Digital Suveränitet — De Fyra Pelarna

• Infrastruktursovranitet
  Självständig drift av servrar och nätverk
• Datasuveränitet
  Kontroll över datalagring och åtkomst
• Programvarusovranitet
  Öppen källkod utan proprietära beroenden
• Operationell suveränitet
  Full kontroll över uppdateringar och underhåll

Vad är openDesk?

• Öppen källkodsalternativ till M365 och Google Workspace
• Av staten för staten (BMI / ZenDiS)
• BSI-certifierat (tysk suveränitet)
• Cloud-Native: Kubernetes-baserad arbetsplats
• Modulära Komponenter:
  • Chatt, Filer, Wiki, Projektledning
  • E-post, Diagram, Webbkontor, Video
• Self-Hosted eller SaaS

Komponentöversikt

Komponent	Programvara
Chatt	Element / Synapse
Filer	Nextcloud
Wiki	XWiki
Projekt	OpenProject
E-post	OX App Suite
Diagram	CryptPad
Webbkontor	Collabora
Video	Jitsi

openDesk-projektstatistik

Utveckling	Gemenskap
Start: Juli 2023	Bidragsgivare: ~ 70
Löptid: ~ 3 år	Organisationer: ~ 27
Commits: ~ 1 500
Versioner: ~ 150

OpenCode.de | Leveranskedja
BMI-finansierad plattform | Signerade containeravbildningar
Suverän molninfrastruktur | SBOM för alla komponenter

Infrastrukturöversikt

Virtualisering med Proxmox

Helmfile & HRZ-miljö

# Distribution med Helmfile
helmfile apply -e hrz

• Helmfile-orchestrering
  • Deklarativ konfiguration i helmfile_generic.yaml.gotmpl
  • Miljöspecifika åsidosättningar i environments/hrz/
  • Automatisk beroendebackup
• HRZ-miljö skapad
  • Kopia av staging med anpassningar
  • Uni Marburg-specifik konfiguration
  • Testsystem för provdrift

Lokal Chart-utveckling

# Klona/hämta Charts lokalt
python3 dev/charts-local.py --match intercom
python3 dev/charts-local.py --revert

• Lokal Chart-utveckling & testning
• Klona/hämta i charts-<branch>/
• Helmfile-referenser till lokala sökvägar
• Backup & Återställning med --revert

Användarimport: Etablering

• UDM REST API — CSV/ODS-import, LDAP-grupper
• Kontokoppling — SAML-identitetskoppling
• Demoläge — Testkonton, profilbilder

Användarimport: Avetablering

Tvåfasig avetableringsprocess:

• Fas 1: Inaktivera användare
  • IAM API → UCS Disable → Tidsstämpel i beskrivning
  • Keycloak: Ta bort SAML + upplös grupper
• Fas 2: Radera användare
  • Grace-period (6 månader) → Permanent radering
  • Output: deprovisioned-*, deleted-*

openDesk Edu — Översikt

• Utökning av openDesk CE för universitet
• Nya komponenter:
  • Lärandeplattformar (ILIAS, Moodle)
  • Videokonferens för undervisning (BigBlueButton)
  • Alternativ filsynchronisering (OpenCloud)
• Alla integrerade med Keycloak SSO
• Distribuera allt med helmfile apply

GitHub: github.com/opendesk-edu/opendesk-edu

Utbildningskomponenter

Komponent	Status	Beskrivning
ILIAS	Stabil	LMS med SAML SSO — Kurser, SCORM, Prov
Moodle	Beta	LMS med Shibboleth — Pluginprogram, Betygsbok
BigBlueButton	Beta	Videokonferens för undervisning — Inspelning, Whiteboard
OpenCloud	Beta	CS3-baserad filsynk — Alternativ till Nextcloud

ILIAS SSO — Arkitektur

Snabbstart — Distribution i 3 steg

# 1. Klona repot
git clone https://github.com/opendesk-edu/opendesk-edu.git
cd opendesk-edu

# 2. Konfigurera din miljö
# Redigera helmfile/environments/default/global.yaml.gotmpl
# Ange din domän, e-postdomän och imageregistry

# 3. Distribuera
helmfile -e default apply

Fullständig dokumentation: docs/getting-started.md

Nätverkskonfiguration

• Ingress Controller: haproxy-ingress
• Reverse Proxy: Traefik — HTTP/HTTPS-terminering
• LoadBalancer: MetalLB
• Alla Ingressar migrerade till haproxy

Grafana-instrumentpanel

Uppdateringsprocess

# Ladda senaste versionerna
git checkout -b myrelease upstream/tags/v1.12.2
git pull

# Granska ändringar
helmfile diff -e hrz

# Verkställ uppdateringar
helmfile apply -e hrz

# Återställ vid behov
helmfile rollback -e hrz

• Kontrollerade uppdateringar via Helmfile
• Enkel återställningsmöjlighet

HRZ-Upgrade: Ingress-migrering

• Migrering: nginx → haproxy-ingress
  • v1.11.2 → v1.13.x (uniapps-gren)
  • Alla Ingressar migrerade till haproxy
• Ingress-klasser:
  • ingressClassName: haproxy
  • nginx helt föråldrad
• Konfiguration:
  • replicaCount: 2, LoadBalancer
  • tune.bufsize: 65536, tune.http.maxhdr: 256

HRZ-Upgrade: Dubbel backup

• Mål: Redundant backuplagring
• Strategi: S3-kompatibel med restic-backend
  • Primär: s3.example.org:9000/backup-primary
  • Sekundär: s3-backup.example.org:9000/backup-secondary
• Schemaläggning: Dagligen kl 00:42, Veckokontroll, Prune på söndagar
• Bevarande: 14 dagliga, Behåll de senaste 5

Institutionella hinder

• Juridiska avdelningen
  • GDPR, AVV-avtal, Licenftereening
• Personalrådet
  • Tjänsteavtal, Medbestämmande för IT-system
• Administrationen
  • Microsoft-preferenser, Formatkompatibilitet
• Obligatoriska dokument
  • DSFA, TCO-kalkyl

Nästa steg & Rekommendationer

1. Starta provdrift
2. Trådvis utrullning (10 → 100 → 1 000 användare)
3. Tydlig separation från produktionssystem
4. Utvärdering: Kategorisera användningsfall efter suveränitetskrav
5. Budget för driftsteam (inte bara implementering)

Engagera dig!

Hjälp oss bygga openDesk Edu för universitet!

• Stjärnmärk repot: github.com/opendesk-edu/opendesk-edu
• Testa lokalt: Distribuera med Helmfile och ge feedback
• Rapportera problem: Issues för buggar eller funktionsförfrågningar
• Bidra: PRs välkomna — se CONTRIBUTING.md

Låt oss bygga suverän programvara för universitet tillsammans!

Tekniska resurser

• openDesk: docs.opendesk.eu ·
  Distributionsguide ·
  Användarimport
• openDesk Edu: github.com/opendesk-edu/opendesk-edu · Utbildningstillägg för universitet
• DFN-AAI: dfn.de/dienste/dfnaai/
• K3s: docs.k3s.io
• Helmfile: helmfile.readthedocs.io
• Klusterautomatisering: Kubespray ·
  k3s-ansible

Organisationella resurser

• HBDI-rekommendation (M365-bedömning):
  PDF
• Hessischer Digitalpakt Hochschulen:
  PDF
• EVB-IT Open Source (ZenDiS):
  zendis.de
• EVB-IT & BVB (digitale-verwaltung.de):
  digitale-verwaltung.de
• Digital Suveränitet vid Universitet:
  PDF
• CoCreate-Werkstattgespräch:
  PDF