eProcess Blog

There are several processes in enterprises that usually processed manually. Their work flow has none or slight structured characteristics. Mostly they are handled by individual bias. Some work by checklists others by notes about the steps. The main drawback lies in monitoring the current state of the process. It is only recognizable by check the relying documents or asking involved persons.

The need

• Monitoring: Get the current state of the process. Recognize the parallel running processes as well.
• Flexibility: Not all of the process steps are obligatory. The user has the freedom to decide by itself for the right next steps
• Ergonomically: The user should be able to work in its used environment with its known tools. There should be no need for additional user interfaces.
• Instanciation/Identification: The process can be started as a single instance

The gap

The variety of documents in enterprises challenges them more and more. There are often a lot of different management systems for movie, photos, scanned documents, office documents and sources from the web. Even some documents are in association with physical documents/items. To progress their administration there are the following two needs to solve:

• One enterprise content management system
• One process management system

The bridge

To achieve a successful solution the most important thing is the ergonomic behavior of the solution. The contributors should be able to operate with their commonly used environment to interact with the process management system.

Therefore you can confront the user with tables, with checklists and short text descriptions.

One product most office worker uses is outlook. One approach is to expand the use and enhance the functionalities of Outlook. There are Tasklists which can be used as process descriptions and checklists. One possible server side technology would be SharePoint which also allows to synchronize lists with Outlook. However there are still a lot of limitations and there is a big potential of writing enhancements for a proper cooperation of SharePoint and Outlook.

Two approaches

For flexible processes we found two support methods. One is the checklist which allows to ignore some items or change their order. You can enhance the list by order the items hierarchical. We recommend for simple processes just use Milestones of the process to order the items. For more complex processes you can order the checklist items first by milestones and as a second hierarchy by work packages.

The second method to support your process makes sense if your process doesn’t contains parallel processing actions. If everything can be done sequentially you can use a “tracking sheet” (process slip, route card) which wanders along the process path. The needed documents for the single steps (activities) are attached to the items of the tracking sheet. The tracking sheet correlate with the process instance.

At the moment we investigate in SharePoint, Outlook and Excel because it’s the most spread software in middle sized companies.

I recently tried to represent an actually simple process in BPMN and stumpled over some interessting facets. Its about an employmentprocess. Luckily you can possibily imagine the steps by yourself and propabely don’t counter any big challenges in it. However to visualize them accurately in BPMN will gain more effort than you win from the result.

The process has some special characteristics:

• There are few deadlines when the activities should be done.
• There are barely decisions in it.
• There are a buch of activities that don’t depend on each other but must be finnished to the same given time (the deadlines).
• The activities are mostly done manually with a spare use of supporting systems.

I structured the emploment process in four main parts: 1) Close the contract, 2) Prepare the workspace, 3) Introduce the workplace, 4) End the probation period

I will first point on “Prepare the workspace” and explain the special characteristic on it. Most of the activites just have to be finnished until the employee starts work. There is no strict sequence to uphold.

• Desk must be ready
• IT & Phone infrastructure is needed
• ERP needs to filled with the personnel information
• Inform the fellow employee
• Order batch or key for the office
• Order business cards
• Social insurance application
• If it’s an foreighner there are different  taxes to use
• Order a welcome gift
• note the mediator for an award if the employee stays

This is not the complete list but it depicts that their order don’t matter but they ought be done until the employee starts to work. The model of this activities will build a big landscape with some messages leaving the system and activityboxes which are paralell and end in the same gateway. Though the employee starts to work it is not mandatory that the social insurance application is finnished. Whether the business cards are already there or not he will be able to do his work anyway. But the desk and computer must be ready to use. The key to the office is actually useful but the employee can arrange it to get in by asking a coworker. So there isn’t a possibility to visualize this condition like “nice if it’s allready done, but it can go on aswel”. Of course everything is solvable somehow and if there is no representation shape you can use an annotation. But by thinking to make BPMN 2.0 which aims to be executable annotations won’t help much.

Make simple things complex

An other thing is that a simple manual task allready generates a relatively complex diagram. To send a contract to the employee and file it if its back allready contains decisions, rules and messages.

In words it’s easy to describe, create a contract, let it sign by the employee and file it. That’s it. To describe it formal in BPMN several shapes are used which need an understanding in BPMN. Let us have a look to the shape “Create person dossier”. On this point of the process you have to wait until you get the signed contract. However you are not forced to create the person dossier before the contract is comming back. Therefore the gateway shape is needed (diamond shape) the pentagon in it means that its an event based decision.

With this small example I try to point out that you use extra time to describe something simple with BPMN by thinking of which shape you should use and at the end you need to explain it in detail that somebody else could understand it what again is timeintense. In the worst case you ending up in arguing if the right shapes where choosen. Where is the benefit? Is it executable now? No, we are still far beyond that. The way the contract is to send or how to file the contract concretely is still not described.

Contract an employee

What is about execute the process?

The here choosen process consists of a major manual actions. To represent it in a system it desires a lot of user confirmations only to make the system aware of the current process steps. I see some approaches that could be promissing like to watch a directory where the user posts a contract scan, order confirmation could be posted, which would automatically confirm the process step. An other approach is to provide all the process participants with a electronic checklist (html-form, xml-form like InfoPath). An other approach is to generate a message for each point on the checklist. The user has to confirm each message. There is to find a confortable representation of the messages to the user. After finding the right process engine you have to spend a lot of time and effort in how to represent it to the user. A promissing approach would be to use as much as possible of its common used tools to represent it.

About the used BPMN Tool

I used BizAgi to design the BPMN. It looks quite nice, the shapes are described in the tool and it is intuitive to use. However as soon as the diagram is getting bigger it lags and the connection of the shape moving sometimes unwillingly. I would recommend it for small diagrams. Anyway big diagrams are difficult to understand and to print it out would be a problem too. Actually there are good print features in the tool which allow you to print diagrams on one page.

Conclusion

BPMN not fits to:

• Processes with a lot of mannual interactions
• Processes that have few hard preconditions (dependencies) between the activities
• If there are multible options to communicate for the same activity
• Easy explain simple things (you have to explain the notation)

Die SuisseID ist seit über einem Monat lanciert. Erst ein mal ein grosses Lob an das gesamte Team und deren Partner. Sie haben es geschafft in sehr kurzer Zeit die Spezifikation zu entwerfen und diese zu einem grossen Teil zu implementieren.

Für diejenigen, die nicht wissen was die SuisseID ist, hier ein Ausschnitt aus Wikipedia:

Die SuisseID ist der erste standardisierte elektronische Identitätsnachweis der Schweiz, mit dem sowohl eine rechtsgültige elektronische Signatur wie auch eine sichere Authentifizierung (Log-in) möglich sind. Mit der als USB-Stick oder Chipkarte erhältlichen SuisseID können Geschäfte von Privatpersonen mit Firmen bzw. Verwaltungen direkt und sicher über das Internet oder per E-Mail abgeschlossen werden.

Jeder, der sich noch weiter für die SuisseID interessiert, kann auch einen Blick in ihre Spezifikation werfen.

Habe kürzlich einen Artikel in der Weltwoche entdeckt Teure Lösung für nichtexistente Probleme, welcher sich kritisch über die SuisseID äussert.

Als ich den Artikel gelesen habe, hat es mir fast die Sprache verschlagen. Eine solche Schwarzmalerei und unsachgemässe Recherche kann man ja vom Blick erwarten aber die Weltwoche scheint da wohl nicht besser zu sein. Der Autor schreibt frei aus der Seele und lästert über die SuisseID, hat wohl aber selber nie die Spezifikation der SuisseID gelesen und deren eigentlichen Zweck begriffen. Er stempelt sie als proprietäres, eigenbrötlerisches Schweizer Produkt ab, welches “eine digitale Mauer um unser Land” darstellt. Dabei basiert die SuisseID auf offenen Standards und lässt die Integration in bestehende Infrastruktur grundsätzlich zu.
Der Autor hätte sich mit einem Fachmann zusammensetzen sollen, bevor er den Artikel schrieb. Dies hilft, dass die Schere zwischen Endanwender und “IT Freak” nicht zu weit auseinanderklafft und beide Parteien einen Dialog führen, damit eine (gute) Lösung nicht wieder einmal in Vergessenheit gerät ohne jemals ihren wahren Nutzen erfahren zu haben. Anstatt nur auf die SuisseID in der Presse einzuprügeln und die Leute somit zu bekehren, sollte man als Autor versuchen das SuisseID Projekt und die technischen Möglichkeiten und Einschränkungen zu verstehen und somit sachgemäss über das Produkt zu berichten. Ja, es sind 21 Millionen CHF auf dem Spiel. Und mit solchen Artikeln muss man sich nicht wundern, wenn am Schluss niemand davon Gebrauch macht und das Geld verpufft.

Ich möchte nun selber Stellung nehmen zu einigen Punkten, welche im Artikel erwähnt werden:

Nun, ich kaufe heute schon meine Konzerttickets online, auch die Fahrscheine für Zugfahrten bei der SBB, ich nutze Telebanking, bestelle online bei diversen Shops Waren, usw. Wo genau liegt das Problem? Bei all diesen Angeboten habe ich mich einmal registriert und nutze sie fortan problemlos.

Ja das ist ja schön und recht. Soll von mir aus auch weiterhin so bleiben. Zwar ärgerlich, dass man für jede Seite oder jedes Angebot einen zusätzlichen Benutzernamen und Passwort braucht. Verleitet doch den Benutzer dazu sehr einfache Passwörter zu gebrauchen und dazu meistens immer das gleiche. Dank Phishing & Co. kann man schlimmstensfalls nach Herausinfden des Passworts auf all diejenigen Angebote zugreifen.
Da sehe ich den Vorteil einer SuisseID oder eines SAML Tokens. Kryptologisch betrachtet ist es sehr viel sicherer (SmartCard mit persönlicher PIN, Biometrie wäre noch besser) zudem braucht man sich nur noch einen PIN Code zu merken. Nämlich den PIN Code der SuisseID bzw. des SAML Tokens oder der Informaton Card (SuisseID unterstützt diese Formate).

Wir sind eine Exportnation, unsere Geschäftspartner im Ausland werden mit der SuisseID wohl kaum viel anfangen können. Kommt dazu, dass zwischen Unternehmen meistens eine langfristige Beziehung besteht und es somit auch da kaum Probleme mit nicht vorhandenen digitalen Unterschriften gibt.

Die Frage hier ist nicht ob die Geschäftspartner was mit der SuisseID anfangen. Die Frage ist, ob sie was mit digitalen Unterschriften anfangen können. Ob hinter der digitalen Unterschrift eine SuisseID dahintersteckt, oder eine BELPIC (Belgien) oder eine BULSTAT (Bulgarien) uvm, spielt keine grosse Rolle. Das wichtigste ist hierbei, dass das darunterliegende Zertifikat und Krypto-Verfahren standardisiert ist. Und dies ist bei der SuisseID ebenfalls der Fall. Welche EU Länder bereits schon eGov-Vorstösse wie die SuisseID betreiben oder solche Lösungen bereits schon realisiert haben findet man in der eID Interoperability for Pan-European eGovernment Services.

Das letzte Beispiel, welches jeweils angeführt wird, ist die Alterskontrolle für Einkäufe von Produkten, die für Jugendliche nicht geeignet sind. Spiele und Videos ab 18 Jahren, alkoholische Getränke usw. Neben der Tatsache, dass auch mit der SuisseID solche Hürden durch jugendliche Kreativität ohne Probleme umgangen werden können, sei noch erwähnt, dass die Alterskontrolle auch über die Kreditkarte durchgeführt werden könnte.

Das ein Jugendlicher die Kreditkarte seines Vaters mal schnell “entwendet”, das ist jugendliche Kreativität. Das ein Jugendlicher ein Krypto-Verfahren mal so schnell knackt, WOW, dann wäre das ein Top10-Hacker, dessen sechs- bis siebenstelligen Lohn ich gerne hätte. Zudem bräuchte er nebst enorm (!) viel Rechenpower auch mathematische Kenntnisse. Leider verheissen die jüngsten PISA Studien nichts gutes über die Coolnes von Mathe bei Jugendlichen.
Natürlich, das Bewusstsein über die Tragweite einer Weitergabe des PIN Codes einer SuisseID an andere Personen ist in der Bevölkerung bei weitem nicht verankert. Dies ist tatsächlich ein Problem. Aber nicht nur bei der SuisseID sondern generell bei Passwörtern. Z.B. ein vermeintlicher Bluewin Mitarbeiter ruft an und meldet einen geplanten Unterbruch des Internetzugangs an. Er bräuchte schnell das Passwort, damit er die Leitung anschliessend wieder reaktivieren kann.
Wenn man aber die SuisseID künftig z.B. auch für die digitale Steuererklärung, elektronische Abstimmung, dem eBanking und als elektronische Identitätskarte nutzt, da überlegt man sich zwei Mal ob man so schnell den PIN Code jemandem anderen anvertraut. Ich meine, kenne niemanden der seinen PIN Code seiner Bankkarte jemandem anderen anvertraut (ohne ihn wenigstens anschliessend zu ändern).

Gleichzeitig aber würden wir uns – sollte sich denn das behördlich verordnete System durchsetzen – vielen gesellschaftlich äusserst fragwürdigen neuen Möglichkeiten staatlicher Kontrolle aussetzen. Es würde wohl nicht lange dauern, bis die Online-Altersverifikation mittels SuisseID für -zig Produkte obligatorisch erklärt würde.

Im schlimmsten Fall könnte die SuisseID grundsätzlich zur Voraussetzung werden, um überhaupt online gehen zu können.

Da stimme ich voll und ganz zu! Es muss mit Vorsicht genossen werden. Es darf nicht sein, dass der Staat dies als Möglichkeit betrachtet völlige staatliche Kontrolle zu erreichen. Die SuisseID soll nur für ganz gezielte Anwendungen (Abstimmung etc.) Pflicht sein. Die Online-Shops sollten selber bestimmen dürfen, ob sie die SuisseID (oder generell SAML) als zusätzliches Authentisierungsverfahren nutzen möchten.

Mit der SuisseID bauen wir eine digitale Mauer um unser Land, denn für unseren kleinen Markt werden ausländischen Anbieter kaum eine weitere Extrawurst implementieren.

Ich zitiere hier gerne einen User-Kommentar zu einem weiteren SuisseID kritischen Blogeintrag des Autors:

Und das ganze via SAML 2.0. Da ist nichts SuisseID spezifisches dabei was die Schweizer selbst erfunden haben. Das sind offene Standards keine Ricolas.

Nun meine Bitte für das nächste Mal an Herr Gunten: Informieren Sie sich zuerst genau bevor Sie solche Artikel schreiben. Ich stehe, soweit mein Wissen es ermöglicht, auch gerne bei Fragen zur Verfügung.

XML Signatures is a topic not specific to eprocess but still of some relevance. Digital Signatures are used to prove that a document was not altered and is indeed from the indicated source. Public Key Cryptography is used to achieve these goals (also see Wikipedia). More specifically, digital signatures provide the following:

• The recipient can verify who signed the document.
• The signature can not be forged.
• The signature can not be reused, it must be recreated for every document and every change of the document.
• If the document is altered the signature becomes invalid.
• The signature can not be denied. The recipient does not depend on the cooperation of the signee to verifiy the signature (this actually is dependent on the implementation of the signature and sometimes not completely true).

An XML Signature according to W3C xmldsig is an XML Document containing a signature for a document that is either contained in the XML Document or referenced to by a URI. Also, when signing an XML Structure it is possible to not sign the complete document but only (one or more) parts of it.

• W3C xmldsig standard
• W3C: best practises for xmldsig implementations
• Microsoft: Understanding XML Signatures
• Hashing, MACs, and Digital Signatures in .NET
• Encryption of XML Elements (with .Net Samples)
• C#.Net How to: Sign XML Documents with Digital Signatures
• C#.Net How to: Verify the Digital Signatures of XML Documents

Ausgangslage: Die “Business-Welt” beschreibt ihre Prozesse typischerweise in der BPMN-Notation. Um den so beschriebenen Prozess technisch umzusetzen, kann er z.B. nach BPEL konvertiert werden, da in BPEL ein Prozess so beschreibbar ist, dass er (automatisch) ausführbar ist.

Stephen A. White beschreibt in nachfolgenden Paper sehr schön die Probleme die auftauchen, wenn mann BPMN nach BPEL mappen will:

MappingBPMNtoBPELExample.pdf

Das kleinste Problem dürfte darin liegen, dass BPMN-Menschen ihre Diagramme von Links nach Rechts aufzeichnen, BPEL-Menschen aber von Oben nach Unten

Es gibt aber auch seriösere Probleme, Stephen A. White beschreibt diese im Detail. Ein Beispiel ist  “der Rücksprung”: In BPMN kann man im Prozess-Ablauf ein Rückspung auf eine vorhergehende Task (d.h. einen Loop) einführen. In BPEL muss dies z.B. in eine strukturierte Schlaufe (while-Schlaufe) umgesetzt werden.

Ausschnitt aus BPEL (Ausschnitt aus obigem Dokument ):

Und so sah es in BPMN aus:

Ist dies nun schlimm? Man könnte das Mapping ja automatisieren!

Doch, es ist schlimm! Der Techniker muss nun mit einem Modell arbeiten (und z.B. testen), welches sich deutlich von denjenigem des Business-Menschen unterscheiden kann! Sicher eine Quelle für manchen Fehler, manches Missverständnis.

Im Rahmen einer Vertiefungsarbeit im Master-Studium untersucht momentan Marko Markovic die Process-Engine von JBOSS: jPDL. Hier wird ein anderer Ansatz verwendet: Business-Mensch und Informatiker arbeiten am gleichen Modell (Rücksprünge sind möglich), d.h. im gleichen Modell können die für die Umsetzung notwendigen Informationen hinzugefüht werden.  Nachteil: jPDL Basiert nicht auf dem BPMN Standard

While using NetBeans for the OpenESB implementation I had to take some hurdles by using the same schemas like in BizTalk. This has been mentioned in the previous post.

first mapping approach

I created a “BPEL Process” in wich is an activity element called assign. With this element it’s possible to map the properties between the two XSD schemas. It is easy to use the graphical editor. But if you deploy the process it will success just in one case. Only when there are no list elements, containing more than one of the same child element, it will succeed. The normal mapping will just copy the value from one structure to another. I don’t know if it’s possible to iterate through a list element.

second mapping approach

There is the possibility to create a XSLT module or use the XSL transformation function in the assign activity. But to create the XSL for the transformation there’s an extra effort necessary. In this XSL are the instructions located how to transform the XML. It should have an XSL designer in NetBeans but unfortunately I couldn’t open it. So I took the XSL from the BizTalk mapping produced in VisualStudio (rightclick Validate Map, generates a xsl) and adapt it to OpenESB. Therefore all the Microsoft-specific “userCSharp” variables have to be changed to pure xsl functions. This works well and do the job.

conclusion

In fact that BizTalk have a graphical designer it is easy to map the elements and do some further stuff with so called functoids. Those functoids are responsible for the “userCSharp” entries in the xsl. So if you would like to prevent difficulties in reusing the xsl in Netbeans its recommended to avoid them if its possible. The mapping in BizTalk-Projects is a big advantage compared to OpenESB-Projects. By using Netbeans you have to accept a bigger effort.

By chance I found this website from the University of Hamburg. They started a Business Process Managment (BPM) Living Lab in 2005! Unfortunately there aren’t any relevant information about what they are doing in this Living Lab. But the relevant subjects are named which belong to the term BPM from their point of view.

Have a look!

http://www.wiso.uni-hamburg.de/index.php?id=382

For the eProcess project, we want to provide easy access to our scenarios to users. A scenario consists usually of multiple hosts, which interact together, and provides different services (such as Service Buses, Applications, WebServices, Identitiy Metasystems, etc.). Users should have the possibility to access those hosts outside our domain and get a feeling of the provided services and how they interact together. They don’t need to provide their own infrastructure and install and configure software, which is very time consuming and usually needs expert knowledge.

Users just can access our infrastructure and configuration in the cloud and use the provided services without wasting time for installation and configuration.

Virtualization

But, what if a scenario consists of three hosts and two users want to access simultaneously the same scenario? This means, that we need to provide six hosts. By more users this means even more hosts.
We need a more flexible approach. Instead of using real (physically dedicated) hosts, we will use virtual hosts (also called virtual machines). Virtual machines are running on a real host (usually a more powerful server), which supports virtualization technology.

This leads to a better yield of the hardware resources, which reduces the IT costs. When more users want to access a scenario, just more virtual machines will be deployed on the server (without adding more real hosts to the infrastructure).

Virtual Lab Automation

Here comes Virtual Lab Automation (VLA) into play. VLA software is capable of managing virtual machines. Whole scenarios (here: Labs) can be deployed in just few seconds. Network access will be configured automatically and users can easily access the virtual machines through a web interface or a remote desktop connection.

We are using the VMLogix LabManager VLA software. This product can administer different virtualization platforms from different vendors (VMWare, Microsoft, Citrix). It also has an intuitive management web interface and is easy to use. For more detailed information you can watch the VMLogix LabManager Features.

We were very curious about the difference building the same application on BizTalk and on OpenESB.

In a KTI project, called Castrum with our industry partner BaseNet we built an orchestration that contains mappings, WCF service requests and flatfile pipelines. Therefore we decided to build up the same process on OpenESB. To ease it a bit we will do this step by step. First we just copy the schema mapping and check the results. Afterwards we try to call a webservice that behaves like our WCF service and maybe discuss a possible solution to call a WCF service.

Using the same schemas like BizTalk

The schemas from BizTalk contained several imports of type schemas and sub schemas. To use them they needed some modifications. The Imports have been done again. The pathentries where different.

The mapping

The mapping could be done in the same way like in a VisualStudio BizTalk Project. But then by testing the mapping we run in some difficulties. There are some repeatable Nodes in the schema. Unfortunately our mapped schema produced only one Node of each kind and at the end only the values of the last of the repeatable nodes have been written in the xml. In BizTalk/VisualStudio the default behaviour was to create the series of Nodes with its values. Unfortunately Thomas Grossrieder went to the military-”holidays” and will look into it in 4 weeks when he’s back. I’m really wondering what the problem was …

For software developers, working with identity management isn’t a piece of cake. A developer needs to decide which identity technology to use for a particular application. If the application will be accessed in different ways, such as within an organization, across different organizations and via the public internet, one identity technology might not be enough. Next, the developer needs to figure out how to retrieve the identity information (e.g. job title, salary, favorite color etc.) from different locations (directory services, SAP database etc.).

Sounds complex and it is complex. Why not create a single interoperable approach to identity that works in pretty much every situation? Why making the applications hunt for identity information, why not make sure, that this single approach lets users supply each application with the identity information it requires?

Claims-based identity achieves both of these goals. It provides a common way for applications to acquire the identity information they need from the users inside their organization, in other organizations and on the internet. This is making the lives of developers significantly simpler and can also lower the cost of building and manage applications.

Making claims-based identity real requires developers to understand how and why to create claims-based applications. It also requires some infrastructure software that applications can rely on.

We already implemented some claims-based identity test scenarios, where users could single sign-on and use services across organizations. We used for this tests the forthcoming Microsoft Technologies:

• Active Directory Federation Services 2.0 (formerly known as “Geneva” Server)
• Windows Identity Foundation (formerly known as “Geneva” Framework)
• Windows CardSpace (formerly known as Windows CardSpace “Geneva”)

Thanks to supported standards as WS-Trust, WS-Federation and SAML 2.0 in Microsoft “Geneva” (Beta 2), interoperability will be ensured with identity management solutions from other vendors.

References:

• Introducing “Geneva” by David Chappell
• Screencast: “Geneva” Server and Framework Overview @PDC2008
• “Geneva” Team Blog