CzechIdM 7 – popis produktu

CzechIdM 7 je nejnovější generací identity manageru, který v českých společnostech spravuje přes 3 milióny účtů osob. Při vývoji byly využity zkušenosti z praxe při správě identit u našich stávajících zákazníků. Do této verze byly promítnuty požadavky uživatelů, administrátorů i vývojářů.

Podívejte se na online demo na adrese http://demo.czechidm.com/ a posuďte, jak moc se nám to povedlo.

CzechIdM 7 je aplikace rozdělená na serverovou (backend) a klientskou část (Frontend).

Serverová část je napsaná v Javě za pomoci frameworku Spring. Pro ukládání dat využívá relační databázi. S okolním světem komunikuje primárně přes REST rozhraní a systém konektorů pro připojení do spravovaných aplikací.

CzechIdM podporuje běh na více aplikačních serverech zároveň za účelem rozkládání zátěže nebo zajištění vysoké dostupnosti služby.

1.1 Možnosti konfigurace CzechIdM

Administrátor může bez nutnosti vývoje sám nastavit v CzechIdM celé prostředí s tím, že provede konfiguraci následujících částí:

• Konfigurace napojení na koncové systémy.
• Synchronizace identit z jednoho i více zdrojů, např. personální systém a databáze externích spolupracovníků
• Vytvoření rolí (lze manuálně i synchronizací ze zdroje např. MS AD)
• Nastavit pravidla pro automaticky přidělované role
• Nastavení politik pro hesla, notifikací a dalších částí systému.
• V celém identity manageru je nativně podporována práce s více úvazky pro jednu identitu – role jsou tak přidělovány ke konkrétnímu úvazku. Pokud skončí platnost úvazku, identitě jsou tak automaticky role odebrány.
• CzechIdM v základu obsahuje konfigurovatelé standardní automatické procesy identit:
  • Nová identita
  • Nový úvazek
  • Ukončení úvazku
  • Přejmenování uživatele
  • Vynětí z evidenčního počtu (mateřská/rodičovská)

Více úvazků uživatele

1.2 Integrace s okolním světem

K CzechIdM je možné připojit libovolný systém, který je dostupný po síti a je známa struktura objektů (identit, Rolí…). CzechIdM umožňuje spravovat uživatelské účty, oprávnění, organizační strukturu na vzdálených systémech prostřednictvím vhodných konektorů. Jedná se o komunikační rozhraní využívající nativní API napojovaného systému ke komunikaci se spravovaným systémem. Při napojení systémů k CzechIdM tedy není třeba upravovat rozhraní napojovaných systémů.

Pokud konektor  pro správu koncového systému nemáme, využijeme některý obecný (např. skriptovatelný) nebo jej na míru vyvineme.

1.2.1 Nejčastěji připojované systémy

Veřejné správa a samospráva – agendové systémy a spisové služby:

• Gordic Ginis
• ICZ eSpis
• ICTBrains Matrix
• BBM iFIS – finanční řízení
• Vera

Doménové řadiče a adresářové služby:

• Microsoft Active Directory
• Kerberos
• LDAP/OpenLDAP/Free IPA
• Novell eDirectory

Mailové systémy:

• MS Exchange
• Office 365
• Linux postfix
• Communigate
• Zimbra

Obecné konektory

• Databázový konektor
• JDBC scriptovací konektor (složitější DB)
• SSH scriptovací konektor (linuxové stroje)
• SCIM konektor

Databáze:

• Microsoft SQL Server
• MySQL
• Oracle
• PostgreSQL
• Progres

Operační Systémy:

• HP-UX
• Linux distribuce bez omezení – Red Hat, Debian, SuSE,…
• Microsoft Windows všech verzí
• Solaris
• S/400

Personalistiky:

• VEMA
• OKbase
• HRIS
• Mysys HRMS
• Target
• Navision
• SAP
• Helios

Service Desk

• HPSM
• Siebel
• Conclusion
• Requst Tracker

Zdravotnické systémy:

• StaproMEDEA NIS
• StaproPANAKEA
• OpenLIMS
• LEKIS
• AMIS – H

1.3 Role management

CzechIdM v rámci svého grafického rozhraní nabízí možnost žádat o role, které přiřazují oprávnění ve spravovaných systémech nebo do identity manageru.

Zajímavé vlastnosti rolí:

• Garanti role
• Různá schvalovací workflow pro role
• Platnost přidělení Role od-do
• Kritičnost rolí
• Sloučení rolí
• Automaticky přidělované role dle organizační struktury
• Synchronizace rolí z externího zdroje
• Export rolí do spravovaného systému
• Katalogizace rolí

 

Základní konfigurace role

Přehled uživatelů s přidělenou rolí

1.4 Notifikace

CzechIdm umožňuje definovat různé kanály pro notifikace událostí – například Email. Události v CzechIdM jsou reprezentovány tématy (Topic). Administrátor má možnost konfigurovat, jaký notifikační kanál bude použit pro jaké téma. Například pro téma “Zasílání resetovaných hesele” využije volbu zasílat pomocí sms.

Zajímavé vlastnosti notifikací:

• Šablony pro notifikace
• Email, SMS a Webové rozhraní aplikace
• Konfigurace způsobu notifikace administrátorem pro každý typ notifikace, např. nové heslo SMS, ale informace o schválení změny práv emailem

 

Přehled emailů odeslaných z CzechIdM

Konfigurace šablony mailu v GUI

1.5 Autentizace

Systém jednotné autentizace je modulární do té míry, že umožňuje nakonfigurovat různé způsoby (lokální heslo, autentizace proti spravovanému systému – například LDAP, OpenAM, integrace s SSO) nebo doplnění vlastního způsobu autentizace.

1.6 Rozdělení na samostatně spravované oblasti

CzechIdM umožňuje rozdělit jednu instanci na samostatné oblasti (REALM), které umožní oddělení různých samostatně fungujících organizací v jednom identity manageru. Správci a uživatelé z jednotlivých oblastí nemají možnost zasahovat do dalších oblastí. Ale mohou sdílet “globálně” dostupné prostředky jako je napojení na MS Active Directory apod. Nad samostatnými oblastmi je stále dostupné jedno nadřízené prostředí identity manageru, to umožňuje centrální správu jak identit a jejich oprávnění, tak samotné aplikace.

Uvedené dělení usnadňuje zavedení správy identit v prostředí holdingů a různých obchodních skupin, které mají společné IT, ale samostatné a často konkurenční organizace.

1.7 Stroj času

Důležitou součástí správy identit je prokazování zpětně v čase změn v identitách a jejich oprávněních. CzechIdM zavádí tzv. stroj času. Při každé změně objektu (identita, role, spravovaný systém…) je vytvořen snapshot. Kdykoliv tak lze procházet a porovnávat revize změn mezi libovolnými dvěma snapshoty a také současným stavem.

Auditní informace

1.8 Bezpečné úložiště

Pro citlivé informace ukládané do IdM je dostupné bezpečné šifrované úložiště. Atribut označený jako “tajný” se okamžitě po příjmu ze synchronizace nebo webového rozhraní uloží do bezpečného úložiště a vyzvedne se v něj pouze v okamžiku kdy je potřeba. Například při zápisu do spravovaného systému. Do bezpečného úložiště jsou také ukládány přihlašovací údaje ke spravovaným systémům.

Data v bezpečném úložišti jsou šifrována a standardně jsou ukládána do databáze IdM. V případě požadavku na vyšší úroveň zabezpečení je možné použít úložiště typu Vault, které pro rozšifrování vyžaduje účast několika osob. Bez rozšifrování Vault neumožní IdM běh.

Tajný atribut v konfiguraci napojení systému

1.9 Snadná aktualizace a rozšíření funkčnosti

Aplikace využívá aplikačních modulů, které umožňují snadným způsobem rozšířit funkčnost CzechIdM případně upravit chování aplikace na míru prostředí zákazníka bez nutnosti zásahu do produktu.

Ukázka dostupných modulů:

• Samoregistrace uživatelů
• Integrace s certifikační autoritou
• Správa VPN přístupů
• integrace s SMS bránou

 

    2 Stručný souhrn vlastností produktu

Stručný souhrn vlastností produktu
Obecné vlastnosti aplikace	Oddělení produktu od konkrétní implementace – zákaznický modul Standardní procesy součástí aplikace Webové rozhraní Lokalizace do EN, ČJ REST API pro přístup dalších systémů Otevřená licence, dostupné zdrojové kódy
Identita	Správa přes webové rozhraní Automatizovaná správa životního cyklu Synchronizace z více zdrojů
Správa účtů	Více účtů na systému Změna hesla pro každý účet nebo všechny najednou Změna vlastníka účtu
Úvazky	Nativní podpora Platnost úvazku od-do Vazba rolí na úvazek Automatické procesy pro řízení životního cyklu
Organizační struktura	Více organizačních struktur Synchronizace organizační struktury z externího zdroje Synchronizace organizační struktury do spravovaného systému Automatické role v závislosti na zařazení úvazku do org. struktury Řízení oprávnění uvnitř aplikace na základě organizační  struktury
Role	Garanti role Různá schvalovací workflow pro role Platnost přidělení od-do Kritičnost rolí Sloučení rolí  Automaticky přidělované role dle zařazení v org. struktuře Synchronizace rolí z ext. zdrojů Export rolí do spravovaného systému
Napojené systémy	Konektory jsou součástí, dostupné univerzální konektory nebo vývoj na míru Konfigurace napojení přes webové rozhraní bez nutnosti programování Napojený systém může být zároveň jako zdroj i cíl
Synchronizace	Více synchronizací dat z jednoho nebo různých systémů Konfigurace bez nutnosti vývoje Plánovač synchronizací Spouštění v určeném čase Spouštění v závislosti na výsledku předchozí synchronizace Synchronizace: Identit Organizační struktury Rolí Katalogu rolí Filtrování synchronizovaných objektů Rozdílová i plná synchronizace
Autorizace přístupu k datům	Autorizace přístupu k datům na základě vztahu podřízenosti a nadřízenosti, členství v organizační struktuře, rozdělení na oblasti (REALM) apod. Pravidla pro definování přístupu k datům jsou konfigurovatelná administrátorem Práva k identitám manageru jsou přidělována standardními rolemi, vztahují se na ně tedy běžná pravidla správy – schvalování apod.
Notifikace	Šablony pro notifikace Email, SMS a Webové rozhraní aplikace Konfigurace způsobu notifikace administrátorem pro každý typ notifikace, např. nové heslo SMS, ale informace o schválení změny práv emailem
Audit	Audit každé změny u objektů (Role, Identity, Organizace, Systémy, Konfigurace, Workfow) formou snímku => stroj času, ve kterém se lze pohybovat Porovnání revizí změn objektů včetně porovnání s aktuálním stavem Podrobné logy synchronizace z externího systému Podrobné logy realizovaných změn ve spravovaných systémech – skutečně zaslaná data do systému
Modularita	Moduly rozšiřující funkčnost: Zákaznický modul (projektové úpravy produktu)  Samoregistrace uživatele Správa certifikační autority Správa VPN přístupů  a další…

Další témata