Met de hulp van RealOpen IT kon de Universiteit Utrecht met een schone lei beginnen aan het ontwerp van een systeem voor Identity & Access Management (IAM). Alle identiteiten zijn nu eenvoudig toe te voegen en aan te passen, zodat alle gebruikers toegang hebben tot alle applicaties en systemen die van belang zijn voor hun onderzoek, docentschap, studie of werk. Ongeacht de rol(len) die zij hebben binnen het onderwijsinstituut.
De Universiteit Utrecht staat internationaal bekend als een gerenommeerde researchuniversiteit. De innovatieve inzet van it is een belangrijk aspect voor bepaalde soorten wetenschappelijk onderzoek. De universiteit heeft daarom veel aandacht voor de toenemende vraag naar it-toepassingen die eigen is aan de dynamische universitaire gemeenschap. Het is belangrijk dat medewerkers, studenten en gasten altijd toegang hebben tot de juiste applicaties en netwerken. Daarbij is Identity & Access Management (IAM) onmisbaar, vandaar dat de universiteit zocht naar een beheervriendelijk IAM-systeem.
Houtje-touwtjesysteem met spaghetticode
De directie Information and Technology Services (ITS) van de universiteit heeft onder andere de taak ervoor te zorgen dat alle studenten, docenten, onderzoekers, medewerkers en gasten van de universiteit altijd en overal toegang hebben tot alle applicaties en netwerken. Dat vraagt onder andere om een overzichtelijk en vooral gebruiksvriendelijk systeem voor het beheren van identiteiten en toegang: een zogenoemd Identity & Access Management-systeem.
Eind 2013 bleek de bestaande IAM-oplossing aan vervanging toe te zijn. ‘Het systeem voor het beheren van identiteiten was door de jaren heen organisch gegroeid. Daar zat eigenlijk geen logische ontwikkeling in, er werden gewoon steeds dingen toegevoegd als dat nodig was’, aldus Kees de Waard, MT-lid van ITS. Bij de analyse van dat systeem vielen al snel termen zoals ‘spaghetticode’. ITS zocht naar een toekomstvaste oplossing waarbij men de doelsystemen ‘live’ kon vullen met gegevens vanuit de bronsystemen. Een gecontroleerde en beveiligde toegang zou bieden tot precies die informatie waarvoor de student of medewerker geautoriseerd is.
IAM-eisen
ITS ging aan de slag om een nieuw IAM-systeem te ontwikkelen. Daarbij stonden een aantal voorwaarden voorop. De eerste eis: een centrale IAM-oplossing die de bronsystemen voor medewerkers, studenten en gasten automatisch en logisch koppelt aan alle applicaties en apparaten. De tweede eis was dat ITS dit systeem volledig zelf kon beheren. In het verleden was dit uitbesteed aan een externe dienstverlener, maar het zelf doen bleek goedkoper en praktischer. Het momentum was juist: er waren meer mogelijkheden om het systeem in eigen beheer te nemen. Een eerste stap was het in dienst nemen en opleiden van een IAM-beheerder en architect.
Tot slot kwam vanuit de business de eis dat de implementatie zo geruisloos mogelijk moest verlopen. ‘De opdracht was dat niemand iets van de overstap zou merken’, aldus De Waard. ‘Ook moest de inschrijving van nieuwe studenten na de implementatie van het nieuwe systeem vloeiend blijven werken. Naast de jaarlijkse piekmomenten van nieuwe studenten, heeft de Universiteit Utrecht ook doorlopend te maken met nieuwe medewerkers en gasten. De complexiteit van het gewenste IAM-systeem zat echter vooral in de wisselende rollen die één identiteit kan aannemen. Een student kan bijvoorbeeld ook een medewerker zijn. Sommige docenten werken voor meerdere faculteiten. We willen dan geen nieuwe identiteit toewijzen, maar bijvoorbeeld wel andere rechten. We wilden alle uitzonderingen en wisselingen kunnen bevatten in de logica van het IAM-systeem.’
Voor het ontwerp en de implementatie van een nieuw IAM-systeem werd projectmanager André Kauffeld aangesteld. ‘We stelden een projectbrief op en een project initiatie document met de doelstellingen en de gewenste methodieken’, vertelt Kauffeld. ‘Vervolgens zochten we de juiste partner om het ontwerp en de migratie te realiseren. RealOpen IT viel direct op door de ervaring in onderwijs. Van doorslaggevend belang daarbij was dat RealOpen IT niet alleen inzette op expertise, maar ook een voorstel deed voor de overdracht van kennis en kunde. Het is gaandeweg ook gebleken dat RealOpen IT direct kan inspringen in het beheer wanneer de werkdruk te hoog is. Dan kunnen onze beheerders in projecten meedraaien en leren.’
Vragen in plaats van code
Samen met RealOpen IT werd een team opgezet voor de softwareontwikkeling. ‘Het doel was om de bronsystemen van medewerkers en studenten inzichtelijk te maken. Daarnaast wilden we de bronsystemen automatisch koppelen aan doelsystemen met een IAM-oplossing die we zelf konden beheren’ , aldus Kauffeld. ‘RealOpen IT heeft een library gemaakt die toegang verbindt aan identiteiten en rollen. Daarin staan voor elke identiteit onder andere de periode voor en na deelname aan de Universiteit Utrecht en nog aantal eigenschappen. We beheren de identiteiten nu niet meer op basis van onlogische code, maar op basis van logische vragen over deze eigenschappen. Bijvoorbeeld of een identiteit actief is. Als dat zo is, kun je een regel aanroepen voor de toegangsrechten tot applicaties. Dat is veel schoner en duidelijker dan de oude code was.’
Software engineering
RealOpen IT hanteerde technieken voor software engineering zoals modulering, objectoriëntatie en abstractie, om de omgeving beter te maken. ‘Deze is nu overzichtelijker, gemakkelijker en goedkoper aan te passen’, vertelt Kauffeld. ‘Daarmee voldoet de IAM-oplossing aan een belangrijke eis van de Universiteit Utrecht, namelijk dat deze simpeler moest worden. RealOpen IT hielp onze doelen te realiseren.’
Universiteit Utrecht heeft nu ook een eigen beheersorganisatie. ‘Deze bestaat uit drie IAM-beheerders en een architect’, zegt De Waard. ‘Voor hen is het werken met het IAM-systeem gemakkelijk en inzichtelijk. Dat heeft RealOpen IT steeds voor ogen gehouden en zij hebben de tooling gemaakt waarmee dat kan.’
Schaduwomgeving
De eerste fase van het project voor een nieuwe IAM-systeem werd opgeleverd in juli 2015. ‘De volgende fase was de nazorg,’ zegt De Waard. ‘We hebben het nieuwe systeem aanvankelijk schaduw laten lopen om risico te beperken. Daarna is de schaduwomgeving de productieomgeving geworden. Beide systemen werden tegelijk gevuld en we konden de gegevens via een script migreren naar de nieuwe omgeving. RealOpen IT ontwikkelde een tool om dat mogelijk te maken.’
Een van dingen die het projectteam voorbeeldig heeft opgepakt, is dat alles zorgvuldig getest werd. ‘Daar hebben ze veel tijd aan besteed, maar elke keer als je test, levert dat een resultaat op wat om een oplossing vraagt’, zegt De Waard. ‘Meestal betreft die bevinding niet een persoon, maar een situatie. Er komen dan opeens heel veel meldingen omdat die situatie van invloed is op een groot aantal identiteiten. Dan was er aandacht nodig om dat op te lossen. Natuurlijk staat de stuurgroep voor de uitdaging om te beslissen wanneer goed goed genoeg is, maar grondig testen is een van de redenen waarom de migratie zo soepel is gegaan.’
Raamwerk
De Universiteit Utrecht heeft nu een stabiel en betrouwbaar systeem, van spaghetticode is geen sprake meer. ‘Het is nu veel duidelijker wat het systeem doet en we hebben daar zelf invloed en grip op’, zegt Kauffeld. ‘We hebben de flexibiliteit om daar van alles aan te verbinden. Het toevoegen van een nieuwe applicatie is net zo eenvoudig als een stekker in het stopcontact steken.’
De Universiteit Utrecht is positief over RealOpen IT: ‘Dit bedrijf is een partner met wie it-afdelingen heel goed samen kunnen werken. Zij bouwen een raamwerk en nu we dat eenmaal hebben, zijn we klaar voor de toekomst. Dat kan dankzij hun enorme ervaring in het onderwijs, want daardoor kon men uitstekend met ons meedenken.’