CzechIdM umí spravovat účty Google Apps
V tomto článku si ukážeme jak spravovat účty Google Apps pomocí CzechIdM – centralizované správ uživatelů.
CzechIdM ve zkratce
CzechIdM je řešení Identity Managementu zajištující správu uživatelských oprávnění tak, aby byla zvýšena bezpečnost dat a informací nejen o uživatelích. Zjednodušeně řešeno se jedná o systém, který spravuje uživatelské účty (kdo má přístup) a jejich vztah k jednotlivým aplikacím a datům (kam má přístup). Tyto informace jsou jednoduše reportovatelné v čase.
Výsledkem je prostředí, v němž je jasně definované, jaké osoby mají přístup k jakým datům a zda splňují příslušná oprávnění, školení, atd.
Díky automatizaci celého systému je zajištěna konzistence a integrita těchto informací. K citlivým informacím o uživatelích se tak nemůže dostat nikdo jiný než oprávněná osoba.
Google Apps ve zkratce
Google Apps je řešení poskytované společností Google. Jedná se o balíček aplikací Google upravených pro snadné nasazení na vlastní doméně. Mezi obsažené služby patří například Google Mail, Calendar, Docs, Talk a jiné. Službu mohou využívat firmy, školní instituce I jednotlivci.
CzechIdM komunikuje se službou Google Apps prostřednictvím samostatného konektoru. Pro ty, co nevědí. Konektor je část IdM, která programátorovi umožňuje přistupovat stejně ke všem koncovým systémům. Zde použitý konektor přistupuje k uživatelským účtům pomocí Google Provisioning API. To nám umožňuje přímo v CzechIdM lehce a rychle vytvářet, editovat i mazat uživatelské účty služby Google Apps.
Připojení systému Google Apps k CzechIdM
Nyní si ukážeme, jak jednoduché je připojení systému Google Apps k identity manageru CzechIdM. Ze všeho nejdříve musíme pro náš Google Apps účet povolit Google Provisioning API. Přejdeme v administraci Google Apps do sekce nastavení domény a dále na záložku Uživatelské nastavení. Zde zaškrteme možnost Aktivovat rozhraní Správa účtu a změny uložíme.
Google Apps administrace - povolení API
Při připojování vzdáleného systému je důležitý zmiňovaný konektor. Konektory v podobě Java Archive (.jar) nahráváme do adresáře, ve kterém je CzechIdM očekává. Java Archive s konektorem umístíme do adresáře BCV_IdM-ear.ear/BCV_IdM-ejb.jar/META-INF/connectors/.Na níže uvedeném odkazu nalezneme ke stažení komunitou vyvíjený, volně šířitelný Google Apps konektor. V našem případě stáhneme verzi 1.0.4455 (1.0.4455.zip).
http://wikis.sun.com/display/IdentityConnectors/Google+Apps+Connector
Konektor googleapps-1.0.4455.jar nahrajeme na server do adresáře BCV_IdM-ear.ear/BCV_IdM-ejb.jar/META-INF/connectors/
$ scp googleapps-1.0.4455.jar root@idmserver:/jboss/server/default/deploy/BCV_IdM-ear.ear/BCV_IdM-ejb.jar/META-INF/connectors/
Nyní se přihlásíme do administračního rozhraní CzechIdM a vytvoříme nový typ systému.
Klikneme na tlačítko Nový typ a vyplníme zobrazený formulář. Do pole název zadáme náš vlastní identifikátor systému, pod kterým jej jednoduše rozpoznáme. V rozevíracím seznamu vybereme nahraný konektor googleapps-1.0.4455.jar a formulář odešleme kliknutím na tlačítko Uložit.
Tímto jsme vytvořili v CzechIdM nový typ systému s názvem googleapps1.0.4455. Nalezneme ho ve výpisu vytvořených typů systémů.
Teď už můžeme připojit systém Google Apps k CzechIdM. Přejdeme do sekce Systémy a klikneme na tlačítko Nový systém. V prvním kroku vybereme typ systému vytvořený v předchozím kroku a klikneme na tlačítko Pokračovat.
Dále je potřeba zadat přístupové údaje k našemu Google Apps účtu. Název si zvolíme vlastní (v našem případě GA). Do pole heslo zadáme přístupové heslo ke Google Apps účtu a do pole Admin login name zadáme uživatelské jméno ve tvaru e-mailové adresy ( v našem případě admin@checkidm.com ). Pole Domain URL obsahuje adresu administrace Google Apps, v našem případě https://www.google.com/a/feeds/checkidm.com/. Kliknutím na tlačítko Test otestujeme zadanou konfiguraci.
Zadaná konfigurace je podle hlášky správná. Pokračujeme kliknutím na tlačítko Pokračovat.
V tomto kroku vytvoříme schéma systému. Klikneme na tlačítko Přidat a vytvoříme schéma Vychozí.
Automaticky se nám načtou atributy systému. ResourceName ponecháme stejné. idmName atributy givenName, familyName a password upravíme na atributy, se kterými pracuje CzechIdM (viz náhled). Klikneme na tlačítko Uložit.
V seznamu založených systémů nyní vidíme námi vytvořený systém GA
Můžeme zobrazit seznam uživatelů založených v námi vytvořeném systému GA. Zatím je zde pouze jeden uživatel a to s názvem admin.
Založení účtu uživatele Google Apps v CzechIdM
Nejdříve založíme roli s názvem “Přístup do Google Apps“, která bude uživatelům zpřístupňovat Google Apps. V administraci CzechIdM přejdeme do sekce “Role” a dále klikneme na tlačítko “Nová role“. Zadáme název a klikneme na záložku “Schémata zdrojů“.
Roli přiřadíme schéma systému Google Apps s názvem “GA“, které jsme vytvořili již dříve v tomto článku a klikneme na tlačítko “Uložit“.
V seznamu rolí vidíme naší nově vytvořenou roli “Přístup do Google Apps“.
Nyní přejdeme do sekce “Uživatelé” a klikneme na tlačítko “Nový uživatel”
Na záložce “osobní údaje” vyplníme údaje o vytvářeném uživateli. Poté přejdeme na záložku “Uživatelské role a kontrolované organizace“.
Uživateli přiřadíme roli “Přístup do Google Apps” a klikneme na tlačítko “Uložit“.
Nově založeného uživatele vidíme v seznamu uživatelů CzechIdM
A také v koncovém systému Google Apps
Závěrem
Ukázali jsme si na příkladu jak k CzechIdM jednoduše připojit Google Aps pro správu uživatelů. Stejně snadno lze připojit většinu známých aplikací. V projektech obvykle řešíme úpravy zákazníkům na míru. Typicky jde o úpravy procesů, správu rolí, hesel, skupin nebo IT prostředků.
