Reference

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Reference Nasazení IdM midPoint v České televizi

Nasazení IdM midPoint v České televizi

Česká televize

Česká televize používá pro svůj provoz několik centrálních aplikací s odděleným řízením účtů a přístupů. Řízení účtů v těchto aplikacích probíhalo manuálně nebo spouštěním na míru vytvořených skriptů, které zajišťovaly zpracování základních požadavků (založení uživatele, změnu atributů). Tato situace se postupně stávala neudržitelnou, neboť nebylo možné efektivně reagovat na postupné změny v IT prostředí ČT. Dále nebylo možné jednoduše získávat aktuální a přehledné informace o uživatelích v jednotlivých aplikacích a nebylo možné zautomatizovat některé další procesy. Vedení IT se proto rozhodlo implementovat Identity Manager, který bude výše uvedené problémy řešit.

Cíl projektu

Při rozhodování jaký systém použít pro IdM byl zvolen produkt firmy Evolveum – midPoint Identity Manager. MidPoint je nabízen jako opensource, je tedy možné ho stáhnout ze stránek firmy bezplatně a dokonce i bez jakékoliv registrace. Podle vysoké aktivity na fórech produktu je midPoint hojně využíván a jsou do něj vývojovým týmem přidávány nové a nové funkcionality. Podle ohlasů jeho uživatelů je midPoint velmi oblíbeným nástrojem pro správu identit a je implementován jak v komerčních firmách, tak na univerzitách. Produkt nabízel všechny požadované funkcionality, nebo je bylo možné zdokumentovaným a oficiálně podporovaným způsobem doimplementovat.  Ve výběrovém řízení vyšel jako vítěz implementátor AMI Praha a.s.

Popis projektu

Česká televize používá různorodé aplikace, kterými jsou zejména: Active Directory jako hlavní adresář, SAP HR jako zdroj dat o zaměstnancích, brigádnících a o organizační struktuře, CEE Centrální evidence externistů (dále jen externista), IS AFM, Telefonní ústředna a aplikace Helios. Z technologického hlediska tedy bylo nutné napojit následující systémy:

  • Organizační strukturu v SAP HR (přes rozhraní aplikace TDI)
  • Uživatele evidované v SAP HR (přes rozhraní aplikace TDI)
  • Uživatele v evidenci externistů CEE – externisty (přes rozhraní aplikace TDI)
  • Uživatele a skupiny v adresáři Active Directory
  • Tabulku uživatelů a rolí v MSSQL databázi pro AFM
  • Tabulku uživatelů a rolí v MSSQL databázi pro Helios
  • Tabulku uživatelů a telefonních čísel v MSSQL databázi pro Telefonní ústřednu

Aplikace SAP HR a CEE není k IdM napojena napřímo, ale přes rozhraní aplikace TDI, kterou používají pracovníci Helpdesku pro doplnění informací o pracovnících a pro odfiltrování duplicit. IdM pak čerpá informace z aplikace TDI.

Následující obrázek schematicky znázorňuje napojení zmiňovaných aplikací na IdM midPoint a tok dat.

Instalace IdM midPoint

Hardwarové a softwarové požadavky midPointu nejsou nijak výjimečné a neliší se od požadavků podobných produktů. Doporučovaným operačním systémem je libovolná běžná linuxová distribuce. Dále je vyžadován Apache Tomcat verze 7 a vyšší, Java Development Kit verze 7 a vyšší a pro uložení dat o identitách databáze MySQL, MSSQL, Oracle nebo PostgreSQL.

V České televizi padla volba na operační systém CentOS, Apache Tomcat verze 7, Java Development Kit verze 7 a MSSQL databázi verze 2012. Server byl vytvořen ve virtuálním prostředí a bylo mu vyhrazeno 6 GB RAM paměti a 50 GB místa na disku.

Samotná instalace IdM midPoint také nebyla nijak složitá a sestávala z několika málo kroků: stažení WAR souboru midPoint ze stránek firmy Evolveum a jeho nakopírování do adresáře webapps v instalaci Apache Tomcat. Autoinstalační služba Tomcatu pak provedla instalaci a zpřístupnění webového rozhraní midPointu.

Tím byla základní instalace hotova a bylo možné přistoupit k napojení aplikací a k implementaci požadovaných funkcionalit.

Požadavky

Diskuzí se zástupci IT oddělení a Helpdesku bylo sesbíráno několik desítek požadavků a podnětů pro zapracování funkcionalit do nového IdM midPoint. Tento seznam vycházel ze zkušeností s provozem předchozích na míru vytvořených skriptů, a dále byl doplněn o nové požadavky vzniklé postupnými změnami procesů ve firmě.

Dalšími požadavky byly zejména:

  • Automatické vytváření uživatelských účtů v Active Directory při vzniku v SAP HR nebo CEE
  • Automatické generování loginu podle definovaného vzoru
  • Synchronizace organizační struktury z aplikace TDI do IdM
  • Notifikace pro Helpdesk při duplicitě Display Name uživatele v AD
  • Notifikace pro Helpdesk při změně jména, příjmení nebo loginu uživatele
  • Synchronizace skupin a uživatelů z AD do IdM, včetně synchronizace jejich členů
  • Synchronizace rolí a uživatelů z aplikace AFM do IdM
  • Synchronizace rolí a uživatelů z aplikace Helios
  • Podklady pro ukončení účtů ve všech aplikacích po odchodu zaměstnance
  • Přehledové reporty o stavu uživatelů v aplikacích (nespárované účty, problémy, chyby při rekonciliacích apod.)
  • Uživatelský portál v českém jazyce
  • Řízený přístup na portál pro pracovníky Helpdesku

Napojení Active Directory

Implementace napojení Active Directory je řešena pomocí Connector Serveru, který běží jako služba na straně AD a zajišťuje komunikaci a zpracování požadavků mezi konektorem IdM midPoint a samotným adresářem AD.

Samotní uživatelé jsou zde vytvářeni běžným způsobem v kontejneru HR Import a jeho podkontejnerech (podle příslušnosti uživatele k lokalitě Praha/Brno/Ostrava). Uživatelské účty jsou vytvářeny ve stavu Disabled. Operátor HD pak provede Enable účtu, přesun do zvoleného kontejneru a předání přihlašovacích údajů uživateli.

Větším oříškem bylo nastavení správné synchronizace skupin/rolí mezi Active Directory a IdM midPoint. Jelikož v dostupné dokumentaci nebyl návod na implementaci této konkrétní funkcionality, obrátilo se AMI Praha přímo na vývojáře midPointu se žádostí o spolupráci. Ti zareagovali okamžitě a připravili komplexní dokument s postupem, jak takovou funkcionalitu řešit. Díky jejich ochotě tedy byla bez větších problémů implementována i synchronizace skupin mezi Active Directory a IdM midPoint.

Napojení  TDI, AFM, Heliosu a Telefonní ústředny

Uvedené aplikace používají jako datové úložiště databázové tabulky, pro jejich napojení byl tedy použitý DB konektor. Konektory pro databázové tabulky vycházejí z ICF konektorů firmy ForgeRock. Jejich implementace a napojení na potřebné databázové tabulky opět nepřineslo výraznější problémy. V tomto případě byl použit konektor ScriptedSQL, který je vysoce variabilní při použití složitých SQL dotazů k získání dat z výše uvedených aplikací. Aplikace jsou napojeny v režimu Read-only, IdM z nich získává data, která transformuje a následně propaguje do Active Directory.

Portál pro uživatele

MidPoint obsahuje webový portál jak pro koncové uživatele, tak pro operátory HD a administrátory. Ačkoliv portál nabízí uživatelům mnoho užitečných funkcí, bylo rozhodnuto, že do portálu budou přistupovat pouze operátoři Helpdesku a to hlavně v případech, kdy dojde ke konfliktu jmen.

Tento požadavek byl splněn konfigurací přístupových práv, kdy operátoři Helpdesku vidí ve své nabídce pouze seznam uživatelů a mohou měnit pouze atributy Display Name, login a OU do Active Directory.

Jazykové verze

Standardní součástí aktuální verze midPointu je i český jazykový balíček. Nastavení jazyka se řídí podle aktuálního prostředí operačního systému konkrétního uživatele.

Závěr

Implementace nástroje pro správu identit v České televizi splnila očekávání managementu a lze ji považovat za úspěšnou. Vedení IT v České televizi ve spolupráci s AMI Praha připravuje další požadavky na rozvoj implementace tohoto nástroje a chystá napojení dalších aplikací.

Vyzdvihnout lze hlavně jednoduchost napojení midPointu na jednotlivé aplikace a české uživatelské prostředí.

Česká televize dále kladně hodnotí bezproblémovou spolupráci AMI Praha přímo s vývojáři midPointu a s jejich velikou ochotu při řešení problémů, zejména při implementaci funkcionality synchronizace skupin Active Directory.

MidPoint, jako alternativu ke komerčním řešením, lze tedy vřele doporučit.

Další projekty pro klienta

Zaujala vás tato reference?