Nel mondo delle acquisizioni aziendali, l'integrazione tecnologica rappresenta spesso la sfida più complessa da affrontare. Quando un gruppo industriale nel settore della produzione cartaria si è rivolto a noi, il problema non era tanto legato al loro business quanto alla stratificazione tecnologica risultante da anni di crescita attraverso acquisizioni. Con un'infrastruttura IT composta da oltre quindici domini differenti, necessitavano di centralizzare e automatizzare completamente i processi di gestione delle identità digitali.
Il nostro cliente, un importante gruppo industriale con multiple aziende acquisite nel tempo, si trovava a gestire una complessità infrastrutturale che stava diventando insostenibile. La peculiarità della situazione risiedeva nella presenza di una quindicina di domini Active Directory distribuiti su forest separate, eredità delle diverse acquisizioni aziendali.
Le criticità emergevano in tre aree principali. La prima riguardava la necessità di centralizzare i processi HR di onboarding, gestione e offboarding utente su Workday HCM. Nonostante l'adozione di questa piattaforma centrale, i processi rimanevano frammentati.
La seconda area critica erano le IT operations manuali e prone ad errori. Creazione utenti, gestione licenze, assegnazione permessi: tutto veniva fatto manualmente su ciascun dominio, con frequenti divergenze dal flusso standard da seguire.
La terza sfida era la gestione dei manager cross-forest. Situazioni dove un utente di un'azienda del gruppo aveva come manager una persona di un'altra società del gruppo - tecnicamente due domini in due forest AD completamente separate - rendevano la gestione manuale estremamente complicata e soggetta a errori.
Workday Human Capital Management rappresenta una delle piattaforme HCM più avanzate sul mercato, ma la sua vera potenza emerge quando viene integrata profondamente con l'infrastruttura IT aziendale. Nel nostro contesto, Workday non è solo un sistema per HR, ma diventa la single source of truth per l'intera gestione delle identità digitali.
Le API SOAP di Workday, seppur complesse, offrono un accesso completo a tutti i dati organizzativi. Ogni dipendente, con il suo ruolo, dipartimento, manager e struttura gerarchica, è rappresentato in Workday con una ricchezza di dettagli che va ben oltre il semplice organigramma. La piattaforma gestisce nativamente scenari complessi come manager ad interim, riporti matriciali, e riorganizzazioni massive, mantenendo sempre la coerenza dei dati.
L'integrazione con Workday in ambienti multi-dominio presenta sfide uniche. Non si tratta solo di leggere dati e scriverli altrove: bisogna interpretare la visione organizzativa unificata di Workday e tradurla in un'infrastruttura Active Directory frammentata, dove ogni dominio può avere schemi diversi, convenzioni di naming diverse, e policy di sicurezza diverse. La complessità aumenta esponenzialmente quando si devono gestire relazioni cross-forest, dove un manager in Workday può trovarsi in una forest AD completamente diversa dal suo subordinato.
Nel nostro caso, abbiamo sfruttato le capacità di Workday di esporre non solo i dati statici ma anche gli eventi di cambiamento. Questo ci ha permesso di implementare una sincronizzazione incrementale efficiente che processa solo i cambiamenti, riducendo drasticamente il carico sul sistema e permettendo aggiornamenti quasi real-time dell'intera infrastruttura di identità.
Abbiamo sviluppato un job di sincronizzazione intelligente che opera come orchestratore tra Workday e l'ecosistema Microsoft, gestendo automaticamente tutte le complessità dell'ambiente multi-dominio.
Il servizio interroga Workday ogni 60 minuti per identificare tutti i cambiamenti avvenuti nell'organizzazione. La sincronizzazione è unidirezionale da Workday verso Entra ID e le varie Active Directory on-premises, stabilendo Workday come fonte autoritativa per tutti i dati HR.
Per la gestione dei manager cross-forest, abbiamo implementato un meccanismo sofisticato che mantiene le relazioni gerarchiche anche quando non è tecnicamente possibile un riferimento diretto tra forest diverse.
Il job gestisce automaticamente l'intero ciclo di vita dell'utente: onboarding con creazione account e permessi appropriati, update per propagare cambiamenti di ruolo o manager, e offboarding con disabilitazione secondo le policy aziendali.
Lo sviluppo ha presentato sfide significative che abbiamo dovuto superare. L'analisi dell'architettura IAM esistente è stata particolarmente complessa, dovendo mappare tutti i domini Entra ID e Active Directory con i loro trust relationships.
L'interfacciamento con le API SOAP di Workday, notoriamente complesse, ha richiesto un lavoro approfondito per gestire correttamente paginazione, errori transitori e performance con migliaia di utenti.
Far funzionare il job gestendo tutti i casi limite è stata un'altra sfida critica. Il sistema doveva rimanere resiliente mantenendo la possibilità di interventi manuali extra-sistema per situazioni eccezionali.
La soluzione è stata realizzata con:
La scelta di un Windows Service locale invece di un job cloud è stata dettata dalla necessità di accedere direttamente alle Active Directory on-premises senza esporre endpoint pubblici.
L'implementazione ha trasformato radicalmente la gestione delle identità digitali per il nostro cliente.
La centralizzazione delle HR operations in Workday ha portato a un risparmio stimato di centinaia di ore mensili nelle sole operazioni di routine, eliminando il coordinamento manuale tra HR e IT.
Il sistema gestisce ora in modo centralizzato oltre 15 domini Active Directory, coordinando le identità di circa 6.000 utenti attraverso l'intera organizzazione. Ogni nuovo dipendente viene automaticamente provisionato su tutti i sistemi necessari nel giro di un'ora.
L'automazione ha eliminato le divergenze dal processo standard, migliorando sia l'efficienza che la sicurezza. La gestione dei manager cross-forest, prima complessa, ora funziona completamente in automatico.
Il team Modern Apps risponde con prontezza alle necessità IT in cui lo sviluppo software rappresenta la componente principale, includendo soluzioni che integrano l’intelligenza artificiale. Le figure tecniche hanno una formazione mirata alla realizzazione di progetti software su stack tecnologici Microsoft e possiedono competenze nella gestione di progetti agili o di lunga durata.
