[ProjectSCZ-FIAM] keuze voor identifier in comanage

Pieter Neerincx pieter.neerincx at gmail.com
Fri Nov 10 12:26:59 CET 2017 

> On 10 Nov 2017, at 10:29, Bas Zoetekouw <bas.zoetekouw at surfnet.nl> wrote:
> 
> Hoi Mark,
> 
>> Een onderwerp dat al vaak ter sprake gekomen is, maar waarover een beslissing altijd uitgesteld is: wat gaan we gebruiken als identifier?
>> 
>> - is deze identifier uniek per CO of globaal uniek? en wat zijn de overwegingen?
>> - gaat iedere CO deze keuze zelf maken of wordt dit een SCZ brede keuze? (of nog breder?)
> 
> Dit is wat ons betreft nog een open vraag.  Er zijn verschillende
> mogelijkheden voor identifiers:
>  - een ePPN (eduPersonPrincipleName), van de vorm piet at mijnco.nl. 
> (uitgegeven per CO, voor het hele platform, of van de instelling)
>  - een username, gegenereerd door COmanage (op basis van de nama van de
> gebruiker, bv)
>  - een emailadres
> 
> Nadeel van de ePPN en username is dat het nogal vervelend is voor de
> gebruiker:  COmanage laat deze momenteel niet heel duidelijk ergens
> zien: dit is je identifier en daarmee log je in op deze dienst.  Dat is
> wellicht wel oplosbaar in de UI van COmanage.

Als gebruiker heb ik nogal een hekel aan ePPNs:
* Het format ziet eruit alsof het een email adres is,
  maar dat is het niet, dus op basis van een ePPN kun je niet makkelijk contact opnemen met een collega.
* Het deel voor de @ wil nog wel eens een personeelsnummer o.i.d. zijn.
  Als je op een cluster bestanden of jobs ziet van user P264668 at rug.nl
  zullen de meesten van jullie niet meteen doorhebben dat dat ondergetekende is...
  Bij p.neerincx at rug.nl heb je als collega een grotere kans om te herkennen om wie het gaat,
  maar dan heb ik de mazzel dat neerincx relatief zeldzaam is.
  Als je te veel "van dijk"-en en "de vries"-en in je team hebt wordt het ook lastig. 

> Vanuit federatie hebben we traditioneel nogal een hekel aan
> emailadressen als identifiers, omdat emailadressen nogal eens kunnen
> veranderen (als iemand gaat trouwen, ergens anders gaat werken, etc). 

* Als iemand ergens anders gaat werken zal ook die ePPN wel wijzigen.
* Trouwen doe je voor de wet en misschien voor de kerk, maar niet voor de wetenschap.
  Als je het een beetje ver wil schoppen in de wetenschap is je publicatie trackrecord van essentieel belang
  en als je je naam wijzigt verlies je een stukje publicatie geschiedenis:
  moet je dus nooit doen voor de wetenschap.
  Ik heb zat collega's die in hun privé mailadres en op het naambordje bij de deur er een achtenaam bij gekregen hebben,
  maar niet in hun instellingsaccount ;)

> Hier is dat echter misschien niet zo'n issue: in de ldap kunnen we een
> numerieke uid als identifier gebruiken (zoals uitgelegd in mijn vorige
> mail).  Als de loginnaam/emailadres van de gebruiker verandert, maakt
> dus dus weinig uit: dan veranderen alleen wat displaystrings binnen je
> unix-omgeving, en de identifier waarmee de gebruiker moet inloggen.

Die loginnaam zit helaas op meer plekken:
* de naam van je home dir map.
* op een SLURM cluster wordt bij inloggen ook een account met dezelfde naam in de job accounting database gemaakt.
* mogelijk andere config files afhankelijk van de infra

Dat moet dan ook automagisch gemapped/hernoemd worden en dat is nog niet triviaal :o.
Het zou fantastisch zijn als je loginnaam transparant kunt updaten, maar op onze clusters is dat (bewust) onmogelijk:
Hernoemen betekend de facto nieuw account aanmaken met nieuwe naam, data migreren en oude account blokkeren (verwijderen en UIDs recyclen doen we ook bewust niet.)

> Vanuit de gebruiker gezien lijkt me een emailadres dus eigenlijk het
> meeste vriendelijk.  We moeten dan wel goed het bovenstaande scenario
> testen, en kijken wat het gebeurt als een gebruiker meerdere
> emailadressen heeft (idealiter kan hij dan met elke adres inloggen op
> hetzelfde account).

+1!

> Het blijft iig mogelijk voor elke CO om een _extra_ identifier aan te
> maken voor zijn eigen gebruikers; dat is standaardfunctionaliteit van
> COmanage. 
>  
> Groet,
> Bas.
> 
> -- 
> Bas Zoetekouw
> SURFnet  Trust & Security
> ✉ POBox 19035, Utrecht NL-3501DA
> ✆ +31-88-7873-562
> 
> 
> _______________________________________________
> ProjectSCZ-FIAM mailing list
> ProjectSCZ-FIAM at list.surfnet.nl
> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam

-------------------------------------------------------------
phone: +31 6 143 66 783
e-mail: pieter.neerincx at gmail.com
skype:  pieter.online
-------------------------------------------------------------

More information about the ProjectSCZ-FIAM mailing list