ved å redusere behovet for utviklingsressursar frå Cerebrum-teamet for nye integrasjonar.

Sjå UiO integrasjonsarkitektur.

Bestillingsinfo Bestillast gjennom https://api-uio.intark.uh-it.no/. Sjå UiO:IntArk.
Dokumentasjon

Sjå https://api-uio.intark.uh-it.no/.

Utgangspunktet for første versjon av CerebrumWS finn du i Dokumentasjonen av Digeks-løysinga, sjå spesielt Kravspesifikasjonen for Digeks.

Informasjon som overførast

Alt som er ein del av Cerebrum core, altså IAM. Til dømes alt om brukarkontoar, personar og grupper. Alt er ikkje nødvendigvis på plass, men APIet vert utvida ved behov.

Merk: Utvida e-postdata, DNSinfo, Hostpolicies og VoIP-data er dømer på data som ikkje er ein del av IAM-funksjonaliteten, og vil difor ikkje dukke opp i CerebrumWS.

3   Importar

Integrasjonar som lagrer data i Cerebrum.

3.1   FS

FS inneheld studentdata og studierelaterte data.

Formål med integrasjonen
  • Kunne automatisk gje studentar IT-tilgang, med studentbrukarar. Kontaktinfo trengs for å kunne informere studenten om dette.
  • Få nok informasjon til å kunne automatisk gje studentbrukarane riktige IT-tilgangar etter kva dei studerer. Til dømes vil enkelte emner kunne gi ekstra tilgangar til programvare eller fellesområder.
  • Få nok informasjon til å kunne overføre informasjon om studentar og deira tilgangar til Fronter.
  • Få informasjon om studenten skal kunne skrive ut - behandle utskriftskvoter.
  • Kunne eksportere informasjon vidare til andre IT-tenester. Dette formålet har blitt mindre viktig dei siste åra.
Bestillingsinfo TODO
Dokumentasjon Prosessar og utplukksreglar for studentautomatikken
Informasjon som overførast
  • Persondata for studentar og fagpersonar, bl.a. fødselsnummer og studentnummer.
  • Informasjon om studieelement, som emner, kull, studieprogram, vurderingsmeldingar og undervisingsmeldingar.
  • Betaling av kopiavgifter og utskriftskvoter.

Importen skjer gjennom at Cerebrum sender SQL-kall direkte mot FS sin database. FS har ein WS, men denne har ved tidlegare vurderingar vore mangelfull utfrå informasjonen UiO har behov for.

3.2   SAPUiO

SAPUiO inneheld autoriativ informasjon om organisasjonsdata, tilsette og andre meir eller mindre tilknytta personar ved UiO, som gjester. UiO har si eiga SAP-løysing, kalla SAPUiO, med si eiga integrasjonsløysing. Vi skiller difor mellom SAPUiO og DFØ sin SAP-versjon, sidan dei har to ulike integrasjonar.

Formål med integrasjonen
  • Få automatikk i å vite om personar har ei gyldig tilknytting til UiO eller ikkje. Dette er i henhold til Feide sine krav om at berre tilknytta personar ved instansen skal få Feide-tilgang.
  • Gjere det enklare for lokal IT å opprette brukarkontoar til tilsette og tilknytta, ved at informasjon som namn og kontaktinfo allereie eksisterer i Cerebrum.
Bestillingsinfo TODO
Dokumentasjon Kva data Cerebrum får frå SAPUiO: SAP2BAS - dokumentasjon [docx].
Informasjon som overførast
  • Alle tilsette som skal ha IT-tilgang, med persondata som tilsettingsforhold og kontaktinfo.
  • Gjestar og andre assosierte personar.
  • Data om alle offisielle organisasjonsenheter på UiO. SAPUiO er autoritativ på organisasjonsstrukturen til UiO.

Importen skjer ved at SAPUiO genererer ei XML-fil med all data som er relevant for Cerebrum. Denne produserast nokre få ganger i døgnet.

3.3   DFØ-SAP

Mange instansar i UH-sektoren bruker Direktoratet for Økonomistyring (DFØ) si SAP-løysing for administrering av tilsette og andre assosierte personar. Uninett representerer instansane som kunde.

Formål med integrasjonen
  • Redusere arbeidsmengda med manuelle registreringar, og unngå dobbeltregistrering.
  • Automatisk gje folk IT-tilgangar, spesielt Feide.
  • Gjere det enklare å opprette brukarkontoar til tilsette og tilknytta, ved at informasjon som namn og kontaktinfo allereie eksisterer i Cerebrum.
Bestillingsinfo TODO
Dokumentasjon Informasjonsflyt for import fra DFØ-SAP til Cerebrum
Informasjon som overførast
  • Alle tilsette som skal ha IT-tilgang, med persondata som tilsettingsforhold og kontaktinfo.
  • Data om organisasjonsenheter registrert i SAP. Desse må kunne mappast til enhetar som er registrert i FS. Det er opp til instansen å bestemme kva system som er autoritativ på OU-ar, men som oftast er dette FS.
  • Utvalg og andre verv.
  • Ein del informasjon som vi ikkje har brukt til no.

Importen skjer som oftast ved at DFØ-SAP regelmessig eksporterer ein del filer til instansen, som eventuelt modifiserer dei før dei eksportert vidare til ein stad Cerebrum kan hente dei.

3.4   folk.uio.no

Importen frå folk.uio.no henter lista over alle registrerte heimeområder for brukarane på UiO, og lagrer denne på kvar person som kontakt-info. Ein kan sjå denne lista sjølv ved å gå til http://folk.uio.no/brukere.txt.

Formål med integrasjonen TODO: Usikker på formålet med denne.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast Brukarnamn. URL vert automatisk generert til http://folk.uio.no/BRUKARNAMN.

4   Andre

Andre typar integrasjonar, som ikkje er ein direkte import eller eksport hos Cerebrum.

4.1   bofhd

bofhd er ein XMLRPC-server som køyrer i Cerebrum, og som blant anna brukast av klientane bofh, Brukerinfo, ukomm, cweb og eventuelle andre skript som er satt opp av USIT, lokal IT og andre på universitetet. Alle som har ein aktiv brukarkonto på UiO kan logge seg på i bofhd, men for å få ut informasjon om andre enn seg sjølv krever det autorisasjon gjennom forskjellige gruppemedlemskap.

Personinformasjonen som kjem inn gjennom bofhd reknast i Cerebrum som manuelt registrert informasjon, sidan det ikkje kjem frå eit ekte kjeldesystem. Mykje av person-informasjonen som kjem inn gjennom bofhd er markert til å komme frå kjelda "manuell" - dette kan ein sjå når ein bruker bofh.

Formål med klienten

Formålet til klienten er å ha eit generelt brukargrensesnitt inn mot Cerebrum, så folk hos instansen kan sjå og administrere eit utvalg av data som ligg i Cerebrum.

Formålet med å støtte import av manuelle persondata frå IT-tilsette ved UiO:

  • Manuelle tilpassingar av persondata, i påvente av at personen vert skikkelig registrert i sitt kjeldesystemet (SAPUiO/FS), eller når det oppstår feilregistreringar i kjeldesystemet og ein ikkje kan vente.
  • Registreringar av personar som ikkje kan bli registrert i nokon av dei eigentlege kjeldesystema. Denne muligheten er på veg ut, då vi ikkje ønsker manuelt registrerte personar og brukarkontoar ved UiO, sidan det er stor fare for at manuelle registreringar ikkje vert oppdatert.
Bestillingsinfo TODO
Dokumentasjon Sjå Brukeradministrasjon ved UiO for ein oversikt over rutinene og forklaringar til lokal IT om registreringar, og bofh for ein generell beskrivelse av bruk av klienten. bofh støtter administreringa av mykje forskjellig data, og administreringa av spesifikke data er dokumentert i dei forskjellige modulane, til dømes for subnett.
Informasjon som overførast

bofhd er modulbasert og kan utvidast, men noko av informasjonen som den behandler:

  • Det meste av persondata som er registrert i Cerebrum, til dømes som namn, fødselsdato, fødselsnummer, kontaktinfo, og tilknyttingar. Ein kan legge til manuelle data, og sjå data frå andre kjeldesystem. Fødselsnummer kan berre personen sjølv sjå, og nokre IT-tilsette med ekstra tilgangar.
  • Brukarinformasjon, som brukarnamn, POSIX-data og kva system brukaren er tilgjengeleg i (spreads).
  • Maskin og relaterte data, som IP-adresser, subnett, DNS-data, DHCP-data, hostpolicies og diskar.
  • Grupper, med medlemskap og anna.
  • Organisatorisk struktur og informasjon.
  • E-post-informasjon.
  • Ephorte-informasjon.
  • VoIP-informasjon.
  • Tilgangsdata.

4.2   bofh ePay

Denne integrasjonen er avvikla, etter overgang til ny utskriftsløying på UiO i 2016-2017 (SafeCom).

bofh ePay er ein eigen klient for ePay-løysinga til UiO, der personar bl.a. kan kjøpe utskriftskvoter. Utskriftskvoter er definert av universitetsledelsen for ei god stund sidan, og er eit regelverk for at studentar må betale for å kunne skrive ut på UiO.

Formål med klienten Få oppdatert Cerebrum med kven som har betalt for utskriftskvoter, slik at studenten kan få skrive ut på UiO.
Bestillingsinfo
Dokumentasjon
Informasjon som overførast Klienten støtter berre ein kommando, for å registrere betalingar i Cerebrum, for å kunne oppdatere utskriftskvoter.

Merk: I samanheng med prosjektet for ny utskriftsløysing, Printing 2 er det snakk om at regelverket for utskriftskvoter vil kunne endrast ved behov (side 8).

4.3   Passordtjenester

Ei teneste for å sette passord, og få vite om sine brukarkontoar. Brukast både for nye brukarkontoar, og med årleg passordbytte. Bruker SMS som sikkerhetmekanisme. Ligg ute på https://passord.uio.no/.

Formål med integrasjonen
  • Forenkle kvardagen til studentar (og tilsette) ved å gjere det enklare å få skaffe seg eit passord utan å måtte dra innom IT-support. Og enklare å finne ut kva sitt brukarnamn på UiO er, om ein ikkje hugser det.
  • Redusere arbeidsmengda til lokal IT, student-IT og Houston.
Bestillingsinfo TODO
Dokumentasjon
Informasjon som overførast Bruker CerebrumWS. Sjå https://api-uio.intark.uh-it.no/ for oversikt.

4.4   Gløymd-passord-tenesta

Denne integrasjonen er på veg ut, til fordel for den nyare tenesten *Passordtjenester*.

Ei teneste som tilbyr personar som har gløymd sitt passord om å få satt seg eit nytt ved hjelp av sitt mobilnummer registrert i eit kjeldesystema. Tenesta tilbyr også å liste ut brukarnamna til dei som ikkje hugser det, eller sende det på SMS.

Formål med integrasjonen
  • Forenkle kvardagen til studentar (og tilsette) ved å gjere det enklare å få skaffe seg eit passord utan å måtte dra innom IT-support.
  • Redusere arbeidsmengda til lokal IT, student-IT og Houston.
Bestillingsinfo TODO
Dokumentasjon
Informasjon som overførast

Input: Persondata som fødselsnummer, studentnummer, mobilnummer og passord.

Output: Brukarnamn og feilmeldingar.

Serveren vert internt i Cerebrum kalla CIS, og snakker per i dag SOAP. Det er berre nettsidene som snakker med denne SOAP-serveren, og dei er utviklar i PHP. Det har vore fokusert på sikkerheten i denne applikasjonen, så sluttbrukarane vil ikkje nødvendigvis alltid få detaljerte feilmeldingar for å unngå lekkasje - brukaren vil til dømes ikkje få vite om oppgitt informasjonen er feil, eller om personen ikkje finnast i Cerebrum, for å unngå at andre kan finne ut om ein person som har reservert seg mot publisering er registrert hos UiO eller ikkje.

5   Eksportar

Eksportar er integrasjonar der Cerebrum sender data til eit anna IT-system.

5.1   Fronter

Fronter-integrasjonen er på veg ut, sidan Canvas har tatt over sektoren. Når det gjeld Canvas, så bruker den CerebrumWS og er difor meir lausreven frå Cerebrum og difor ikkje dokumentert her.

Fronter er eit LSM-system brukt på UiO, og brukast i emner for samarbeid, fildeling og anna studierelatert. Cerebrum eksporterer data til Fronter.

Merk: Det er ulike Fronter-integrasjonar for dei ulike instansane, med ulik grad av kompleksitet.

Formål med integrasjonen Å automatisere oppbygginga av rom, struktur og brukarar med tilgangar, både for studentar og fagpersonar i Fronter. Det ville vore ein stor jobb å utføre dette manuelt og fortløpande.
Bestillingsinfo TODO: Mangler bestilling eller anna formelt dokument om integrasjonen
Dokumentasjon Eksport frå Cerebrum til Fronter. TODO: Mangelfull og utdatert.
Informasjon som overførast
  • Alle studentbrukarar og fagpersonar, med persondata, som brukarnamn, fullt namn, primær e-postadresse, gruppemedlemskap til Fronter-struktur-grupper, med meir.
  • Alle grupper med spread til Fronter. Desse vert automatisk genererte på bakgrunn av studielement frå FS.

Eksporten går forøvrig via ei stor XML-fil som Cerebrum produserer og overfører til fronter.com via HTTPS. XML-formatet er definert av Fronter.

5.2   ePhorte

ePhorte er UiO sitt arkivsystem.

Formål med integrasjonen Automatisere overføringa av data frå SAPUiO til ePhorte, samt automatisk vedlikeholde personar og deira roller og tilgangskodar i ePhorte. Det tek lang tid å gjere dette manuelt direkte i ePhorte, og mykje av informasjonen ligg allereie i SAPUiO.
Bestillingsinfo TODO: Mangler bestilling eller anna formelt dokument om opprinneleg integrasjon, men det er blitt bestild å endre integrasjonen til å gå gjennom ePhorte Integration Service. Dette er godkjend av SKAIT.
Dokumentasjon Eksport frå Cerebrum til ePhorte. TODO: Mangelfull og utdatert.
Informasjon som overførast
  • Alle ansatte frå SAPUiO med persondata, som Feide-ID, primær e-postadresse, besøksadresse og telefonnummer, med meir.
  • ePhorte-roller knytta til personar, sted, arkivdel og journalenhet. Desse registrerast i dag av arkivarar gjennom Cerebrum.
  • Tilgangskodar knytta til personar og stad. Merk: Dette overførast ikkje per i dag, då det er eit problem med kommunikasjonen med ePhorte når antalet element går over ei viss grense.
  • Alle organisatoriske enheter som er markert som ein arkivenhet i SAPUiO.

Eksporten går per i dag via ei XML-fil som overførast via SOAP. Merk at det har blitt jobba med å endre denne overføringa,

5.3   Active Directory

Merk: Cerebrum sine integrasjonar direkte med AD er på veg ut, til fordel for AD microservice - ein mikroteneste som henter data frå CerebrumWS for å oppdatere AD. AD microservice er lausreven frå Cerebrum og er difor ikkje dokumentert her.

Active Directory (AD) brukast for alt Windows-relatert på UiO, og brukast i stor grad til autentisering og autorisasjon.

Formål med integrasjonen
  • AD brukast for autentisering, og Cerebrum er kjeldesystemet for autentiseringsdata, så dette overførast. Dette gjer det også enklare for brukarar ved at dei har samme passordet i ulike IT-system, som Feide og AD.
  • Automatisere oppsettet for alle brukarar og grupper.
  • Trygge miljøet ved å bedrive opprydding av brukarar og tilgangar. Alle som er sperra i Cerebrum skal også bli sperra i AD.
Bestillingsinfo TODO: Mangler bestilling eller anna formelt dokument om integrasjonen.
Dokumentasjon Gamalt og mangelfult: ADsynk
Informasjon som overførast
  • Alle brukarar med spread til AD (AD_account) med tilhøyrande data, inkludert passord. Dette er stort sett alle aktive brukarar på UiO, med unntak av ein del systembrukarar. Vi inkluderer også POSIX-data for brukarar i AD.
  • Alle grupper med spread til AD (AD_group).

Eksporten går per i dag via ein XMLRPC-server i AD. Det pågår ein aktivitet for å bytte ut integrasjonen med ei meir moderne integrasjonsløysing, sjå Active Directory 2.

5.4   Active Directory 2

Merk: Cerebrum sine integrasjonar direkte med AD er på veg ut, til fordel for AD microservice - ein mikroteneste som henter data frå CerebrumWS for å oppdatere AD. AD microservice er lausreven frå Cerebrum og er difor ikkje dokumentert her.

Cerebrum har ein versjon 2 av provisjoneringa av Active Directory, internt i Cerebrum ofta kalla AD2. Denne var meint å erstatte den tidlegare versjonen.

Formål med integrasjonen
  • AD brukast for autentisering, og Cerebrum er kjeldesystemet for autentiseringsdata, så dette overførast. Dette gjer det også enklare for brukarar ved at dei har samme passordet i ulike IT-system, som Feide og AD.
  • Automatisere oppsettet for alle brukarar og grupper.
  • Trygge miljøet ved å bedrive opprydding av brukarar og tilgangar. Alle som er sperra i Cerebrum skal også bli sperra i AD.
  • Til forskjell frå versjon 1, der alle instansar har kvar sin variant, er formålet med denne at den er generell nok til at alle instansar kan bruke samme integrasjonen. Formålet er oversikt.
Bestillingsinfo
Dokumentasjon Synkronisering mot Active Directory,
Informasjon som overførast

Integrasjonen har støtte for:

  • Brukarkontoar, med alt av tilhøyrande data som ligg i Cerebrum, inkludert passord.
  • Grupper, med alt av tilhøyrande data.
  • Maskiner
  • E-postlister
  • Hostpolicies

Kvar integrasjon kan konfigurerast opp med ulike utplukk.

Eksporten skjer ved at Cerebrum snakker powershell gjennom WinRM til ei Windows-maskin i AD-domenet.

5.5   Exchange

Med Exchange meinast her Exchange 2013, og eventuelle seinare versjonar. Tidlegare versjonar av Exchange vart oppdatert gjennom den vanlege AD-synken, sjå Active Directory.

Formål med integrasjonen

Formålet med eksporten til Exchange er å kunne automatisere oppsettet av alle brukarar sine e-postkontoar, inkludert e-postadresser per tilhørighet og andre e-postinnstillingar. Det ville ikkje vore gjennomførbart å gjere dette manuelt for alle brukarar på UiO.

Ein av årsakene til at Cerebrum framleis er autoritativ på all e-postdata er at det i prosjektet for å få opp Exchange på UiO ikkje var tid til å flytte alt dette ut av Cerebrum og få på plass ei løysing for dette i e-postsystemet.

Bestillingsinfo TODO: Lenk til bestillinga. NIKE-prosjektet?
Dokumentasjon
Informasjon som overførast
  • Alle brukarar med spread til Exchange med tilhøyrande data som namn kvoter, e-postadresser og gruppemedlemskap. Exchange henter data frå AD, som Cerebrum populerer separat, sjå Active Directory.
  • E-postlister og anna e-postrelatert informasjon.
  • Distribusjonsgrupper med tilhøyrande data.

Eksporten går per i dag via WinRM og powershell, samt AD-LDAP, og er den første Cerebrum-integrasjonen som er eventbasert, som betyr at Exchange vert oppdatert med ein gang endringa skjer i Cerebrum, men køyrer ikkje noko "fullsynk".

5.6   ABC-eksport

ABC er eit standardisert format for overføring av organisasjonsdata retta mot brukaradministrasjon. Cerebrum støtter eksport av data i ABC-formatet.

Formål med integrasjonen Støtte eit standardisert format som alle instansar skal kunne bruke dersom dei ikkje har eit anna foretrukke format.
Bestillingsinfo TODO
Dokumentasjon TODO: Vi har noko tekst frå HiH sin eksport, men ikkje noko meir utfyllande og generelt.
Informasjon som overførast
  • Organisasjonsenheter og struktur
  • Personar, med persondata.
  • Grupper og medlemskap
  • TODO: Meir?

Eksporten foregår ved at Cerebrum genererer ei XML-fil på ABC-formatet med all relevant data, og overfører den til miljøet som skal bruke den vidare.

5.7   Cyrus IMAP

Cerebrum har integrasjon mot Cyrus IMAP-løysing. Dette krever at e-postinformasjon ligg i Cerebrum, og er autoritativ.

E-postløysinga som vart brukt før Exchange-integrasjon er framleis i bruk, men brukast i mindre og mindre grad på UiO.

Formål med integrasjonen

TODO: Dette er synsing frå jokim, som kanskje baardj kan kommentere på.

Formålet med å ha e-postdata i Cerebrum kom frå at Cerebrum allereie hadde mykje persondata og brukarar, og det er difor enklare å utvide med e-postdata i Cerebrum framfor å lage eit eige system for dette. I tillegg var Cerebrum tidlegare meir brukt som ein databuss for sentrale data.

Bestillingsinfo TODO: Mangler lenke til bestillinga.
Dokumentasjon TODO: Mangler
Informasjon som overførast

Alle brukarar med IMAP-spread får oppretta ein mailboks. Resten av informasjonen eksporterast gjennom LDAP for MX-en, sjå LDAP mail.

TODO: Meir data som overførast?

Sjå også LDAP mail, som også brukast av e-postløysinga på UiO.

5.8   PostmasterInfo

Ein webservice for postmaster der dei kan hente ut alle personar sine primære e-postadresser basert på ulike utplukk. Den kan seinare utvidast med meir informasjon, ved behov.

Formål med integrasjonen Minimalisere manuelt arbeid hos Cerebrum drift ved at postmaster kan sjølv hente ut lister over e-postadresser for masseutsendingar. Dette er noko postmaster treng kvar gang dei vert bedt om å sende ut ein e-post til mange tilsette, sidan det er Cerebrum som veit om person-tilknyttingane.
Bestillingsinfo Denne vart aldri bestilt, men vart satt opp internt når vi såg behovet. Det var ikkje mykje arbeid.
Dokumentasjon Vi har ingen dokumentasjon om tenesta, anna enn interne kommentarar i koden. Løysinga er ganske enkel.
Informasjon som overførast Primær e-postadresse og tilhørighet i organisasjonen for alle personar. Tenesta kan utvidast med meir informasjon, ved behov.

Eksporten går per i dag via SOAP-kall mot ein Cerebrum-service. Postmaster har ikkje direkte tilgang til servicen, men henter ut informasjonen gjennom ei nettside under brukerinfo.uio.no som berre gruppa postmaster har tilgang til. Autentiseringa går via bofh.

5.9   Heimeområder

Med heimeområder meinast automatikken som oppretter og arkiverer heimeområda til brukarane.

Formål med integrasjonen

Formålet med denne automatikken er å automatisere behandlinga av heimeområder for alle brukarar, og redusere den manuelle arbeidsmengda.

Dette er spesielt aktuelt for studentbrukarar, som får tildelt heimeområder automatisk, men det hjelper også lokal IT ved at heimeområdet vert oppretta når dei oppretter brukaren gjennom bofh.

Eit anna formål er å redusere faren for manuelle feil når brukarar vert avvikla og heimeområdet skal sendast til backup.

Bestillingsinfo TODO: Dette har vi ikkje.
Dokumentasjon TODO: Har ikkje funne noko.
Informasjon som overførast I hovudsak brukarnamn og heimeområde-path for alle oppretta og gjenoppretta brukarar som er definert med heimeområde i Cerebrum. Meir informasjon om brukarane henter lagringsløysinga frå LDAP. NIS og/eller AD, som Cerebrum oppdaterer i andre eksportar.

Eksporten går per i dag via ssh og bash- og perl-skript mot unix-drift sine maskiner som har tilgang til alle heimeområde-diskar på UiO.

5.10   eCommerce (BASWARE PM)

Basware PM brukast som innkjøpssystem til UiO.

Formål med integrasjonen

Formålet til eksporten til Basware er å gje brukarar tilgang til systemet og unngå manuell registrering av kvar brukar i systemet.

TODO: Veit nokon meir om denne integrasjonen? anett?

Bestillingsinfo TODO: Har ikkje funne dette.
Dokumentasjon TODO: Det finnast berre mangelfull dokumentasjon om integrasjonen med Basware.
Informasjon som overførast Informasjon om personar, brukarar, OU-ar og ein enkel variant av roller.

Cerebrum generer forskjellige CSV-filer og overfører desse til eit felles filområde.

5.11   Medfak

Medfak har fått ein eigen eksport frå Cerebrum.

Formål med integrasjonen Formålet til eksporten er for Medfak å kunne generere seg statistikk over brukarmassen sin, for interne formål. Elles veit vi lite om kva informasjonen brukast til.
Bestillingsinfo TODO: Har ikkje funne dette., men vart utvikla frå februar 2008.
Dokumentasjon TODO: Har ikkje funne dette.
Informasjon som overførast Persondata, som namn, brukarnamn, e-postadresse, tilknytting og stillingskode, men berre for personar som har ei tilknytting til ein av MedFak sine OU-ar.

Cerebrum legg all informasjonen i ei CSV-fil og rsyncer den over til MedFak.

5.12   Rapportar til Curumo (app.uio.no)

Cerebrum eksporterer ein del rapportar til https://app.uio.no/usit/cerebrum. Sida er sperra ned til IT-ansatte på UiO.

Formål med integrasjonen Formålet med informasjonen som leggast på nettsida er å kunne gje IT-tilsette innsyn i statistikk og spesifikke detaljar frå Cerebrum, både for å forenkle arbeidet deira og for oss å kunne informere, til dømes om kva brukarkontoar som står i fare for å bli sperra.
Bestillingsinfo Dette tok Cerebrum initiativ til sjølv, då vi såg behovet for å informere lokal-IT fortløpande.
Dokumentasjon TODO
Informasjon som overførast Brukarkontoar og status for desse, personar og noko persondata, og OU-ar. Dette kan utvidast med meir informasjon når ein ser behovet.

Eksporten fungerer per idag ved at HTML-filer vert generert og lagt på eit filområde som app.uio.no også har tilgang til.

5.13   Oracle

TODO: Dette er ikkje ein rein eksport, men er meir automatikk som påvirker andre eksportar. Eigen del for beskrivelse av Cerebrum-automatikk?

Oracle er ei databaseløysinga, og brukast blant anna av lønningsavdelinga. Integrasjonen henter data frå databasane og oppdaterer gruppemedlemskap basert på kva brukarar som ligg der. Er ein brukar ikkje med i riktig gruppe, får den ikkje logga på gjennom remote desktop til maskina der ein kan logge seg på databasen.

Formål med integrasjonen Formålet med integrasjonen med Oracle er å automatisere tilgangskontrollen til Oracle-miljøa, og med det auke beskyttelsen.
Bestillingsinfo Dette tok Cerebrum initiativ til sjølv, då vi såg behovet for å informere lokal-IT fortløpande.
Dokumentasjon TODO
Informasjon som overførast TODO

Eksporten går per i dag via direkte SQL-spørringar mot databasane sine brukartabellar. Oppdateringa av grupper skjer internt i Cerebrum, som eksporterast til andre system, som Active Directory.

5.14   Universitetets Adgangskortsystem

UA er systemet som styrer fysiske tilgangar i bygga til universitetet med korttilgang.

Formål med integrasjonen Automatisere registreringa av nye personar i systemet, for å redusere mengda manuelt arbeid, og redusere faren for manuelle feilregistreringar.
Bestillingsinfo TODO: Har ikkje funne dette.
Dokumentasjon

TODO: Mangler lenke

Informasjon som overførast TODO

Eksporten går per i dag via filer. Det er snakk om å kanskje endre dette til å gå via ein generell WS.

5.15   Eksport til SAPUiO

SAPUiO har behov for å få noko informasjon tilbake frå Cerebrum.

Formål med integrasjonen Automatisere registreringa av nye personar i systemet, for å redusere mengda manuelt arbeid, og redusere faren for manuelle feilregistreringar.
Bestillingsinfo TODO: Har ikkje funne dette.
Dokumentasjon Beskrivelse av formatet fra BAS2SAP (skal flyttast)
Informasjon som overførast Persondata for alle som har eit ansattnummer (SAP-id), som fødselsnummer, primærbrukar, primær e-postadresse, URL og anna kontaktinfo.

Eksporten går per i dag via ei CSV-fil.

5.16   Eksport til DFØ-SAP

Cerebrum har funksjonalitet for å eksportere data tilbake til DFØ-SAP, men som i dag ikkje er i bruk.

Formål med integrasjonen Unngå manuell dobbelregistrering av personinformasjon i SAP, når det kan automatiserast.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast Persondata, som fødselsnummer, namn, primær e-postadresse og URL. Det er opp til DFØ-SAP å avgjere kva som skal vidare importerast frå fila.

Eksporten vart arbeida med når UiO hadde DFØ-SAP, men etter innføringa av SAPUiO var ikkje denne i bruk lenger. Det er usikkert om DFØ støtter denne eksporten lenger. Eksporten skjer ved at Cerebrum genererer ei XML-fil som er meint å bli overførd til DFØ-SAP sitt miljø for vidare import.

5.17   Eksport til FS

Cerebrum har funksjonalitet for å eksportere data tilbake til FS. Dette er eigentleg to eksportar:

  • Ein lettvariant som berre oppdaterer persondata til eksisterande personar i FS.
  • Ein variant som også oppretter alle vitskaplege tilsette som fagpersonar, dersom dei ikkje allereie eksisterer. Persondata vert oppdatert.
Formål med integrasjonen Redusere arbeidsmengda, og redusere behovet for dobbelregistrering av personinformasjon i FS, når dette kan automatiserast.
Bestillingsinfo TODO
Dokumentasjon Frå SAP til FS
Informasjon som overførast Persondata, som fødselsnummer, namn, primær e-postadresse og URL.

Eksporten gjerast ved at Cerebrum sender SQL-kall direkte inn i databasen til FS.

5.18   LDAP org

Cerebrum eksporterer informasjon om alle tilknytta personar ved UiO og heile den offentlege organisasjonsstrukturen over til ldap.uio.no. Informasjonen som vert eksportert følger Feide-standarden. Denne LDAP-katalogen brukast av mange andre tenester, bl.a. Vortex for personpresentasjonar på uio.no. Mykje av informasjonen er opent tilgjengeleg, så kven som helst kan hente den ut, men fødselsnummer og anna er beskytta.

Formål med integrasjonen Formålet med eksporten til LDAP er primært å støtte Feide for UiO. Eksporten har seinare blitt utvida med meir informasjon, så den har i dag andre formål, som å gje Vortex og andre system informasjonen dei treng om organisasjonen og personar på UiO. Dette gjer at eksporten i dag inneheld meir enn berre informasjonen som er nødvendig for Feide.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast
  • Ein god del person-informasjon, som fødselsnummer, primærbrukar med hash av passord, tilknyttingar, kontaktinformasjon, titlar, gruppemedlemskap og meir.
  • Organisasjonsenhetar, med namn, struktur og kontaktinfo, med meir.
  • Grupper med tilhøyrande data.

Merk at LDAP-tenesta sperrer ned tilgangen til sensitive data. Fødselsnummer vil til dømes berre brukaren sjølv kunne sjå, ved pålogging, og eit utplukk systembrukarar som har eksplisitt tilgang til attributtet. Personar som er registrert med skjuling er ikkje opent tilgjengelege i katalogen. Dei som drifter LDAP-tenesta har ei komplett liste over slike tilgangar, då dette må konfigurerast.

Eksporten går ved at Cerebrum generer komplette LDIF-filer, som overførast til LDAP-hotellet.

5.19   LDAP posix

Cerebrum eksporterer POSIX-data til ldap.uio.no, som i hovudsak er dei fleste brukarkontoar og grupper ved UiO.

Formål med integrasjonen Kunne gje andre IT-system mulighet for oppslag i sentrale brukardata. Blant anna bruker RHEL6 denne informasjonen i stor grad for autentisering og POSIX-data.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast
  • Brukarar med informasjon som alle POSIX-data, hash av passord, gruppemedlemskap, brukar-tilknyttingar med meir.
  • Grupper med tilhøyrande data.

Mykje av informasjonen i katalogen er opent tilgjengeleg, så kven som helst kan hente den ut. Det er også mulig å sette opp tenester, til dømes nettsider, som bruker LDAP for autentisering av brukarar. Vi anbefaler weblogin for dette, då det er ein tryggare måte.

Merk at LDAP-tenesta sperrer ned tilgangen til sensitive data. Passord kan til dømes ikkje hentast ut. Dei som drifter LDAP-tenesta har ei komplett liste over slike tilgangar, då dette må konfigurerast.

Eksporten går ved at Cerebrum generer komplette LDIF-filer, som overførast til LDAP-hotellet.

5.20   LDAP voip

Denne eksporten til ldap.uio.no inneheld all informasjon frå Cerebrum som er nødvendig for VoIP-systemet ved UiO.

Formål med integrasjonen

Å gje VoIP-systemet tilgang til all relevant data automatisk.

Bakgrunnen for at VoIP-data ligg i Cerebrum er at mykje av informasjonen som trengdes, td. personar med tilknyttingar og telefonnummer, låg der allereie. VoIP-data vart då lagt inn i Cerebrum fordi det var den beste staden å ha det på det tidspunktet.

Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast

Alle personar som har ein brukarkonto, med tilhøyrande data som namn, passord, telefonnummer, kontaktinformasjon og VoIP-data, som SIP-nummer.

Det er usikkert kor opent tilgjengeleg denne LDAP-katalogen er. Det kan katalog-drift svare på.

VoIP-relaterte data som ligg i Cerebrum vert lagt inn gjennom ukomm, som bruker den vanlege bofhd-serveren til Cerebrum. Dette gjerast av driftarane av VoIP-løysinga.

5.21   LDAP kurs

Ein eksport av alle kursdata frå FS til LDAP.

Formål med integrasjonen TODO Tilgangskontroll, primært for Vortex.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast

Alle aktive og kommande kurs, og informasjon om desse, som stedkode, namn på emnet og termin. Informasjonen hentast frå FS.

Det er usikkert kor opent tilgjengeleg denne LDAP-katalogen er. Det kan katalog-drift svare på.

Cerebrum generer ei komplett LDIF-fil av dette og overfører den til LDAP-hotellet.

5.22   LDAP hosts

Ein eksport av alle maskiner på UiO som er registrert i Cerebrum.

Formål med integrasjonen TODO
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast

Data om kvar maskin, som namn, MAC-adresse og kontaktinformasjon.

Det er usikkert kor opent tilgjengeleg denne LDAP-katalogen er. Det kan katalog-drift svare på.

TODO: Meir info

5.23   LDAP mail

Eksport for all e-post-relaterte data. Dette brukast av e-postløysinga på UiO, spesielt MX-en.

Formål med integrasjonen Å gje MX-en nok informasjon til å kunne levere e-post til UiO-kontoar. Dette sidan Cerebrum er autoritativ på e-postadresser og -domener, både for IMAP og Exchange.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast TODO

TODO

5.24   LDAP ISF

Institutt for Samfunnsforskning har sin eigen LDAP-eksport for å få si eiga Feide-tilhørighet som ikkje ligg under uio.no.

TODO: Det er vel USIT lokal IT som administrerer ISF sine brukarar?

Formål med integrasjonen Formålet med at ISF fekk sin eigen eksport kom av at dei ikkje kunne bli registert i eit av UiO sine kjeldesystem, og oppfylde difor ikkje krava til å vere Feide-medlem i UiO sin Feide-katalog. Ved å gje dei sin eigen Feide-tilhørighet stod dei sjølv friare til å bestemme eigne rutiner overfor Feide. USIT drifter då denne tenesta for ISF.
Bestillingsinfo Eksporten vart satt opp i 2011.
Dokumentasjon TODO
Informasjon som overførast Eksporten inneheld alt som trengs av Feide-data, og oppfyller krava i Feide-standarden.

TODO: Meir info

5.25   WebID

WebID er ein eigen Cerebrum-instans, men er sterkt tilknytta UiO. Den er difor nemnd her, sjølv om det ikkje er ein eksport frå UiO-Cerebrum. Sjå Tjensten WebID for meir informasjon.

Formål med integrasjonen Formålet til WebID er å gjere det enkelt for eksterne personar utan Feide-tilgang, verken hos UiO eller andre instansar, å samarbeide med brukarar på UiO. I WebID vil alle kunne registrere seg, og legge inn eit ikkje-autentisert namn, i tillegg til brukarnamn og e-postadresse.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast TODO

Dette vert eksportert til ein eigen LDAP-katalog, saman med eventuelle gruppemedlemskap. I hovudsak brukast dette av Vortex.

5.26   NIS uio

NIS brukast på RHEL5 og tidlegare for oppslag av brukarkontoar, maskiner og nettgrupper og lokal autentisering. NIS vart frå RHEL6 bytta ut med oppslag i LDAP posix.

Formål med integrasjonen Å automatisere tilgangen til brukarkontoar på maskiner på heile UiO, og provisjoneringa av maskiner og nettgrupper.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast Eksporten overfører POSIX-data for alle brukarkontoar, inkludert hash av passord, samt grupper og nettgrupper.

Eksporten skjer ved at Cerebrum genererer filer på nismaps-format, som overførast til unix-drift sine maskiner.

5.27   NIS ifi

IFI har sin eigen NIS-eksport for sine brukarar, då dei har sine eigne, lokale system.

Formål med integrasjonen

Å automatisere tilgangen til brukarkontoar på maskiner på IFI, og provisjoneringa av maskiner og nettgrupper.

TODO: Lenk til dok om kvifor IFI har sitt eige miljø for dette.

Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast

Eksporten overfører POSIX-data for alle brukarkontoar som er markert med eksplisitt tilgang til IFI sitt miljø i Cerebrum. Alle studentar som studerer på IFI vil automatisk få denne tilgangen. IFI-drift har tilgang til å gje brukarar tilgang.

I tillegg overførast grupper og nettgrupper.

Eksporten skjer ved at Cerebrum genererer filer på nismaps-format, som overførast til ifi-drift sine maskiner.

5.28   NIS hpc

Tungregneløysinga til UiO, HPC, har sin eigen NIS-eksport, for å ha sterkare kontroll på kven som har tilgang til anlegget - eksporten til NIS uio inneheld for mange brukarar, samtidig som det er andre brukarar, spesielt eksterne forskarar, som ikkje ligg i NIS uio, og som berre skal ha tilgang til HPC.

Formål med integrasjonen Å automatisere tilgangen til brukarkontoar i tungregneanlegget, og unngå manuelle registreringar.
Bestillingsinfo

TODO

Lenk også til dok om kvifor dei har sitt eige miljø for dette.

Dokumentasjon TODO
Informasjon som overførast

Eksporten overfører POSIX-data for alle brukarkontoar som er markert med eksplisitt tilgang til HPC i Cerebrum. Dette styrast av HPC-drift.

I tillegg overførast grupper og nettgrupper.

Eksporten skjer ved at Cerebrum genererer filer på nismaps-format, som overførast til ei maskin hos HPC.

5.29   Sidegjøremål

Denne integrasjonen vart avslutta, då SAPUiO tok over sidegjøremål i 2018.

Cerebrum eksporterer persondata til den tidlegare sidegjøremålsapplikasjonen, som var ein liten USIT-snekra applikasjon.

Formål med integrasjonen Formålet er å automatisk populere applikasjonen med persondata for å spare manuelt arbeid.
Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast Alle organisasjonsenheter på UiO, og alle personar med minst ei aktiv tilknytting, med persondata som namn, fødselsnummer, brukarnamn, tilknyttingar og om personen er reservert eller ikkje.

5.30   Datavarehus

Cerebrum eksporterer informasjon til Datavarehus.

Formål med integrasjonen

TODO: Automatisere overføringa av data frå SAPUiO til Datavarehus, som ansattnummer.

Ideelt sett skulle Datavarehus kunne hente denne informasjonen frå SAPUiO direkte. Det er gjerne historiske årsaker til at dette kjem frå Cerebrum, bl.a. at SAPUiO ikkje har hatt eit integrasjonspunkt som kunne brukast.

Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast Ansattnummer og namnet til alle personar som har eit ansattnummer.

5.31   Cristin

Eksporten til Cristin eksporterer alle personar ved UiO som har noko i Cristin å gjere.

Formål med integrasjonen Automatisere oppdateringa av persondata i Cristin og med det redusere behovet for manuelt registreringsarbeid.
Bestillingsinfo TODO
Dokumentasjon
Informasjon som overførast
  • Generell informasjon om UiO.
  • Organisatoriske enheter som er markert som synlege i SAPUiO, med kontaktinfo, adresse, og struktur i organisasjonen.
  • Personar som har behov for å vere i Cristin, spesielt vitskaplege tilsette, emeritus og doktorgradsstudentar, saman med persondata som fødselsnummer, tilknyttingar, namn og kontaktinfo frå SAPUiO og FS.

Cerebrum har ein utdatert dokumentasjon om integrajonen.

Integrasjonen skjer ved at Cerebrum generer ei XML-fil på Cristin sitt format og overfører den til Cristin si synk-maskin på UiO gjennom sftp. Dette skjer ein gang om natta.

5.32   DHCP

Delar av UiO sin DHCP-informasjon ligg i Cerebrum, då maskiner allereie var lagt her, og var den enklaste løysinga der og då.

Formål med integrasjonen

Å forenkle arbeidet til hostmaster, samt ha tilgangskontroll på kven som kan sette kva informasjon.

DHCP-data ligg i Cerebrum av historiske årsaker, då det allereie innehold anna informasjon om maskiner og DNS-data.

Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast Alle registrerte MAC-adresser og IP-adresser.

Dette leggast i ei tekst-fil som overførast til ei anna maskin.

5.33   DNS

Cerebrum inneheld ein del informasjon maskiner på UiO. Desse administrerast gjennom bofh.

Formål med integrasjonen

Å forenkle arbeidet til hostmaster, samt kunne fordele tilgangar til maskiner til lokal IT.

Ein av årsakane til at maskiner vart registrert i Cerebrum kom av at bofh allereie hadde ein innarbeida tilgangskontroll, som gjorde det enkelt for USIT å distribuere rettigheter til lokal IT for å administrere DNS-informasjon om sine maskiner. TODO: Dette må nokon som kan historien bekrefte, då eg berre har fått det muntleg.

Bestillingsinfo TODO
Dokumentasjon TODO
Informasjon som overførast DNS-informasjon om alle registrerte hosts frå Cerebrum.

5.34   Subnett

Cerebrum inneheld ein del informasjon om delar av UiO sine subnett, som administrerast gjennom bofh.

Formål med integrasjonen

Å forenkle arbeidet til hostmaster, samt kunne fordele tilgangar til lokal IT.

Cerebrum inneholdt allereie maskiner og deira DNS-informasjon. Det passa då å også inkludere informasjon om subnetta maskinene låg i.

Bestillingsinfo TODO
Dokumentasjon Administrasjon av DNS og andre host-relaterte aspekter ved UiO via Cerebrum.
Informasjon som overførast Subnett-info, som adresse, nettmaske og beskrivelse.

Merk at Cerebrum også importerer subnett-informasjon, som hostmaster legg i ei fil som Cerebrum importerer. Cerebrum slår dette saman med allereie registrerte subnett og produserer ei fil og overfører den. Dette kompliserer bildet noko, men det er slik hostmaster har bedt om å ha det.

5.35   Cfengine

CFengine brukast for å automatisere maskinmiljøet. Internt ofte kalt for Hostpolicies.

Formål med integrasjonen

Formålet er å gjere det enkelt for UNIX-drift å styre policies for alle maskiner i UiO-miljøet.

Bakgrunnen for eksporten til cfengine kom av at unix-drift allereie brukte bofh til dei fleste andre registreringar rundt maskiner. Sidan Cerebrum allereie hadde strukturen og resten av informasjonen som var nødvendig, var tanken at det var enklast å legge administrasjonen av cfengine i bofh, som dermed også krevde ein eksport frå Cerebrum til cfengine. Eit seinare formål var at bofh har støtte for rettighetsdelegering, og som dei kunne bruke til å gje lokal IT tilgang til policies for sine maskiner.

Bestillingsinfo TODO: Har ikkje funne dette.
Dokumentasjon Spesifikasjon for Hostpolicy-modulen.
Informasjon som overførast Hostpolicies og maskiner.

Eksporten går per i dag via CSV-filer som overførast til ei sentral cfenginge-maskin.

5.36   Bewator

Bewator er eit adgangskortsystem som brukast av enkelte instansar.

Formål med integrasjonen Automatisere autorisasjonen til fysiske tilgangar ut frå data som tilsettingar og gruppemedlemskap.
Bestillingsinfo
Dokumentasjon Frå gamle prosjektsida til HiH: Eksport fra Cerebrum til adgangskontrollsystemet Bewator.
Informasjon som overførast Brukarar, med persondata, og grupper med medlemskap.

Eksporten går per i dag via CSV-filer som overførast til instansen.

Av jokim
Publisert 27. juni 2023 16:58