google-apps-2

CzechIdM umí spravovat účty Google Apps

V tomto článku si ukážeme jak spravovat účty Google Apps pomocí CzechIdM – centralizované správ uživatelů.

CzechIdM ve zkratce

CzechIdM je řešení Identity Managementu zajištující správu uživatelských oprávnění tak, aby byla zvýšena bezpečnost dat a informací nejen o uživatelích. Zjednodušeně řešeno se jedná o systém, který spravuje uživatelské účty (kdo má přístup) a jejich vztah k jednotlivým aplikacím a datům (kam má přístup). Tyto informace jsou jednoduše reportovatelné v čase.
Výsledkem je prostředí, v němž je jasně definované, jaké osoby mají přístup k jakým datům a zda splňují příslušná oprávnění, školení, atd.
Díky automatizaci celého systému je zajištěna konzistence a integrita těchto informací. K citlivým informacím o uživatelích se tak nemůže dostat nikdo jiný než oprávněná osoba.

Google Apps ve zkratce

Google Apps je řešení poskytované společností Google. Jedná se o balíček aplikací Google upravených pro snadné nasazení na vlastní doméně. Mezi obsažené služby patří například Google Mail, Calendar, Docs, Talk a jiné. Službu mohou využívat firmy, školní instituce I jednotlivci.

CzechIdM komunikuje se službou Google Apps prostřednictvím samostatného konektoru. Pro ty, co nevědí. Konektor je část IdM, která programátorovi umožňuje přistupovat stejně ke všem koncovým systémům. Zde použitý konektor přistupuje k uživatelským účtům pomocí Google Provisioning API. To nám umožňuje přímo v CzechIdM lehce a rychle vytvářet, editovat i mazat uživatelské účty služby Google Apps.

 

Připojení systému Google Apps k CzechIdM

Nyní si ukážeme, jak jednoduché je připojení systému Google Apps k identity manageru CzechIdM. Ze všeho nejdříve musíme pro náš Google Apps účet povolit Google Provisioning API. Přejdeme v administraci Google Apps do sekce nastavení domény a dále na záložku Uživatelské nastavení. Zde zaškrteme možnost Aktivovat rozhraní Správa účtu a změny uložíme.

Google Apps administrace - povolení API

 

Při připojování vzdáleného systému je důležitý zmiňovaný konektor. Konektory v podobě Java Archive (.jar) nahráváme do adresáře, ve kterém je CzechIdM očekává.  Java Archive s konektorem umístíme do adresáře BCV_IdM-ear.ear/BCV_IdM-ejb.jar/META-INF/connectors/.Na níže uvedeném odkazu nalezneme ke stažení komunitou vyvíjený, volně šířitelný Google Apps konektor. V našem případě stáhneme verzi 1.0.4455 (1.0.4455.zip).

http://wikis.sun.com/display/IdentityConnectors/Google+Apps+Connector

Konektor googleapps-1.0.4455.jar nahrajeme na server do adresáře BCV_IdM-ear.ear/BCV_IdM-ejb.jar/META-INF/connectors/

$ scp  googleapps-1.0.4455.jar root@idmserver:/jboss/server/default/deploy/BCV_IdM-ear.ear/BCV_IdM-ejb.jar/META-INF/connectors/

Nyní se přihlásíme do administračního rozhraní CzechIdM a vytvoříme nový typ systému.

 

Klikneme na tlačítko Nový typ a vyplníme zobrazený formulář. Do pole název zadáme náš vlastní identifikátor systému, pod kterým jej jednoduše rozpoznáme. V rozevíracím seznamu vybereme nahraný konektor googleapps-1.0.4455.jar a formulář odešleme kliknutím na tlačítko Uložit.

 

Tímto jsme vytvořili v CzechIdM nový typ systému s názvem googleapps1.0.4455. Nalezneme ho ve výpisu vytvořených typů systémů.

 

 

Teď už můžeme připojit systém Google Apps k CzechIdM. Přejdeme do sekce Systémy a klikneme na tlačítko Nový systém. V prvním kroku vybereme typ systému vytvořený v předchozím kroku a klikneme na tlačítko Pokračovat.

 

Dále je potřeba zadat přístupové údaje k našemu Google Apps účtu. Název si zvolíme vlastní (v našem případě GA). Do pole heslo zadáme přístupové heslo ke Google Apps účtu a do pole Admin login name zadáme uživatelské jméno ve tvaru e-mailové adresy ( v našem případě admin@checkidm.com ). Pole Domain URL obsahuje adresu administrace Google Apps, v našem případě https://www.google.com/a/feeds/checkidm.com/. Kliknutím na tlačítko Test otestujeme zadanou konfiguraci.

Zadaná konfigurace je podle hlášky správná. Pokračujeme kliknutím na tlačítko Pokračovat.

V tomto kroku vytvoříme schéma systému. Klikneme na tlačítko Přidat a vytvoříme schéma Vychozí.

 

Automaticky se nám načtou atributy systému. ResourceName ponecháme stejné. idmName atributy givenName, familyName a password upravíme na atributy, se kterými pracuje CzechIdM (viz náhled). Klikneme na tlačítko Uložit.

 

 

V seznamu založených systémů nyní vidíme námi vytvořený systém GA

Můžeme zobrazit seznam uživatelů založených v námi vytvořeném systému GA. Zatím je zde pouze jeden uživatel a to s názvem admin.

 

Založení účtu uživatele Google Apps v CzechIdM

Nejdříve založíme roli s názvem „Přístup do Google Apps„, která bude uživatelům zpřístupňovat Google Apps. V administraci CzechIdM přejdeme do sekce „Role“ a dále klikneme na tlačítko „Nová role„. Zadáme název a klikneme na záložku „Schémata zdrojů„.

 

Roli přiřadíme schéma systému Google Apps s názvem „GA„, které jsme vytvořili již dříve v tomto článku a klikneme na tlačítko „Uložit„.

 

 

V seznamu rolí vidíme naší nově vytvořenou roli „Přístup do Google Apps„.

 

 

Nyní přejdeme do sekce „Uživatelé“ a klikneme na tlačítko „Nový uživatel

 

Na záložce „osobní údaje“ vyplníme údaje o vytvářeném uživateli. Poté přejdeme na záložku „Uživatelské role a kontrolované organizace„.

 

 

Uživateli přiřadíme roli „Přístup do Google Apps“ a klikneme na tlačítko „Uložit„.

 

 

Nově založeného uživatele vidíme v seznamu uživatelů CzechIdM

 

A také v koncovém systému Google Apps

 

Závěrem

Ukázali jsme si na příkladu jak k CzechIdM jednoduše připojit Google Aps pro správu uživatelů. Stejně snadno lze připojit většinu známých aplikací. V projektech obvykle řešíme úpravy zákazníkům na míru. Typicky jde o úpravy procesů, správu rolí, hesel, skupin nebo IT prostředků.