Notat om ny FS-drift Målgruppe: Samarbeidstiltaket FS Ola Ødegård, USIT
Forslag til ny FS-drift Innhold Forslag til ny FS-drift... 1 Mandat... 2 Bakgrunn for å vurdere ny driftsløsning... 2 Beskrivelse av anbefalt løsning... 2 Fordeler... 3 Utfordringer... 4 Plan A... 4 Plan B... 4 Omlegging av supportrutiner fra Adam til FS-support... 5 Sammenlikning mellom Plan A og Plan B... 6 Transport av avtaler/forhandling om ny SLA... 6 Ny organisering av supportfunksjon... 6 Gjennomføringsplan... 6 Forprosjekt... 6 Hovedprosjekt... 7 Estimat 2013-2015... 8 Kostnadsfordeling... 9 Innføringsprosjektet... 9 Rest Trofast... 9 1
Mandat Fra SFS strategi: Det skal arbeides for at Samarbeidstiltaket overtar rollen som driftsleverandør fra UNINETT. USIT skal være totalleverandør av driftstjenester for FS-institusjoner som ikke drifter selv eller har en annen driftsavtale. Samarbeidstiltaket skal inngå avtale med USIT på vegne av disse. Styret i Samarbeidstiltaket FS (SFS) har vedtatt å ta tilbake det formelle driftsansvaret for FS fra UNINETT/Trofast og bedt USIT IT-drift om å komme med et forslag til hvordan driften for UHsektoren kan overføres og eventuelt forbedres. En arbeidsgruppe med deltakere fra UNINETT og USIT/GAD 1 har utarbeidet et forslag til nytt driftsopplegg. USIT/SUN 2 har kommet med innspill. Dette skal danne beslutningsgrunnlaget for hvilken løsning som skal velges av styret i SFS. Bakgrunn for å vurdere ny driftsløsning Dagens driftsløsning av FS er tett driftsmessig integrert med de øvrige tjenestene under Trofastavtalen mellom UNINETT og USIT. FS deler blant annet terminalserverløsning 3 med Agresso, databaseløsning, portal og autentiseringsløsning 4 med de øvrige system. Utskillelsen av FS-drift gir en anledning å vurdere om en ny driftsløsning gir bedre driftsøkonomi og økt brukertilfredshet. Sentralt her er å vurdere å erstatte den Citrix 5 baserte terminalserverløsningen med en RDS- 6 basert terminalserverløsning. Dette er basert på ønsker om en mer brukervennlig løsning med færre pålogginger. I tillegg er det ønsker om en forenkling i forhold til driftsmeldinger og support. Uavhengig av en utskillelse av FS, er dagens driftsløsning for Trofast moden for en oppgradering 7 innen 18 måneder. Beskrivelse av anbefalt løsning Arbeidsgruppens anbefaling er å bruke RDS som er en alternativ terminalserverløsning til Citrix. RDS er basert på Windows Server 2012 R2. Dette gir bl.a. forbedrede management-muligheter. Siden Citrix ble tatt i bruk på Trofast, har Microsoft med dette produktet tatt igjen mye av forspranget som Citrix har hatt gjennom lang tid. Autentiseringen av brukeren (godkjenning av påloggingen) skjer i institusjonenes eget AD-domene 8 via Kerberos 9. Dette vil gi Single Sign On 10. Får å få til dette, kreves 1 USIT/GAD er for Gruppe for Applikasjonsdrift som har hovedansvar for drift av Trofast i dag. 2 USIT/SUN er Seksjon for utvikling av nasjonale IT-systemer som har ansvar for utvikling FS 3 Terminalserver er en teknologi gjør det mulig på en sikker måte å koble seg til og dele en fjerntliggende tjeneste gjennom en delt skjerm. 4 Autentiseringsløsning er en tjeneste som bekrefter om en bruker som logger seg på er sann eller falsk. 5 Citrix er verdens største tilbyder av terminalserverløsninger 6 RDS står for Remote Desktop Services og er Microsoft sin terminalserverløsning 7 Det er ikke foretatt en nøyaktig gjennomgang av kostander forbundet med oppgradering av Trofast. Det vil være kostnader forbundet med utskiftning av HW og mulig videreutvikling av autentifisering fra Feide. 8 AD, Active Directory, er Microsoft sin katalogtjeneste som autentiserer og autoriserer datamaskiner og brukere i Windows-nettverk. Dvs. det som gjør at du kan bruke samme bruker på forskjellige maskiner og tjenester. 9 Kerberos er en autentiseringsprotokoll slik at brukere og datamaskiner kan autentisere hverandre på en sikker måte over usikre linjer. 10 Single Sign On betyr at brukeren ikke trenger å logge seg inn på sin PC mer enn en gang for å få tilgang til en tjeneste i nettet. 2
"trust 11 " (gjensidig godkjenning) mellom AD hos UH-institusjonen og det AD som FS er tilgjengelig på. Det vil si at det må opprettes et uavhengig Active Directory som alle FS-institusjonene lager trust mot. Dette er i andre sammenhenger omtalt som felles UHAD. RDS er i prinsippet samme løsning som brukes i UiO programkiosk (kiosk.uio.no) for Universitetet i Oslo, men nå oppgradert og for hele sektoren. Når det gjelder driftsmeldinger vil disse enkelt kunne formidles som RSS Feeds 12 til aktuelle portaler. Løsningen er Windows-basert, men det vil være støtte for både Linux og Mac med visse begrensninger. Pr. i dag antas det ikke å være noen saksbehandlere i sektoren som bruker FS på annet enn Windows-PCer. Fordeler Bortfall av Citrix vedlikeholdskostnader Institusjonene vil slippe lisenskostnadene til Citrix, som ligger på rundt 300 000 kr pr. år. RDS-lisensen er allerede dekket gjennom lisensavtalene med Microsoft. Billigere drift Våre beregninger har vist at RDS-løsningen har vesentlig mindre «overhead» og vil kreve bare 30 terminalservere mot 75 på eksisterende Citrixløsning med samme kapasitet. Økt brukervennlighet Løsningen tilbyr en mer brukervennlig tjeneste med raskere og mer fleksibel pålogging. RDSløsningen kan gjenbruke innlogging i andre applikasjoner. RDS-løsningen kan settes opp slik at FS kan startes direkte fra start-menyen på brukerens PC, slik at applikasjonen oppleves mer som en lokal applikasjon. FS kan også startes via www.fellesstudentsystem.no. (Det skal være mulig med integrasjon mot Feide 13, men dette er ikke testet.) Støtter opp om NANSen 14 Den norske akademiske nettskyen Den nye RDS-baserte løsningen vil være er en type skytjeneste som åpner for nye muligheter for å dele tjenester og ressurser i sektoren på mange områder. Med denne nye infrastrukturen blir det mer kostnadseffektivt når nye tjenester introduseres. Portal og tilkobling Den nye løsningen vil være svært fleksibel ved at løsningen åpner for at brukeren kan starte FS fra et webgrensesnitt, startmenyen på egen PC, eller RDP-fil lastet ned fra vilkårlig webside. Det vil være mulig å starte FS vis Agora 15 (FAS-portal) og fra www.fellesstudentsystem.no. Det vil kreve kun en 11 Trust mellom to Active Directory betyr at to Windows-nettverk stoler på hverandre og kan dele utvalgte tjenester 12 RSS Feed er en web-basert synkroniseringsteknologi som gjør det mulig å sende f. eks tekst til mange tjenester og brukere samtidig. 13 Feide - Felles Elektronisk IDEntitet - er Kunnskapsdepartementets valgte løsning for sikker identifisering i utdanningssektoren. 14 NANSen er et initiativ fra UNINETT om å etablere felles skytjenester for UH-sektoren 15 Agora er UNINETTs nye portalprosjekt for brukere av felles IT-tjenester. Agora skal erstatte FAS-portalen. 3
pålogging på egen arbeidsstasjon, så lenge denne arbeidsstasjonen er medlem av FS-institusjonens AD. Agora er i tillegg er et samarbeidsmedium med grupper og deling av dokumenter. Det kan være av interesse for SFSs prioriteringsråd og andre organer å benytte denne muligheten. Enklere å formidle driftsmeldinger. Driftsmeldinger kan komme inn i Agora, på desktop, eller til www.fellesstudentsystem.no som RSS- Feeds. RDS-løsningen vil gjøre utviklingsarbeidet med FS lettere siden Citrix ikke støttes av utviklingsmiljøet som FS benytter i dag. Utfordringer Innføringen vil kreve et nært samarbeid med IT-avdelingene ved hver institusjon ved at de må oppgradere/innføre eget AD, og deretter etablere trust. På grunn av antallet institusjoner er dette trolig en betydelig jobb for involverte parter. Videre er det også en potensiell risiko for at det kan være motstand mot innføring av felles ressurs-ad i sektoren. I dagens Trofastløsning benytter både FS og Agresso samme terminalserverløsning basert på Citrix. Ved å skille dette miljøet, er det en fare for at det kan bli en dyrere løsning totalt. UNINETT er opptatt av at de totale kostandene som sektoren ikke blir høyere ved en overgang, og at man ikke får suboptimalisering. En mulighet er derfor å vurdere om Agresso-tilknytning også blir RDS-basert. Plan A Plan A går ut på at den administrative overgangen skal skje pr 1.1.2014 og den tekniske overgangen med til RDS skal skje så snart det er mulig. Nødvendige avtaler inngås og fakturaadresser endres. Brukerinstitusjonene benytter dagens løsning inntil de er koblet over på ny løsning. Dersom det foreligger et styrevedtak på styremøtet til SFS den 17.10.2014, vil overgangsprosjektet igangsettes omgående. Det å gjennomføres et forprosjekt og et hovedprosjekt. Det antas at det er praktisk og teknisk mulig å gjennomføre overføringsprosjektet på ny løsning i løpet av 2014. Den eksisterende løsningen vil være driftet så lenge det er nødvendig. Institusjoner som vegrer seg, eller av andre grunner ønsker å beholde Citrix-løsningen, vil få anledning til dette. Kostnadene forbundet med dette vil da måtte fordeles på de gjenværende. IT-sikkerhetssjefen av Universitetet i Oslo har vurdert sikkerhetsaspektene ved Plan A, og vurdert den til å være tilfredsstillende. Plan B Plan B er enklere ved at den i praksis ikke gjør tekniske endringer ved dagens Trofastløsning. Det vil si at FS blir driftet på samme plattform og opplegg som nå også på sikt. SFS blir da fakturert for en relativ andel av en felles driftsløsning som i dag. Dette vil bli den billigste løsningen på kort sikt. Citrix Norge har bekreftet at det er fullt mulig vederlagsfritt å overføre eierskapet til Citrixlisensene fra UNINETT til UiO/SFS. Hvis Plan A gjennomføres innen rimelig tid vil det ikke være nødvendig å overføre lisensene. Vedlikeholdskostnadene vil være det samme som før. Dersom Plan B velges, vil 4
SFS bli belastet en relativ andel av oppgraderingskostandene på Trofastplattformen som vil skje mot slutten av 2014. Omlegging av supportrutiner fra Adam til FS-support Uavhengig av hvilken tilknytning som velges, skal all support og kundehenvendelser etter 1.1.2014 gå direkte til FS-support. 5
Sammenlikning mellom Plan A og Plan B Plan A Plan B Brukervennlighet Meget god God Lisenskostnader Lav Høy Implementeringskostnader Høy Ingen nå, men høy i 2015) Risiko Middels Lav Brukeradministrasjon UH-institusjon Lav Som i dag Administrasjon USIT Lav Lav Driftskostnader Lav Høy Sikkerhet Meget god God Kryssplattformstøtte Middels God Fleksibilitet Høy Lav Transport av avtaler/forhandling om ny SLA Parallelt med et teknisk innføringsprosjekt, må det inngås en ny driftsavtale/sla mellom SFS og USIT om drift av FS. SFS må på sin side transportere avtalene med institusjonene fra UNINETT til seg. Ny organisering av supportfunksjon Alle henvendelser vedrørende FS vil fra 1.1.2014 gå direkte til FS-support. Den praktiske gjennomføringen av dette organiseres av FS-support. Gjennomføringsplan Det forutsettes at USIT har prosjektledelsen for innføringsprosjektet og utarbeider gjennomføringsplan i samarbeid med SFS og UNINETT. Forprosjekt Det bør gjennomføres et forprosjekt som avsluttes før et hovedprosjekt settes i gang. I forprosjektet må følgende forhold avklares: 6
Etablere prosjekt: klargjøre mandat, etablere prosjektgruppe og styringsgruppe samt prosjektskisse for forprosjekt og hovedprosjekt. Kartlegging av status/tilstand av de ulike AD-ene i UH-sektoren Kartlegge nettverkssammenhengen (UNINETT-nett eller ikke) Det må gjennomføres en undersøkelse for å kartlegge arbeidsomfanget at å få dette opprettet, og undersøke tilstanden til institusjonenes AD og nett. Utarbeidelse av budsjett for arbeidet forbudent med AD og Trust. Her bør det totale timeforbruket kartlegges Tekniske tester Autentisering på ulike måter /Feide Gjennomføre test med RDS/Trust hos aktuelle UH-institusjoner som allerede har et oppdatert Active Directory Identifisere aktuelle første institusjoner for RDS Forprosjektet bør ha en maksimal varighet på tre måneder. Forprosjektet skal ende opp i en rapport som danner grunnlag for beslutning om hovedprosjektet skal igangsettes. Hovedprosjekt Avhengig av konklusjonene fra forprosjektet, skal det utarbeides en plan for gjennomføringen i hele sektoren. Plan for implementering og testing må utarbeides 7
Estimat 2013-2015 Som det framgår av estimatet nedenfor, så vil de totale driftskostnadene være høyest i 2014 ved å velge Plan A, men innsparingspotensialet i de kommende årene vil være større enn ved å velge Plan B. Plan A: Innføring i løpet av 2014 Estimat 2013 Estimat 2014 Estimat 2015 Ordinære driftsutgifter Timer til ordinær FS-drift 5 300 000 5 400 000 4 600 000 Infrastrukturkostnader 1 200 000 1 300 000 1 300 000 Citrix-lisenser (vedlikehold) 300 000 300 000 0 Sum 6 800 000 7 000 000 5 900 000 Innføring/overgangskostnad Innføringsprosjekt Ny-FS-drift 730 000 1 460 000 0 Investering i ny HW 150 000 0 Sum total 7 530 000 8 610 000 5 900 000 Plan B: Fortsette med samme driftsopplegg Estimat 2013 Estimat 2014 Estimat 2015 Ordinære driftsutgifter Timer til ordinær FS-drift 5 300 000 5 400 000 5 000 000 Infrastrukturkostnader 1 200 000 1 300 000 1 400 000 Citrix-lisenser (vedlikehold) 300 000 300 000 300 000 Sum 6 800 000 7 000 000 6 700 000 Prosjekter Innføringsprosjekt Ny-FS-drift 365 000 146 000 0 Oppgradering HW/SW 300 000 600 000 Sum total 7 165 000 7 446 000 7 300 000 Merknader til estimatet: Det understrekes tallene kun er estimater basert på den informasjonen som er tilgjengelig i øyeblikket, og bør brukes med forsiktighet i forhold til budsjettering. Oversikten forutsetter at Plan A blir gjennomført i løpet av 2014. Det er estimert at driftskostnadene blir redusert med inntil 1 400 000 kr fra 2014 til 2015 dersom Plan A velges. Dette kommer som følge av bortfall av lisenskostnader, færre terminalservere/redusert overhead på ny løsning, samt mer effektiv drift av databasene som følge av VPD. (VPD-effekten vil være lik for både Plan A og Plan B.) Infrastrukturkostnadene generelt er forventet å øke noe på grunn av vekst i lagring og backup. FS krever i dag mer enn 15 TB. (Like for begge planer) USITs timepris vil øke fra 730 kr eks mva. til 755 kr fra 1.1.2014 Dette er ikke tatt inn i estimatet. 8
Kostnadsfordeling Timekostnadene i budsjettestimatet omfatter kun timer hos USIT. Dette er satt opp utfra antagelsen om at USIT gjennomfører hele prosjekt så snart det vedtas av styret i SFS. Fordeling av kostander mellom UNINETT og SFS må partene selv bli enige om. Kostnader hos UNINETT eller USIT/SUN er ikke tatt med. Innføringsprosjektet I 2014 vil det bli en ekstra kostnad forbundet med administrativt arbeid og utredningsarbeid ved både Plan A og B. Det vil bli delvis doble kostnader i en overgangsperiode. Det er gjort et foreløpig estimat om at innføringsprosjektet kan kreve 1000 timer fra USIT-ansatte i 2013 og 2000 timer i 2014. Det faktiske timebehov til innføringsprosjektet vil måtte bli nærmere undersøkt i forprosjektet. Dersom Plan B velges vil overgangsprosjektet være mindre krevende, og det estimeres å kreve 500 timer i 2013 og 200 timer i 2014. Tidsbruk hos FS-institusjonene, SFS og UNINETT er ikke innberegnet. IT-leder og IT-personell i den enkelte institusjon må påberegne et ekstra arbeid både i forbindelse med overgangen. Dette gjelder både å oppgradere AD og sette opp trust. Rest Trofast Utskillelsen av FS-drift vil i 2014 få den konsekvens at felleskostnader forbundet med FAS-portal, Agora, drift av Trofast-AD og annet blir fakturert UNINETT i sin helhet. Dette vil imidlertid bli driftet en dobbeltløsning i overgangsperioden, vil dette bli fordelt mellom SFS og UNINETT. Fra 2015 vil UNINETT bli belastet merkostnaden av å beholde den gamle løsningen for Agresso og ephorte. Ved å velge både Plan A og samtidig beholde eksisterende løsning for Rest-Trofast, er det fortsatt å anta at totalkostnaden for sektoren blir lik eller lavere enn dagens nivå. Dersom Plan B velges, er forventet at dette totalt sett blir den dyreste løsningen på sikt siden Trofast-løsningen må oppgraderes innen 18 måneder. Dette arbeidet må igangsettes i løpet av 2014. 9