Förderjahr 2016 / Projekt Call #11 / ProjektID: 1909 / Projekt: fairlogin
Wenn man auf der sprichwörtlich grünen Wiese anfangen könnte, käme man in den Genuss die Daten für Benutzer und Gruppen so zu formatieren, wie sie für die Gesamtarchitektur günstig sind. Aber wenn viele bestehende Einzelapplikationen mit unterschiedlichen Benutzerdatenbanken zusammen geführt werden sollen, sind erst einmal ein paar Hausaufgaben angesagt. Diese legen dann aber auch die Grundlage für eine saubere Integration.
fairlogin soll zunächst beim Cloud Angebot von fairkom eingeführt werden. Ursprünglich haben wir uns für WSO2 für die SSO Grundarchitektur entschieden, da diese die ein umfangreiches Portfolio an Schnittstellen anbietet. Das OpenLDAP ließ sich gut über die SCIM Schnittstelle aus einer GroupOffice Datenbank befüllen. Sowohl die Benutzer als auch die Gruppen konnten angelegt werden. Zumindest fast... einige User, die angelegt wurden bevor wir jedem Benutzernamen auch eine Domain verpasst haben, werden in manchen Skripten besonders behandelt werden müssen. Nun suchen wir eine Möglichkeit Benutzer innerhalb von den Schlüsselanwendungen umzubenennen bzw. deren Objekte einem neue frisch und richtig formatierten User zuzuordnen. Das wird die zukünftige Automatisierung vereinfachen.
Apropos WSO2... diese bietet zwar viele Schnittstellen, ist aber nicht durchgängig mit einer REST API zu bedienen. Daher schauen wir uns mittlerweile doch ernsthaft Keycloak an. Es scheint, dass für die Entwicklung der Benutzeroberfläche Keycloak doch einfacher mit Angular zu bedienen sein wird. Keycloak unterstützt zwar durchgängig eine REST API, aber leider nicht das standardisierte SCIM. Somit werden wir wohl noch einmal für die Befüllung des SSO Kerns noch einmal Anpassungen brauchen. Diese scheinen jedoch recht überschaubar zu sein.
Als Fazit schließen wir nun die Integration eines SSO Kerns erfolgreich ab und bereiten uns auf die Live-Schaltung vor. Wir kommen voran, auch wenn wir hier und da, anhand der Erfahrungen in der Produktivumgebungen noch nachjustiert haben. Unser neuer Chat Service "fairchat" steht schon in den Startlöchern, wollen wir aber erst launchen, wenn Benutzer sich über fairlogin mit einem Account den sie schon haben anmelden können.