Oracle Identity Manager naar Active Directory provisioning

Bij een grote Nederlandse universiteit kwam ik in aanraking met Oracle Identity Manager (voorheen Sun), dat werd gebruikt als Identity Store om alle identiteiten van medewerkers en leerlingen te beheren. Dit beheer omvat zowel de identificatie (naamgeving) als de autorisaties (toegang tot systemen). In feite is het een extra niveau in het beheer van identiteiten die ervoor zorgt dat een HRM systeem niet alle informatie hoeft te bevatten en dat je ook eenvoudig externen en tijdelijke krachten kunt toevoegen zonder deze via een tijdrovende procedure alsnog door P&O in moet laten schrijven.

De uitdaging was om vanuit dit systeem provisioning rechtstreeks op de Active Directory uit te voeren, waarbij Oracle Identity Manager leidend is in het aanleveren van alle gegevens zoals inlognaam, wachtwoord, afdeling, functie en kamernummer. De ICT-afdeling wil echter de provisioning wel aan een aantal regels laten voldoen, zoals plaatsing in OU, lidmaatschapen van groepen, opbouw en nesting van groepen en het gefaseerd uit dienst laten gaan van een account.
De provisioning vanuit Oracle Identity Manager naar Active Directory was mede door bovenstaande zaken niet een eenvoudige 1:1 vertaling van de Identity Store naar de Active Directory. We hebben voor de oplossing gekozen om Oracle Identity Manager alle relevante data te laten dumpen naar een intermediate SQL Server database, inclusief wachtwoord in versleutelde vorm. Vervolgens vergelijkt UMRA binnen enkele seconden deze database met Active Directory en voert de mutaties door. Deze mutaties kunnen complex zijn, zoals het (ver)plaatsen van accounts, het aanmaken van een complexe en geneste groep-structuur en het toewijzen van een versleuteld wachtwoord in Active Directory. Ook hebben we ervoor gezorgd dat bij een uit diensttreding het account eerst wordt gedeactiveerd en door een beperkte groep beheerders via een UMRA Formulieren schil kan worden opgeruimd inclusief alle resources.
Naast deze provisioning-slag hebben we er ook voor gezorgd dat er een “urgent” synchronisatie is tussen Oracle Identity Manager en Active Directory. Attributen die niet lang kunnen wachten op propagatie, zoals het wachtwoord, worden hierdoor binnen 30 seconden naar Active Directory doorgevoerd.
De vereisten om een dergelijk project uit te voeren zijn minimaal aan de kant van Oracle Identity Manager. Het is voldoende om alleen de attributen in ongeformatteerde form naar een database te laten schrijven. Oracle Identity Manager hoeft zich geen zorgen te maken over het bijhouden van transacties of het aanleveren van events welke data is gewijzigd, dit neemt UMRA allemaal uit handen.

Geschreven door:

Arnout van der Vorst

Arnout van der Vorst is Identity Management Architect bij Tools4ever en al ruim 10 jaar in dienst. Arnout legt zich als Architect toe op het bedenken en ontwikkelen van nieuwe features, oplossingen en diensten van Tools4ever die aansluiten op de vraag uit de markt. Arnout studeerde Hogere Informatica aan de Hogeschool van Utrecht.
Terug