Università di Bologna amministra 250.000 profili utente con Microsoft Identity Integration Server 20

Data di pubblicazione: 2006

Le esigenzeTop

Semplificare la gestione di una struttura complessa
L’infrastruttura informativa dell’Ateneo bolognese è stata recentemente ridefinita nella sua architettura applicativa, con obiettivi di gestione integrata dei servizi e centralizzazione delle funzionalità di base. Tra le diverse attività che il Centro Sviluppo e Gestione Servizi Informatici di Ateneo (CeSIA) svolge in questo ambito, si colloca il progetto di definizione del Directory Service d’Ateneo (DSA) che ha previsto l’introduzione di un nuovo modello per la gestione del lifecycle delle identità. Il DSA è nato dall’analisi e dall’implementazione di standard tecnologici in grado di semplificare la gestione integrata di un elevato numero di risorse e dei servizi informativi offerti dall’università. Il progetto si colloca in un piano di evoluzione della piattaforma applicativa che vede, tra le altre, la tecnologia Microsoft in primo piano nella semplificazione dei processi di gestione evolutiva dei servizi, come spiega Alessandro Cantelli, Responsabile Servizio Relazioni Tecniche Ateneo - CeSIA.
“Abbiamo innanzitutto verificato quali tecnologie fossero più idonee al raggiungimento di una maggiore uniformità delle funzioni applicative, definendo quindi un preciso piano di investimento e di evoluzione delle piattaforme”, afferma Cantelli. “Il nostro obiettivo di standardizzazione del software ha richiesto anzitutto un sistema di profilazione e autenticazione omogeneo, e la centralità del Directory Service d’Ateneo per una corretta erogazione dei servizi imponeva la scelta di un sistema solido e autorevole, in grado di allinearsi con i diversi database utilizzati per la gestione delle risorse umane e della carriera degli studenti”.
La complessità della struttura organizzativa, il grande numero di utenti e la compresenza di numerosi sistemi informativi indipendenti richiedevano un’attenta progettazione del nuovo servizio di directory, che doveva integrare una decina di differenti sistemi anagrafici con profili utente variabili nel tempo in base alle carriere individuali all’interno dell’Ateneo. I numerosi dipartimenti richiedevano personalizzazioni al sistema di autenticazione, mentre le frequenti modifiche all’organizzazione presentavano significativi impatti sulle strutture di dati relativi a studenti, docenti, personale tecnico-amministrativo e collaboratori.

La soluzioneTop

Microsoft Identity Integration Server 2003 realizza un sistema di gestione delle identità al centro di tutti i servizi informativi
Il primo prototipo di software per la gestione delle identità, realizzato nel 2001, presentava limitazioni in termini di scalabilità e difficoltà evolutive dovute allo sviluppo completamente customizzato ed esterno agli standard di mercato.
“La nostra analisi delle tecnologie disponibili per la gestione delle identità ci ha convinti dell’efficacia di Microsoft Identity Integration Server 2003 sia in termini semplificazione della logica applicativa, sia sul piano della gestione di strutture estese e complesse”, dichiara Irene Schena, del Servizio Relazioni Tecniche Ateneo – CeSIA e Referente per il progetto MIIS. “Per garantire un’efficace gestione delle carriere didattiche e dei diversi profili utente abbiamo sfruttato al massimo le caratteristiche della soluzione Microsoft, ottenendo un valido e continuativo supporto tecnico da parte del partner tecnologico e realizzando una soluzione in grado di adattarsi dinamicamente alle caratteristiche organizzative dell’Ateneo”.
I tecnici del CeSIA hanno quindi definito un directory multidominio per due grandi famiglie di utenti con caratteristiche diverse: un dominio è stato assegnato a docenti, personale tecnico-amministrativo, dottorandi, collaboratori, mentre un altro dominio comprende i profili di tutti gli studenti. Un numero limitato di domini e varie unità organizzative sono state messe a disposizione dei Dipartimenti e delle Facoltà per la gestione delle risorse non centralizzate. Per svincolare i meccanismi di autenticazione dalla piattaforma tecnologica si è scelto di non esporre il DSA e di offrire servizi di autenticazione e autorizzazione mediante la tecnologia Web service basata su protocollo standard SOAP. La necessità di personalizzazione del codice è stata ridotta al minimo grazie alla flessibilità intrinseca di Microsoft Identity Integration Server 2003.

I beneficiTop

Dai sistemi proprietari a una scelta tecnologica orientata alla semplicità di gestione e di evoluzione dei servizi
Il nuovo sistema di gestione delle identità ha consentito di centralizzare l’amministrazione dei profili utente, riducendo notevolmente gli oneri di gestione del sistema di autenticazione e offrendo a tutti gli studenti e al personale il diritto di accesso ai servizi informativi dell’Università. In breve tempo gli utenti accreditati sono passati da 10 mila a 250 mila, mantenendo invariato l’impegno sistemistico per la gestione delle identità. La scelta di piattaforma per il nuovo sistema di profilazione ha evidenziato tutti i vantaggi di una tecnologia standard flessibile e fortemente supportata per la gestione di grandi strutture con problematiche di autenticazione complesse, come rileva il dott. Aldopaolo Palareti Ricercatore al Dipartimento di Scienze dell’Informazione e Referente scientifico dell’architettura.
“La struttura organizzativa di un’Università non è banalmente riconducibile a un modello ad albero e la gestione di utenti afferenti contemporaneamente, ad esempio, a diversi Dipartimenti e Facoltà risulta particolarmente complessa”, afferma Palareti. “Dopo aver realizzato il prototipo del software di profilazione ho suggerito una rapida migrazione verso una tecnologia standard per evitare di concentrare su un’unica persona le competenze necessarie per l’evoluzione del sistema. Questo rischio era presente anche negli ambienti Open source esaminati e costituisce una notevole criticità in questo tipo di progetti. Al contrario, la nuova gestione dei profili, basata su gruppi ci permette di realizzare un ambiente di profilazione che può contare su competenze diffuse per qualsiasi intervento sulla logica applicativa”.

Integrazione dei dati, semplificazione delle procedure di profilazione e nuove opportunità di sviluppo per i servizi applicativi
L’unificazione del sistema di gestione delle identità all’interno di Active Directory ha permesso di attivare nuovi servizi orientati alle necessità degli studenti, come il sistema online “AlmaWelcome!” per la gestione delle pratiche di immatricolazione e iscrizione e dei relativi pagamenti.
“La progressiva riduzione dei domini periferici e delle directory di Dipartimento consentirà la convergenza verso lo sviluppo di servizi innovativi e il controllo diretto sui dati, garantendone consistenza e autorevolezza”, conclude Irene Schena. “L’utilizzo della piattaforma Microsoft ci ha consentito di adeguare il sistema di gestione dei profili utente alla complessità della nostra struttura organizzativa, mantenendo però un’architettura applicativa snella ed efficiente”.
In sintesi, l’adozione di Microsoft Identity Integration Server 2003 ha consentito all’Università di Bologna di ridurre gli oneri di gestione e di implementazione delle nuove funzioni applicative, offrendo la flessibilità necessaria per adattare il sistema a workflow complessi e abilitando l’aggiornamento in tempo reale delle informazioni critiche del directory. La garanzia di coerenza e centralizzazione dei database permette al CeSIA di amministrare con maggiore efficacia lo sviluppo dei servizi informatici, uniformando l’infrastruttura di base e mantenendo una piena integrabilità di piattaforme eterogenee.


I partner

Case History in breve