Z výběrového řízení vyšel jako vítěz implementátor AMI Praha a.s. s produktem firmy Evolveum – midPoint Identity Manager. Ten je nabízen jako open source, je tedy možné ho stáhnout bezplatně, a dokonce i bez jakékoliv registrace. Podle ohlasů uživatelů je midPoint velmi oblíbeným nástrojem pro správu identit a je implementován jak na univerzitách, tak v komerčních i státních firmách.

V rámci projektu byly definovány následující hlavní cíle:

• Zvýšení kybernetické bezpečnosti a splnění aktuálních požadavků nahrazením stávajícího IdM řešení Oracle Waveset produktem Evolveum midPoint včetně migrace stávajících dat
• Revize stávajících procesů a jejich přizpůsobení aktuálním potřebám
• Řízení životního cyklu zaměstnanců a externistů včetně konsolidace více pracovních úvazků
• Řízení celkem 8 napojených systémů včetně Active Directory, Entra ID nebo platformy SAP prostřednictvím rozhraní CUA
• Evidence a správa administrátorských a technických účtů
• Komplexní reporting a auditing

To všechno navíc, vzhledem ke striktním požadavkům na budoucí audit, přesně dle projektové metodiky v mezích uzavřené smlouvy, dle dohodnutého jízdního řádu a s neměnným datem dokončení.

Tato kapitola popisuje, jak je v IdM realizována správa identit, přístupových oprávnění a souvisejících procesů.

Řízení životního cyklu identit

IdM pokrývá celý životní cyklus identit – od jejich vzniku, přes změny, až po deaktivaci, následnou archivaci a finální odstranění.

IdM pracuje se zaměstnanci, pronajatými pracovníky, externisty, administrátorskými i servisními účty, přičemž každý typ je spravován podle svého charakteru.

U zaměstnanců a pronajatých pracovníků vychází IdM z dat HR systému (EGJE). V případě více pracovních vztahů dochází k jejich sloučení pod jednu identitu reprezentující konkrétní fyzickou osobu, přičemž jednotlivé vztahy zůstávají zachovány.

Externisté jsou zakládáni přímo v IdM a jejich vytvoření podléhá schválení.

Administrátorské účty jsou odděleny od běžných uživatelských účtů a pevně svázány s konkrétní fyzickou osobou. Jejich zřízení podléhá schválení a jejich životní cyklus je navázán na životní cyklus vlastníka. Účty jsou současně rozděleny podle tzv. Tier modelu, který odděluje administrátorské přístupy podle jejich úrovně.

Řízení a kontrola přístupů

Řízení přístupů je založeno na rolích a doplněno o schvalovací a kontrolní mechanismy.

Součástí řešení je katalog rolí, žádosti o přístupy se schvalováním a pravidelná recertifikace. Té podléhají pouze manuálně přidělená oprávnění.

IdM podporuje také jednorázovou recertifikaci, která se automaticky spouští při změně pracovního zařazení uživatele a ověřuje, zda jeho oprávnění odpovídají nové roli.

Automatické přiřazování rolí je založeno na pravidlech vyhodnocujících kombinaci atributů uživatele. Jednodušší pravidla mohou administrátoři vytvářet a upravovat přímo v IdM, zatímco složitější scénáře jsou řešeny dodavatelsky.

Uživatelský portál

IdM poskytuje uživatelský portál, který zpřístupňuje funkce administrátorům, uživatelům i jejich nadřízeným.

Rozsah dostupných funkcí je řízen systémovými rolemi. Každý uživatel má k dispozici pouze ty operace, které odpovídají jeho odpovědnosti.

Portál slouží zejména pro podávání žádostí o přístupy, jejich schvalování a správu externistů. Díky tomu jsou do procesů správy identit zapojeny i odpovědné osoby mimo IT.

Integrace systémů

IdM je integrováno na vstupní i cílové systémy, ve kterých jsou spravovány účty a oprávnění uživatelů:

EGJE (HR systém) – zdroj dat o zaměstnancích a pracovních vztazích

Active Directory – správa doménových účtů a jejich životního cyklu

Entra ID – řízení přístupů do cloudových služeb

Exchange – správa poštovních schránek a distribučních skupin

SAP – řízení přístupů v SAP prostředí prostřednictvím centrální správy uživatelů (SAP CUA)

Logserver, Moodle, Feedback – interní aplikace

Nadstandardní funkce řešení

Správa hesel je realizována jednotně napříč systémy. IdM pokrývá celý životní cyklus hesel včetně jejich iniciálního nastavení při založení účtu, změn, resetů, exspirací a notifikací.

Součástí řešení je správa osobních počítačových účtů v Active Directory. Počítače jsou zakládány administrátory prostřednictvím IdM, jsou pevně svázány se svým vlastníkem a jejich životní cyklus je řízen společně s ním. Při změnách organizačního zařazení se přesouvají tak, aby jejich oprávnění odpovídala aktuálnímu zařazení uživatele.

V oblasti řízení neslučitelných oprávnění (SoD) je výlučnost definována mezi skupinami rolí a při vzniku role nové jsou vazby výlučnosti nastavovány automaticky. Případné konflikty oprávnění jsou schvalovány a následně pravidelně recertifikovány.

Řešení je lokalizováno do češtiny, angličtiny a němčiny s ohledem na působení společnosti v Německu a Rakousku. Výchozí jazyk je nastaven na základě údajů z HR systému a uživatel si jej může změnit v uživatelském rozhraní, přičemž tato volba se promítá i do systémových notifikací.

Administrátoři mohou definovat pravidla pro automatické přiřazování a odebírání rolí přímo v grafickém rozhraní a přizpůsobovat je aktuálním potřebám.

Bez ohledu na obecně vysokou technickou náročnost implementace identity management systému byl naším největším soupeřem čas, který od první společné schůzky ubíhal rychlostí mezinárodního expresu. Bylo jasné, že standardní průběh v režimu klasického waterfallu nepřipadá v úvahu. Jakým způsobem jsme dokázali projekt v tak krátkém časovém úseku realizovat a dodat? Klíčové předpoklady, bez kterých by to nebylo možné, byly:

Naprostá důvěra – i když výběru naší společnosti předcházelo náročné výběrové řízení, bývá obvyklé, že si dodavatel musí důvěru nejdříve zasloužit. V tomto případě bylo kritické získat naprostou důvěru ihned po zahájení. To se nám povedlo a je nutno podotknout, že jsme si ji po celou dobu projektu udrželi.

Výjimečná flexibilita a nasazení na obou stranách – ve velkých společnostech, ke kterým se ČD Cargo bezesporu řadí, nepřipadá v úvahu organizovat schůzky více osob ze dne na den. Na projektu implementace IdM to však byl pro projektové manažery denní chleba a jen díky absolutně vstřícnému přístupu obou stran se to pokaždé podařilo. Za to všem zainteresovaným patří velký dík.

Maximální souběh činností – kromě krátkého období úvodní části analytické fáze projektu probíhal celý projekt v režimu vysokého paralelismu. Implementace byla rozdělena na menší celky a jen pár týdnů pro zahájení projektu začala jejich realizace. Dokumentace se tvořila průběžně a průběžné bylo i testování a později školení. Ve výsledku se všechno sešlo teprve pár týdnů před přechodem do produkce a jen díky skvělé průběžné spolupráci a komunikaci mezi oběma stranami naplnil výsledek očekávání.

Efektivní a spolehlivý vývoj – v takto napjatém harmonogramu nebyl prostor na chyby. Ať už na straně architektonické, kdy se nám podařilo vyhnout naprosté většině slepých kolejí, tak na straně vývoje, kdy byli vývojáři schopni psát kód bez nutnosti následných složitých oprav.

I když to možná není úplně obvyklé, musíme zmínit ještě jednu důležitou veličinu. Tou je štěstí, protože i v méně náročných situacích mohou okolní vlivy, obecně nazývané jako „vyšší moc“, nepěkně zamíchat kartami. Nemoc, katastrofy rozličného charakteru, nebo „jen“ špatná chemie mezi členy týmu, a z ambiciózního projektu zbyde v lepším případě velmi nehezká vzpomínka. Ale jak se říká, štěstí přeje připraveným, a my očividně připraveni byli.

Již pár dní po spuštění systému do produkčního provozu bylo jasné, že se dílo povedlo. Dětské nemoci a drobné problémy se dařilo operativně odstraňovat, problémy zásadního charakteru s dopadem na data se nám vyhnuly zcela. Celková stabilita a spolehlivost systému spolu s nečekaně nízkým počtem chyb, které se nepodařilo odhalit v průběhu krátkého testování, nakonec umožnila části vyčerpaného týmu hned následující týden vybrat si zasloužené volno.

Ani měsíc poté se situace nijak dramaticky nezměnila. Produkční systém jede jak dobře namazaná lokomotiva, auditorská firma zpracovává dodané podklady na finální verdikt nutný pro přidělení dotace, a spokojený zákazník již intenzivně řeší možnosti pro další rozvoj řešení.

Protože možnosti midPointu jsou, v kombinaci se zkušeným dodavatelem, takřka neomezené.