Diese Seite erläutert die für die Nutzung der bwCloud erforderlichen **bwIDM-Entitlements** (bwCloud-Basic, bwCloud-Extended) und deren Auswirkungen auf Zugang, Ressourcen und Betriebsregeln.

Jede:r Angehörige einer Einrichtung (Universität, Hochschule, PH, HAW etc.) in Baden-Württemberg besitzt einen persönlichen Account um sich an den IT-Diensten der Einrichtung anmelden und diese nutzen zu können. Wenn die Einrichtung Mitglied im föderierten Identitätsmanagement der baden-württembergischen Hochschulen bwIDM ist, dann können Angehörige dieser Einrichtung weitere IT-Dienste nutzen, die von anderen Standorten angeboten werden.

Damit diese "fremden" IT-Dienste "wissen", wer die/der Nutzer:in ist, werden bei der Registrierung und/oder Nutzung des fremden IT-Dienstes einige Daten des/der Nutzer:in an den IT-Dienst übermittelt. Das föderierte Identitätsmanagement sorgt außerdem durch das gegenseitige Vertrauensmodell dafür, dass der fremde IT-Dienst weiß, dass die/der Nutzer:in auch wirklich an der jeweiligen Einrichtung existiert (Validierung des Accounts).

Im Zuge der bwIDM Föderation haben sich die teilnehmenden Einrichtungen auf einen minimalen Datensatz geeinigt, der an den fremden IT-Dienst übermittelt wird. Dieser Datensatz umfasst beispielsweise Attribute¹ wie eduPersonalPrincipalName, mail oder givenName. Das sind sogenannte "Standardattribute".

Manche IT-Dienste benötigen aber spezifische Angaben, beispielsweise ob eine Heimateinrichtung die Nutzung eines fremden IT-Dienstes überhaupt erlaubt. Diese spezifischen Angaben können über zusätzliche Belegungen eines speziellen Attributs (eduPersonEntitlement) dem persönlichen Account des/der Nutzers:in hinzugefügt werden.

Für den Zugang zur bwCloud ist mindestens eines der folgenden Entitlements erforderlich:

• bwCloud-Basic
• bwCloud-Extended

Sind beide vorhanden, wird bwCloud-Extended als höherwertiges Entitlement ausgewertet. Weitere Infos finden Sie auf der bwIDM-Seite zum Service bwCloud-OS.

Die Entitlements steuern mehrere Aspekte der Nutzung:

Zugangsentscheidung (Freigabe)

Die Heimateinrichtungen entscheiden eigenständig, wer bwCloud nutzen darf – durch Vergabe oder Nicht-Vergabe eines passenden Entitlements. Ohne Freigabe **kein Zugang**.

Umfang nutzbarer Ressourcen

Die Flavortabelle ist maßgeblich für den nutzbaren Ressourcenrahmen.

• bwCloud-Basic: Start von sehr kleinen Instanzen (z. B. *nano*, *tiny*); primär für Einführungs-/Studierendenbetrieb gedacht.

• bwCloud-Extended: deutlich erweiterte Quota; alle Flavors nutzbar.

Umgang mit Instanzen

Im Basic-Kontext werden kleine, temporäre VMs erwartet. Zur Vermeidung von Bestandsaufwuchs werden **von Basic-Accounts gestartete VMs regelmäßig gelöscht** (nicht für dauerhafte Dienste). Für Extended gilt dies nicht; Instanzen laufen bis zur eigenständigen Löschung weiter.

Kosten-/Leistungsverrechnung

Für einen nachhaltigen Betrieb ist ein Kosten- und Leistungsverrechnungsmodell vorgesehen. Abrechnungen erfolgen standortweise (Sammelübersichten/-rechnungen an die Heimateinrichtungen); Basic bleibt kostenfrei (durch das MWK gefördert).

Registrierungsprozess

Die Auswertung der bwIDM-Entitlements erfolgt automatisiert. Nach der Registrierung steht der Zugang in der Regel sehr zeitnah zur Verfügung – ohne manuelle Freischaltung.

Die dem Account zugeordneten Entitlements lassen sich z. B. über eine RegApp oder das bwSupportPortal einsehen. Beim Anmelden wird eine Übersicht der zu übermittelnden Attribute inklusive der Entitlements angezeigt.

Die **Vergabe** von bwCloud-Entitlements liegt ausschließlich bei der **Heimateinrichtung** (Rechenzentrum/IT-Service). Die bwCloud selbst **vergibt oder entfernt** keine Entitlements. In diesem Fall ist die Zuweisung über die zuständige Stelle der Einrichtung zu beantragen.

---

Die bwCloud besteht aus derzeit vier unterschiedlichen Betriebsstandorten = Regionen, die über eine gemeinsame Oberfläche (Dashboard oder Portal) ausgewählt und administriert werden können. Jeder der vier Betriebsstandorte agiert dabei als eigenständige Region. Das bedeutet: laufende Instanzen in der Region Mannheim bekommen gemäß der Konfiguration der Mannheimer Region entsprechend eine IP-Adresse. Die IP-Adresse ist Mannheim spezifisch und kann nicht in eine andere Region umziehen.

Jede_r Nutzer_in der bwCloud bekommt bei der Einrichtung initial eine Heimatregion zugeordnet. Für Nutzer_innen aus den vier Betriebsstandorten ist diese Zuordnung natürlich trivial. Bei Nutzer_innen von anderen Standorten haben wir uns an der Netzwerktopologie des BelWü orientiert. Ziel der derzeitigen Zuordnung ist die möglichst kürzeste Verbindung des jeweiligen Standortes zu einem unserer Betriebsstandorte.

Folgende Tabelle gibt eine grobe Übersicht über die aktuelle Verteilung der Nutzer_innen:

Nutzerstandort	Region/Betreiberstandort
Baden-Baden	Karlsruhe
Karlsruhe
KIT
Pforzheim
Rastatt
Offenburg	Freiburg
Freiburg
Furtwangen
Aalen	Ulm
Albsing
Bieberach
Esslingen
Heidenheim
Hohenheim
Ulm
Weingarten
Gmünd	Mannheim
Heidelberg
Heilbronn
Ludwigsburg
Mannheim
Rottenburg
Stuttgart
BSZ-BW
DHBW-VS
Konstanz
Reutlingen
Tübingen
Alle anderen Standorte

Stand: Juli 2018

Zur Bestimmung der Heimatregion werten wir die "Affiliation" der Nutzer_innen bei der Registrierung aus. Sollte ein_e Nutzer_in von einem Standort kommen, der nicht in der Tabelle explizit aufgeführt ist, wird die Region Freiburg als Standard-Heimatregion eingetragen.

Heimtregion, Zuordnung, BelWü

In der linken Hälfte der obersten Navigationszeile im Dashboard kann man auf ein Drop-Down Menü klicken um sich die Regionen anzuzeigen. Die aktuell ausgewählte Region ist mit einem Haken gekennzeichnet. Ein Klick auf die jeweilige Region wechselt dorthin.

• Erste Schritte – Registrierung und Einstieg in die Nutzung
• Projekte & Quota – Projektarten, Quota-Erhöhungen
• Netzwerk & Sicherheit – Netze, IP-Adressen, Security Groups, DNS/FQDN

<references/>