Tato webová stránka používá soubory cookie, abychom vám mohli poskytovat co nejlepší uživatelský zážitek. Informace o cookies jsou uloženy ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se vrátíte na náš web, a pomoc našemu týmu pochopit, které části webu jsou pro vás nejzajímavější a nejužitečnější.
Reference
Více než 30 IDM realizací v České republice i zahraničí

Rozvoj IDM a KDM v České poště
Česká pošta
V návaznosti na předchozí roky pokračovaly roce 2022 rozvojové úpravy IdM a KDM (Key Distribution Manager určený pro centralizaci a synchronizaci autentizačních prostředků v prostředí Linux/UNIX) řešení pro zákazníka Česká pošta. Hlavním cílem dílčích projektů bylo rozšířit IdM a KDM řešení o další koncové systémy a rozvoj řešení rozšiřující původní koncepci.
Cíl projektu
V roce 2022 jsme v rámci rozvojových aktivit realizovali připojení dvou koncových systémů a několik rozvojových požadavků.
- Napojení nového Service Desku SMAX
- Rozšíření funkcionalit IdM konektoru do Microsoft 365
- Drobný rozvoj
- Doplnění správy externích uživatelů
- Registrace servisních účtů
- Úpravy oprávnění workflow, atributů uživatele
- Řízení uživatelů v MLAN
- Správa mailboxů v Microsoft 365
- Provozní optimalizace
- Report rekonciliace serverů v KDM
- Konektor midPoint-midPoint
- Optimalizace výkonu KDM
Popis projektu
Rozvoj IdM – napojení nového Service Desku SMAX
ČP provedla výměnu service desku HP SM za SMAX. Z tohoto důvodu bylo zapotřebí upravit logiku v IdM tak, aby zůstaly zachovány veškeré možnosti správy účtů a přiřazení rolí pro service desk – SMAX.
Veškerá správa uživatelů a přiřazení rolí v systému SMAX byla řešena skrze LDAP. IdM provádí vytváření/modifikace/mazání uživatelů v LDAPu a dané role přiřazuje/odebírá skrze plnění/odebírání hodnot multivalue atributu (již implementovaná funkcionalita). Systém SMAX provádí periodickou synchronizaci s daným LDAPem.
Rozvoj IdM – IdM konektor do Microsoft 365 – řízení guest účtů
ČP začala používat prostředí Microsoft 365, čímž vznikly potřeby na řízení uživatelů a oprávnění v tomto prostředí.
Běžní uživatelé a administrátoři jsou v tenantu Microsoft 365 řízeni integrací přes AD Connect.
Nejpalčivějším problémem byly neřízené „guest“ účty pro externisty, tato funkcionalita byla řešena jako první. Externisté mají v IDM evidovanou identitu, tzv. ext účty. Řízení guest účtů umožňuje externistům používat sdílení v SPO a využít další funkcionality Microsoft 365 bez nároku na licence. Dále již není nutné spravovat hesla externích uživatelů používající pouze tyto služby v Microsoft365.
Drobný rozvoj IdM
Doplnění správy externích uživatelů
Správa externích uživatelů je rutinně používána pro správu stovek dodavatelů. Při provozu se ukázala zásadní omezení včetně požadavků na provozní čištění a převody uživatelů mezi smlouvami, bylo tedy nutné:
- změnit kontrolu atributů u externistů tak, aby se kontrolovaly zadané atributy přímo ve vstupním formuláři,
- upravit archivaci uživatelů tak, aby je bylo možné vrátit do smlouvy ze strany garantů,
- přidat atribut Společnost,
- vytvořit oprávnění pro zobrazení atributů smluv,
- archivovat neplatné smlouvy s externisty,
- vytvořit nové notifikace o platných externích uživatelích v neplatné smlouvě.
Registrace servisních účtů
Servisní účty nebyly řízeny ze strany IdM. Změna vyžadovala, aby byly servisní účty v IdM minimálně registrovány pro účely evidence garantů a žádostí o role.
Úpravy oprávnění workflow, atributů uživatele
Provoz IdM prohloubil vyspělost procesů IT, což si vyžádalo úpravy v oprávněních a notifikacích:
- nová notifikace o chybějících garantech aplikací a schvalovatelích rolí,
- úprava rolí pro změnu emailové adresy tak, aby změnu mohli provádět správci emailu,
- seskupení a upravení atributů uživatele při zobrazení profilu,
- úprava schvalování, když není nadřízený tak vyšší nadřízený, pak až schvalovatele 999999,
- úprava notifikace, aby fungovala i na přiřazení schvalovatelů a upravit názvy rolí.
Řízení uživatelů v MLAN
Pro správu síťových prvků vznikla nová administrační síť MLAN, ve které jsou uživatelé uloženi v samostatném LDAPu. Ti nebyli řízeni pomocí IdM.
Implementovali jsme nový konektor pro MLAN na technologii Open LDAP včetně všech standardních procesů správy uživatelů.
Řízení rolí v Microsoft 365
Konektor do Microsoft365 byl doplněn o řízení rolí Microsoft 365. Jedná se o administrátorské role v tenantu Misrosoft365.
Provozní optimalizace
Životní cyklus aplikací vyžadoval na straně IdM další úpravy, které reagovaly na změnu stavu okolních aplikací, infrastruktury a procesů:
- odstranění funkcionalit pro NAKIT,
- úprava synchronizačních politik v AD a CAS,
- doplnění mapování atributů mezi IdM a AD, včetně statusu Exchange schránky.
Drobný rozvoj KDM
Report rekonciliace serverů
Předmětem bylo vytvoření serverové úlohy, která zajistí vytvoření *.csv reportu se seznamem rekonciliací napojených UNIX serverů KDM.
Konektor midPoint-midPoint
Předmětem bylo vytvoření a nasazení nového konektoru pro napojení KDM do IdM pomocí REST rozhraní.
Optimalizace výkonu KDM
Dle požadavků České pošty byly provedeny úpravy, které optimalizují běh KDM v průběhu a na konci migrace velkého množství UNIX serverů tak, aby řešení bylo provozovatelné.
Závěr
Lze konstatovat, že rozvoj IdM na České poště probíhá úspěšně a dle požadavků vedení IT a požadavků Kybernetické bezpečnosti, v postupných dílčích krocích. To s sebou přináší výhodu a možnost důkladného otestování a vyladění každé dílčí úpravy ještě před jejím nasazením do produkce, a to bez výpadků IdM a s téměř nulovou potřebou odstávek.