Moin.schule als/vs. schulischer Identitätsanbieter

Hi.
Auch wenn das hier eigentlich ein Thread für BW und moodle ist … ich kann ja mal kurz etwas in Sachen „Identitätsmanagement“ und „Land Niedersachsen“ in den Ring werfen (kam auch in Essen ganz am Rande zur Sprache):

In NDS kann man sich als Schule neuerdings an diesen Dienst anmelden:
https://moin.schule
Dahinter steckt ein Identitätsmanagement, das per SSO den Zugang zu vielen Diensten ermöglichen soll. Im Hintergrund wird scheinbar Keycloak verwendet (?).
Mehr Infos dazu im Wiki: https://wiki.moin.schule/ )

Die Idee dahinter ist ja zunächst mal gar nicht schlecht: EINE Identität pro Schüler über die gesamte Schülerlaufbahn, die auch dann mitgenommen werden kann, wenn der Schüler woanders weitermacht – ob da aber wieder der Föderalismus zuschlägt, sobald wir auch über einen Bundeslandwechsel sprechen, steht mal wieder auf einem ganz anderen Blatt.

Konkret bedeutet das im Moment allerdings auch, dass die Schüler einen weiteren Login bei moin.schule bekommen müssen, da der LDAP-Zugang über den v7-Server dann nicht mehr läuft.
Ich bin gespannt, wohin sich diese Plattform entwickelt und ob sie eines Tages als „Eintrittskarte“ für Schüler zu diversen Diensten direkt genutzt werden kann…
Viele Grüße,
Michael

vielen Diensten - die das Land erlaubt, oder auch eurer Nextcloud, wenn ihr wollt?
Wenn dem so ist, dann…

… warum dann nicht die LMN so stricken, dass sie gegen moin.schule authentifiziert?

Man kann natürlich darüber streiten, ob zentral besser als dezentral ist, aber es muss erst mal möglich sein, sonst wird es - wie bisher auch - mangels Transparenz/Vertrauen/Sicherheitsarchitektur die über „Team Fortress BW“ hinausgeht - weiterhin Parallelstrukturen geben.

Ja, klar. Und in x% der Fälle wird auch an Schulen Mist gemacht. Aber das sind meiner Meinung nnach zwei paar Stiefel:

1. vertraue ich dem Admin an der Schule / dem Schulträger-IT-Amt / dem:r Schulleiter:in nach entsprechender Unterschrift oder eben nicht
2. erlaube ich auch nicht vertrauenswürdigen Institutionen Zugriff auf das IdM.

Letzteres könnte ja auch so aussehen, dass die Schule ihr LMN/Nextcloud/eigenes Moodle/WebUntis/Matrix/whathaveyou so konfigurieren kann, dass es das IdM als read-only Authentifikation nutzt. Da kann man also quasi null kaputt machen: wird das System auf Schulseite kompromittiert, dann ist das kacke, aber da bricht deswegen das IdM nicht zusammen.

Für Schreibzugriff (Änderung des PW, Einspielen von Schülerdaten) und den DAP legt man halt höhere Sicherheitsstandards, braucht man z.B. 2FA oder macht das ausschließlich über deren Schnittstelle.

Wie @nomisge das schon sagt: bloß weil die Schnittstelle nicht offen ist, heißt das nicht, dass (auch großflächig) nicht Teile der Authentifizierungsdaten geklaut werden könnten. Ich denke da an zentral administrierte iPads-Desaster wie in Koblenz, Phishing oder Man-in-the-Middle innerhalb der Schule ist bei den ganzen Octogate-ich-spioniere-mal-deine-SSL-Verbindung-aus-Firewall der PaedMLs auch ganz einfach vorzustellen.

Wäre gespannt, wie moin.schule das löst.

Hallo zusammen,

moin.schule leuchtet bei uns auch blass am Horizont.

Die spannende Frage ist, ob und wenn nicht, warum man nicht die Schulen gegen ihre LDAPs authentifizieren lässt. Keycloak gäbe das ja an sich her. Aber dafür hätte man sich ein Verfahren überlegen müssen, wie man eben die Logins den Schulen zuordnet. Und wer es nicht hat, bekommt eben lokale Keycloak-Accounts

Stattdessen versucht man sich wie üblich an der zentralen Alles-in-einem-Lösung und ich bezweifele, dass diese Logins hier auf absehbare Zeit jemanden interessieren werden. Denn es ist ja nciht so, als wäre es die erste zentrale Plattform in Niedersachsen…

Wenn das irgendwann verpflichtend kommt, wäre es natürlich nett, wenn die Authentifizierung der LMN dagegen möglich wäre (das Problem wird es ja offenbar häufiger geben). Ob das dann aber wieder „erlaubt“ wird und überhaupt die Halbwertszeit all dieser zentralen Lösungen haben (wann kommt die BBC - BundesBildungsCloud)… wird man ja sehen.

Dass diese zentralen Zugangsplattformen auch datenschutzrechtlich ihre Schattenseiten haben (Siehe „Pädagogik 10/23“ und wir ohnehin auf einen zweifelhaften Zustand der KI-Optimierung hinzusteuern scheinen (egal, was Kritiker sagen a la Wissenschaftler: "Tablets und Laptops machen die Kinder dümmer" | heise online)… all das interessiert offenbar niemanden großartig, diese Projekte werden trotzdem weiter getrieben.

Noch denke ich: so lange man uns machen lässt. Aber wenn das wirklich verpflichtend kommt… wird das schon eine Herausforderung für mein Gewissen…

Viele Grüße
Thomas

Hallo Thomas,

ohne vom System betroffen zu sein und es näher zu kennen, gehe ich davon aus, dass dort die SAML2.0-Geschichte umgesetzt wird (taucht ja bei Keycloak auch gleich auf der Startseite auf). SAML ermöglicht zentrale und dezentrale Nutzerverwaltung und kann vor allem granulare Datenfreigabe für Dienste. Es basiert ausschließlich auf XML-Daten via HTTPS übermittelt und funktioniert dadurch überall ohne zusätzliche Firewallregeln. Das kann ein LDAP nicht weil es nicht dafür entworfen wurde. Dessen Stärken liegen woanders. Falls sich das linuxmuster.net-Projekt durchringen könnte einen SAML2.0-konformen Identitätsanbieter (Identity Provider, IdP) einzubauen, wäre eine Kopplung aus technischer Sicht ohne Weiteres möglich. Es muss aber, egal ob Web-Single-Sign-On mit SAML2.0 oder LDAP bei jeder Föderation, organisatorisch geklärt sein, wo sich Namensräume und -schemata abgrenzen, damit es nicht zu Konflikten bei Bezeichnern kommt.

Bei moin.schule wird das Konzept einer Authentication and Authorization Infrastructure (AAI) umgesetzt. Bekanntestes Beispiel in Deutschland dürfte der DFN-Verein mit seiner DFN-AAI umgesetzt haben. Die Schweizer haben ein ähnliches Konstrukt wie den DFN, eine Stiftung namens Switch, und die hat eine gute umfangreiche technische Demo zu SAML auf Demo - SWITCHaai - SWITCH Help veröffentlicht.

Neben Keycloak ist Shibboleth eine Open-Source-Software, welche SAML2.0 implementiert.

MfG Buster

Hallo Buster,

ich habe mit Keycloak bisher nur ein wenig experimentiert…

Aber ich hatte das so verstanden, dass man durchaus einen LDAP als Quelle anbinden kann und sozusagen den Diensten trotzdem z.B. SAML anbietet. Im Hintergrund kann dann Keycloak z.B. die Authentifizierung an den LDAP weiterleiten und Felder aus dem LDAP in das eigene Identitätsmanagement mappen.

Meine Idee war gerade nicht, dass sich linuxmuster gegenüber moin.schule authentifiziert, sondern dass man Schulen die Möglichkeit gibt, ihren eigenen Dienst im Hintergrund als Authentifizierungsquelle einzubinden. Ich weiß nicht, ob das für getrennte Namensräume so möglich ist, aber das wäre dann eben datenschutzfreundlich, dezentral und für die vielen Schulen mit eigenem LDAP sehr elegant.

Aber ganz unabhängig davon, ob das geht, ist es ja gerade die (für mich eben weitgehend unnötige und so gar nicht datensparsame) Idee der Macher, dass man zentral gesteuert die Logins (schulübergreifend, „lebenslang“) vergibt. Bestimmt, damit die KI irgendwann wirklich über ALLE Daten verfügt, um die Schülerinnen und Schüler optimal zu begleiten!

Danke für die SAML-Demo!

Viele Grüße
Thomas

Hi THomas, @buster s Version von SAML hab ich dank der Demo auch verstanden, aber

da verstehe ich nicht, wie moin.schule dann überhaupt zum tragen kommt: soll moin.schule ein IdP sein, der im Backend (gestrichelte Linie im experten Demo hier: Expert complete ) dann die LMN fragt. Ist das, was du meinst?

Dann stellst du deine Nextcloud so ein, dass sie zum Login den IdP fragt, dort loggt man sich ein, aber im Hintergrund wird wiederum der LMN/LDAP gefragt, zwischendrin evtl. ein Keycloak ??? Hast du das so gemeint?

VG, Tobias

Hi Tobias - genau so träume ich mir einen dezentral gefütterten und trotzdem zentral arbeitenden landesweiten Authentifizierungsdienst zusammen Aber das ist eben das Gegenteil von dem, was die Länder wollen.

Ich finde es halt aus Schulperspektive derzeit sehr fragwürdig, was man da eigentlich bekommt - und was man aufgeben soll. Was sollen das für zahllose Dienste sein, die zentral gefüttert werden.

• E-Mail sehe ich ja noch ein - die ändert sich dann im Schülerleben nicht mehr. Aber da eine solche Mail-Adresse NACH dem Schülerleben eh obsolet ist, ist auch das kein Grund - da halte ich die Erreichbarkeit nur im Schulkontext für wirklich sinnvoll.
• Login für digitale Zeugnisse, etc. - geht genau so gut dezentral jeweils an der Schule - und auch das ist viel relevanter, wenn man gar nicht mehr Teil dieses „Systems“ wäre
• Bildungsplattform - sorry, aber da sehe ich die Schule völlig im Fokus und wenig bis keinen Bedarf, sich anderswo anzumelden (man kann schon froh sein, wenn man Material an der Schule teilt und gemeinsam bearbeitet)
• Datensammlung: ja, das sehe ich. Und find ich nun mal richtig Mist!

In all diesen Punkten steigt die Gefahr, dass diese Daten zentral auswert- und auslesbar werden. Dass Datenhandel und Datenmissbrauch in recht großem Stil betrieben werden kann.

Daher meine Idee - egal, wie unrealistisch sie ist.

Viele Grüße
Thomas

Hallo Tobias,

In der verlinkten Grafik ist das gesamte Haus links der Identitätsanbieter (IdP; z. B. eine Schule) und das Haus rechts ein Service Provider (SP; beliebiger Dienst). Innerhalb eines Hauses befinden sich keine zwei getrennten Organisationen. Die gestrichelten Linien beschreiben nur den Datenfluss zischen Softwarekomponenten innerhalb des IdP bzw. SP.
Aus Sicht der Schule (IdP) wäre moin.schule ein Webdienst (SP), welcher Identitätsdaten konsumiert, die der IdP anbietet. Die entscheidende Rolle von moin.schule wäre, dass deren Service wiederum zentrale Diensteverwaltung anbietet und selbst IdP gegenüber Dritten sein kann, wenn er die SAML2.0-Seite eines IdP implementiert. So kann moin.schule bei anderen SP, bspw. Anbieter von Online-Lernmaterialien, seinen Webdienst als IdP registrieren lassen. Dann würden alle Schulen, die bei moin.schule sind, automatisch davon profitieren. Das sich registrieren lassen ist immer eine Geschichte, wo Admins beider Seiten in der Konfiguration ihrer Software hinterlegen, welche Eigenschaften von Nutzern angefordert und abgefragt werden dürfen, ggf. welche Datenformate, Verschlüsselung, Zertifikate zum Einsatz kommen. Da ist es schon hilfreich, wenn das nur 1x pro (Bundes-)Land gemacht werden muss und nicht für tausende Schulen einzeln.

MfG Buster

Hi @Buster ,

ah, ok. DAnn hab ich es wohl doch nicht verstanden. Eine Schule ist doch dann Identitätsanbieter, wenn ich mir dort die Erlaubnis für user-x+password authentifizieren lassen und für einen Dienst (SP) authorisieren lassen kann, oder?

Also beispielsweise könnte ich als Schule einen IdP aufsetzen, die eigene Nextcloud (SP) könnte dann sich dort Auth.+Autor. holen, in dem sie dorthin verwiesen wird zum erstmaligen Login. Das machen ja manche wohl schon mit keycloak, wenn ich das richtig vermute.

Das Problem in BW ist ja, dass das Land den IdP stellt, aber auch nur für die hauseigenen SP (Land-Moodle, DAP), nicht für die schuleigene Nextcloud. Da bringt der eigene IdP an einer Schule herzlich wenig.
Ob das jetzt bei moin.schule auch so ist wie in BW, oder andersherum (und damit besser), weil es (wie du schreibst) zunächst ein SP ist, das die Daten eines Schule-IdP konsumiert, ist noch nicht klar, oder?

Dein Idealfall?:
Wenn ich dich richtig verstehe, stellst du dir das auch so vor, dass eine LMN der Identitätsanbieter ist, auf den letztendlich zurückgegriffen wird… aber eben das Land auch ein IdP gegenüber Dritten sein könnte mit denen das Land die Daten abgleicht und eine Verbindung herstellt.

Dann sieht das für Schule A so aus: Schüler AX meldet sich bei einem hauseigenen Dienst (AX@cloud.schuleA) an, die verweist auf den eigenen IdP, und man wird autorisiert (oder geht den Umweg über moin.schule). Dann meldet er sich bei westermann&co an (AX@schuleA.westermann) und muss sich evtl. autorisieren, was über moin.schule (AX@schuleA.moin.schule) geht, was wiederum beim schuleigenen IdP nachfragt. Oder, wenn SSO tatsächlich funktioniert, muss man die Autorisierung einmalig machen und es wird nur die Authentifizierung jedes weitere Mal abgeglichen.

Schule B macht das gleiche als schuleB, hat aber eventuell keinen eigenen IdP, dann muss das alles bei moin.schule passieren.

Für Schule A wird quasi (was authentifizierung angeht) nur Proxy-Dienst betrieben mit dem Vorteil, dass die Autorisierung bei Dritten wie westermann&co zentral liegt.

Hab ich das richtig verstanden, oder nur wirres Zeug gefaselt?

VG, Tobias

Hallo Tobias,

nur um das noch einmal klar zu stellen: so, wie Du es am Ende des Textes darstellst, wünsche ich es mir.

Ich bin aber zu 99% sicher, dass moin.schule das genau so machen will und wird, wie in BW.

Man hält es dort ja gerade für einen Fortschritt, wenn man schul(form|jahres)unabhängig einen Zugang zu externen Diensten vermittelt und perspektivisch dadurch die Schulnetze überflüssig werden. Horst geht mit seinem Ipad bei Westermann rein und Frau Maier macht das als Lehrerin und sieht dann da alles über Horst. Wer braucht da noch ein Schulnetz?!

Problem ist nur: wer pflegt den ganzen Kram ein? Die Schulen sammeln dann ihre moin.schule-Accounts zusammen? Und wie bekomme ich die Daten von Verlag 1 und Verlag 2 in eine Übersicht? Muss ich dann 42 vom Land authorisierte Webdienste abgrasen und mir jeweils die Ergebnisse zusammentragen?

Und in meinen Augen wird da (wie so oft) die Schule als DER Ort des gemeinsamen Lernens (und die Lehrkraft als DIE Person, die im Dialog steht) völlig unterschätzt. Für uns alle spielt sich doch fast alles im überschaubaren, vetrauten Kontext der Schule ab. Aber IT-mäßig wollen die fast alles in einem Kontext verwalten, der eben nicht die Schule ist. Anstatt lokale Strukturen zu stärken (teuer, mühsam) redet man sich ein, dass man das zentral ja besser wummsen kann. Und das wird wohl ziemlich sicher in die Hose gehen - die Frage ist nur, wie weh es tun muss, bis die Leute das merken.

Insofern: ja, vermutlich wird moin.schule allen „interessierten“ und irgendwann „allen“ Accounts anbieten. Und viele Schulen werden aus Hilf- und Alternativlosigkeit eventuell sogar gerne darauf zurückgreifen.
Aber für Schulen, in denen es eine gewachsene, funktionierende IT gibt, fähige Leute vor Ort, eigene, datenschutzfreundlche lokale Dienste… wäre das eben ein großer Rückschritt, der hoffentlich im Fall von moin.schule optional bleiben wird… Aber gesundes, funktionierendes kaputthauen, weil man es ja besser weiß… soll vorkommen im Bereich Schule!

Viele Grüße
Thomas

Moin!
Also ich kann ja nochmal weiter ausholen und erzählen, wie bei uns der Stand der Dinge ist:

Bisher war es so, dass wir per LDAP/AD-Verbindung über unseren v7-Server bei der niedersächsischen Bildungscloud (https://niedersachsen.cloud) angemeldet waren. Die Plattform ist vor längerer Zeit als Zusammenarbeit mit der HPI-Cloud vom Hasso-Plattner-Institut gestartet und zu Corona-Zeiten für alle Schulen in NDS an den Start gegangen. Diese Cloud-Lösung wird auch in mehreren anderen Bundesländern eingesetzt (vgl HPI-Schul-Cloud: Projekt endet in Übernahme durch drei Bundesländer | heise online). Inwieweit sich diese Landeslösungen voneinander unterscheiden, weiß ich nicht, aber in nehme an, dass im Wesentlichen die gleichen Funktionen enthalten sind.

Im Prinzip kann die niedersächsische Bildungscloud (kurz NBC) vieles von dem, was auch Teams kann und stellt eine landesweite und kostenlose Alternative dar. Schön gelöst ist, dass man schnell QR-Codes erzeugen kann und damit nicht nur schulweit sondern übergreifend Material teilen kann.

Für uns war die NBC u.a. deshalb interessant, weil darin neben anderen Modulen BetterMarks enthalten ist. Der Zugang per LDAP/AD war seinerzeit schnell erledigt und funktionierte seit ~2019 problemlos.

Nun kommt moin.schule ins Spiel, das mittelfristig alle anderen Zugänge ersetzen soll:
Bei uns wird also der LDAP/AD-Zugang zur Bildungscloud irgendwann durch den moin.schule-Login (dann also per SSO) ersetzt werden müssen. Die Logins zu moin.schule sind aber künftig mit der Verwaltungssoftware DaNiS, die in NDS ganz viele Schulen einsetzen, synchronisierbar, so dass dieser Abgleich kein Problem sein dürfte und immer zum aktuellen Zustand in der Schulverwaltung passt. Was mich eher stört ist der zusätzliche Login, denn momentan müssen sich die Schüler nur einen Login merken … wenn es eines Tages so sein sollte, dass die Schüler „ihre Identität vom Bildungsserver erhalten“ (klingt ja abenteuerlich), dann wäre ich nicht böse, wenn mir da Arbeit abgenommen wird. Dann müssten aber eben auch „alle“ anderen mitziehen, damit sich der Dienst auch durchsetzt. Ich vermute daher, dass deshalb andere Dienste zur Anmeldung gekappt werden?!

Nun sprichst Du den Datenschutz an und gerade da finde ich, dass sich die NBC sehr gut schlägt Ich kenne eigentlich keine andere Plattformen. die den Datenschutz so groß schreibt wie diese?! Daher kann ich diese Bedenken nicht teilen.

Viele Grüße,
Michael

P.S.: Vielleicht kann ja jemand mit mehr Rechten den Artikel aufteilen ab Beitrag #12 und getrennt unter „Identitätsserver + moin.schule“ weiterlaufen lassen?

Hallo Michael,

das Problem beim Datenschutz ist für mich ein prinzipielles - unabhängig, wie NBC das löst. Denn es sind dann perspektivisch SÄMTLICHE Schüler-Daten zentral gespeichert. Und das halte ich per se für problematisch. Außer man geht davon aus, dass die NBC perfekt und fehlerfrei programmiert ist. Und so etwas gibt es nicht

Von wegen „Arbeit abgenommen“ - gehst Du davon aus, dass es dann kein lokales Netzwerk mehr gibt? Was ist mit WLAN, etc.? Oder dass sich alles in der Schule ggü. moin.schule authentifiziert? Weil sonst bleibt es ja bei der Doppelung.

Viele Grüße
Thomas

PS: Bettermarks ist für mich das beste Beispiel, warum wir so lange wie möglich auf eigene Lösungen setzen werden. Wir haben damals in der Anfangszeit als Schule Bettermarks (trotz meiner Bedenken) eingeführt und viel damit gearbeitet, Arbeitsblatt-Pools aufgebaut usw.
Und dann plötzlich wurde es kostenpflichtig und für uns VIEL zu teuer.
Schön, dass das Land es Jahre später zur Verfügung stellt - aber in der Zeit bis dahin sollte man als Schule was machen? Und was macht das Land, wenn die Bettermarks-Lizenzen ordentlich teurer werden (weil es ja immer mehr Leute nutzen)? Unser Landkreis hat inzwischen 3x die Tafelsoftware geändert, weil es zwischenzeitlich zu teuer wurde…
Wir haben die Fachgruppe geschult in Sachen Moodle-Aufgaben, angefangen einen Pool an zum Curriculum passenden Augaben aufzubauen und nutzen jetzt Moodle für Vergleichsarbeiten, Diagnose, etc… Und an sich könnte man so etwas auch wunderbar schulübergreifend machen… dann vermutlich sogar deutlich günstiger als das, was das Land inzwischen an BetterMarks zahlen dürfte.

Hi. Wenn ich richtig informiert bin, sammelt die NBC eben diese Daten alle gerade nicht!?
Es ist auch nicht so, dass die Schülerdaten zu bettermarks oder anderen abfließen sondern nach meinem Wissensstand bekommen die nur anonymisierte Daten, was die Schüler bearbeitet haben und was nicht. Wie detailliert das ist oder welche Meta-Daten enthalten oder nicht enthalten sind, kann ich alles nicht beantworten.

Ich will ja auch nur sagen: Solange die Plattform mit den diversen Zusatzmodulen kostenlos angeboten wird, kann man das relativ einfach darüber nutzen – oder man lässt es.

Was Du über moodle schreibst, sehe ich ja prinzipiell genauso! Erst kürzlich hörte ich wieder jemanden sagen:

„Oh, ihr habt moodle – das kann ja ALLES!“

Das stimmt natürlich auch, aber genau das ist Fluch und Segen zugleich: Die Kollegen sind mit der unglaublichen Vielzahl an Möglichkeiten schnell überfordert und sehen manchmal den Wald vor lauter Bäumen nicht mehr. Wenn Euer Kollegium soweit ist, dass alle in der Lage sind, damit Aufgaben-Pools zu erstellen und die sehr weitreichenden Möglichkeiten zu nutzen, dann seid ihr sicherlich ganz vorne mit dabei.

Ich favorisiere diesen Weg eigentlich auch, aber dann sehe ich wieder, an wem die ganze Arbeit in Sachen Fortbildung, Erste-Schritte, Tutorials usw hängen bleibt … und dann leuchten mir die Vorteile eine zentralen Lösung, die im besten Fall an allen Schulen „identisch“ funktioniert, durchaus ein. Nicht selten kommen neue Kollegen zu uns, die von anderen Schulen völlig andere Systeme gewohnt sind und dann wieder bei 0 beginnen müssen. Je nach Technik-Affinität geht das dann schneller, langsamer oder gar nicht. Auch da sind mitunter diverse Mini-Fortbildungen usw nötig, um alle auf den „gleichen“ Stand zu bringen. Wenn es hier mehr Einheitlichkeit gäbe, wäre doch viel gewonnen??
Ob natürlich ein Dienst wie moin.schule (um zurück zum Thema zu kommen) dazu beitragen kann, bleibt abzuwarten. Prinzipiell finde ich die Idee dahinter aber zunächst gut.

Letzteres wäre ein Mehrwert: ein „echtes“ SSO an vielen unterschiedlichen Diensten. Dass es noch nicht soweit ist, ist natürlich klar…

Viele Grüße,
Michael

Hallo Michael,

ich stimme in vielem zu. Aber es wäre eben für mich eine echte Open Source Plattform - und da hat mir noch niemand erklärt, warum es gerade die NBC sein soll, die Millionen verschlingt für etwas, das es schon gibt.
Warum nimmt man das Geld nicht für eine Nds-Moodle, was genau das kann, was man benötigt. Mit einem Nds-Branding, einigen Nds-Plugins aber ok, das ist nicht das Thema.

Wenn moin.schule irgendwann Identitätsprovider für ganz Nds wird, dann werden dort auch alle Daten liegen - wo sonst? Es wird ja offenbar gerade nicht mehr auf die Schulen zurückgegriffen (soll es ja auch nicht). Aber wenn da jemand mehr weiß, bin ich gespannt.
Die Daten, die (nicht) zu Bettermarks abfließen meinte ich nicht. Ich habe auch mit Bettermarks an sich kein Problem - aber es ist eben ein Dienst, auf dessen Dauerhaftigkeit ich nicht mehr setzen würde. Ansonsten - why not.

Und zum letzten Punkt: ein echtes SSO kann ich mir halt nicht vorstellen. Für einige Dienste, die mit dem Land verhandeln - klar. Aber hier lokal gibt es doch noch so einiges, was an den LDAP angeschlossen ist. Wenn das wirklich ALLES wegfällt… Klingt das nicht nach Fortschritt. Also allein sowas wie ein lokales WLAN, dass sich dann an moin.schule authentifiziert… geht vielleicht ja sogar, aber will ich das? Dann habe ich den Ex-Schüler, der noch seinen moin.schule-Account besitzt, obwohl er jetzt 200km weg wohnt und der macht seinen Drogengeschäfte über mein Schul-WLAN und ich kann das nicht mal nachvollziehen? Da komme ich gedanklich irgendwie nicht hin, dass da die Vorteile überwiegen

Viele Grüße
Thomas

Hi.
Ich habe vor längerer Zeit diesen Podcast von den Machern gehört, in dem die erklären, warum die HPI-Cloud (zunächst als Forschungsprojekt) gegründet wurde und wie sie funktioniert. Vieles von dem fand ich nachvollziehbar (Folge vom 06. August 2019):

Was die Zugänge zu moin.schule angeht, hatte ich ja schon gesagt : Es wird eine Synchronisation zwischen DaNiS und den moin.schule-Logins geben. Ich gehe nicht davon aus, dass alle anderen Daten, die unter DaNiS in der Schule liegen (müssen), zu moin.schule abfließen (vgl. Podcast … )!

Aus diesem Grund wird sich Dein ehemaliger Schüler dann auch nicht über Dein Schul-WLAN anmelden können, wenn er nicht mehr dazu gehört

Viele Grüße,
Michael

Nur so als Beispiel aktuell:

und Okta ist ein Identitäts- und Zugangsverwaltungsdienstleister … vermutlich ein „Profi“.

Je zentraler, desto größer der Schaden - und desto verständlicher die Angst vor Öffnung nach außen.

Da frage ich mich doch gleich:

• sind die Passwörter im Klartext in DaNiS gespeichert oder werden einfach nur die Nutzer (mit niedersachsenweiten Schülernummern) zugeordnet?
• synchronisiert DaNis, exportiert DaNiS oder wird wirklich „live“ darauf zugegriffen (never ever)
• was machen die Schulen, die kein DaNiS haben?

Also wir können das ja entspannt erwarten - aber ich bin mir dennoch recht sicher, dass es da einen Abgleich geben mag, aber keinen Rückkanal. Und damit wären dann doch alle Daten an einem Ort. Aber das ist nur meine uninformierte Befürchtung.

Zur HPI-Schulcloud habe ich damals auch viel gelesen. Und ja, ich kann das ein oder andere auch nachvollziehen. Aber dennoch sähe ich die öffentlichen Gelder lieber woanders - es ist viel, viel Geld in die Schulcloud geflossen. Und so sympathische Dinge das HPI macht - ich finde, da ist auch viel „wir machen lieber unser eigenes Ding, als uns mit anderen auseinanderzusetzen“ drin - und das eben egal, wie viel Steuergelder es kostet.

Andererseits: wir nutzen Moodle - natürlich sehe ich das so

Viele Grüße
Thomas

Hallo.
Ich schiele mal kurz nach NRW – wo ebenfalls viel Geld in die Hand genommen wurde, um eine Plattform zu entwickeln, die alles mögliche können soll. Am Ende ist es Logineo geworden, das ebenfalls ein Moodle an Bord hat. Dennoch hat Logineo so viele Dinge falsch gemacht, dass man gar nicht weiß, wo man anfangen und wo man aufhören soll.
(vgl auch Missing Link: Schulplattform Logineo NRW – vom Rohbau zur Kernsanierung? | heise online )

Nochmal zum Abgleich DaNiS → moin.schule.
Es funktioniert so:

Die nehmen etwas anderes aus dieser Liste:
https://moin.schule/informationen-fuer-schulen

Viele Grüße,
Michael

Hallo Michael,

danke für die Fakten!

Inhaltlich… hoffe ich immer auf eine Überraschung, es sieht mir aber doch eher nachdem aus, was ich befürchtet habe. Es gibt einfach eine „dumme“ Synchronisation der Stammdaten. Von Passwörtern steht da nichts. Also überträgt man die Stammdaten und erzeugt daraus Zugangsdaten auf moin.schule. Heißt:

• separate Passwörter
• ALLE Stammdaten an EINEM Platz

Was ich mir noch vorstellen kann - wenn die eine API haben (das vermute ich), könnte man vielleicht einen einfachen Synchronisations-Client schreiben, der die Erstpasswörter dort setzt. So machen wir das mit unseren E-Mail-Accounts, die extern gehostet liegen. Dann ist wenigstens das Anfangspasswort gleich.
Wer weiß aber, ob dazu überhaupt die Möglichkeit besteht. Denn die Idee ist doch, dass eine Nutzerin, die auf der Grundschule ihre Zugangsdaten bekommt, diese „nahtlos“ an der nächsten Schule weiterverwendet. Heißt, dass sich zwar die Schule ändert, nicht aber ihr Login. Dazu lese ich aber nichts…

Na ich bin gepannt. Und alles andere als überzeugt Wir werden sehen.

Viele Grüße
Thomas

Ja, so ist das aber gedacht! Wenn ein Schüler die Schule wechselt, wird seine Identität dahingehend verändert, dass er nicht mehr zu Schule A gehört. Er kann aber an seiner neuen Schule B sozusagen einen „digitalen Antrag“ stellen. Dann wird der Account Schule B zugewiesen aber alles andere bleibt gleich.

Ich habe für mich selbst auch einen Login erzeugt und kann beim Login entscheiden, ob ich mich in der Rolle „Lehrer“ oder „Admin“ auf der Plattform bewegen will.

Was die Passwörter angeht: In der Tat ein Problem – wie kommen die neuen bzw zusätzlichen Passwörter an die Schüler? Bisher sehe ich auch noch keine Möglichkeit, solche schicken und von LaTeX erzeugten ganzseitigen Ausdrucke zu erzeugen, die dann schnell verteilt wären.
Und: Mit dem Dienst wird keine eMail-Adresse für alle Schüler geboten! Man kann die Erst-Passwörter daher auch nicht darüber verschicken!

Das war für mich ursprünglich mal der Grund, warum ich mich überhaupt mit der NBC beschäftigt hatte. Das ist aber nicht der Gedanke dahinter. (Wer will sich auch schon einen Mailserver ans Bein binden… )

Sehe ich auch so …
Michael