Reference

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Reference Rozvoj IDM a KDM v České poště
Česká pošta

Rozvoj IDM a KDM v České poště

Česká pošta

V návaznosti na předchozí roky pokračovaly roce 2022 rozvojové úpravy IdM a KDM (Key Distribution Manager určený pro centralizaci a synchronizaci autentizačních prostředků v prostředí Linux/UNIX) řešení pro zákazníka Česká pošta. Hlavním cílem dílčích projektů bylo rozšířit IdM a KDM řešení o další koncové systémy a rozvoj řešení rozšiřující původní koncepci.

Cíl projektu

V roce 2022 jsme v rámci rozvojových aktivit realizovali připojení dvou koncových systémů a několik rozvojových požadavků.

  • Napojení nového Service Desku SMAX
  • Rozšíření funkcionalit IdM konektoru do Microsoft 365
  • Drobný rozvoj
    • Doplnění správy externích uživatelů
    • Registrace servisních účtů
    • Úpravy oprávnění workflow, atributů uživatele
    • Řízení uživatelů v MLAN
    • Správa mailboxů v Microsoft 365
    • Provozní optimalizace
    • Report rekonciliace serverů v KDM
    • Konektor midPoint-midPoint
    • Optimalizace výkonu KDM

Popis projektu

Rozvoj IdM – napojení nového Service Desku SMAX

ČP provedla výměnu service desku HP SM za SMAX. Z tohoto důvodu bylo zapotřebí upravit logiku v IdM tak, aby zůstaly zachovány veškeré možnosti správy účtů a přiřazení rolí pro service desk – SMAX.

Veškerá správa uživatelů a přiřazení rolí v systému SMAX byla řešena skrze LDAP. IdM provádí vytváření/modifikace/mazání uživatelů v LDAPu a dané role přiřazuje/odebírá skrze plnění/odebírání hodnot multivalue atributu (již implementovaná funkcionalita). Systém SMAX provádí periodickou synchronizaci s daným LDAPem.

Rozvoj IdM – IdM konektor do Microsoft 365 – řízení guest účtů

ČP začala používat prostředí Microsoft 365, čímž vznikly potřeby na řízení uživatelů a oprávnění v tomto prostředí.

Běžní uživatelé a administrátoři jsou v tenantu Microsoft 365 řízeni integrací přes AD Connect.

Nejpalčivějším problémem byly neřízené „guest“ účty pro externisty, tato funkcionalita byla řešena jako první. Externisté mají v IDM evidovanou identitu, tzv. ext účty. Řízení guest účtů umožňuje externistům používat sdílení v SPO a využít další funkcionality Microsoft 365 bez nároku na licence. Dále již není nutné spravovat hesla externích uživatelů používající pouze tyto služby v Microsoft365.

Drobný rozvoj IdM

Doplnění správy externích uživatelů

Správa externích uživatelů je rutinně používána pro správu stovek dodavatelů. Při provozu se ukázala zásadní omezení včetně požadavků na provozní čištění a převody uživatelů mezi smlouvami, bylo tedy nutné:

  • změnit kontrolu atributů u externistů tak, aby se kontrolovaly zadané atributy přímo ve vstupním formuláři,
  • upravit archivaci uživatelů tak, aby je bylo možné vrátit do smlouvy ze strany garantů,
  • přidat atribut Společnost,
  • vytvořit oprávnění pro zobrazení atributů smluv,
  • archivovat neplatné smlouvy s externisty,
  • vytvořit nové notifikace o platných externích uživatelích v neplatné smlouvě.

Registrace servisních účtů

Servisní účty nebyly řízeny ze strany IdM. Změna vyžadovala, aby byly servisní účty v IdM minimálně registrovány pro účely evidence garantů a žádostí o role.

Úpravy oprávnění workflow, atributů uživatele

Provoz IdM prohloubil vyspělost procesů IT, což si vyžádalo úpravy v oprávněních a notifikacích:

  • nová notifikace o chybějících garantech aplikací a schvalovatelích rolí,
  • úprava rolí pro změnu emailové adresy tak, aby změnu mohli provádět správci emailu,
  • seskupení a upravení atributů uživatele při zobrazení profilu,
  • úprava schvalování, když není nadřízený tak vyšší nadřízený, pak až schvalovatele 999999,
  • úprava notifikace, aby fungovala i na přiřazení schvalovatelů a upravit názvy rolí.

Řízení uživatelů v MLAN

Pro správu síťových prvků vznikla nová administrační síť MLAN, ve které jsou uživatelé uloženi v samostatném LDAPu. Ti nebyli řízeni pomocí IdM.

Implementovali jsme nový konektor pro MLAN na technologii Open LDAP včetně všech standardních procesů správy uživatelů.

Řízení rolí v Microsoft 365

Konektor do Microsoft365 byl doplněn o řízení rolí Microsoft 365. Jedná se o administrátorské role v tenantu Misrosoft365.

Provozní optimalizace

Životní cyklus aplikací vyžadoval na straně IdM další úpravy, které reagovaly na změnu stavu okolních aplikací, infrastruktury a procesů:

  • odstranění funkcionalit pro NAKIT,
  • úprava synchronizačních politik v AD a CAS,
  • doplnění mapování atributů mezi IdM a AD, včetně statusu Exchange schránky.

Drobný rozvoj KDM

Report rekonciliace serverů

Předmětem bylo vytvoření serverové úlohy, která zajistí vytvoření *.csv reportu se seznamem rekonciliací napojených UNIX serverů KDM.

Konektor midPoint-midPoint

Předmětem bylo vytvoření a nasazení nového konektoru pro napojení KDM do IdM pomocí REST rozhraní.

Optimalizace výkonu KDM

Dle požadavků České pošty byly provedeny úpravy, které optimalizují běh KDM v průběhu a na konci migrace velkého množství UNIX serverů tak, aby řešení bylo provozovatelné.

Závěr

Lze konstatovat, že rozvoj IdM na České poště probíhá úspěšně a dle požadavků vedení IT a požadavků Kybernetické bezpečnosti, v postupných dílčích krocích. To s sebou přináší výhodu a možnost důkladného otestování a vyladění každé dílčí úpravy ještě před jejím nasazením do produkce, a to bez výpadků IdM a s téměř nulovou potřebou odstávek.

Další projekty pro klienta

Zaujala vás tato reference?