Seznam podporovaných systémů CzechIDM

K CzechIdM je možné připojit libovolný systém, který je dostupný po síti a je známa struktura identit. CzechIdM umožňuje spravovat uživatelské účty na vzdálených systémech prostřednictvím vhodných konektorů. Jedná se o komunikační rozhraní využívající standardní protokoly ke komunikaci se spravovaným systémem.

Děláme Identity Management přes 10 let, dříve jako konzultanti, 6 let pod vlastní firmou. Začali jsme s pevnou sadou konektorů, kterou postupně rozšiřujeme, vyvíjíme si i vlastní. Většinu informačních systémů na trhu jsme již připojovali a aktivně je naše Identity Managery spravují.czechidm

Pokud konektor  pro správu koncového systému nemáme, využijeme některý obecný nebo jej na míru vyvineme. U složitějšího systému, jako je  například SAP, je náročnost vlastního vývoje odpovídacící pracnosti v nižších jednotkách dní vývojáře.

Zde je seznam nejčastěji připojovaných systémů

Veřejné správa a samospráva – agendové systémy a spisové služby :
  • Marbes Proxio
  • Gordic Ginis
  • ICZ eSpis
  • ICTBrains Matrix
  • BBM iFIS – finanční řízení
  • Vera
Akreditované certifikační autority v ČR:
  • eIdentity.cz
  • Postsignum.cz QCA
Doménové řadiče a adresářové služby:
  • Microsoft Active Directory
  • Kerberos
  • OpenLDAP
  • Novell eDirectory
  • Red Hat Directory
Mailové systémy:
  • MS Exchange
  • Office 365
  • Linux postfix
  • Communigate
Databáze:
  • Microsoft SQL Server
  • MySQL
  • Oracle
  • PostgreSQL
  • Progres
  • Sybase
Operační Systémy:
  • HP-UX
  • Linux distribuce bez omezení – Red Hat, Debian, SuSE,…
  • Microsoft Windows všech verzí
  • Solaris
  • S/400
Personalistiky:
  • HRIS
  • Mysys HRMS
  • Navision
  • SAP
  • Vema
  • Helios
Web Single Sign On (SSO) a Access Management:
  • OpenAM
  • IBM/Tivoli Access Manager
  • Oracle Acces Manager
  • Sun Java System Access Manager
  • Kerberos
Zdravotnické systémy:
  • StaproMEDEA NIS
  • StaproPANAKEA
  • OpenLIMS
  • LEKIS
  • TESCO SW FaMa

Ostatní:

  • různé LDAPy
  • Plone
  • SAMBA

 

Pokud jste níže nenašli svůj systém, nezoufejte, seznam není kompletní. Napište nám na info@bcvsolutions.eu, zašleme Vám ínformaci jak je pracné Váš systém napojit.

Zhodnocení roku 2014 a plány na rok 2015

Rok 2014 byl pro nás obrovskou lekcí. Hlavně díky tomu, že jsme dlouho čekali na nové zakázky. To se nám stalo poprvé od startu firmy a donutilo nás to udělat hodně změn, které nakonec měly velmi pozitivní dopad na fungování firmy.

Druhá polovina roku byla opakem, naprostým úspěchem. Získali jsme nové zákazníky, tým vývojářů a konzultantů se rozjel a nasazovali jsme do produkce jeden systém za druhým. Uspořádali jsme úspěšný workshop na CzechPAM, kterým nám zajistil nové zákazníky. Splnili jsme si sen – vydali naše CzechIdM jako Opensource. Aktuálně máme nejvíce projektů od začátku firmy.

Co se podařilo v roce 2014:
  • Zveřejnili jsme náš produkt CzechIdM jako Opensource, což nás zviditelnilo a přineslo zákazníky.
  • Máme nový produkt CzechPAM. Střihli jsme si vývoj od základu a to poměrně velmi rychle. Produkt je velmi uživatelsky sexy.
  • Uspořádali jsme úspěšný workshop CzechPAM, který jsem si opravdu užil. S účastníky dále spolupracujeme.
  • Spravujeme jako firma nejvíce účtů pomocí IdM v ČR, vyjma datových schránek.
  • Udělali jsme mnoho vylepšení v CzechIdM – vytvořena standardní synchronizace, což je pecka funkce. Admin si sám může naklikat synchronizaci mezi napojenými systémy.
Cíle na rok 2015 – dominovat v ČR v identity managementu :-)
  • Dodat nejvíce IdM projektů najednou.
  • Růst obratu o 20%.
  • Pravidelně publikovat do blogu – 4xměsíčně.
  • Release nové verze CzechIdM 2x do roka. Zrychlit CzechIDM a zpříjemnit pro uživatele. Zavést automatizované testování GUI.

Osobně se mi podařilo pořádně se rozběhnout, za rok jsem zaběhl 927km. Na tento rok plánuji překonat 1000km.

Přeji mnoho úspěchů v novém roce.

Automatické přidělování rolí

Role v CzechIdM představují balík oprávnění identity ke koncovému systému nebo přímo CzechIdM (admin role). Role lze přiřazovat ručně, například pomocí webového GUI, nebo pomocí workflow a pravidel. Mým úkolem bylo implementovat nový způsob přiřazování rolí – automatické přidělování rolí, které lze použít v průběhu standardní rekoncilace/synchronizace. Dále se v článku dozvíte, jak byla tato nová funkcionalita v CzechIdM implementována a jak automatické přidělování rolí konfigurovat a spouštět.

Automatické role

Nejprve je třeba definovat, co jsou to automatické role. Nově v CzechIdM mají všechny role, včetně admin rolí, atributy, které slouží primárně pro rozhodování, komu danou roli při automatickém přiřazení přidělit. Počet těchto atributů je napevno stanoven na 10 a jsou jednoduše pojmenovány attribute1 až attribute10. Role je automatická právě tehdy, když má vyplněný alespoň jeden tento atribut – hodnota atributu není null a nebo prázdný řetězec.

Pro přiřazování automatických rolí byly definovány 4 nové užitečné metody nad třídou Data.

  • GetAutoRoles() – metoda používá aktivní UserView a pro daného uživatele vrací seznam automatických rolí, které splňují podmínky přidělení v příslušných atributech rolí.
  • AssignAutoRolesExpUsers() – na základě explicitně předaného seznamu uživatelů těmto přiřadí odpovídající automatické role.
  • AssignAutoRolesExpRoles() – na základě explicitně předaného seznamu rolí vyhledá odpovídající uživatele a těmto přiřadí odpovídající automatické role.
  • AssignAutoRoles() – pro všechny uživatele v systému přiřadí odpovídající automatické role.

Pomocí těchto metod lze například ve workflow nebo pravidlech jednorázově přiřadit automatické role uživatelům.

Konfigurace automatického přiřazení rolí

Předtím, než je možné přikročit k samotnému procesu automatického přidělování, je potřeba provést konfiguraci podmínek, které musí uživatelé splňovat, aby jim byla automatická role přidělena.

Podmínky je možné si představit jako trojici:

Atribut:Relace:Hodnota atributu

  • Atribut je název uživatelského atributu, například „tel“
  • Relace je vztah mezi názvem a hodnotou atributu, v současnosti lze vybírat z equal (EQ), not equal (NEQ) a like (LIKE)
  • Hodnota atributu je vypovídající, například „+420 540 123 456“

Konfigurace podmínky probíhá ve dvou krocích. První část konfigurace je umístěna v pravidle getAutoRolesAttributes. Pravidlo tedy editujeme, nejjednodušeji pomocí webového rozhraní. Pravidlo getAutoRolesAttributes obsahuje definici DTO, které představuje první část podmínky pro automatické přidělování rolí. Pravidlo má následující strukturu:

DTO roleAttrs = new DTOGroup();
 DTO attr1 = new DTOGroup();
 attr1.put(Constants.AUTO_ROLE_ATTRIBUTE_NAME, "tel");
 attr1.put(Constants.AUTO_ROLE_ATTRIBUTE_RELATION, RoleAttrRelation.EQ);
 …
 DTO attr10 = new DTOGroup();
 attr10.put(Constants.AUTO_ROLE_ATTRIBUTE_NAME, "");
 attr10.put(Constants.AUTO_ROLE_ATTRIBUTE_RELATION, RoleAttrRelation.EQ);
 …
 roleAttrs.put(AutoRoleAttr.EQ.name(), RoleAttrEq.OR);

Na řádku attr1.put(Constants.AUTO_ROLE_ATTRIBUTE_NAME, "tel"); jako druhý argument funkce attr1.put() vyplníme název atributu uživatele, například „tel“. Na následujícím řádku se vyplňuje Relace, v příkladu je RoleAttrRelation.EQ, který reprezentuje rovnost řetězců. Jak je vidět, lze nastavit až 10 podmínek pro přidělování rolí, přičemž logický operátor mezi jednotlivými podmínkami je ve výchozím stavu OR, jak je vidět na posledním řádku z příkladu.

Nyní máme tedy nastavenou první část podmínky Atribut:Relace:Hodnota a chybí nám ještě poslední část samotná hodnota atributu. Tu nastavujeme do již představených atributů rolí Attribute1 až Attribute10, přičemž pořadí atributů odpovídá řádkům v pravidle getAutoRolesAttributes. Toto můžeme nastavit pomocí webového GUI:

auto_config

Nyní máme již nastavené podmínky pro automatické přidělování rolí. Spuštění automatického přidělování rolí může probíhat automaticky při standardní rekoncilaci/synchronizaci. Pomocí GUI lze nastavit, kdy bude tato funkcionalita aktivní.

synch_conf

Omezení

Je třeba zdůraznit, že automatické přidělení rolí proběhne pouze při změnách uživatelské identity (update, vytvoření). Tedy vždy pouze pro určité stavy a akce. Jsou to tyto:

  • Assigned – UPDATE_IDENTITY
  • Matched – LINK_ACCOUNT_AND_UPDATE
  • Missing identity – CREATE_IDENTITY
  • Missing identity – CREATE_IDENTITY_AND_UPDATE

Automatické role mají určitá omezení, která je třeba mít na paměti při konfigurování. Zejména lze přiřazovat role pouze na základě atributů datového typu String. Například nelze použít pouze název atributu „homeOrganisation“ nebo „disabled“.

Dále je třeba počítat s tím, že jednotlivé podmínky jsou vzájemně spojeny logickým operátorem OR. Návrh automatických rolí počítá s pozdějším přidáním dalších logických operátorů jako je AND, nicméně v současné podobně je jedinou volbou OR.

Závěr

V tomto článku jsem představil novou vlastnost CzechIdM – automatické přiřazování rolí. Byly definovány automatické role, ukázány možnosti konfigurace automatického přiřazení rolí a také omezení pro tuto novou funkcionalitu. Možnosti využití jsou jistě širší, než je schopen pojmout tento článek, proto se můžete těšit na pokračování, kde budou představeny širší možnosti konfigurace automatických rolí. Pro jakékoli dotazy mě můžete kontaktovat na marcel.poul@bcvsolutions.eu.

Kontrolované a zakázané organizace v CzechIdM

V tomto článku vás seznámím s novou funkcionalitou v CzechIdM, která umožňuje snazší implementaci centrální správy uživatelů ve společnostech se složitější organizační strukturou, což byl případ jednoho z našich zákazníků. Jedná se o funkcionalitu zakázaných organizací. Ta umožní vyjmout ze správy administrátora nějakou organizaci, ačkoliv ten samý administrátor spravuje její nadřazenou organizaci.

Centrální a lokální administrátoři

Do administrátorského rozhraní mají přístup všichni uživatelé, kteří mají v CzechIdM přidělenou nějakou roli typu „ADMIN“. Každá taková role přiřazuje svým držitelům rozličná oprávnění (čtení či editace uživatelů, rolí, systémů,…) na základě konkrétního nastavení. Ovšem aby mohl administrátor spravovat uživatele v CzechIdM, musí navíc kontrolovat tu organizaci, v níž je uživatel zařazen (tj. uživatelovu domovskou organizaci). Podobně je to i s organizacemi; administrátor může spravovat jen ty organizace, které kontroluje.

Administrátorovi je tedy možné nastavit buď plná práva na všechny uživatele, nebo vytvořit lokálního administrátora, který kontroluje pouze určitou část organizační struktury (jednu nebo více organizací). Organizační struktura je stromová; mluvíme tedy o nadřazených a podřazených organizacích, přičemž celý organizační strom má v CzechIdM jeden kořen – organizaci „top“.

Pokud administrátor kontroluje organizaci „top“, znamená to, že vidí všechny uživatele a organizace. Příkladem takového uživatele je třeba „admin“, který existuje v každé instanci CzechIdM jako centrální administrátor.

Stromová organizační struktura

Při nastavování kontrolovaných organizací se uplatňuje jednotný princip, že kořen organizačního podstromu reprezentuje celý podstrom. Má-li tedy administrátor nastavenou organizaci „Celá firma“ ve svých kontrolovaných organizacích, znamená to, že kontroluje nejen uživatele umístěné přímo v organizaci „Celá firma“, ale také uživatele z jejích podřazených organizací (např. „Ředitelství“, „Odbor účetnictví“,…).

Tento princip by v ideálním případě stačil k tomu, aby se dala nastavit libovolná potřebná kombinace kontrolovaných organizací pro administrátory. Nicméně reálné situace zřídka bývají ideální a někdy může být potřeba, aby administrátor měl možnost spravovat nadřazenou organizaci, ale ne všechny její podřazené organizace. Například aby mohl spravovat uživatele v organizaci „Celá firma“, ale ne uživatele v její podorganizaci „Ředitelství“. Ideální řešení by bylo upravit organizační strukturu či umístění uživatelů v ní tak, aby takovéto výjimky neexistovaly. To však samozřejmě není vždy možné. Proto vznikly tzv. zakázané organizace.

Zakázaná organizace je výjimka z kontrolovaných organizací. V příkladu uvedeném výše jednoduše nastavíme administrátorovi, aby kontroloval „Celou firmu“, ale aby měl zakázané „Ředitelství“. Po přihlášení do CzechIdM pak bude moci spravovat uživatele celé firmy kromě uživatelů z organizace „Ředitelství“ a jejích podřazených organizací; tyto uživatele ani neuvidí ve výpisu uživatelů.

Kontrolované a zakázané organizace

Kontrolované a zakázané organizace

Bezpečnost

Při implementaci zakázaných organizací bylo třeba důkladně promyslet všechny možnosti. Je zásadní, aby uživatel, kterému je tímto způsobem zakázán přístup ke správě části organizační struktury, skutečně nemohl žádným způsobem ovlivnit její nastavení. To znamená:

  • nesmí mít možnost vytvářet, editovat či mazat uživatele z nějaké své zakázané organizace
  • uživatelům, které má ve správě, nemůže nastavit, aby kontrolovali nějakou organizaci, které leží mimo jeho vlastní kontrolu (ať už přidělením kontrolované organizace, nebo odebráním zakázané organizace)
  • uživatelům, které má ve správě, nemůže odebrat kontrolu nad organizací, která leží mimo jeho vlastní kontrolu (ať už odebráním kontrolované organizace, nebo přidáním zakázané)

Při administraci tedy může dojít třeba k následující situaci:

  1. Administrátor kontroluje organizaci „top:Celá firma“ a má zakázanou organizaci „top:Celá firma:Ředitelství“.
  2. Uživatel je zařazen v organizaci „top:Celá firma“ (takže ho administrátor může spravovat) a na začátku nekontroluje žádnou organizaci.
  3. Administrátor nastaví do kontrolovaných organizací uživatele organizaci „top:Celá firma“.
  4. Uživatel má ve výsledku kontrolu nad organizací „top:Celá firma“, ale má zakázanou organizaci „top:Celá firma:Ředitelství“. Tuto zakázanou organizaci totiž přidalo automaticky CzechIdM při uložení změn nad uživatelem. To proto, že administrátor nesmí nikomu nastavit kontrolu nad „Ředitelstvím“, které sám nekontroluje.

Obdobně se CzechIdM chová i při odebírání kontrolovaných organizací či přidávání/odebírání zakázaných organizací.

Kontrola oprávnění administrátora se provádí na úrovni GUI i v backendu. Na úrovni GUI lze měnit přiřazení kontrolovaných a zakázaných organizací pouze v tom rozsahu, na který má administrátor oprávnění. Pokud by chtěl nastavit uživateli takovou kombinaci, která by vedla k nesmyslnému stavu (např. kontrolovaná organizace by ležela pod zakázanou organizací), CzechIdM by neumožnilo nastavení uložit.

V backendu se kontroluje oprávnění vždy v rámci metody Data.checkinView (což je jediná metoda, přes kterou lze uložit tzv. view – „pohled na uživatele“ – do databáze). Ani při vynechání kontroly oprávnění v GUI tedy nelze nastavit nic, co by bylo v rozporu s oprávněními přihlášeného uživatele.

Závěr

V tomto článku jsem vám představila jednu z nových vlastností CzechIdM. Pokud by vás zajímaly detaily jejího chování či podrobnosti implementace, neváhejte mi napsat na e-mail alena.peterova@bcvsolutions.eu.

CzechPAM: Jak bezpečně ukládat data

Naším cílem bylo udělat CzechPAM jakožto bezpečnostní aplikaci. To samozřejmě zahrnuje držení všech důležitých dat v zašifrované podobě. Bohužel i v dnešní době je stále běžné u aplikačních serverů ukládat spojení k databázi (Datasource) v plaintextové podobě. O tom, jak jsme se s tímto úkolem poprali a jak je realizované bezpečné ukládání dat v CzechPAMu, se dozvíte dále v článku.

czechpam_lock

Pokračování textu

Export dat do XLS a CzechIdM

Pro našeho klienta jsme implementovali export vybraných atributů identit do excelovského formátu XLS, jelikož otevírání CSV v tabulkovém editoru může být komplikované především z důvodu nastavení oddělovacího znaku jednotlivých sloupců. Dalším omezením je editace vzhledu výsledného exportu, s čímž si tabulkový editor pro CSV neporadí. V tomto článku si tedy ukážeme základní kroky nutné pro práci se soubory XLS pomocí frameworku Apache POI.

Apache POI

POI je javovský framework vydávaný Apache Software Foundation, takže stejně jako u ostatních produktů Apache má otevřený zdrojový kód a je vydáván pod svobodnou licencí. Současnou stabilní verzí je 3.11. Obecně se tento framework snaží poskytovat API pro standardní sadu dokumentů společnosti Microsoft, nejde tedy jen o práci se soubory typu XLS nebo XLSX, na které se v článku zaměřujeme, ale i o wordovské dokumenty nebo prezentace.

Závislosti a příprava Eclipse

Všechny třídy, které budeme pro práci s frameworkem potřebovat, jsou obsaženy v jediném JARu, nazvaném poi.jar. Tento archiv potřebuje další knihovny, ale my bude pro využití v CzechIdM potřebovat přidat pouze jedinou, a to commons-codec.jar z adresáře /lib. Ostatní, například log4j, už IdM obsahuje.

Pokud používáme k buildu projektu Ant, musíme knihovny ručně přidat do classpath. CzechIdM je distribuováno jako enterprise archiv, a jednotlivé moduly – tedy WAR a EJB – na tomto archivu závisejí. Proto pro přídání nových knihoven do classpath stačí nakopírovat knihovny do adresáře /lib projektu CzechIdM-ear. Jak WAR tak i EJB mají tento EAR v build path a můžou využívat jeho knihovny.

Pro build mavenem musíme přidat závislost do souboru pom.xml projektu CzechIdM-parent. V něm uvedeme kompletní element i s verzí, v EJB se na něj pouze odkazuje. Pro CzechIdM-parent/pom.xml:

<dependency>
    <groupId>org.apache.poi</groupId>
    <artifactId>poi</artifactId>
    <version>3.10-FINAL</version>
</dependency>

Pro CzechIdM-ejb/pom.xml:

<dependency>
    <groupId>org.apache.poi</groupId>
    <artifactId>poi</artifactId>
</dependency>

Tím máme nastaveny projekty a můžeme se přesunout na samotné generování XLS.

Tvorba XLS

Samotné vytváření souboru je vlastně kopie jeho struktury, kterou ale musí programátor napsat ručně. Nejprve vytvoříme workbook a sešit, do kterých chceme zapisovat. Nastavíme font a vytvoříme styl buněk tabulky. Jednotlivé řádky sešitu vytvoříme zavoláním metody createRow(int) na aktuálním sešitu. Právě parametr metody zde vytváří poněkud nepříjemnou vlastnost, a to že pokud si nedáme pozor na číslování, můžeme si přepisovat data. Stejná vlastnost bohužel platí i pro sloupce řádků. Následující ukázka kódu zachycuje vytvoření jednoduchého souboru XLS:

public static void main(String[] args) throws Exception {
    FileOutputStream out = new FileOutputStream("workbook.xls");
    // create a new workbook
    Workbook wb = new HSSFWorkbook();
    // create a new sheet
    Sheet s = wb.createSheet();
    // set the sheet name in Unicode
    wb.setSheetName(0, "export");

    // create workbook font
    // set font 1 to 12 point type
    // make it bold
    // arial is the default font
    Font f = wb.createFont();
    f.setFontHeightInPoints((short) 12);

    // create cell style
    CellStyle cs = wb.createCellStyle();
    cs.setFont(f);
    cs.setWrapText(true);
    cs.setDataFormat(wb.createDataFormat().getFormat("#,##0.0"));

    // create row and cells
    Row r = s.createRow(0);
    for (int i = 0; i < 5; i++) {
        Cell c = r.createCell(i);
        // set cell style and its value
        c.setCellStyle(cs);
        c.setCellValue("Column no. : " + i);
    }

    // write workbook to output stream
    wb.write(out);
    out.close();
}

Nepříjemnosti s typováním

Jelikož potřebujeme generovat soubory dynamicky a formát výsledného XLS není natvrdo zadrátovaný v kódu, je potřeba zpracovávat všechny vstupní hodnoty jako Object. POI ale přijímá jako vstupní parametry pouze řetězce, datumy a čísla. Samozřejmě se opět můžeme ke všem vstupům chovat stejně a volat Object.toString(), ale to nás dostane k problémům s formátováním. Zkuste si to například pro datum nebo List, s výsledkem ale nejspíše spokojeni nebudete. Toto omezení frameworku vede na kód z následující ukázky:

protected void writeAttribute(Object value) {
    /* … */
    // handle format of collections
    if (Collection.class.isAssignableFrom(value.getClass())) {
        Collection<?> collection = (Collection<?>) value;
        if (collection.isEmpty()) {
            cell.setCellValue("");
        } else {
            // separate list elements by new lines
            StringBuilder sb = new StringBuilder();
            for (Object object : collection) {
                sb.append(object).append("\n");
            }
            sb.deleteCharAt(sb.length() - 1);
            cell.setCellValue(sb.toString());
        }
    }
    /* … */
}

Pokud tedy chceme zapisovat různorodé objekty a jejich návratová hodnota metody toString() se neschoduje s požadovaným formátem XLS, musíme si pro každý formát napsat handler.

Ukončení zápisu

Zapsat výsledný workbook je velice jednoduché – třída Workbook poskyje metodu write(OutputStream), jejíž zavolání přesměruje všechna data do poskytnutého streamu. Nejsme tedy omezeni například na zápis pouze do souboru na disk, což nám v IdM přijde vhod. Zapisovací metodu „nakrmíme“ třídou ByteArrayOutputStream, z níž pohodlně dostaneme data jako pole bytů. Jakmile pak uživatel využije možnosti exportu XLS, vyskočí mu v prohlížeči nabídka na stažení sešitu a nepotřebuje nic hledat. Ukázku výsledného souboru si můžete prohlédnout na obrázku níže.

Ukázka výsledného XLS.

Ukázka výsledného XLS.

Závěr

Možnosti Apache POI jsou velmi široké a tento článek pokryl pouze jejich malou část. Pokud vytváříte aplikace, jejichž části musí být použitelné v kancelářském prostředí, je to i přes drobné nedostatky zajisté dobrá volba.

Pokud byste měli nějaké dotazy, neváhejte mě kontaktovat na jan.helbich@bcvsolutions.eu.

Šifrovaný filesystém v Linuxu

Většina z nás se již někdy ocitla v situaci, kdybychom byli rádi, aby naše data byla opravdu jenom naše. Existují různé druhy ochran pro zabránění přístupu útočníka přes síť do našeho počítače, ovšem problém může nastat, když tento útočník získá fyzický přístup k našemu datovému médiu. Pak je již rychle schopen data odcizit a přečíst. Jak se však dá takovéto situaci zabránit? V tomto případě by nás mohlo zachránit šifrování našich dat.

Šifrování dat

Šifrování je proces, při kterém naše data změníme takovým způsobem, že budou pro jinou osobu (útočníka), bez znalosti informace jakým způsobem data vrátit zpět, naprosto k ničemu. Opačný proces se nazývá dešifrování. Konkrétních možností jak mít naše data v bezpečí je několik. Můžeme zašifrovat celý disk nebo diskový svazek. Také můžeme zašifrovat celý nebo část (soubory/složky) filesystému. Poslední možností je využít kryptografický filesystém. My si teď tyto způsoby rozebereme, vysvětlíme a ukážeme si jejich klady a zápory. Také si ukážeme práci s šifrovacím nástrojem cryptsetup.

Šifrování celého disku

Šifrování disku je, jak už název napovídá, metoda šifrování dat, při které zašifrujeme celý pevný disk nebo diskový svazek. Existují tři způsoby, kterými je možno disk zašifrovat. Buďto pomocí speciálního software nebo můžeme využít samošifrovacího disku.
V případě softwarového řešení nám v paměti počítače běží program, který interpretuje data mezi úložištěm a zbytkem počítače. Tento program dešifruje data z disku za pomocí klíče (většinou zpřístupněného pomocí hesla, které uživatel zadá jednou při startu PC nebo přístupu k úložišti). Naopak při zápisu data zase šifruje. Bez tohoto interpretování se data na disku tváří jako náhodná.
Samošifrovací disky využívají tzv. kryptoprocesor. Ten je napevno vystavěn do disku. Tento procesor podobně jako u softwarového šifrování interpretuje data, ale tentokrát je tato operace prováděna mezi fyzickým diskem a SATA rozhraním. Opět je nutné aby se uživatel autentizoval, což provádí před startem operačního systému.
Jak se tedy výše zmíněné možnosti liší? Šifrovací software je dostupnější, existují jak komerční tak open source programy. Za samošifrovací disk si sice připlatíme, na druhou stranu ovšem nabízí neporovnatelně lepší výkon, jelikož šifrovací a dešifrovací operace provádí kryptoprocesor, narozdíl od software, který musí využívat procesor počítače.

Šifrování na úrovni filesystému

Šifrování na úrovni filesystému nám umožňuje zabezpečit pouze část dat uložených na disku. Touto částí můžeme rozumět celý souborový systém, ale i několik složek nebo souborů. Na rozdíl od šifrování celého disku se nešifrují metadata, jako jsou informace o adresářové struktuře nebo jménech a počtu souborů ve složce, což může být nežádoucí. Tento problém řeší například filesystém ZFS, který metadata zvlášť šifruje na disk. Jedna z výhod šifrování na úrovni filesystému je taková, že můžeme různé soubory/složky šifrovat různými klíči. To je vhodné jak z hlediska bezpečnosti, tak toho můžeme využít jako autorizačního systému (různí uživatelé budou mít přístup k různým souborům). Dále je výhodné, že šifrujeme opravdu jen ta data, která chceme zašifrovat, nedochází tak ke zvýšené režii při přístupu k veřejným souborům jako v případě šifrování na úrovni disku, kde musíme dešifrovat každý soubor.

Kryptografický filesystém

Kryptografický filesystém je speciální typ filesystému, kde se již předem počítá s tím, že data v něm obsažena budou šifrována. Používá se ho většinou jako nástavba na běžný filesystém. Existují různé kryptografické filesystémy, které používají různé způsoby šifrování. Jako příklad si můžeme uvést EFS (Encrypted FileSystem) společnosti Microsoft.

Problémy

Při šifrování dat výše zmíněnými způsoby existuje několik problémů, které je nutné řešit. Prvním takovýmto problémem je bootování systému. V případě šifrování na úrovni filesystému nám tento problém pravděpodobně nevznikne, stačí nešifrovat soubory nutné k bootování. Šifrování celého disku však musí vytvořit nezabezpečenou partici, kam se vloží tyto soubory. Dalším problémem je správa klíčů. Při filesystémové úrovni šifrování má každý uživatel jeden nebo více klíčů, které jsou sdruženy v tzv. klíčence. Ta je zašifrována na disku pomocí master klíče. Ten je chráněn pomocí hesla, které je známé uživateli.

Cryptsetup

Nyní si ukážeme vytvoření šifrovaného svazku pomocí nástroje cryptsetup. Ten nám umožňuje využívat šifrovacího subsystému dm-crypt k vytváření, používání a správě šifrovaných svazků. Cryptsetup využívá dm-crypt spolu s jeho nástavbou LUKS, která přidává k funkcím dm-cryptu správu klíčů nebo třeba dvouúrovňové šifrování.

Při vytváření nového diskového svazku, je vhodné ho zaplnit náhodnými daty. Tak znemožníme nebo alespoň ztížíme identifikaci našich šifrovaných dat na daném svazku. Tohoto můžeme docílit použitím vhodného nástroje, jako je třeba dd. Použijeme generátor náhodných čísel /dev/urandom. Tato operace však může trvat delší dobu. Parametr bs (blocksize) nám operaci urychlí.

fallocate -l 512M /root/svazek
dd bs=1M count=512 if=/dev/urandom of=/root/svazek

Nyní se můžeme pustit do vytvoření šifrovaného oddílu. K šifrování našeho svazku zvolíme šifru AES v šifrovacím módu xts. AES (Rijndael) volíme proto, že patří k těm nejrychlejším ze současně standartně používaných šifer (Serpent, Twofish, RC6, MARS). Mod XTS je zase populární díky úrovni bezpečnosti a podpoře náhodného přístupu k datům. Velikost klíče bude 512 bitů a přepínačem -y si zajistíme kontrolu hesla, které budeme v tomto kroku zadávat.

cryptsetup -c aes-xts-plain -s 512 -y luksFormat /root/svazek

Teď když máme vytvořen nový šifrovaný svazek ho musíme zpřístupnit, vytvořit na něm vhodný souborový systém a připojit.

cryptsetup luksOpen /root/svazek encrypted
mkfs.ext4 /dev/mapper/encrypted
mkdir /mnt/encrypted
mount /dev/mapper/encrypted /mnt/encrypted

Nyní máme vlastní zašifrovaný svazek. Můžeme k němu přistupovat přimo přes /mnt/encrypted. Po ukončení práce se zařizením ho zase odpojíme a zrušíme mapování.

umount /dev/mapper/encrypted
cryptsetup luksClose encrypted

Pokud budeme chtít, aby náš zašifrovaný svazek byl automaticky připojený při bootu OS, musíme upravit soubory /etc/crypttab a /etc/fstab.

echo "encrypted /root/svazek none luks" >> /etc/crypttab
echo "/dev/mapper/encrypted /mnt/encrypted ext4    defaults 0  0" >> /etc/fstab

Nyní budeme při startu systému vyzváni k zadání hesla k zašifrovanému svazku.

Protože po připojení našeho zašifrovaného svazku jsou naše data ve swapu nešifrovaná, je vhodné jej šifrovat. Toho můžeme dosáhnout následujím způsobem (předpokládáme swap file na /dev/sda5).

swapoff /dev/sda5
cryptsetup -d /dev/urandom create cswap /dev/sda5
mkswap /dev/mapper/cswap
swapon /dev/mapper/cswap

Pro připojení swapu při bootu OS, musíme opět doplnit záznamy do souborů crypttab a fstab. To uděláme následovně.

echo "cswap /dev/sda5 /dev/urandom swap" >> /etc/crypttab

Jelikož ale již máme pravděpodobně nastavený swap v /etc/fstab, musíme záznam o něm vyměnit za:

/dev/mapper/cswap none            swap    sw              0       0

Závěr

V tomto příspěvku jsme si ukázali typy šifrování souborů v našem systému. Shrnuli jsme si jejich klady a zápory a nastínili jsme některé problémy, které nás mohou potkat. Nakonec jsme si předvedli, jakým způsobem můžeme pomocí nástroje cryptsetup vytvořit a používat šifrovaný svazek. V případě dotazů mě neváhejte kontaktovat na miroslav.staffa@bcvsolutions.eu.

Jak na Selenium testy pro CzechIdM

V tomto článku si ukážeme, jak zprovoznit Selenium testy pro CzechIdM a napsat svůj první test. Předpokládá se, že máte k dispozici vývojové prostředí pro CzechIdM s TestNG (pokud ne, začněte naříklad zde).

Požadavky

Zde uvádím seznam potřebného softwaru, včetně verze, se kterou jsem pracoval, pro referenci, kdyby v budoucnu došlo k nekompatibilitě.

  • naklonované CzechIdM z repozitáře, Java 1.7
  • TestNG (pokud používáte Eclipse, nejlépe jako plugin)
  • Selenium Client & WebDriver Language Bindings pro Javu (testováno s verzí 2.44)

nepovinné, ale ušetří čas:

  • Selenium IDE (testován plugin pro firefox verze 2.8.0)

Příprava Selenium v Eclipse

Rozbalíme Selenium Client & WebDriver Language Bindings, v něm se nacházi několik .jar souborů (v aktuální verzi 2) a složka libs ve které jsou další (v aktuální verzi 37). V Eclipse klikneme pravým na projekt czechidm-test a vybreme Properties. Na Záložce Java Build Path v podzáložce Libraries je tlačítko Add External Jars …, Přidáme tedy všechny knihovny (aktuálně 39). Nyní by měly Selenium testy v pořádku proběhnout.

První test se Selenium IDE

Po instalaci pluginu a restartu prohlížeče se vpravo od adresního řádku objeví logo Selenium IDE, tím ho spustíme. Base URL zadáváme bez idm/, pokud testujete na lokálním počítači s testovacím prostředím nastaveným podle návodu na tomto blogu, je to nejpravděpodobněji http://localhost:8080/. Vpravo pod řádkem pro Base URL je červené tlačítko pro nahrávání. Otevřeme si tedy IdM, nastavíme Base URL a začneme nahrávat.

Base URL a nahravani

Pokud budete testů dělat více a nebudete chtít, aby se pokaždé znovu přihlašovaly, je potřeba si ohlídat jejich pořadí, pro začátek však uděláme test co se přihlásí i odhlásí.

V tomto vzorovém testu se tedy přihlásíme do IdM, otevřeme záložku Reports, do kolonky Executor napíšeme admin a klikneme na Search. Nakonec se odhlásíme.

Nahravani testu

V tuto chvíli v okně Selenium IDE máme nahranou kostru prvního testu. Můžeme si ho pro jistotu spustit a dát se do úprav. Samotné Selenium IDE nám nabízí spoustu nástrojů pro kontrolu (ne)existence obsahu, ale jsou věci (například právě obsah tabulky vyčtené z databáze), které je praktičtější napsat rovnou v Javě, než v samotném Selemium IDE.

Podívejte se však jaké možnosti Selenium IDE nabízí. Stačí kliknout pravým tlačítkem na řádek, před který chceme přidat kontrolu a kliknout na Insert New Command. V kolonce Command vybereme nebo napíšeme příkaz, Target je cílový element a Value hodnota (např. pro Command assertText je text, který v elementu má být).

Když máme hotové kontroly které jsme schopni provést v samotném Selenium IDE, klikneme na File > Export Test Case As > Java / JUnit 4 / WebDriver. Bohužel Selenium IDE v aktuální verzi neumí kombinaci Java / TestNG / WebDriver, bude tedy potřeba test převést, s pluginem pro TestNG v Eclipse je to však otázka pár kliknutí.

export do Javy

Dostaneme soubor s kostrou testu, může vypadat například takto:

package com.example.tests;

import java.util.regex.Pattern;
import java.util.concurrent.TimeUnit;
import org.junit.*;
import static org.junit.Assert.*;
import static org.hamcrest.CoreMatchers.*;
import org.openqa.selenium.*;
import org.openqa.selenium.firefox.FirefoxDriver;
import org.openqa.selenium.support.ui.Select;

public class Test {
	private WebDriver driver;
	private String baseUrl;
	private boolean acceptNextAlert = true;
	private StringBuffer verificationErrors = new StringBuffer();

	@Before
	public void setUp() throws Exception {
		driver = new FirefoxDriver();
		baseUrl = "http://localhost:8080/";
		driver.manage().timeouts().implicitlyWait(30, TimeUnit.SECONDS);
	}

	@Test
	public void test() throws Exception {
		driver.get(baseUrl + "/idm/admin/authentication/login.seam");
		driver.findElement(By.id("j_id12:username")).clear();
		driver.findElement(By.id("j_id12:username")).sendKeys("admin");
		driver.findElement(By.id("j_id12:password")).clear();
		driver.findElement(By.id("j_id12:password")).sendKeys("admin");
		driver.findElement(By.id("j_id12:submit")).click();
		driver.findElement(By.id("reportsLink:j_id60")).click();
		driver.findElement(By.name("j_id100:submenu_table:j_id109")).clear();
		driver.findElement(By.name("j_id100:submenu_table:j_id109")).sendKeys("admin");
		driver.findElement(By.name("j_id100:submenu_table:j_id137")).click();
		driver.findElement(By.id("j_id32")).click();
	}

	@After
	public void tearDown() throws Exception {
		driver.quit();
		String verificationErrorString = verificationErrors.toString();
		if (!"".equals(verificationErrorString)) {
			fail(verificationErrorString);
		}
	}

	private boolean isElementPresent(By by) {
		try {
			driver.findElement(by);
			return true;
		} catch (NoSuchElementException e) {
			return false;
		}
	}

	private boolean isAlertPresent() {
		try {
			driver.switchTo().alert();
			return true;
		} catch (NoAlertPresentException e) {
			return false;
		}
	}

	private String closeAlertAndGetItsText() {
		try {
			Alert alert = driver.switchTo().alert();
			String alertText = alert.getText();
			if (acceptNextAlert) {
			alert.accept();
		} else {
			alert.dismiss();
		}
			return alertText;
		} finally {
			acceptNextAlert = true;
		}
	}
}

Umístíme jej tedy do vhodného package mezi testy, já jsem zvolil eu.bcvsolutions.idm.test.ui.admin.selenium. V Eclipse na něj klikneme pravým tlačítkem a zvolíme TestNG > Convert to TestNG. Pravděpodobně nebudete chtít vygenerovat testng.xml, ale budete test chtít přidat do hlavního testng.xml, aby se spouštěl s ostatními testy.

V BCV solutions testujeme automaticky pomocí Jenkins, proto je připravena třída eu.bcvsolutions.idm.test.SeleniumTest, ze které testy dědíme. Poskytuje předpřipravené metody setUp a tearDown pro testování více prohlížeči. Stačí jednoduše přidat na začátek import eu.bcvsolutions.idm.test.SeleniumTest a k deklaraci třídy extends SeleniumTest a smazat vygenerované metody setUp a tearDown. V testng.xml přidáme naši třídu ke všem prohlížečům (ChromeTest, FirefoxTest, případně do budoucna další) a nyní se bude test spouštět postupně na všech. Také nám tato třída poskytuje metody logIn a logOut aby se nám stále neopakoval stejný kód.

Nyní je vhodný čas zkusit, jestli test správně proběhne. Pokud ano, můžete se pustit do pokročilejších kontrol, nyní už v Javě, a tedy mnohem pohodlněji než v Selenium IDE. Můžete si například najít tabulku s výsledky a kontrolovat, zda obsahuje po přefiltrování správná data.

K tomu máme k dispozici třídu eu.bcvsolutions.idm.test.SeleniumTestUtils, ve které je prozatím metoda pro kontrolu, zda sloupec tabulky (ne)obsahuje hodnotu X, do budoucna se jistě rozšíří, abychom nemuseli časté typy kontrol psát stále znovu.

Na co si dát pozor do budoucna

V budoucnu se CzechIdM bude jistě rozrůstat o další funkce, s tím souvisí nejen drobné změny vzhledu (další položky v menu, …) ale i testovacích dat. Může se tedy stát, že nám mezi existující položky přibudou další, musíme tedy s touto variantou počítat a nedělat testy až přespříliš striktní, typu „v X-tém řádku, Y-tém sloupci bude hodnota Z“ ale například „někde v Y-tém sloupci bude hodnota Z“, což je problematické přímo v Selenium IDE a lépe se řeší už v Javě. Sice to stále neřeší všechny situace (např. že data padnou na další stránku), ale alespoň většinu z nich.

Pozor na ID elementů

V aktuálním release má spousta HTML elementů ID vygenerované automaticky díky JSF. Zde narážíme na problém, protože pokud v rozhraní přibude element, JSF posune číslování, tedy veškeré kontroly spoléhající na ID elementu selžou. O tomto problému víme a budeme ho v brzké době řešit dogenerováním vlastních ID. Prozatím je potřeba počítat s úpravou testů pro nové verze a nebo se snažit psát kontroly, které na ID nezáleží.

Závěr

Selenium testy jsou jistě zajímavým tématem k hlubšímu studiu a někdy se k nim určite vrátím. V případě že máte nějaké otázky, nebo postřehy k tomuto článku, mužete psát na jiri.novak@bcvsolutions.eu.

OSGi neboli Open Service Gateway

OSGi neboli Open Service Gateway initiative je specifikace dynamického modulárního systému pro programovací jazyk Java. V tomto článku si povíme něco o historii OSGi, ukážeme si jednoduchou aplikaci napsanou pomocí OSGi a podíváme se na přidávání a odebírání modulů z aplikace.

Historie

Práce na OSGi specifikaci začala v roce 1999. Původně byla cílena na síťová zařízení a vestavěné systémy a zde se také prosadila a začala využívat. V roce 2003 se vývojářský tým platformy Eclipse rozhodl vyměnit proprietární modulární systém za vlastní implementaci OSGi s názvem Equinox. Dnes už většina aplikačních serverů podporuje nebo plánuje podporu OSGi. OSGi se tak na poli enterprise aplikací stává alternativou k zatím rozšířenější Javě EE. K dalším populárním implementacím OSGi kromě Equinoxu patří také Apache Felix nebo Knopflerfish.

Využití

Hlavní výhoda OSGi při jeho použití k vývoji aplikace je právě modulárnost. Umožňuje nám to za běhu naší aplikace přidávat a odebírat její součásti. Zlepšuje se nám tak udržovatelnost aplikace, například můžeme aktualizovat jednu část aplikace, aniž bychom museli zbylé komponenty této aplikace odpojit z provozu. Mezi další výhody patří také možnost mít zavedeno více verzí jednoho modulu. Pokud máme dvě části aplikace, které závisí na různých verzích jedné knihovny, OSGi nám umožní běh obou verzí zároveň. Každé komponentě bude umožněn přístup pouze ke správné verzi této knihovny.

Dále se budeme věnovat ukázce základní práce s OSGi. Pro demonstraci budeme používat právě výše zmíněný Equinox, který je dodávaný v jednom balíku spolu s Eclipse IDE. Stáhnout si ho můžete třeba z oficiálních stránek. Pro vytvoření nového OSGi modulu si vytvoříme tzv. Plug-In Project.

Bundle

V OSGi se každý jednotlivý modul aplikace označuje jako tzv. bundle, což je obyčejný jar archiv s přidaným hlavičkovým souborem MANIFEST.MF. Při práci s moduly používáme právě tento soubor a nadefinujeme si zde, jaké balíčky importujeme a exportujeme.

Manifest-Version: 1.0
Bundle-ManifestVersion: 2
Bundle-Name: HelloService
Bundle-SymbolicName: com.bcvsolutions.sample.HelloService
Bundle-Version: 1.0.0.qualifier
Bundle-Activator: com.bcvsolutions.sample.service.impl.HelloServiceActivator
Bundle-Vendor: BCVSOLUTIONS
Bundle-RequiredExecutionEnvironment: JavaSE-1.7
Import-Package: org.osgi.framework;version="1.3.0"
Export-Package: com.bcvsolutions.javaworld.sample.service

Tento soubor obsahuje několik důležitých hlaviček. Mezi pro nás nejdůležitější patří Bundle-Activator, Import-Package a Export-Package. Bundle-Activator označuje tzv. activator třídu. Ta definuje dvě základní metody každého OSGi bundlu start a stop. Tyto metody spouští a ukončují náš bundle. Import-Package nám definuje balíčky, které náš bundle potřebuje. Pokud není bundle obsahující daný balíček přítomný v OSGi kontejneru, není možné náš bundle spustit. Export-Package nám zase definuje balíčky, které dáváme k dispozici jiným bundlům.

Activator třída pak může vypadat například takto.

package com.bcvsolutions.sample.helloservice;

import org.osgi.framework.BundleActivator;
import org.osgi.framework.BundleContext;

public class Activator implements BundleActivator {

	public void start(BundleContext context) throws Exception {
		System.out.println("Hello World!!");
	}
	
	public void stop(BundleContext context) throws Exception {
		System.out.println("Goodbye World!!");
	}

}

OSGi kontejner zavolá metodu start při spouštění bundlu. BundleContext je objekt umožnující interakci s frameworkem. Metoda stop je volaná při ukončování bundlu, je vhodné v této metodě provést čistící operace např. odpojení od databáze.

Správa bundlů

Ke správě bundlů v kontejneru nám dobře poslouží OSGi konzole. Můžeme v ní instalovat a odinstalovat bundle, spustit a zastavit bundle nebo si třeba zobrazit všechny bundly dostupné v kontejneru.

osgi> ss
"Framework is launched."


id	State       Bundle
0	ACTIVE      org.eclipse.osgi_3.10.1.v20140909-1633
	            Fragments=603
...
841	RESOLVED    com.bcvsolutions.sample.HelloWorld_1.0.0.qualifier
843	ACTIVE      com.bcvsolutions.sample.HelloService_1.0.0.qualifier

Po vypsání bundlů příkazem ss můžeme vidět dva námi připravené bundly. HelloService je bundle, který exportuje jednu ze svých služeb (viz MANIFEST.MF výše). Zároveň vidíme, že je ve stavu active, což znamená, že je spuštěný v kontejneru. Druhý bundle HelloWorld, který má importovaný balíček z bundlu HelloService, je ve stavu resolved, což značí, že je připraven na spuštění a má vyřešeny veškeré závislosti. Nyní ho můžeme spustit příkazem start.

osgi> start 841
Hello World!!
Inside HelloServiceImple.sayHello()
Say Hello
osgi> stop 841
Goodbye World!!

Vidíme, že balíček byl spuštěn a také, že využívá jedné ze služeb balíčku HelloService. Nakonec jsme bundle zase ukončili příkazem stop.

Životní cyklus bundlu

Životní cyklus OSGi bundlu

Balíček po dobu své funkce projde několika stavy. Po instalaci do frameworku se dostává do stavu installed. Jakmile jsou uspokojeny jeho závislosti přechází do stavu resolved a čeká na spuštění. Při spouštění se dostává do fáze starting, z níž po navrácení metody start přejde do stavu active. Během ukončování je ve stavu stopping a po návratu metody stop se balíček opět navrátí do stavu resolved. Po odinstalaci balíčku se dostává do stavu uninstalled.

Závěr

V tomto příspěvku jsme si ukázali základní práci s OSGi bundly, exportování a importování jednotlivých modulů a základ správy osgi bundlů pomocí konzole.
V případě dotazů mě neváhejte kontaktovat na miroslav.staffa@bcvsolutions.eu.

Jak zrychlit načítání dat z personálního systému VEMA?

Pří správě uživatelských účtů Identity Managerem je vždy jeden, nebo více systémů, autoritativní zdroj informací o uživatelích. Údaje o uživatelích jsou v pravidelných intervalech načítány a dále se propagují do dalších systémů. Jelikož počet takových uživatelů může být velký, tak je neefektivní je načítat všechny, protože u většiny uživatelů nedojde k žádné změně. Ideální řešení je takové, že Identity Manager načítá z autoritativního systému pouze ty uživatelské záznamy, které byly od posledně modifikovány. To však lze pouze v případě, že daný systém u záznamů uživatele ukládá čas poslední modifikace. Personální systém Vema, který je u našeho zákazníka pro CzechIdM autoritou pro identity, neposkytuje pouze změnové záznamy. Proto jsme si museli poradit sami a to jednoduše. V databázi Oracle, kam se provádí z personalistiky full-export, jsme zajistili evidenci změn a tyto změny poskytujeme do CzechIdM. Tím bylo možné rapidně zrychlit načítání autoritativních dat. Proces, který dříve trval až 13 hodin, byl nahrazen procesem, který trvá řádově minuty! Pojďme se na to podívat blíže.

Počáteční stav

Zdrojem autoritativních dat je personální systém Vema. Z personálního systému se provádí každý den full-export do Oracle DB, ze které si je mohou načítat externí aplikace. Export probíhá tak, že se nejprve smažou všechna data včetně samotných databázových tabulek, opět se vytvoří databázové tabulky a následně se do nich vloží aktuální data personálního systému. CzechIdM načítá data o uživatelích právě z exportní Oracle databáze. Na základě načtených dat inicializuje personální procesy a propaguje změny na další napojené systémy. Například při nástupu nového zaměstnance CzechIdM načte jeho popisné údaje z Oracle databáze, založí mu identitu v CzechIdM a na základě jeho funkčního zařazení mu přidělí role, dle kterých se pro něho automaticky vytvoří účty na dalších systémech zákazníka (založí se mu email, účet v docházkovém systému atd.). S tím, jak se rapidně navyšujel počet načítaných uživatelů a počet napojených koncových systémů, tak se samozřejmě prodlužuje i samotný proces rekonciliace. Bylo tedy potřeba od něho upustit a přejít k synchronizaci. Problémem však bylo, že personální systém neexportuje s uživatelskými daty informace o času jejich poslední modifikace. Dříve, než se podíváme, jak jsme daný problém vyřešili, tak si pro jistotu vysvětlíme co znamenají výše uvedené pojmy rekonciliace a synchronizace. :-)

Synchronizace vs rekonciliace

Pojem rekonciliace v původním významu označuje proces usmíření, uvedení věcí do souladu. Tato definice poměrně přesně popisuje rekonciliaci i z pohledu Identity Managementu. Při rekonciliaci se prochází všechny uživatelské účty na koncovém systému a na základě definovaných akcí se aktualizují identity uživatelů v Identity Manageru. V našem konkrétním případě, kde koncovým systémem je personalistika, se na základě načtených dat aktualizují identity uživatelů, případně se vytváří identity nové pro nově evidované zaměstnance. Jelikož je personální systém v tomto případě systémem autoritativním, tak se popisné atributy automaticky propagují do koncových systémů, na kterých mají uživatelé založeny účty. Zde lze vidět analogii k původnímu významu slova rekonciliace. Identity manager uvede do souladu atributy uživatele na jeho účtech na koncových systémech s atributy, jenž jsou uvedeny dle personálního systému. Synchronizace, na rozdíl od rekonciliace, neprochází všechny uživatelské účty na koncovém systému. Místo toho si zjistí, které účty byly modifikovány od poslední synchronizace a dále pracuje pouze s nimi. V našem případě, kde mluvíme o napojování personálního systému, je hlavní výhodou synchronizace vůči rekonciliaci doba jejího běhu. V personálním systému je evidováno tisíce uživatelů, ale denně se jich aktualizuje pouze několik desítek, maximálně stovek. Doba běhu synchronizace je tedy řádově nižší než u rekonciliace.

Implementace synchronizace

Vraťme se však od strohé teorie k řešení našeho problému. Chceme nahradit proces rekonciliace personálního systému synchronizací. Data načítáme z přechodové Oracle databáze prostřednictvím databázových view, jenž pro nás integrují data z vícero tabulek. A co je hlavní, tak v datech není uvedeno, kdy byl daný záznam naposledy modifikován! První, co potřebujeme, je evidovat u všech tabulek obsahujících záznamy uživatelů informaci, kdy byl daný záznam aktualizován. Jelikož se tabulky při exportu z personálního systému mažou, tak si vytvoříme jejich kopie, které budou navíc obsahovat sloupec s informacemi o poslední modifikaci daného řádku (sloupec „modif_time“). Dále je potřeba realizovat to, že při exportu dat z personalistiky do databáze se nám budou aktualizovat data v našich tabulkách – „kopiích“ s tím, že se nám případně aktualizuje sloupec „modif_time“, pokud se daný řádek v „kopii“ liší od aktuálně exportovaného. Použití databázových triggerů není úplně šťastné, když se databázové tabulky při exportu mažou. Rozhodli jsme se tedy pro implementaci databázové procedury, která se bude volat vždy po skončení exportu. Ve výpisu níže je uvedena část této procedury, která se týká jedné z exportních tabulek, tabulky VEMA_UZIVATEL. Příkazem MERGE vložíme do naší „kopie“ (tabulka CZECHIDM_UZIVATELE) záznamy pro nové uživatele a aktualizujeme atributy u záznamů, které se liší mezi tabulkami VEMA_UZIVATEL a CZECHIDM_UZIVATELE. Zároveň u příslušných záznamů aktualizujeme atribut „modif_time“ v tabulce CZECHIDM_UZIVATELE. Následně zavoláním příkazu DELETE smažeme v tabulce CZECHIDM_UZIVATELE ty záznamy, které se již nevyskytují v tabulce VEMA_UZIVATEL. Obdobně je to realizováno i u ostatních exportních tabulek, které se týkají uživatelů a jejich atributů.

 /* Uzivatel */
 MERGE INTO VEMAEXPORT.CZECHIDM_UZIVATELE IDM
 USING (
 SELECT VEMA.JMENOZD, VEMA.PRIJMZD, VEMA.TITULYP, VEMA.TITULYZ, VEMA.OSCIS, VEMA.IDCIS, VEMA.LOKALITA FROM VEMAEXPORT.VEMA_UZIVATEL VEMA
 LEFT JOIN VEMAEXPORT.CZECHIDM_UZIVATELE IDM
 ON (VEMA.OSCIS = IDM.OSCIS)
 WHERE
 (IDM.OSCIS IS NULL) OR 
 (VEMA.JMENOZD || VEMA.PRIJMZD || VEMA.TITULYP || VEMA.TITULYZ || VEMA.OSCIS || VEMA.IDCIS || VEMA.LOKALITA) <> 
 (IDM.JMENOZD || IDM.PRIJMZD || IDM.TITULYP || IDM.TITULYZ || IDM.OSCIS || IDM.IDCIS || IDM.LOKALITA)) VEMA
 ON (VEMA.OSCIS = IDM.OSCIS)
 WHEN MATCHED THEN 
 UPDATE SET 
 IDM.JMENOZD=VEMA.JMENOZD, 
 IDM.PRIJMZD=VEMA.PRIJMZD, 
 IDM.TITULYP=VEMA.TITULYP, 
 IDM.TITULYZ=VEMA.TITULYZ, 
 IDM.IDCIS=VEMA.IDCIS, 
 IDM.LOKALITA=VEMA.LOKALITA, 
 IDM.MODIF_TIME=sysdate 
 WHEN NOT MATCHED THEN
 INSERT (OSCIS, JMENOZD, PRIJMZD, TITULYP, TITULYZ, IDCIS, LOKALITA, MODIF_TIME)
 VALUES (VEMA.OSCIS, VEMA.JMENOZD, VEMA.PRIJMZD, VEMA.TITULYP, VEMA.TITULYZ, VEMA.IDCIS, VEMA.LOKALITA, sysdate); 

 /* Smazeme data, co byla smazana ve VEMA_* tabulce */
 DELETE FROM VEMAEXPORT.CZECHIDM_UZIVATELE WHERE (OSCIS) IN (
 (SELECT OSCIS FROM VEMAEXPORT.CZECHIDM_UZIVATELE WHERE (JMENOZD, PRIJMZD, TITULYP, TITULYZ, OSCIS, IDCIS, LOKALITA)
 NOT IN
 (SELECT JMENOZD, PRIJMZD, TITULYP, TITULYZ, OSCIS, IDCIS, LOKALITA FROM VEMAEXPORT.VEMA_UZIVATEL))
 );

Nakonec upravíme naše databázová view, aby se data načítala z našich „kopií“ místo původních exportních tabulek a aby navracela u každého uživatele timestamp poslední modifikace přes všechny tabulky, které drží informace o uživateli. Příklad takového view je ve výpisu níže.

CREATE OR REPLACE FORCE VIEW "VEMAEXPORT"."CZECHIDM_UZIVATEL_VIEW" ("JMENO", "PRIJMENI", "TITULY_P", "TITULY_Z", "OSCIS", "IDCIS", "LOKALITA", "BUDOVA", "KANCELAR", "PSC", "LOGIN", "EMAIL", "TELEFON", "TELEFON_WEB", "MOBIL", "MODIF_TIME") AS 
 select distinct
 U.JMENOZD, 
 U.PRIJMZD, 
 U.TITULYP,
 U.TITULYZ,
 U.OSCIS,
 U.IDCIS,
 U.LOKALITA,
 (select L.ULICEN || ' ' || L.CP || ', ' || L.POSTA from CZECHIDM_LOKALITA L where L.LOKALITA=U.LOKALITA),
 (select L.NAZEV from CZECHIDM_LOKALITA L where L.LOKALITA=U.LOKALITA),
 (select L.PSC from CZECHIDM_LOKALITA L where L.LOKALITA=U.LOKALITA),
 (select C.KOD from CZECHIDM_SPOJENI C where (C.OSCIS=U.OSCIS and C.CISSP=1 and C.TYPSP='login')),
 (select C.KOD from CZECHIDM_SPOJENI C where (C.OSCIS=U.OSCIS and C.CISSP=2 and C.TYPSP='e-mail')),
 (select C.KOD from CZECHIDM_SPOJENI C where (C.OSCIS=U.OSCIS and C.CISSP=3 and C.TYPSP='telefon')),
 (select C.KOD from CZECHIDM_SPOJENI C where (C.OSCIS=U.OSCIS and C.CISSP=4 and C.TYPSP='telefonweb')),
 (select C.KOD from CZECHIDM_SPOJENI C where (C.OSCIS=U.OSCIS and C.CISSP=6 and C.TYPSP='mobil')),
 (select MAX(MODIF_TIME) from (
 SELECT U1.OSCIS AS OSCIS, L1.MODIF_TIME FROM CZECHIDM_UZIVATELE U1 LEFT JOIN CZECHIDM_LOKALITA L1 ON U1.LOKALITA=L1.LOKALITA
 UNION
 SELECT U1.OSCIS AS OSCIS, U1.MODIF_TIME AS MODIF_UZIVATEL FROM CZECHIDM_UZIVATELE U1
 UNION
 SELECT V.OSCIS AS OSCIS, V.MODIF_TIME AS MODIF_VYNETI FROM CZECHIDM_VYNETI V
 UNION
 SELECT Z.OSCIS AS OSCIS, Z.MODIF_TIME AS MODIF_VYNETI FROM CZECHIDM_ZASTUP Z
 UNION
 SELECT S.OSCIS AS OSCIS, S.MODIF_TIME AS MODIF_VYNETI FROM CZECHIDM_SPOJENI S
 UNION
 SELECT PS.OSCIS AS OSCIS, PS.MODIF_TIME AS MODIF_VYNETI FROM CZECHIDM_PRAC_SMLOUVY PS
 UNION
 SELECT PZ.OSCIS AS OSCIS, PZ.MODIF_TIME AS MODIF_VYNETI FROM CZECHIDM_PRAC_ZARAZENI PZ
 ) WHERE OSCIS=U.OSCIS)
 from CZECHIDM_UZIVATELE U;

Tímto máme realizovány všechny požadavky na straně databáze. Nyní již zbývá pouze nakonfigurovat synchronizaci personálního systému v CzechIdM a vypnout zdlouhavou rekonciliaci. :-) Jak toho docílit je hezky popsáno v příspěvku První krůčky s CzechIdM  Kapitola 3: Nastavení synchronizace a rekonciliace systému jednoho z kolegů.

Výsledek

A jaký je výsledek? Proces rekonciliace, který v tomto konkrétním případě trval několik hodin, byl nahrazen synchronizací, jenž běží většinou několik málo minut.

Závěr

V tomto příspěvku jsme si popsali rozdíly mezi synchronizací a rekonciliaci koncového systému. Dále jsme si na praktickém příkladu ukázali, jak je možné implementovat synchronizaci nad systémem, který na první pohled synchronizaci neumožňuje. Pokud byste měli nějaké dotazy, tak mne neváhejte kontaktovat na jaromir.mlejnek@bcvsolutions.eu.