Cílem projektu bylo provést upgrade již zastaralé verze SUN Identity Manager 7.1 na nejnovější verzi tohoto produktu již pod názvem nového vendora Oracle Vaweset 8.1, která má slíbenou podporu do roku 2017.

V rámci tohoto upgradu, který musel být proveden bez omezení stávajícího provozu se očekávala také obměna některých zastaralých adaptérů koncových systémů, sjednocení adaptérů a kódu, mírný perfomance tuning a odstranění SUN Access Manageru jako autentizačního agenta pro IDM.

Ugrade produktu a úprava funkcionalit byly provedeny pouze na třech prostředích bez přidání dalšího prostředí. Díky tomu se snížil rozpočet projektu, ale zároveň se zvýšilo riziko oprav chyb na produkčním prostředí v době, kdy na testovacím prostředí byla testována již nová verze produktu.

Bezmála roční projekt skončil v plánovaném čase, rozpočtu, i kvalitě.

Upgrade

Samotný upgrade musel být proveden dvoukrokově. Nejprve na verzi 8.0 a následně na požadovanou verzi 8.1. Upgrade byl proveden pomocí migračních nástrojů Oracle a proběhl bez větších komplikací.

Adaptéry ke koncovým systémům

Některé adaptéry byly nahrazeny za modernější konektory, které mohou být později využity i v produktu Oracle Identity Manager, který má již jinou platformu samotného produktu, ale stejnou platformu konektorů.

Nahrazeny byly adaptéry pro tyto koncové systémy:

SAP – nový konektor, který podporuje dělení rolí (černé/modré), přináší řízení nových atributů jako např. mobilního telefonu (díky tomu mohlo být zrušeno workaround funkcionalit, který tento atribut nastavovalo separátně vedle adaptéru), umožňuje napojení na více SAPů (failover) a další administrátorská nastavení konektoru, která vylepšila rychlosti zpracování uživatelů.

MS AD – nový konektor, který podporuje spouštění skriptů a řízení uživatelů na 64bit Active Directory.

RSA – nový adaptér, který již nevyužívá shell volání, ale klasických webových služeb. Navíc podporuje novou verzi RSA 7.1, jež byla v těsném napojení v ČEZ ICT upgradována ze staré verze 6.

Nahrazení metaview

Zastaralý systém metaview, který nebyl již na nové verzi podporován, byl nahrazen vlastními formuláři. To umožnilo i nastavování některých atributů SAP nezávisle na jednotlivých modulech SAPu (jako např. jazyk, time zone, a další).

Náhrada Acces Manageru

Z architektury ČEZ ICT Services byly odstraněny všechny servery s produktem SUN Access Manager, který zajišťoval dvoufaktorovou autentizaci do admin prostředí IDM a zajišťoval Single Sign-On (SSO) pro uživatelské rozhraní IDM.

Funkcionalita SSO byla nahrazena funkčností přímo v IDM, kde bylo SSO simulováno virtuálním koncovým systém, na kterém měli všichni uživatelé v doméně přístup. IDM pak pomocí java knihovny spnego zajišťovalo ověření vůči doméně a přihlášení do uživatelského rozhraní IDM.

Dvoufaktorová autentizace do admin prostředí IDM byla nahrazena autentizací proti RSA klíčenkám se silným PINem (10 alfanumerických znaků). IDM tak kontroluje u admin přístupů jen dostatečně silný PIN.