IT-Architekt im Interview
Erfolgsfaktor Teamwork für digital souveräne Lösungen: Die dPhoenixSuite
Lesedauer4 min
Fabian Lange arbeitet als IT-Architekt bei Dataport an der dPhoenixSuite, dem open-source-basierten Web-Arbeitsplatz für die öffentliche Verwaltung. Auf welche Lösung er besonders stolz ist, weshalb Teamwork so wichtig ist und wo neue Kolleg*innen bei Phoenix einsteigen können, erzählt Fabian im Interview.
Du arbeitest als IT-Architekt Open Source für die öffentliche Verwaltung – passt das zusammen?
Na klar. Zwar setzt die öffentliche Verwaltung bislang noch nicht sehr häufig Open-Source-Lösungen ein. Dabei hat der öffentliche Dienst dem privaten Sektor sogar etwas voraus, nämlich Planungssicherheit. Schließlich ist die Integration von einzelnen Open-Source-Komponenten in eine Gesamtlösung wie die dPhoenixSuite eine Mammutaufgabe, die einen größeren Zeithorizont erfordert.
Wie bist du im Team Phoenix gelandet?
Ich bin seit fünf Jahren bei Dataport. Angefangen habe ich im Bereich amtliche Statistik. Ich bin großer Open-Source-Fan, benutze privat auf dem Desktop seit Jahren kein Windows mehr. Vor zwei Jahren war dann eine Stelle als Architekt bei Phoenix frei und da wollte ich mitmachen.
Was genau ist die dPhoenixSuite und was ist das Besondere daran?
Mit der dPhoenixSuite haben wir einen digital souveränen Arbeitsplatz als Alternative zu klassischen Office-Paketen geschaffen. Dafür haben wir verschiedene Komponenten aus dem Open-Source-Umfeld in die dPhoenixSuite integriert, darunter Univention Corporate Server, Nextcloud, Jitsi, Matrix. Wir setzen also nicht auf einen einzelnen Hersteller, dadurch sind wir unabhängiger. Die dPhoenixSuite wird ausschließlich in deutschen Rechenzentren und sicheren Clouds nach europäischen Datenschutzbestimmungen betrieben. Auch das ist etwas Besonderes.
Dataport setzt auf Open-Source-Software
Erfahren Sie mehr darüber, warum Open Source die sichere Alternative für die öffentliche Verwaltung ist und an welchen Projekten wir arbeiten.
Was ist deine Aufgabe als IT-Architekt bei Phoenix?
Meine Aufgabe ist es, die Anforderungen, die von intern und aus Kundenprojekten an Phoenix gestellt werden, aufzunehmen und Konzepte dafür zu schreiben. Ich erstelle also die Roadmap mit den technischen Meilensteinen, die erreicht werden müssen, damit das Gesamtprodukt am Ende gut funktioniert. Aus dem Konzept entsteht ein Lösungsdesign, das konkrete Handlungsanweisungen für Programmierer und Entwickler enthält. Die stricken die Sachen dann zusammen.
Worauf bist du besonders stolz?
Was ich in der technischen Umsetzung richtig cool fand: Unsere Kolleg*innen bei Dataport werden mit ihren Windowsrechnern die dPhoenixSuite über Single-Sign-On nutzen können, also ohne sich noch einmal separat für Phoenix anmelden zu müssen.
Was war die Herausforderung dabei?
Die Windows-Betriebslandschaft bleibt gleich und die Nutzer können parallel beides weiternutzen. Dafür mussten wir viele Softwaremodule miteinander orchestrieren. Wir haben Open-Source-Komponenten wie Keycloak und Univention Corporate Server integriert und einen nahtlosen Übergang geschaffen, das war gar nicht so einfach.
Wie funktioniert die Lösung konkret?
Um Single-Sign-On zu ermöglichen, mussten wir den bei Dataport genutzten Verzeichnisdienst mit dem Phoenix-Verzeichnisdienst synchronisieren. Bei Dataport nutzen wir das Active Directory von Microsoft, bei Phoenix nutzen wir den Univention Corporate Server (UCS). Das ist ein Debian-Betriebssystem, auf dem openLDAP läuft, eine Open-Source-Lösung. Für die Synchronisation gibt es in Phoenix entsprechende Interfaces, den Univention Directory Manager.
Wir haben uns von Univention also einen Active-Directory-Connector programmieren lassen, der die Benutzergruppen abzieht, nach Phoenix schickt, umformt und im Phoenix-Verzeichnisdienst im entsprechenden Format ablegt. Dafür werden sogenannte UUIDs, Universally Unique Identifiers, also eindeutige IDs, vergeben.
Damit die User über den ganzen Lifecycle zwischen dem Active Directory und dem Phoenix-Verzeichnisdienst synchronisiert werden können, werden dann im nächsten Schritt bei uns Entry-UUIDs vergeben. Die sorgen dafür, dass die User bei uns existieren und das System nutzen können.
Und dann kommt die SSO-Lösung ins Spiel?
Genau. Dafür nutzen wir eine weitere Open-Source-Komponente: KeyCloak. Das ist ein Identity Provider. Der föderiert zum einen mit unserem Verzeichnisdienst, dem LDAP, und zum anderen in Richtung des Active-Directory-Federation-Service von Dataport.
Dann findet ein sogenannter Token Exchange statt, in dem die Authentifizierung und Autorisierung vonstattengeht. Das wird mit der Identität, die bei uns in Phoenix vorhanden ist, gematcht. Und wenn alles passt, bekommen die User einen weiteren Token ausgehändigt, mit dem sie sich an den einzelnen Modulen von Phoenix automatisch anmelden können.
Wie viel Teamwork steckt in einer solchen Lösung?
Die Lösung haben wir im Team konzipiert und umgesetzt: Zusammen mit den DevOps, die bei uns die Implementation machen, und mit den anderen Architekten bei Phoenix. Wir arbeiten eng miteinander zusammen und das über mehrere Standorte verteilt. Man muss sich also gut in sein Gegenüber hineinversetzen können.
Und wenn nun jemand Teil dieses Teams werden möchte: Wo kann man bei Phoenix einsteigen?
Wir wollen den Phoenix-Stack für sehr große Umgebungen skalieren. Deshalb sind wir momentan dabei, ihn zu containerisieren. Kubernetes ist ein großes Thema. Da suchen wir noch mehr Leute, die sich in dem Umfeld auskennen. Wir suchen Lösungsarchitekten, Entwickler. Gerade für die DevOps gibt es viel Raum, neue Sachen aus dem Open-Source-Umfeld auszuprobieren. Viele von uns stammen selbst aus der Community und haben ein offenes Ohr dafür.
Es macht mega Spaß, sich beruflich mit Open Source zu beschäftigen, anstatt nur nebenbei in der Freizeit. Dafür auch noch Geld zu bekommen, das ist doch eigentlich ein Traum!