Jak předávat data do Jednotného identitního prostoru pomocí Identity manageru (JIP/KAAS)
Jednotný identitní prostor (JIP) je poměrně nový projekt, který má primárně umožnit autentizaci a autorizaci uživatelů, například úředníků, pro online přístup k agendám orgánů státní moci, jako je třeba ISÚI – Informační Systém Územní Identifikace. Projekt je provozován pod hlavičkou CzechPoint. Nedávno nás oslovil zákazník s požadavkem na automatické plnění dat do JIP z jeho systémů. Toho je možné dosáhnout pomocí identity management SW (IdM). V následujícím článku si představíme, jak může taková integrace vypadat.
Co to je jednotný identitní prostor (JIP)?
JIP je online úložiště dat, ve kterém najdete následující typy objektů:
- Uživatelé – typicky zaměstnanci úřadů
- Subjekty – nejčastěji úřady, jejichž zaměstnanci chtějí přistupovat k různým online agendám
- Úřadovny – se nachází v nějakém subjektu
- Složky krizového řízení – se nachází v nějakém subjektu
- Datové schránky – se nachází v nějakém subjektu
- Zřizované organizace – se nachází v nějakém subjektu
JIP poskytuje službu autentizace a autorizace pro agendové systémy jako jsou ISÚI nebo ISKN. V praxi to znamená, že umožňuje následující scénář. Úředník z města Horní Dolní se chce přihlásit do agendového systému ISÚI. Přistoupí na webovou stránku dané agendy a je vyzván k přihlášení. Po zadání autentizačních údajů (např. jméno a heslo) je autentizován oproti JIP. Dále JIP předává seznam činnostních rolí tohoto uživatele pro danou agendu. Tím umožní provést autorizaci pro přístup k omezené části agendy, například konkrétních spisů.
Jak je vidět na předchozím příkladu, je nutné, aby JIP byl integrován s danou agendou. To má na starosti správce dané agendy. Samozřejmě je také třeba, aby v JIP byly veškeré informace o daném subjektu (úřad) a jeho zaměstnancích. Tuto část integrace má na starosti správce dat na daném úřadu. V tomto článku popisujeme, jak efektivně automatizovat proces zadávání dat z úřadu do JIP.
API JIP pro automatické zakládání dat do systému
Aby bylo možné automaticky online zadávat a upravovat data v JIP, je nutné zpřístupnit na straně tohoto systému API. JIP takové API má a nazývá ho KAAS. To má dvě složky
- Autentizační a autorizační – to nás ve scope tohoto článku netrápí
- Práce s uloženými daty – to je to pravé ořechové pro naši integraci
JIP/KAAS konektor
Aby bylo možné tuto integraci uskutečnit bylo nutné vyvinout vlastní konektor založený na standardu ConnId. Nyní si předstávíme jeho možnosti a limitace.
Konektro umožňuje spravovat dva zákládní objekty:
- __ACCOUNT__ – uživatelé
- __GROUP__ – role
Uživatelé
Pomocí našeho konektoru je možné zakládat a upravovat uživatele v koncovém systému JIP. Mazání uživatelů není zpřístupněno v API a tak ho nepodporuje ani konektor. U každého uživatele lze spravovat sadu atributů:
- Tituly před a za jménem
- Křeštní jméno
- Příjmení
- Heslo
- Identifikátor (object-id) – změna identifikátoru není podporována je možné ho nastavit pouze při založení účtu
- Zda je účet zablokován (loginDisabled)
- Role – podporované typy rolí jsou v následujícíc sekci
Atribut křestní jméno a příjmení není možné změnit pokud účet na systému byl již ztotožněn.
Dále lze pomocí konektoru načíst informace o konkrétním uživateli nebo získat seznam všech uživatelů.
Role
Role lze z koncového systému pouze načítat protože žádné další operace nejsou podporovány v API. Konektorem lze spravovat členství u těchto typů rolí:
- Přístup do Agend
- Přístup do Czech POINT @office
- Přístup do Virtuos
- Přístup do informačního systému
- Agendové činnostní role
- Přístup do Czech POINT – nelze získat z koncového systému, ale lze spravovat členství
Aktuální informace z vývoje konektoru je možné sledovat na wiki nebo GitHubu
Závěr
Článek popisuje možnosti jak integrovat JIP do IdM. V případě zájmu o více informací nebo o prezentaci nás neváhejte kontaktovat na info@bcvsolutions.eu.
Seriál o Identity Managementu:
- Co je to Identity Management?
- Jak vybrat IDM?
- Jak migrovat Identity Management?
- Modely spolupráce s dodavatelem IDM.
- Jak zabrátit vendor lock-in?
- Jak z personalistiky identifikovat vedoucího pro IDM?
- Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu?
- Jak správně nasadit IDM do produktivního provozu?
- Co je to SCIM?
