Forschungsbericht 2015 - Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG)

Mehr Selfservice mit dem neuen Kundenportal der GWDG

Autoren
Pohl, Christof
Abteilungen

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG), Göttingen

Zusammenfassung
Im Sommer 2014 erfolgte der Startschuss für den Produktivbetrieb des neuen Kundenportals der GWDG. Es bietet allen Kunden nicht nur Informationen über Dienste, sondern auch die Möglichkeit, diese selbst jederzeit zu beantragen und zu verwalten. Zusätzlich enthält das Kundenportal fortgeschrittene Selfservice- und Sicherheitsfunktionen für Benutzerkonten. Zukünftig soll es zur zentralen Anlaufstelle für alle Dienste der GWDG ausgebaut werden. Zusammen mit einem neuen, klar strukturierten Webauftritt wird das Kundenportal einen strategischen Baustein für eine moderne User Experience darstellen.

1. Hintergrund und Ausgangslage

Eine gängige Herausforderung für historisch gewachsene Webauftritte ist die Vermischung unterschiedlicher Technologien und Konzepte für die Kommunikation und Interaktion mit den Nutzern. Dies galt auch für den bestehenden Webauftritt der Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG): Um etwa Dienstleistungen wie virtuelle Server, GWDG Cloud Share, Mailinglisten, SharePoint-Räume oder Projektmanagement-Umgebungen zu beantragen, mussten Nutzer der Max-Planck-Gesellschaft und der Universität Göttingen bislang verschiedene Wege beschreiten. Beispielsweise gab es für die Beantragung bestimmter Dienste Webformulare, die mit diversen Technologien realisiert wurden und deshalb auch an unterschiedlichen Stellen des Webauftritts der GWDG zu finden waren. Andere Dienste konnten telefonisch oder per E-Mail über die Service-Hotline bestellt werden. Außerdem konnten interne Prozesse zur Bereitstellung eines Dienstes mehr oder weniger umfangreiche manuelle Tätigkeiten beinhalten, so dass für den Kunden Wartezeiten entstanden, bis seine Instanz des Dienstes verwendbar war.

Darüber hinaus machten vergessene Passworte einen großen Teil der an die Service-Hotline gestellten Supportanfragen aus. Um ein neues Passwort für sein Benutzerkonto (auch: Account) setzen zu lassen, musste ein betroffener Kunde aus Sicherheitsgründen oftmals persönlich im Rechenzentrum erscheinen. Bis zur Rücksetzung des Passworts war die Nutzung von GWDG-Diensten für diese Kunden meist nur mit Einschränkungen möglich.

Das neue Kundenportal der GWDG hat sich dieser Aufgaben angenommen und bietet nutzerfreundliche Lösungen im Sinne einer neuen, modernen User Experience. Dieser Begriff umfasst sowohl funktionale als auch emotionale Wahrnehmungen und Erfahrungen, die Anwender im Umgang mit der Beantragung und Nutzung von Diensten, bei der gezielten Suche nach Informationen im Webauftritt oder bei der Verwaltung ihres Benutzerkontos machen. Die grundlegende Idee des Kundenportals ist dabei, Informationen zu GWDG-Diensten und deren Verwaltung als rund um die Uhr verfügbare, automatisierte Selfservices unter der einheitlichen Webadresse https://portal.gwdg.de zur Verfügung zu stellen. Zusätzlich werden jedem Kunden sichere und gleichzeitig komfortable Funktionen für die Verwaltung seines Benutzerkontos und Passwortes angeboten.

2. Zentrale Bestandteile des Kundenportals der GWDG

2.1 Informationen über Dienstleistungen der GWDG

Die GWDG pflegt für die Max-Planck-Institute und die Universität Göttingen jeweils deutsche und englische Dienstkataloge, in denen über die vielfältigen Angebote und Dienstleistungen für den jeweiligen Kundenkreis informiert wird. Die Beschreibungen folgen dabei mit einem Symbolbild und den Rubriken „Ihre Anforderungen“, „Unser Angebot“, „Nutzungsvoraussetzungen“ und „Ihre Vorteile“ einem einheitlichen Schema. Im Detail ist die Auswahl an Diensten in den beiden Katalogen leicht unterschiedlich: Während die meisten Angebote der GWDG sowohl für die Institute der Max-Planck-Gesellschaft als auch für die Universität Göttingen verfügbar sind, werden einige Dienste aus verschiedenen Gründen nur für einen der beiden Kundenkreise bereitgestellt.

Die bisher lediglich als Druckwerk und PDF-Dateien vorliegenden Dienstbeschreibungen stehen nun auch im Kundenportal zur Verfügung. Durch die Beibehaltung des einheitlichen Darstellungsschemas soll dabei der Wiedererkennungswert für den Anwender gesteigert werden. Kunden, die sich zuvor mit ihren Zugangsdaten (E-Mail-Adresse und Passwort) am Kundenportal angemeldet haben, werden jeweils nur die Dienste präsentiert, die für ihre jeweilige Einrichtung angeboten werden. Personalisierte Sichten zeigen zudem die bereits bestellten und individuell verfügbaren Dienste aus dem Produktportfolio der GWDG an. Außerdem können Kunden gegebenenfalls verfügbare Selfservice-Funktionen über entsprechende Links sofort nutzen.

2.2 Selfservice-Funktionen für Dienste

Für ausgewählte Dienste werden passende Selfservice-Funktionen im Kundenportal angeboten. So ist es zum Beispiel möglich, neue Mailinglisten automatisch zu erstellen oder sich ein neues Passwort für den Mailinglisten-Administrationsbereich zusenden zu lassen. Beim Speicherdienst GWDG Cloud Share lässt sich die Quota, also die maximal verfügbare Speichermenge, mit wenigen Mausklicks den eigenen Bedürfnissen anpassen.

Beim Cloud-Server-Dienst wird der Nutzer zum Anlegen einer neuen Virtuellen Maschine (VM) mittels eines Wizards in mehreren Schritten durch die Basiskonfiguration (Anzahl der Prozessoren, Größe des Arbeitsspeichers, gewünschtes Betriebssystem etc.) geführt. Im Anschluss daran wird die VM automatisch erstellt und steht schon nach wenigen Minuten zur Verfügung. Eine Management-Seite gibt Auskunft über den Status der eigenen Server und erlaubt das Starten beziehungsweise Herunterfahren sowie die Anpassung einiger weiterer Konfigurationsoptionen der VMs. Auf einer Übersichtsseite werden zudem die aktuell verwendeten und noch verfügbaren Hardwareressourcen, unter anderem Prozessoren und Arbeitsspeicher, angezeigt. Darüber hinaus erlaubt das Kundenportal eine direkte Bearbeitung der verwendeten Firewall-Regeln, sodass beispielsweise die relevanten Ports 80 und 443 für einen Webserver ohne Mithilfe der Netzwerkadministratoren für den Zugriff aus dem Intranet beziehungsweise dem weltweiten Internet freigeschaltet werden können. Als eine komfortable, aber trotzdem sichere Variante für die Fernwartung einer größeren Zahl von Cloud Servern bietet das Kundenportal auch die Möglichkeit, einen sogenannten SSH-Key zu hinterlegen. Eine grafische VNC-Oberfläche, über die ein Server direkt ferngesteuert werden kann, sowie die Erstellung von Server-Snapshots runden den derzeitigen Funktionsumfang ab.

Zukünftige Versionen des Kundenportals werden die Funktionalitäten bereits integrierter GWDG-Dienste nach Bedarf ergänzen und neue Selfservice-Funktionen für weitere Dienste beinhalten.

2.3 Benutzerkonten- und Passwortverwaltung

Eine grundlegende Voraussetzung für die Nutzung von GWDG-Diensten ist ein gültiges Benutzerkonto, mittels dessen der Anwender eindeutig authentifiziert (auch: identifiziert) werden kann. Dafür wird das Kundenportal mit den notwendigen Benutzerkonten und Personendaten aus MetaDir, dem Identity Management System der GWDG, provisioniert. Die Anmeldung am Kundenportal erfolgt dann mittels E-Mail-Adresse und Passwort des Anwenders. Unter dem Menüpunkt „My Account“ besteht nach der Anmeldung die Möglichkeit, zum Schutz des eigenen Accounts und zur Verbesserung des Nutzerkomforts weitere freiwillige Angaben zu machen. Wird dort beispielsweise eine Mobilfunknummer hinterlegt, wird zukünftig bei sicherheitsrelevanten Änderungen am Benutzerkonto zusätzlich eine mobile Transaktionsnummer (mTAN) abgefragt. Diese gelangt umgehend per SMS auf das angegebene Mobiltelefon und ist anschließend für ca. 30 Minuten gültig. Da für die Übertragung der mTAN neben dem Internet ein zweiter Übertragungsweg (das Mobilfunknetz) zum Einsatz kommt, wird potenziellen Angreifern der Missbrauch eines entsprechend geschützten Benutzerkontos erheblich erschwert.

Ein zusätzliches Sicherheitsmerkmal eröffnet sich durch die Angabe einer externen E-Mail-Adresse (z. B. Google Mail, Hotmail etc.). Damit ist es möglich, sich per E-Mail über sicherheitsrelevante Vorgänge wie etwa fehlgeschlagene Anmeldungen am Kundenportal oder die Änderung des eigenen Passworts informieren zu lassen. Sollte man eine solche E-Mail erhalten, ohne dass die entsprechende Aktion selbst ausgelöst wurde, ist das eigene Benutzerkonto womöglich kompromittiert. In diesem Fall sollte man unverzüglich die Service-Hotline der GWDG telefonisch oder per E-Mail informieren, um die Sperrung des Kontos und eine Sicherheitsanalyse zu veranlassen. Alternativ befindet sich im Kundenportal unter „My Account“ der Menüpunkt „Last Activities“, in dem ebenfalls alle sicherheitsrelevanten Aktivitäten der vergangenen Wochen aufgelistet sind. Falls einem Anwender also keine externe E-Mail-Adresse zur Verfügung steht, sollte er die dort aufgeführten Aktionen des Öfteren auf Unregelmäßigkeiten prüfen. Sind dort beispielsweise vermehrt Anmeldeversuche aus fremden Ländern oder zu unüblichen Uhrzeiten verzeichnet, versuchen unter Umständen Dritte, das Benutzerkonto zu kompromittieren. Auch in solchen Fällen wird empfohlen, kurzfristig mit der Service-Hotline der GWDG Kontakt aufzunehmen.

Nicht zuletzt können im Bereich „Security & Privacy“ beliebig viele Sicherheitsfragen konfiguriert werden, von denen eine Auswahl bei der Verwendung der „Passwort vergessen“-Funktion korrekt beantwortet werden muss. Hier ist es wichtig, Fragen zu wählen, deren Antwort einfach zu merken ist, von potenziellen Angreifern aber möglichst nicht im Internet oder im Freundes- und Bekanntenkreis recherchiert werden kann. Im WWW gibt es viele Hinweise und Anregungen [1] für die Auswahl von guten Sicherheitsfragen, etwa „Von welchem Hersteller und welches Modell war ihr erstes Auto?“.

Selbstverständlich werden alle freiwillig angegebenen Informationen wie E-Mail-Adressen, Telefonnummern oder Sicherheitsfragen nicht an Dritte weitergegeben und nur innerhalb der GWDG gespeichert und verwendet.

3. Konzepte, Technologien und Entwicklung

Als technische Grundlage für das Kundenportal kommt das weit verbreitete Open Source Portal-Framework Liferay [2] zum Einsatz. Neben Basisfunktionen wie Benutzer- und Rollenverwaltung, Seiten- und Layout-Vorlagen, Mehrsprachigkeit und Content Management bietet Liferay auch fortgeschrittene Werkzeuge für die Integration zusätzlicher Dienste und Systeme. Liferay ist im Umfeld von Forschung und Lehre weit verbreitet und wird bereits seit Jahren von den renommierten IT-Analysten Gartner Inc. als Leader im Bereich Portal-Frameworks angesehen [3].

Für jeden zusätzlichen Dienst wird ein sogenanntes Portlet entwickelt, eine Mini-Webanwendung, die zusammen mit Navigations- und Menüelementen innerhalb eines von Liferay vorgegebenen Rahmens dargestellt wird. Um den Aufwand für die Entwicklung und Pflege von Portlets in einem adäquaten Rahmen zu halten, werden dort nur die am häufigsten benötigten Funktionalitäten eines Dienstes abgedeckt. Im Allgemeinen umfasst dies die Bestellung und Löschung einer Dienstinstanz sowie die Konfiguration der wichtigsten Parameter. Für Experten-Konfigurationen, wie etwa Moderationseinstellungen oder E-Mail-Adressfilter für Mailinglisten, kann weiterhin die jeweilige Administrationsoberfläche des Dienstes verwendet werden. Diese ist in den meisten Fällen bequem über einen Link im Portlet erreichbar.

Um die in einem Portlet verfügbaren Funktionen auszuführen, werden die jeweiligen Dienste über Schnittstellen (meist WebServices) vom Kundenportal ferngesteuert. Dieses Vorgehen erlaubt einen hohen Grad an Automation und reduziert oftmals auch die Notwendigkeit langwieriger, manueller Tätigkeiten.

Die Portlets werden weitestgehend mit standardisierten Java Enterprise (JEE)-Technologien implementiert, zum Beispiel Java Persistence API (JPA, Datenhaltung), Entities (Datenmodell), Enterprise Java Beans (EJB, Anwendung) und Java Server Faces (JSF, Benutzeroberfläche). Diese werden durch den GlassFish Application Server [4] zur Verfügung gestellt. Zusätzlich wird das JSF-Frameworks PrimeFaces [5] verwendet, welches viele einfach zu bedienende und optisch hochwertige Komponenten bei der Gestaltung von Webformularen zur Verfügung stellt. Die Abbildung zeigt das Zusammenspiel der verschiedenen Komponenten im GWDG-Kundenportal.

original
Original 1508157625
Abb. 1: Komponenten-Architektur des GWDG-Kundenportals
Abb. 1: Komponenten-Architektur des GWDG-Kundenportals

Der Quellcode der verschiedenen Portlets ist in einem sogenannten Enterprise Archive (EAR)-Projekt zusammengefasst, welches mit dem Build Process Manager Maven [6] übersetzt wird. Dabei stellt insbesondere das automatische Auflösen von Abhängigkeiten zu extern im Internet verfügbaren Java-Bibliotheken eine erhebliche Vereinfachung für die Entwickler dar.

Bei der Entwicklung neuer Portlets wird ein zweistufiger Qualitätssicherungsprozess angewendet. Der Hauptteil der Programmierung und der Softwaretests wird dabei zunächst auf den PCs der Entwickler durchgeführt. Sobald ein Portlet den gewünschten Funktionsumfang abdeckt und bei den Tests auf dem Entwickler-PC keine Fehler mehr auftreten, erfolgt die Integration in eine sogenannte Staging-Instanz des Kundenportals. Diese entspricht weitestgehend dem Produktivserver und erlaubt es, den gesamten Funktionsumfang des Portals mit allen alten und neuen Portlets zu testen (Integrationstest). Erst wenn auch im Staging-Portal alle eventuellen Fehler und Seiteneffekte behoben sind, wird ein neues Release des Kundenportals auf dem Produktivserver eingespielt.

Aufgrund der zahlreichen im Internet anzutreffenden Kombinationen von Geräten, Betriebssystemen, Web-Browsern, Plug-ins und Einstellungen können diese während der Qualitätssicherung nicht gänzlich von den Entwicklern auf Funktionsfähigkeit getestet werden. Deshalb werden neue beziehungsweise besonders komplexe Portlets oftmals auch im produktiven Kundenportal zunächst als „Beta“, also eventuell nicht komplett fehlerfrei, gekennzeichnet. Dies gilt aber in der Regel nicht für die jeweiligen Dienste, die sich oftmals schon seit geraumer Zeit im regulären Betrieb befinden. Das Kundenportal-Framework mit seinen verschiedenen Komponenten als Rahmen für bereits verfügbare und kommende Portlets ist bereits im Sommer 2014 vom Beta- in den produktiven Betrieb überführt worden.

Jenseits des Kundenportals konnte der skizzierte Technologie-Stack mit GlassFish, Liferay, JEE und PrimeFaces sowie der zweistufige Entwicklungsprozess auch in dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Verbundprojekt „Virtuelle Forschungsumgebung für die Sozioökonomische Berichterstattung (VFU soeb 3)“ [7] erfolgreich eingesetzt werden. Dort zeichnete die GWDG für die Arbeitspakete „Portal und Hosting“ sowie „Middleware“ (Implementierung des Datenmanagements) verantwortlich.

4. Fazit und Ausblick

Durch die Kombination von Informationen und Selfservice-Funktionen unter einer einheitlichen Benutzeroberfläche erleichtert das Kundenportal gleichermaßen Einstieg und Zugang zu vielen Diensten der GWDG, unter anderem zu Cloud Servern, SharePoint-Räumen und Projektmanagement-Umgebungen. Parallel dazu befinden sich weitere interessante Portlets, beispielsweise für virtuelle Server mit VMware ESX, in der Entwicklung, und die Integration vieler weiterer Dienste ist bereits geplant. Moderne Sicherheitsfunktionen wie mTAN, Aktivitätsprotokoll sowie eine sichere, automatisierte „Passwort vergessen“-Funktion stellen attraktive Mehrwerte für die Verwaltung des GWDG-Benutzerkontos dar. In Kombination mit weiteren, derzeit in Vorbereitung befindlichen Webbereichen für Bedienungsanleitungen, häufig gestellten Fragen (FAQs), News und themenspezifische Blogs, die mit dem Kundenportal eng verzahnt werden sollen, sind die Weichen in Richtung einer neuen, modernen User Experience für die Webpräsenz der GWDG gestellt.


[1] http://goodsecurityquestions.com/examples

[2] http://www.liferay.com

[3] http://bit.ly/1vSZBPb

[4] https://glassfish.java.net

[5] http://primefaces.org

[6] http://maven.apache.org

[7] http://www.soeb.de/vfu-soeb-3/

Zur Redakteursansicht