HLAVNÍ CÍLE PROJEKTU

1. Implementace a podpora systému pro správu a řízení přístupových práv neboli EnviIAM – Access Manager (dále EnviIAM – AM)
2. Implementace a podpora systému pro správu a řízení identit neboli EnviIAM – Identity Manager (dále EnviIAM – IdM)

První cíl byl navíc okořeněn skutečností, že současně s implementací systému EnviIAM – AM byly na MŽP upgradovány systémy, které byly nedílnou součástí scope tohoto projektu:

1. aplikace Registr ISPOP (vznikl společně s agendovým informačním systémem ISPOP – Integrovaný systém plnění ohlašovacích povinností), přičemž tento registr se v průběhu jeho používání a implementace dalších AIS (např. SEPNO, HNVO, ISOH) v prostředí ministerstva rozrostl o další dílčí registry a také o další vlastnosti, funkce a data. Proto ministerstvo udělalo upgrade tohoto registru a to tak, že jeho nová verze se stala samostatnou aplikací (AIS) – Centrálním registrem ŽP (neboli CRŽP).
2. agendový IS ISPOP se upgradoval na ISPOP v2

Druhý cíl nevybočil ze standardů požadovaných na systémy IdM. Snad jen skutečnost, že některé online systémy, připojené na IdM měly být vytvořeny „od základů“ (např. konektor na „Telefonní ústřednu“), mohla být chápána jako specifický požadavek ohledně znalosti programovacích jazyků.

POPIS PROJEKTU

Z výběrového řízení vyšel jako vítěz implementátor AMI Praha a.s. s produktem Apereo Central Authentication Service (Apereo CAS) pro první cíl projektu a produkt firmy Evolveum – midPoint Identity Manager pro druhý cíl projektu.

• Apereo CAS je nabízen jako open-source nástroj pro webový Single Sign-On (SSO), spravovaný konsorciem Apereo. Vznikl v akademickém prostředí a je hojně využíván univerzitami po celém světě. Podporuje obecně uznávané protokoly pro autentizaci a autorizaci a implementuje vlastní autentizační protokol CAS.
• MidPoint Identity Manager je nabízen jako opensource, je tedy možné ho stáhnout ze stránek firmy bezplatně, a dokonce i bez jakékoliv registrace. Podle vysoké aktivity na fórech produktu je midPoint hojně využíván a jsou do něj vývojovým týmem přidávány nové a nové funkcionality. Podle ohlasů jeho uživatelů je midPoint velmi oblíbeným nástrojem pro správu identit a je implementován jak na univerzitách, tak v komerčních i státních firmách.

POPIS ŘEŠENÍ

Časování projektu bylo již v zadávací dokumentaci předem dáno – 12 měsíců pro první cíl projektu a dalších 12 měsíců pro druhý cíl projektu.

První cíl – Implementace a podpora systému pro správu a řízení přístupových práv neboli EnviIAM – Access Manager (dále EnviIAM – AM)

První dva měsíce jsme věnovali „Prováděcímu projektu“ – tento dokument definuje a popisuje postupy a způsoby, kterými bude dosaženo Dodání a nasazení EnviIAM tzn.

• všechny projektové procesy včetně způsobu jejich řízení,
• komplexní rámec aktivit projektu (včetně identifikace vstupů a výstupů aktivit) seskupených do etap,
• aktivity, které logicky vedou k cílům projektu,
• významné milníky (včetně fakturačních),
• součinnost stran a organizační otázky Zhotovení Díla,
• další skutečnosti důležité pro provádění projektu.

Další dva měsíce byly ve znamení analytických schůzek a tvorby analytického dokumentu pod názvem „Specifikace díla“ tzn. technický dokument, který popisuje cílový stav řešení a obsahuje níže uvedené části:

• analýza požadavků na Aplikaci (uživatelské funkční / nefunkční, technické),
• legislativní analýza,
• UML popis případů užití Aplikace,
• UML modely tříd, komponent, datových objektů, sekvenční a stavové diagramy,
• popis integrace na externí Poskytovatele identit,
• popis způsobu integrace na interní autentizační zdroj,
• popis způsobu integrace na komunikační rozhraní pro odesílání ověřovacích kódů vícefaktorové autentizace,
• logický návrh řešení – UML komponentní diagram,
• technický návrh řešení – návrh fyzického rozmístění jednotlivých komponent v infrastruktuře,
• popis integrace jednotlivých AIS/IS na Aplikaci,
• popis integrace na řešení SIEM (Security Information and Event Management),
• technologický popis Aplikace,
• bezpečnostní popis (monitoring, logování, audit).

V následujících měsících proběhly tyto aktivity:

• Nasazení a konfigurace (TEST a PROD)
  • na prostředích byla nasazena Aplikace, která obsahuje veškerou definovanou funkcionalitu kromě integrace na externí IdP a integraci s externími systémy AIS/IS
• Integrace a migrace
  • V této aktivitě proběhla integrace EnviIAM na externí IdP, implementace rozhraní pro odesílání ověřovacích kódů vícefaktorové autentizace, nasazení řešení SIEM Objednatele, integrace autentizačního zdroje CRŽP
  • Bylo integrováno 6 agendových informačních systémů
    • Integrovaný systém plnění ohlašovacích povinností (ISPOP);
    • Systém evidence přepravy nebezpečných odpadů (SEPNO);
    • Hodnocení nebezpečných vlastností odpadů (HNVO);
    • Informační systém odpadového hospodářství (ISOH);
    • Informační Portál odborně způsobilých osob (IPO);
    • Znalostní Portál EnviHELP pro oblasti životního prostředí (EnviHELP);
  • Školení uživatelů / administrátorů
  • Testování – testování proběhlo ve třech vlnách
    • První vlna testů byla primárně věnována testování základní požadované funkcionality, tj. přihlášení a odhlášení uživatele a dále administrační přístup k systému (38 testovacích scénářů)
    • Druhá vlna testů byla primárně věnována otestování nasazeného řešení EnviIAM – AM jako celku včetně integrace (27 testovacích scénářů)
• Dokumentace je samostatnou kapitolou tohoto projektu, pro akceptaci byla vytvořena a předána tato dokumentace (některé požadované dokumentace, byly zařazeny jako kapitoly do jiných zde uvedených dokumentací)
  • Dokumentace testování systému
  • Dokumentace ISVS (dle požadavků z. č. 365/2000 Sb.)
  • Aplikační dokumentace
  • Provozní dokumentace
  • Bezpečnostní dokumentace
  • Akceptace – pro vlastní akceptaci bylo nutné také vypořádat katalog požadavků
    • Pro první cíl projektu bylo vypořádáno 60 funkčních i nefunkčních požadavků

Druhý cíl – Implementace a podpora systému pro správu a řízení identit neboli EnviIAM – Identity Manager (dále EnviIAM – IdM)

Tentokrát jsme věnovali „Prováděcímu projektu“ pouze jeden měsíc, jelikož podstatná část dokumentu se pro druhý cíl neměnila např.

• všechny projektové procesy včetně způsobu jejich řízení,
• aktivity, které logicky vedou k cílům projektu,
• významné milníky (včetně fakturačních),

Další tři měsíce byly opět ve znamení analytických schůzek a tvorby analytického dokumentu pod názvem „Specifikace díla“ tzn. technický dokument, který popisuje cílový stav řešení

V následujících měsících se opakovaly tyto aktivity:

• Nasazení a konfigurace (TEST a PROD)
• Integrace a migrace
• Školení uživatelů / administrátorů
• Testování – testování jsme pojali malinko jinak než u předchozího cíle, využili jsme SW prostředek JIRA a testovací scénáře a jejich exekuci jsme přenesli sem. Umožnilo Nám to průběžně sledovat a vyhodnocovat rychlost a úspěšnost testování, pomocí workflow jsme přesně věděli, v jakém stavu se daný krok či celý testovací scénář nachází.
• Dokumentace opět byla velmi rozsáhlou složkou projektu stejně jako u prvního cíle
• Akceptace – pro vlastní akceptaci bylo nutné také vypořádat katalog požadavků
  • Pro druhý cíl projektu bylo vypořádáno 319 funkčních i nefunkčních požadavků

Implementace obou nástrojů jak pro správu identit, tak pro řízení přístupových práv splnila očekávání managementu a lze ji považovat za úspěšnou. Vedení IT MŽP ve spolupráci s AMI Praha pokračuje již pomocí servisního kontraktu na rozvoji těchto nástrojů.

MŽP dále kladně hodnotí bezproblémovou spolupráci AMI Praha přímo s vývojáři midPointu a APEREO CAS a jejich velikou ochotu při řešení problémů. MidPoint a APEREO CAS jako alternativu ke komerčním řešením, lze tedy vřele doporučit.