UiT og AD-integrasjon

UiT ville vurdere å bruke UiO sin AD-integrasjon, i samanheng med overgangen til at UiO tok over drifta. Vi tek ein innledande dialog om behova til UiT.

Mål for møtet: UiO har oversikt over UiT sine behov, og vi har konkrete vidare steg.

Tid og sted: 15. jan. 2020 10:00 – 11:30, Videobru

Tilstades

Stig Wennevold (UiT)
~~Fredrik Larsen (Cerebrum utvikling)~~
Kenneth Johansen (UiT)
Dana Fagermo (UiT)
~~Karen Bjørndalen (UiT)~~
Joakim Hovlandsvåg (USIT, ref)

Behova

Vi diskuterer behova til UiT for AD-integrasjon.

Behovet

Behovet til UiT: Utfordringa er at dei som utvikla UiT sin AD-automatikk ikkje jobber der lenger, og etter omorganiseringa 1. januar 2020 er den lagt til andre som ikkje kjenner løysinga.

UiT vurderer kost/nytten av å endre integrasjonen opp mot levetida. Framtida er usikker grunna UH:IAM-prosjektet.

Tekniske detaljar

Gjekk gjennom dei tekniske delane som "AD-integrasjonen" handler om:

Cerebrum overfører XML-filer med personopplysingar til AD, som powershell-jobbar ser på og oppdaterer AD.
Powershell-jobbane genererer automatiske organisasjonsgrupper direkte i AD, utfrå XML-filene frå Cerebrum.
ITA oppretter og vedlikeheld manuelle grupper direkte i AD. Desse inneheld ofte dei automatiske organisasjonsgruppene som medlem. Desse modererast primært av IT-ansatte, sjølv om andre kan få moderatortilgang. Folk flest opplever moderatorverktøyet som vanskeleg å nå/bruke, så IT-ansatte har ofte endt opp med denne jobben.

Vi må vurdere kor mykje av dette som skal flyttast over til Cerebrum, og kva nytteverdi det har per bit. Sidan AD er kilden for mange gruppemedlemskap, trengs det også ein migrasjon til Cerebrum.

UiT vurderer å bruke Teams som grensesnitt for at folk kan moderere eigne grupper. Er enklare å bruke for folk flest. Joakim nemnde at det har vore ønsker om tovegsintegrasjon mellom Teams og Cerebrum for å kunne utnytte gruppene andre stader og samtidig kunne ha bedre kontroll på teams-tilgangane, men det er ikkje konkretisert noko der. Cerebrum har også eit gruppe-API med full skrivetilgang, så mulighetane ligg der.

UiT etterlyste utfordringa med køyretid som UiO snakka om tidlegare. Joakim sjekka prod, og no bruker AD-synken 10 minutt på brukarkontoar, og deretter 15 minuttar på grupper. TODO: Joakim dobbelsjekker dette.

Vi diskuterte raskt alternativa/mulighetene:

Ikkje endre noko.
Sette opp UiO si nye mikroteneste for AD - ADMS. Denne er under akseptansetesting på UiO, og er difor ikkje klar for produksjon andre stader endå.
Sette opp UiO sin "AD2-synk" (som er ein fullsynk via powershell) for berre brukarkontoar.
Sette opp UiO sin AD2-synk for dei gruppene som finnast i UiT sin Cerebrum.
Sette opp UiO sin automatikk for automatiske organisasjonsgrupper, og bytte ut med dei automatiske gruppene i AD.
Migrere dei manuelle gruppene frå AD til Cerebrum. Ein bør då samtidig skru på gruppemodereringa i UiT sin Brukerinfo, slik at alle på UiT kan moderere sine grupper.
Sette opp UiO si opprydding av manuelle grupper. Dette inkluderer automatisk varsling til alle gruppemoderatorar med oversikt over sine grupper, og krav om årleg bekreftelse på at den manuelle gruppa trengs.

UiT ønsker eit grovt estimat på kva dei ulike alternative koster og kva det vil kreve av innsats frå dei. Stig vil involvere dei kommande ansvarlege for AD i besluttingane rundt dette.

Vidare arbeid

Joakim lister opp alternativa og prøver seg på eit estimat. Får lov å grave litt i UiT sin AD-katalog, for å få betre anslag.
Joakim lenker til dokumenta om automatiske grupper og policies for gruppenamn:
- Retningslinjer for oppretting av grupper
- Rettleiar for å opprette grupper

Eventuelt

UiT omorganiserte ITA 1. januar 2020.
UiT jobber med å opprette eit "IAM-team" på tvers av organisasjonen. Grunna omorganiseringa. Forhåpentlegvis klart om nokre veker.

Emneord: cerebrumfelles

Publisert 15. jan. 2020 08:53 - Sist endret 13. jan. 2023 12:56