Orange Migration UCS

Als wir uns bei Orange dafür entschieden, unsere E-Mail-Plattform zu erneuern, ahnten wir noch nicht, dass wir am 5. Juli 2022 mit mehr als 200 Gästen den erfolgreichen Abschluss der Migration in unserer Zentrale in Paris feiern würden. Wir haben das Projekt bereits 2014 gestartet und können nun auf eine achtjährige erfolgreiche Zusammenarbeit mit Univention zurückblicken, aus der unsere neue E-Mail-Plattform hervorgegangen ist. Die Hauptkomponenten dieser Plattform sind die E-Mail-Backend-Lösung Dovecot, die Groupware Open-Xchange als Webmail- und PIM-Lösung und das Identitätsmanagement Univention Corporate Server (UCS), das heute die Benutzeridentitäten von rund 13 Millionen aktiven Postfächern verwaltet.

In diesem Blogartikel möchten wir Ihnen erzählen, wie wir das geschafft haben – angefangen bei unseren Erwartungen und unserer Motivation für das Projekt und die Zusammenarbeit mit Univention, bis hin zu den Herausforderungen, wie wir sie gemeistert haben und was wir als nächstes vorhaben. Lassen Sie uns die Zeit zurückdrehen und einen Blick auf die ersten wichtigen Schritte werfen, die wir bei Orange unternommen haben, um das Projekt in die Wege zu leiten!

Ausgangslage bei Orange: Als wir den bevorstehenden Wandel erkannten

Unsere Hauptmotivation für dieses komplexe und mehrjährige Projekt war das kontinuierliche Wachstum der Plattform und der nicht mehr aktuelle Software-Stack. Das lag zum einen daran, dass das System eine extrem hohe Anzahl von Zugriffen auf den LDAP-Verzeichnisdienst abbilden musste, was täglich zu sehr vielen Änderungen an den dort gespeicherten Objekten führte. Gleichzeitig legten unsere IT-Verantwortlichen Wert auf eine hohe Ausfallsicherheit: Wir wollten im Falle von technischen Problemen in zwei gespiegelten, d. h. identisch aufgebauten, Rechenzentren in Paris arbeiten. Außerdem sollte unsere IT die Möglichkeit haben, die Server im laufenden Betrieb mit geringer Downtime auszutauschen.

Da es nicht möglich war, die vielen Millionen Benutzerkonten auf einmal zu migrieren, wurde ein Ansatz der sukzessiven Migration gewählt, der eine hohe Skalierbarkeit des Systems für die schrittweise Migration der E-Mail-Konten vorsah. Die IT-Verantwortlichen des Projekts wünschten sich außerdem flexible Rollen sowohl für die delegative Verwaltung als auch für den Inhalt der LDAP-Replikate (dedizierte LDAP-Cluster für jeden angeschlossenem Dienst). Schließlich mussten hohe Anforderungen an die Datensicherheit erfüllt werden – eine weitere Herausforderung, die es zu meistern galt.

Erwartungen und Motivation: Vollständige Überarbeitung der E-Mail-Plattform

Nachdem sich abgezeichnet hatte, dass eine Erneuerung des alten Systems notwendig war, definierten wir gemeinsam unsere Anforderungen an die neue Plattform:

  • Verwaltung von 13 Millionen aktiven Benutzeridentitäten
  • Verarbeitung von mehr als hunderttausend gleichzeitigen Anfragen durch den Verzeichnisdienst
  • Dezentrale Verwaltung und skalierbare Benachrichtigungen
  • API-Kompatibilität mit bestehenden Systemen
  • Hohe Skalierbarkeit für eine sukzessive Migration der Benutzerdaten

Unsere Lösung für die Gesamterneuerung der Plattform – die alle oben genannten Anforderungen erfüllte – umfasste folgende Punkte:

  • Verwendung von UCS mit integriertem OpenLDAP als Identitätsmanagement für die Millionen Benutzer, die zu diesem Zeitpunkt Orange-E-Mail-Konten hatten
  • Schaffung eines stabilen LDAP-Clusters, der mehrere Anfragen gleichzeitig verarbeiten kann
  • Implementierung von SOAP-Schnittstellen sowie Provisioning- und Benachrichtigungs-Plug-ins für externe APIs
  • Integration von Open-Xchange, Dovecot, einem Provisioning-Router und -Broker von Tarent sowie weiteren Orange-spezifischen Diensten

Auf der Suche nach der perfekten Lösung: Weshalb unsere Entscheidung auf UCS fiel

Obwohl es vergleichbare Produkte von anderen Herstellern gab, wussten wir, dass wir die beste Lösung für Orange gefunden hatten, als wir UCS von Univention entdeckten. UCS wurde uns von Open-Xchange empfohlen, mit denen wir zu diesem Zeitpunkt bereits begonnen hatten, unser E-Mail-Angebot zu modernisieren. Wir waren schnell überzeugt, dass der Einsatz von UCS ein flexibles Rollen- und Rechte-Mapping ermöglicht, sowohl auf der Ebene der delegativen Administration als auch bei der selektiven Replikation der LDAP-Server.

Daneben waren aber auch die Möglichkeiten, die UCS für ein skalierbares Benachrichtigungssystem bietet, sowie die vorhandenen und ausbaufähigen Schnittstellen relevant, da UCS mit dem bereits bestehenden System vereinbar sein musste. Nicht zuletzt war es für uns sehr wichtig, mit einem Unternehmen zusammenzuarbeiten, mit dem wir eine ehrliche Partnerschaft aufbauen können. Deshalb entschieden wir uns bei diesem Projekt für Univention, Open-Xchange und Dovecot, die genauso viel Wert auf eine partnerschaftliche Zusammenarbeit legten wie wir. Darüber hinaus waren diese drei Unternehmen in der Lage, kontinuierlich eine individuelle Beratung sowie Produktsupport zu leisten und die Umsetzung von Teilprojekten im Laufe des Projektes nachhaltig sicherzustellen.

Herausforderungen & Lösungen: Engpässe und Chancen erkennen

Rückblickend betrachtet war die größte Herausforderung bei der Projektumsetzung die schiere Größe der Projektumgebung. Während in typischen UCS-Projekten zu dieser Zeit etwa 200.000 Objekte in der LDAP-Datenbank gespeichert wurden, verwaltete Orange mehr als 13.000.000 aktive Objekte. In einem Projekt dieser Größenordnung war UCS noch nicht eingesetzt worden, obwohl Univention wusste, dass es technisch möglich war.

Um die großen Datenmengen und die hohen Systemlasten zu bewältigen, wurden LDAP-Cluster gewählt, die als Gruppe von UCS-Replica-Directory-Node-Instanzen mit einer identischen Teilmenge von LDAP-Objekten/-Attributen eingerichtet wurden. Für diese Cluster mussten die Konfiguration der Datenbankindizes, die implementierten LDAP-Abfragen und die Dimensionierung der Serversysteme im Detail abgestimmt werden. Der Betrieb des Systems wurde auf zwei physische Standorte verteilt.

Eine weitere Herausforderung bestand darin, ein System zu schaffen, das API-kompatibel mit dem bereits bestehenden System ist. Das Projektteam von Univention musste mehrere spezifische SOAP-Schnittstellen umsetzen. Außerdem mussten für viele externe APIs Bereitstellungs- oder Benachrichtigungs-Plug-ins erstellt werden. Diese APIs sind Teil eines erweiterten Benachrichtigungssystems speziell für das Projekt, das auf dem Univention Directory Manager und ergänzenden Tools wie RabbitMQ basiert.

Fazit & Ausblick: Ein Blick auf die Projekthistorie und weitere Planung bei Orange

Univention übernahm das IAM in unserem E-Mail-Backend, und ab 2014 migrierte unsere IT-Abteilung all diese Postfächer nach UCS. Das erste voll funktionstüchtige Projektrelease konnte bereits 2015 bereitgestellt werden. Im folgenden Jahr wurde die Lösung um weitere Funktionen und Serverrollen erweitert und es wurden zahlreiche Performancetests durchgeführt, um sicherzustellen, dass das System den zu erwartenden extrem hohen Arbeitsbelastungen standhalten würde. Ende 2016 konnte das System mit dem gesamten Spektrum der verwalteten Identitäten in Betrieb genommen werden.

Seitdem werden die E-Mail-Konten Schritt für Schritt in das neue System migriert. Zudem werden laufend neue Anforderungen, wie etwa strengere Datenschutzbestimmungen oder neue Provisioning Workflows, umgesetzt. Dank der Stabilität, Zuverlässigkeit und Skalierbarkeit des neuen Systems musste der beauftragte 24/7-Support nur noch selten in Anspruch genommen werden.

Der Startschuss für dieses Projekt fiel aufgrund der ungewöhnlich großen Datenmengen in den Postfächern vor acht Jahren, ein langer Zeitraum. Also stellte nicht die Migration in das LDAP von Univention den Engpass dar, sondern die Migration der Inhalte aus den Postfächern. Gemeinsam gelang es uns, eine Lösung zu finden und das System zu entlasten.

Perspektivisch planen wir, die Projektumgebung auf UCS 5 zu migrieren und freuen uns auf die weitere gute Zusammenarbeit mit Univention und seinen technischen Teams.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Régis Guinement

Régis Guinement arbeitet als Product Owner bei dem französischen Telekommunikationsunternehmen Orange.

Stéphane Quellec

Stéphane Quellec arbeitet bei dem französischen Telekommunikationsunternehmen Orange und ist dort für die Validierung zuständig.

Fabrice Quenum

Fabrice Quenum arbeitet bei dem französischen Telekommunikationsunternehmen Orange und ist dort für den Bereich Operations verantwortlich.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert