--- Denne artikel er ikke updateret siden foråret 2019 og er derfor ikke up-to-date med eksisterende udvikling af OS2mo og OS2rollekatalog og de fælles IdM-funktioner ---
I knap et år er der blevet brygget på integrationer mellem OS2MO og OS2rollekatalog. En IdM (Identity Management) – eller OS2idm, som Niels Nordberg tidligere har kaldt projektet. I samme omgang beskrev han det som et projekt, ”hvor OS2MO er autoritativ for medarbejdere og organisation, og OS2Rollekatalog er autoritativ for de IT-roller, som medarbejderne kan tildeles – og sørger for at provisionere disse roller til de systemer, som skal kende dem.”
LÆS også Niels Nordbergs indlæg OS2mo + OS2rollekatalog = Idm?
Opstart og afklaring om integrationer
Koordinations- og arkitekturgrupperne for de to produkter mødtes mandag d. 4/3 for at afklare, hvordan de kan arbejde sammen om et IdM. Det er interesse for et stærkt samarbejde imellem styregrupperne, samt mellem koordinationsgruppen for OS2rollekatalog og arkitekturgruppen for OS2MO.
Installationen kommer der ikke til at være problemer med, selvom OS2MO kører on premise og OS2rollekatalog er i skyen. Alligevel har grupperne diskuteret andre løsninger. OS2rollekatalog kan køre on premise, men hvis OS2MO skal køre i skyen, så vil løsningerne sandsynligvis skulle køre i hver sin instans for hver kommune.
Illustration af arkitekturen
Niels Nordbergs illustration herunder viser dataoverførsel og integrationer mellem de forskellige komponenter. Dette er de dataoverførsler, der sker, og integrationer der skal være:
OS2MO til OS2rollekatalog:
- Stamdata om brugere og enheder
- Relation mellem brugere og enheder
- Evt. KLE (KLs emnesystematik) opmærkning og oplysninger om it-systemer
OS2rollekatalog til IdP, AD og andre:
- Rollehierarkier
- Rolletildelinger
- AD-gruppe medlemskaber
Med tilladelse fra Niels Nordberg
OS2MO håndterer bi-tempolaritet
OS2MO har en interessant feature. Den kan se frem og tilbage i tiden. Det er en feature, som OS2rollekatalog har svært ved at hamle om med, da det ikke giver mening at kunne lave en fremtidig rolletildeling. Det er fordi at i det øjeblik, hvor en medarbejder bliver aktiv på vedkommendes startdato vil organisationstilhørsforhold, KLE eller lederrolle automatisk give et sæt roller.
Som reaktion besluttede grupperne at starte ud med en daglig overførsel af actual state date fra OS2MO til OS2rollekatalog.
Hvilken snitfladeteknologi?
Snitfladteknologierne, som OS2MO og OS2rollekatalog kombinationen skal bruge, bliver REST/JSON API. Grupperne ønsker, at OS2MO og OS2rollekatalog på sigt kan bruge STS Beskedfordeler, hvor det er muligt. Intentionen er at skabe løskoblede integrationer frem for ”1-1 integrationer”, som let skaber ”system-lock-in”.
I dag leverer KOMBIT en snitflade til alle it-systemer, der er tilmeldt STS administration. Her leveres UUID, systemnavn, leverandør og brugersystemrolle i systemet, hvilket OS2rollekatalog har brug for. Desværre har få it-systemer ikke denne snitflade endnu. De, som ikke er der, må oprettes i hånden i OS2rollekatalog.
Gruppen konkluderer, at hvis man har OS2rollekatalog, så vil det være her, hvor man håndterer it-systemer og deres roller, samt medarbejdernes adgang til disse. Umiddelbart er der ikke et forretningsmæssigt behov for at registrere it-systemer i OS2MO, da KOMBIT har udmeldt, at STS ORG ikke har brug for IT-systemer registrering. Desuden blev OS2kitos nævnt som mulig leverandør af en IT-system klassifikation.
Der er brug for KLE
OS2opgavefordeler og OS2rollekatalog anvender i dag opmærkning af organisation med KLE.
- OS2opgavefordeler kan opmærke 3 typer af relation: Ansvar, Udfører og Indsigt.
- OS2rollekatalog kan derimod kun anvende Udfører og Indsigt relationen.
- OS2MO endnu ikke kan oprette eller holde KLE-opmærkning af organisationsenheder.
Om OS2MO skal kunne oprette eller bare ”holde” KLE-opmærkninger oprettet i OS2opgavefordeler eller OS2rollekatalog, er endnu ikke afklaret blandt grupperne.
Oprettelse af e-mail konti mv. er ikke første prioritet
Grupperne ønsker afklaring mellem de to arkitekturgrupper og leverandørerne, når det kommer til oprettelse af emails, overførsel af kontaktdata og tilknytning til distributionslister. Men det skal ikke være første prioritet i udviklingen af OS2MO og OS2rollekatalog sammensmeltningen.
På mødet var der forslag om, at OS2MO skulle stå for oprettelse af e-mail konti og kontaktdata til exchange samtidigt med AD kontooprettelsen. Derved skal OS2rollekatalog står for tildeling af medlemskab af distributionslister i AD – og det kan OS2rollekatalog allerede.
OS2MO + OS2rollekatalog 1.0
For at få første version færdig af OS2MO og OS2rollekatalog sammensmeltningen er der udviklinger, som skal håndteres først. Det er vigtigt, at OS2rollekatalog kan klare følgende:
OS2rollekatalog:
- håndtering af bi-temporalitet
OS2MO er pt. i udvikling til version 2.5, men foruden disse krav ønskes også følgende:
OS2MO:
- Integration til løn-systemer
- Integration til AD
- Evt. oprettelse af af email konti i exchange
- Evt. tilpasning af API (så OS2rollekatalog udelukkende trækker actual state data)
Du kan finde mere information på hjemmesiden os2.eu og/eller på Jira
----------
Foto af Ryoji Iwata fra Unsplash.com