Die Firma Orange S.A., Frankreichs größtes Telekommunikationsunternehmen mit 170.000 Angestellten, stand vor der Herausforderung, die Benutzeridentitäten von rund 30 Millionen Mail-Accounts zu verwalten und dabei mehrere hunderttausend gleichzeitige Zugriffe zu bewältigen. Unsere Lösung, UCS mit integriertem OpenLDAP, bietet ein skalierbares Identity-Management-System, das durch ein LDAP-Cluster auch bei hoher Auslastung stabil bleibt.
Anwender
Die Firma Orange S.A. ist mit 170.000 Angestellten das größte Telekommunikationsunternehmen Frankreichs mit Sitz der Konzernzentrale in Paris.
Anforderungen
- Management der Benutzeridentitäten von 30 Millionen Mail Accounts.
- Extrem hohe Auslastung des Verzeichnisdienstes bei mehreren hunderttausend gleichzeitigen Zugriffen.
- Delegative Administration und skalierbares Notification-System.
- API-Kompatibiliät zum Bestandssystem.
- Hohe Skalierbarkeit für sukzessive Migration der Benutzerdaten.
Lösung
- UCS mit integriertem OpenLDAP als Identitymanagement für alle 30 Millionen Nutzer*innen.
- Aufbau eines LDAP-Clusters für Stabilität bei hoher Auslastung.
- Implementierung von SOAP-Schnittstellen und Provisionierungs- bzw. Notification-Plugins für externe APIs.
- Anbindung von Open-Xchange, Dovecot, des Provisioning Router und Broker von Tarent und diverser Orange-spezifische Services.
Im Jahr 2014 entschied man sich bei Orange für eine Grunderneuerung der E-Mail Plattform, über die jedem Orange Kunden ein eigener Mail Account zur Verfügung gestellt wird. Als wesentliche Bestandteile der neuen Plattform kommen nun die Mail-Backend-Lösung Dovecot, die Groupware Open-Xchange als Webmail und PIM Lösung sowie das Identitymanagement Univention Corporate Server (UCS) für die Verwaltung der über 30 Millionen Benutzeridentitäten.
Motivation und Anforderungen
Nötig wurde die Erneuerung, da dem kontinuierlichen Wachstum der Plattform das bisherige System nicht mehr Stand hielt und der Software-Stack nicht mehr aktuell war.
So muss das System extrem viele Zugriff auf den Verzeichnisdienst LDAP abbilden, die täglich bis zu rund einer halben Million Änderungen in den dort gespeicherten Objekten führen. Gleichzeitig ist den IT-Verantwortlichen bei Orange eine sehr hohe Ausfallsicherheit wichtig. Dafür wünschte man sich zwei gespiegelte Sites und bei technischen Problemen einen automatisierten Fail-over. Außerdem sollte es möglich sein, die Server im Live-Betrieb austauschen zu können.
Da man nicht alle 30 Millionen Benutzerkonten auf einmal migrieren konnte, war für ein stufenweises Vorgehen eine hohe Skalierbarkeit des Systems und das sukzessive Migrieren von Mailkonten wichtig. Die IT-Verantwortlichen des Projekts wünschten sich außerdem flexible Rollen sowohl für die delegative Administration als auch für die Inhalte von LDAP-Replikaten (dedizierte LDAP-Cluster je angebundenem Service).
Und nicht zuletzt mussten hohe Datenschutzanforderungen erfüllt werden.
Die Entscheidung für Univention Corporate Server
Die Entscheidung des mit dem Projekt betrauten IT-Teams von Orange fiel auf UCS, da man damit das flexible Abbilden von Rollen und Rechten sowohl auf Ebene der delegativen Administration als auch für eine selektive Replikation der LDAP-Server umsetzen konnte. Wichtig waren aber auch die Möglichkeiten, die UCS für ein skalierbares Notification-System bietet sowie die vorhandenen und erweiterbaren Schnittstellen, da UCS auch mit dem Bestandssystem harmonieren musste. Und zuletzt spielte auch der menschliche Faktor eine Rolle, da man sich auf die gelebte Partnerschaft von Univention mit den ebenfalls am Projekt beteiligten Firmen Open-Xchange und Dovecot genauso wie auf die engagierte und individuelle Beratung und konsequente Umsetzung von Teilprojekten und auf einen hochwertigen Produktsupport verlassen konnte.
Besondere Herausforderungen und deren Lösung
Die größte Herausforderung des Projektes stellte die schiere Größe der Umgebung dar. Während in durchschnittlichen Projekten eher 200.000 Objekte in der LDAP Datenbank vorgehalten werden, sind es bei Orange mehr als 30.000.000. UCS war in einem Projekt dieser Größenordnung bisher noch nicht zum Einsatz gekommen, auch wenn man bei Univention wusste, dass die technischen Möglichkeiten gegeben waren.
Für die Bewältigung der großen Datenmengen und hohen Systemauslastungen, entschied man sich für LDAP-Cluster, die als Gruppe von UCS DC Replica Directory Node Instanzen mit identischer Teilmenge von LDAP-Objekten/Attributen aufgebaut wurden. Dabei musste die Konfiguration der Datenbank-Indices, die implementierten LDAP-Abfragen und das Sizing der Serversysteme auf diese Cluster detailliert abgestimmt werden. Der Betrieb des Systems wurde auf zwei physische Standorte verteilt.
Eine weitere Herausforderung war, dass das System API-kompatibel zum Bestandssystem sein sollte. Damit beide Systeme reibungslos zusammenspielen würden, musste das Projektteam von Univention mehrere spezifische SOAP-Schnittstellen implementieren. Außerdem war es nötig, Provisionierungs- bzw. Notification-Plugins für viele externe APIs zu generieren, Diese APIs sind Teil eines speziell für das Projekt erweiterten Notification-Systems basierend auf dem Univention Directory Manager und ergänzenden Tools wie RabbitMQ.
Anbindung weiterer Lösungen
An das zentrale IDM von UCS angebunden wurden als weitere Lösungen Open-Xchange als moderne, webbasierte Mailapplikation, das IMAP und MDA von Dovecot für eingehende und abgehende E-Mails und der Provisioning Router und Broker der Firma Tarent, um Anfragen zu UCS oder dem Legacy System zu routen. Zusätzlich mussten natürlich auch diverse Orange-spezifische Services in UCS integriert werden sowie SOAP und REST APIs für die Kommunikation zwischen den Komponenten.
Projektverlauf und Projektziel
Nach dem Projektstart Mitte 2014 konnte bereits 2015 das erste Projekt-Release mit vollem Funktionsumfang ausgeliefert werden. Im Laufe des Jahres 2016 wurde die Lösung um zusätzliche Funktionen und Server Rollen erweitert und zahlreiche Performance Tests durchgeführt, um sicher sein zu können, dass das System den zu erwartenden extrem hohen Auslastungen standhalten würde. Ende des selben Jahres erfolgte dann der Livegang mit vollem Umfang der verwalteten Identitäten. Seitdem wurden sukzessiv Mailkonten in das neue System migriert. Außerdem werden natürlich kontinuierlich neue Anforderungen zum Beispiel betreffend strengerer Datenschutzbestimmungen oder neuer Provisionierungs-Workflows umgesetzt.
Fazit
Sehr hohe Stabilität, Ausfallsicherheit und Skalierbarkeit
Das System zeichnet sich seit der Liveschaltung durch eine sehr hohe Stabilität, Ausfallsicherheit und Skalierbarkeit aus, so dass der beauftragte 24×7 Support so gut wie nie in Anspruch genommen werden musste.
Newsletter
Erhalten Sie alle News zu Univention und unseren IAM-Produkten per E-Mail.
Get started
Vereinbaren Sie einen Termin und lernen Sie unsere IAM-Lösung kennen.