Reference

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Reference Napojení Active Directory

Napojení Active Directory

Raiffeisenbank

V červnu 2014 bylo společně s Raiffeisenbank a.s. úspěšně dokončeno připojení Active Directory k CA IdentityMinderu (dále jen IdM).

Popis projektu

Připojení Active Directory bylo dosud v průběhu nasazování IdM na Raiffeisenbank tím nejsložitějším projektem. Samotné připojení probíhá pomocí standardního konektoru od výrobce (CA Technologies), ale pro potřeby zákazníka bylo nutné mnoho věcí přizpůsobit. Prvním úkolem bylo definovat, jak vlastně převést všechny vlastnosti účtů v Active Directory na přidělování rolí v IdM (RBAC – Role-Based Access Control), aby bylo možné i pro Active Directory smysluplně využívat již implementované procesy, jako např. žádosti o role. Výsledně byla stanovena definice následujících typů rolí pro Active Directory:

  • základní role – určují základní typ účtu, specifikují přenos atributů z uživatele v IdM do účtu v Active Directory (např. jméno, příjmení, e-mail, oddělení apod.) a dále definují nastavení účtu (např. přihlašování pomocí Smart Card, platnost účtu, vzdálené přihlašování apod.)
  • skupinové role – určují, jaké skupiny v Active Directory má uživatel přidělen
  • kontejnerové role – určují, v jakém kontejneru (OU) je účet zakládán

Přidělením rolí těchto typů (skupinových rolí může mít uživatel i více) je již účet v Active Directory beze zbytku specifikován.

Mezi další úpravy, které byly v IdM provedené pro účely Active Directory, patří např.:

  • Generování uživatelského jména pro Active Directory (s pořadovými čísly)
  • Výpočet defaultního kontejneru dle typu účtu a různých číselníků v DB
  • Automatické přesuny účtů v Active Directory při změně pracoviště apod.
  • Nový typ schvalovacího worfkflow pro přidělení role – schvalování garantem sdíleného adresáře
  • Volání skriptu pro zakládání domovského adresáře a nastavení jeho oprávnění
  • Podpora více účtů v Active Directory pro jednoho uživatele v IdM

Nejzásadnějším úkolem na konci projektu bylo sladit stávající stav účtů v Active Directory s přidělením rolí v IdM, aby si tyto informace odpovídaly. Pro tento účel byly na straně IdM doprogramovány různé reporty a simulace, které tuto míru shody ukazují, a dále úlohy, které umí v Active Directory hromadně začistit stav účtů dle přidělení rolí v IdM. Součástí projektu byla také dodávka nové úlohy v IdM pro hromadné přidělování rolí uživatelům na základě vstupních dat v CSV. S těmito poskytnutými nástroji poté pracoval zejména zákazník a postupně ladil přidělení rolí v IdM a stav účtů v Active Directory tak, aby při nasazení systému uživatelé nepřišli o potřebná oprávnění.

Výsledkem projektu je trvale udržovaný pořádek v účtech v Active Directory, v jejich kontejnerech i přidělených skupinách a automatická správa účtů dle informací z personálního systému.

Další projekty pro klienta

Zaujala vás tato reference?