Frågor om Tilldelning

[stnor]

Hej @LM-andreas @MichaelaVesterlund ... Några frågor till att börja med:

1. Hur tar man bort en licens från en individ? Det står att licenseKey är obligatorisk i tilldelnings-anropet, så man kan inte sätta den till NULL i alla fall... Eller?
2. Skickar alltid GR identitySource "EGIL"? Eller vilka förekommer i praktiken?
3. Hur är det tänkt om man tilldelar med identitySource "client". Vad är användningsfallet för detta?

[stnor]

En annan sak jag undrar är hur tilldelning tekniskt går till om t ex en kund köper en artikel via GR som har avtal med LM som återförsäljer nämnda produkt. Vem pratar med vem?

[MichaelaVesterlund]

1.När vill du ta bort en licens? 2.Vi använder EGIL som det ser ut nu.

3. Osäker på denna. Kanske @LM-andreas vet mer? Om vi beställer via Läromedia då sker det via deras köp-url. Tilldelning går till leverantörens tilldelnings-url.

[LM-andreas]

1. Det har diskuterats att göra en DELETE istället för POST, men det finns inte med i version här. Du tänker om en användare slutar/flyttar/etc.?
2. Vi kommer att skicka EGIL.
3. Jag har svårt att se att den kommer att användas. Det fanns nog en tanke om att man ska kunna skicka användare från shop/distributör direkt till leverantör, istället för att huvudman gör det, men som det utvecklat sig kan jag inte tänka mig att det är aktuellt längre.

[stnor]

@LM-andreas Jag tänker att kunden vill ta bort en licens om elev eller lärare slutar, eller om en annan person ska använda licensen.

2/3 Bra. "client" borde tas bort tycker jag. Då kan jag bortse från MS/Google tills vidare.

Kan jag anta att EGIL-användaren redan finns hos oss när tilldelnings-anropet kommer?

[LM-andreas]

Bra. Instämmer. Ja.

[MichaelaVesterlund]

Tilldelningsanropet kan komma före EGIL-synken, man kan välja att skapa upp en användare och tilldela då och fylla på med uppgifter när egil-synken kommer eller så kan man svara med Failed och vänta tills EGIL-synken kommer. Vi kommer försöka igen när vi får Failed.

[stnor]

Det vore ju bra om man kunde bestämma att EGIL lägger till användaren innan tilldelningsanrop och avtilldelningen sker före det att EGIL tar bort användaren. Verkar inte orimligt i min värld. I alla fall det förstnämnda.

[stnor]

Man kan väl inte skapa upp användaren innan den finns uppskickad av EGIL? Det saknas ju information om användaren i tilldelningsanropet. Man får ju inte ens ett användarnamn.

[MichaelaVesterlund]

Du får Id:t som du matchar med så du vet vilken elev som ska få vilken licensnyckel. EGIL skickar ingen sån information till oss.

[stnor]

Ok, jag fattar. Vi kan inte skapa användare i vårt system utan användarnamn, så det blir till att säga fail då.

[LM-andreas]

Om jag fattat GR:s flöde rätt så hämtar de elevdatan från kommunen och har således ID:t hos sig. De kan sedan göra ett tilldelningsanrop eftersom de har all data. De säger också till kommunens EGIL-klient att provisionera användaren till dig.

Vi blir provisionerade av kommunen med EGIL först. När tilldelning ska se kommer det först ske lokalt hos oss. Vi berättar sedan för kommunens EGIL-klient att dessa användare ska skickas till er. När vi märkt att EGIL läst av informationen skickar vi sedan tilldelningsanropet.

I värsta fall hamnar dessa saker ur sync, men ambitionen är att ni ska ha användaren först.

[stnor]

Jag mailade detta men vi kan ta det här så att det syns om fler har samma fråga.

Har man förresten diskuterat hur man hanterar befintliga användaridentiteter och dubletter? Om en kund börjar använda detta utan att stämma av med oss för att migrera befintliga konton blir det antagligen kaos och eleverna tappar fler år av framsteg på deras användare.

Detta är ju en konsekvens av att man användare EGIL och tidigare inte har gjort det. Våra elevkonton tar man med sig genom hela skoltiden, ofta även vid skolbyten inom samma huvudman.

[LM-andreas]

Vi kommer alltid att kommunicera ut vilka huvudmän som kommer att beröras av ett komplett flöde via EGIL.

I GR:s fall är det väl lite enklare med de 13 kommuner som ingår där.

[MichaelaVesterlund]

Ett alternativ som jag kommer på är att eleven loggar in med sitt nya konto och kan merga med den gamla användaren genom att ange det kontots credentials. Jag har tyvärr inte hört hur andra har löst det.

[stnor]

Alla beställningar från webbshoppen kommer väl att använda BoL orderflöde, oavsett om man tänkt använda tilldelning och konto-synk från början för en viss huvudman?

Jag tror man i så fall skulle behöva en setting som är per huvudman och leverantör som kopplar på EGIL och tilldelning.

Jag tror detta är något som huvudmannen behöver handskaka med leverantören innan tänker jag för att reda ut förutsättningarna?

[LM-andreas]

Ni kommer att få information av oss när en huvudman vill gå igång och vi kommer då att bena ut vad som behöver lösas innan de kan starta mot just er.

[stnor]

@MichaelaVesterlund Hur tänker GR här då?

[MichaelaVesterlund]

Hos oss beställer man digitala artiklar med BOL+EGIL. Vilka förutsättningar behöver man reda ut? Ni får reda på att en kommun vill beställa från er genom att ett PUB-avtal begärs.

[stnor]

Vi har kanske 100k elevkonton i GR-kommunerna och PuB-avtal. Elever har "levlat" sitt konto i 4-5 år och lärare har material som dom byggt upp under lika lång tid.

Konton kan heta "maja123" eller "larare@hotmail.com". Sedan kommer det en provisionering och EGIL-synk med 100k nya konton?

Kommunen måste ju se till att migrera alla sina befintliga användare till nya användarnamn och federerad inloggning INNAN detta sker och det måste dom göra i god tid innan dom kan provisionera användare via EGIL.

[MichaelaVesterlund]

Ja det kommer 100k nya konton, men inte på en gång, eftersom det sker per skolenhet. Hur skulle en sån migrering gå till hos er?

[stnor]

Vi skulle migrera skola för skola i samarbete med huvudmannen under kanske någon månad sammanlagt. Dom behöver kommunicera önskande användarnamn för de befintliga kontona. Vi har gjort liknande övningar med många huvudmän, men aldrig har det gått till på ett sådant sätt att dom skickar upp nya konton och tror att vi ska fixa till det åt dem. :) Det kräver planering och dialog, och kan inte vara någon som bara händer i samband med beställning.

När migrering av konton väl har skett så löper ju det på bra därefter, men det är en process som man måste gå igenom innan man går över till EGIL eller för den delen något annat.

Lämpligtvis gör man det här per skolenhet och inte bara på huvudmannanivå om man vill att det ska gå snabbare, men om skolorna i regionen bara får köpa Nomp via GR och att EGIL ska igång direkt för alla skolor kommer inte att funka för oss.

[stnor]

Det finns inga "kommunlicenser" på vår produkt i regionen utan alla skolor köper detta lokalt. Ofta har man ingen aning centralt på kommunen att 30% av eleverna använder den.

[MichaelaVesterlund]

Vi har bara personlicenser i dagsläget. Man köper per skolenhet. Jag tror vi kan komma på en lösning på detta, vi kan diskutera mera på mötet :)

[LM-andreas]

En annan sak jag undrar är hur tilldelning tekniskt går till om t ex en kund köper en artikel via GR som har avtal med LM som återförsäljer nämnda produkt. Vem pratar med vem?

Vi kan ta detta via mejl. Det är mer en avtalsfråga än konkret BoL.

[stnor]

Om man skickar identitySource EGIL (vilket egentligen betyder idp=Skolfederation? - minns att jag tyckte detta skulle ändras när jag lämnade feedback) så är id då alltid ett eduPersonPrincipalName?

[LM-andreas]

Så tänker vi.

[stnor]

Bra. Jag gav som sagt feedback för två år sedan att idS borde heta identityProvider och att ”EGIL” skulle heta ”Skolfederation”. Då hade man förstått detta :)

[stnor]

Det skulle ju gå bra att använda idP Skolfederation utan EGIL med just-in-time-provisionering pss Google/Microsoft, så namngivningen är olycklig. EGIL är bara en mekanism att överföra användare och grupper ahead-of-time som jag ser det.

[LM-andreas]

I teorin ja, och jag vet det används så, men Skolfederation är ju inte primärt tänkt att användas för provisionering. Skolfederation själva verkar inte speciellt förtjusta i det, är mitt intryck.

I de fall vi har tilldelning har i stort sett alla leverantörer också sagt att användaren måste finnas innan tilldelning sker. Därav ett tydligt behov av förprovisionering.

[stnor]

Nu är ju det EGIL går ut på, så det tåget har ju gått. Jag tänker att vi hos oss gör tilldelningen som funkar med med både JIT och förprovisionering som arbetshypotes.

[hekdahl]

Punkt 1 (i början av tråden): Vår marknadschef säger att man i de nya upphandlingarna har krav att licens ska kunna flyttas. Har ni samma uppfattning? Och i så fall bör vi kanske göra en pull requst för det. Jag kan skapa en om ni håller med. Personligen skulle jag vilja föreslå att i tilldelningsanropet lägga till:

unassignmentRows { ... }