close

Enlight-it

ldap-3x2.png

Ablösung LDAP Server

Auftrag: dafür sorgen, dass keine Anwendung mehr den LDAP Server verwendet

In einer grossen Firma ist ein DirX LDAP Server im Einsatz. Dieser wird direkt oder indirekt von insgesamt 180 Anwendungen zur Authentisierung und Berechtigungssteuerung kontaktiert.

Das Zielsystem soll Active Directory und Azure AD sein.

Die Problematik lag nun daran, dass im DirX Server jede Anwendung eigene Accounts führen konnte, jeweils auf einer nur für sie zugänglichen Ebene. Auch konnten mit Accounts und mit Rollen hierarchische mehrdimensionale Berechtigungs-Bäume aufgebaut werden. Diese Strukturen kann und will man in AD, bzw. AAD nicht abbilden.

In einem ersten Schritt mussten die betroffenen Anwendungen identifiziert und die Verantwortlichen kontaktiert werden.

Eine grosse Schwierigkeit bestand darin, die Anwendungsveratwortlichen zu veranlassen, eine neue Berechtigungsstruktur anzudenken, welche mit AD verträglich ist. Und im Anschluss durch Entwickler umsetzen zu lassen. Die Anwendungsnutzer, auch ausserhalb der Firma mussten über Änderugen informiert werden.

Im Ramen des geleiteten Projekts musste mehrfach für ein unüberwindbares technisches Problem eine Lösung gefunden und deren Umsetzung getrieben werden. Ein Beispiel ist eine AD Schema Erweiterung, damit Java Objektdaten eines zentralen Frameworks überhaupt verarbeitet werden können.

Nach gut zwei Jahren Projektdauer nutzt nur noch eine einzige Altanwendung DirX. Sie konnte wegen Covid-19 bedingten Verzögerungen noch nicht wie vorgesehen ersetzt werden.

Bemerkenswert ist, dass es gelungen ist, diese einschneidende Transformation ohne Störungen durchzuführen.