CzechIdM 7 – popis produktu

12. 6. 2017 • BCVlogBCVCzechIdMCzechPAMCzechIdM 7 – popis produktu

CzechIdM 7 je nejnovější generací identity manageru, který v českých společnostech spravuje přes 3 milióny účtů osob. Při vývoji byly využity zkušenosti z praxe při správě identit u našich stávajících zákazníků. Do této verze byly promítnuty požadavky uživatelů, administrátorů i vývojářů.

Podívejte se na online demo na adrese http://demo.czechidm.com/ a posuďte, jak moc se nám to povedlo.

CzechIdM 7 je aplikace rozdělená na serverovou (backend) a klientskou část (Frontend).

Serverová část je napsaná v Javě za pomoci frameworku Spring. Pro ukládání dat využívá relační databázi. S okolním světem komunikuje primárně přes REST rozhraní a systém konektorů pro připojení do spravovaných aplikací.

CzechIdM podporuje běh na více aplikačních serverech zároveň za účelem rozkládání zátěže nebo zajištění vysoké dostupnosti služby.

1.1 Možnosti konfigurace CzechIdM

Administrátor může bez nutnosti vývoje sám nastavit v CzechIdM celé prostředí s tím, že provede konfiguraci následujících částí:

Více úvazků uživatele

1.2 Integrace s okolním světem

K CzechIdM je možné připojit libovolný systém, který je dostupný po síti a je známa struktura objektů (identit, Rolí…). CzechIdM umožňuje spravovat uživatelské účty, oprávnění, organizační strukturu na vzdálených systémech prostřednictvím vhodných konektorů. Jedná se o komunikační rozhraní využívající nativní API napojovaného systému ke komunikaci se spravovaným systémem. Při napojení systémů k CzechIdM tedy není třeba upravovat rozhraní napojovaných systémů.

Pokud konektor  pro správu koncového systému nemáme, využijeme některý obecný (např. skriptovatelný) nebo jej na míru vyvineme.

1.2.1 Nejčastěji připojované systémy

Veřejné správa a samospráva – agendové systémy a spisové služby:

Doménové řadiče a adresářové služby:

Mailové systémy:

Obecné konektory

Databáze:

Operační Systémy:

Personalistiky:

Service Desk

Zdravotnické systémy:

1.3 Role management

CzechIdM v rámci svého grafického rozhraní nabízí možnost žádat o role, které přiřazují oprávnění ve spravovaných systémech nebo do identity manageru.

Zajímavé vlastnosti rolí:

 

Základní konfigurace role

Přehled uživatelů s přidělenou rolí

1.4 Notifikace

CzechIdm umožňuje definovat různé kanály pro notifikace událostí – například Email. Události v CzechIdM jsou reprezentovány tématy (Topic). Administrátor má možnost konfigurovat, jaký notifikační kanál bude použit pro jaké téma. Například pro téma “Zasílání resetovaných hesele” využije volbu zasílat pomocí sms.

Zajímavé vlastnosti notifikací:

 

Přehled emailů odeslaných z CzechIdM

Konfigurace šablony mailu v GUI

1.5 Autentizace

Systém jednotné autentizace je modulární do té míry, že umožňuje nakonfigurovat různé způsoby (lokální heslo, autentizace proti spravovanému systému – například LDAP, OpenAM, integrace s SSO) nebo doplnění vlastního způsobu autentizace.

1.6 Rozdělení na samostatně spravované oblasti

CzechIdM umožňuje rozdělit jednu instanci na samostatné oblasti (REALM), které umožní oddělení různých samostatně fungujících organizací v jednom identity manageru. Správci a uživatelé z jednotlivých oblastí nemají možnost zasahovat do dalších oblastí. Ale mohou sdílet “globálně” dostupné prostředky jako je napojení na MS Active Directory apod. Nad samostatnými oblastmi je stále dostupné jedno nadřízené prostředí identity manageru, to umožňuje centrální správu jak identit a jejich oprávnění, tak samotné aplikace.

Uvedené dělení usnadňuje zavedení správy identit v prostředí holdingů a různých obchodních skupin, které mají společné IT, ale samostatné a často konkurenční organizace.

1.7 Stroj času

Důležitou součástí správy identit je prokazování zpětně v čase změn v identitách a jejich oprávněních. CzechIdM zavádí tzv. stroj času. Při každé změně objektu (identita, role, spravovaný systém…) je vytvořen snapshot. Kdykoliv tak lze procházet a porovnávat revize změn mezi libovolnými dvěma snapshoty a také současným stavem.

Auditní informace

1.8 Bezpečné úložiště

Pro citlivé informace ukládané do IdM je dostupné bezpečné šifrované úložiště. Atribut označený jako “tajný” se okamžitě po příjmu ze synchronizace nebo webového rozhraní uloží do bezpečného úložiště a vyzvedne se v něj pouze v okamžiku kdy je potřeba. Například při zápisu do spravovaného systému. Do bezpečného úložiště jsou také ukládány přihlašovací údaje ke spravovaným systémům.

Data v bezpečném úložišti jsou šifrována a standardně jsou ukládána do databáze IdM. V případě požadavku na vyšší úroveň zabezpečení je možné použít úložiště typu Vault, které pro rozšifrování vyžaduje účast několika osob. Bez rozšifrování Vault neumožní IdM běh.

Tajný atribut v konfiguraci napojení systému

1.9 Snadná aktualizace a rozšíření funkčnosti

Aplikace využívá aplikačních modulů, které umožňují snadným způsobem rozšířit funkčnost CzechIdM případně upravit chování aplikace na míru prostředí zákazníka bez nutnosti zásahu do produktu.

Ukázka dostupných modulů:

 

    2 Stručný souhrn vlastností produktu

Stručný souhrn vlastností produktu
Obecné vlastnosti aplikace
  • Oddělení produktu od konkrétní implementace – zákaznický modul
  • Standardní procesy součástí aplikace
  • Webové rozhraní
  • Lokalizace do EN, ČJ
  • REST API pro přístup dalších systémů
  • Otevřená licence, dostupné zdrojové kódy
Identita
  •  Správa přes webové rozhraní
  • Automatizovaná správa životního cyklu
  • Synchronizace z více zdrojů
Správa účtů
  • Více účtů na systému
  • Změna hesla pro každý účet nebo všechny najednou
  • Změna vlastníka účtu
Úvazky
  • Nativní podpora
  • Platnost úvazku od-do
  • Vazba rolí na úvazek
  • Automatické procesy pro řízení životního cyklu
Organizační struktura
  • Více organizačních struktur
  • Synchronizace organizační struktury z externího zdroje
  • Synchronizace organizační struktury do spravovaného systému
  • Automatické role v závislosti na zařazení úvazku do org. struktury
  • Řízení oprávnění uvnitř aplikace na základě organizační  struktury
Role
  • Garanti role
  • Různá schvalovací workflow pro role
  • Platnost přidělení od-do
  • Kritičnost rolí
  • Sloučení rolí
  •  Automaticky přidělované role dle zařazení v org. struktuře
  • Synchronizace rolí z ext. zdrojů
  • Export rolí do spravovaného systému
Napojené systémy
  • Konektory jsou součástí, dostupné univerzální konektory nebo vývoj na míru
  • Konfigurace napojení přes webové rozhraní bez nutnosti programování
  • Napojený systém může být zároveň jako zdroj i cíl
Synchronizace
  • Více synchronizací dat z jednoho nebo různých systémů
  • Konfigurace bez nutnosti vývoje
  • Plánovač synchronizací
  • Spouštění v určeném čase
  • Spouštění v závislosti na výsledku předchozí synchronizace
  • Synchronizace:
    • Identit
    • Organizační struktury
    • Rolí
    • Katalogu rolí
  • Filtrování synchronizovaných objektů
  • Rozdílová i plná synchronizace
Autorizace přístupu k datům
  •  Autorizace přístupu k datům na základě vztahu podřízenosti a nadřízenosti, členství v organizační struktuře, rozdělení na oblasti (REALM) apod.
  • Pravidla pro definování přístupu k datům jsou konfigurovatelná administrátorem
  • Práva k identitám manageru jsou přidělována standardními rolemi, vztahují se na ně tedy běžná pravidla správy – schvalování apod.
Notifikace
  • Šablony pro notifikace
  • Email, SMS a Webové rozhraní aplikace
  • Konfigurace způsobu notifikace administrátorem pro každý typ notifikace, např. nové heslo SMS, ale informace o schválení změny práv emailem
Audit
  • Audit každé změny u objektů (Role, Identity, Organizace, Systémy, Konfigurace, Workfow) formou snímku => stroj času, ve kterém se lze pohybovat
  • Porovnání revizí změn objektů včetně porovnání s aktuálním stavem
  • Podrobné logy synchronizace z externího systému
  • Podrobné logy realizovaných změn ve spravovaných systémech – skutečně zaslaná data do systému
Modularita Moduly rozšiřující funkčnost:

  • Zákaznický modul (projektové úpravy produktu)
  •  Samoregistrace uživatele
  • Správa certifikační autority
  • Správa VPN přístupů
  •  a další…

Like this:

Další témata