Jak na samoregistraci externistů a žádosti o certifikát a VPN

Potřebujete vytvářet přístupy pro externisty? Hledáte systém pro automatizaci předávání přístupů VPN nebo certifikátů? Hledáte způsoby, jak umožnit samoregistraci zákazníkům? K tomu lze využít Identity Manager (IdM).

Ukázka staví na našem produktu CzechIdM, který se používá i k registraci nových dodavatelů a správě jejich certifikátů pro přístup do interní sítě pomocí VPN. 

Průběh celé registrace dodavatele až k prvnímu vytvoření certifikátu lze rozdělit na následující kroky:

  1. Dodavatel vstupuje na stránky a registruje se. Vyplní všechna povinná pole a registraci odesílá.
  2. Na e-mailovou adresu dodavatele IdM odesílá e-mail s potvrzením registrace.
  3. Dodavatel potvrzuje registraci kliknutím na odkaz v e-mailu. Na stránkách IdM je informován, že musí vyčkat, až administrátor potvrdí jeho registraci.
  4. Po potvrzení e-mailové schránky dodavatele IdM odesílá upozornění na administrátory o novém úkolu (schválení registrace a oprava údajů).
  5. Administrátor, pomocí odkazu v e-mailu, si otevírá detail úkolu a potvrzuje správnost údajů zadaných při registraci dodavatele.  
  6. IdM automaticky zakládá účet do AD včetně hesla a zařazení skupin do AD.
  7. IdM posílá dodavateli e-mail s informacemi o finálním tvaru přihlašovacího jména do AD a zároveň se posílá SMS s heslem k AD účtu dodavatele.
  8. Po založení účtu v AD administrátor potvrzuje provedení úkolu v IdM.
  9. Dodavatel se přihlašuje do IdM a žádá si o certifikát/y.

1. Samoregistrace

Na hlavní stránce CzechIdM je dostupná funkce “Registrace”, která umožňuje novému dodavateli vytvořit si účet v systému

Po kliknutí na registraci se dodavatel dostává na elektronický formulář, který nahrazuje původní papírový. Svoji registraci dodavatel potvrzuje odsouhlasením podmínek – ty se nacházejí na konci registračního formuláře. Registraci dokončuje kliknutím na Registrovat.

Po registraci dostává dodavatel informaci, že k dokončení registrace je nutné potvrdit e-mailovou adresu kliknutím na odkaz v e-mailu.

Po ověření e-mailové adresy (kliknutí na odkaz v e-mailu) je dodavatel přesměrován na stránky IdM, kde je informován, že jeho registrace nyní čeká na schválení administrátorem IdM.

Po potvrzení e-mailové adresy dodavatelem IdM odesílá e-maily na administrátory IdM. Tento e-mail obsahuje informaci, že IdM vytvořilo nový úkol, který čeká na schválení. E-mail také obsahuje přímý odkaz na tento úkol.

Administrátor  je po kliknutí na odkaz přesměrován na detail úkolu. Po kontrole správnosti údajů a uložení všech změn se administrátor vrátí na detail úkolu a  registraci schvaluje (či zamítá).

Po schválení registrace dodavatele administrátorem IdModesílá systém e-mail dodavateli s vyrozuměním, že jeho registrace byla schválena a nyní pouze čeká na založení účtu v AD.)

Další e-mail, který je odeslán v této fázi, obdrží všichni administrátoři IdM. V e-mailu stojí pouze informace o schválení nové registrace dodavatele (jedná se čistě o informativní e-mail, aby ostatní administrátoři tuto registraci již neřešili).

Poslední e-mail, uzavírající celý proces, obdrží administrátor AD. Tento e-mail obsahuje informaci o vytvoření nového účtu v AD. Příklad powershell příkazu:

New-ADUser
  -Name “bcv_doe”
  -Path “OU=bcv,OU=Dodavatel,OU=Servis,DC=domain,DC=local”_
  -Server “sdc1lea.leasing.local”
  -OtherAttributes @{_
   displayName=”Doe John”;
    sn=”Doe”;_
    givenName=”John”;
    Description=”účet pro vzdálené připojení”;
    userPrincipalName=bcv_doe@domain.local;
    mobilePhone=”+421 123456789″;
  }
  -AccountPassword “**JEDNORAZOVE-HESLO***”

IDM nebo administrátor následně založí VPN přístup a přiřadí dodavateli nově vygenerovanou IP adresu.

Dodavateli je zaslán e-mail s finálním tvarem uživatelského jména a SMS s heslem k jeho účtu.

Dodavatel se po obdržení finálního uživatelského jména a hesla od administrátora AD může přihlásit do IdM a vytvořit si certifikát.

2. Vytvoření certifikátu

Dodavatel má okamžitě po přihlášení možnost požádat o certifikát.

Ve formuláři žádosti o certifikát může dodavatel nastavit/vybrat následující možnosti:

  • certifikační autorita (pokud je jich víc, je možnost je vybrat),
  • typ certifikátu (nastavení certifikační autority),
  • generování certifikátu podle vlastníka,
  • heslo k privátní části certifikátu,
  • popis.

3. Download certifikátu

Po odeslání žádosti o certifikát je certifikát automaticky vytvořen a je možné jej stáhnout v přehledu certifikátů (stejná stránka, na které dodavatel žádal).

Administrátor IdM má možnost zobrazit si kompletní seznam vydaných certifikátů, kdežto stáhnout si privátní část certifikátu má možnost pouze vlastník daného certifikátu.

Dodavatel má možnost svoje certifikáty prodloužit, nebo revokovat. Při revokování je nutné vyplnit důvod revokace certifikátu. 

Závěr

Identity Management lze rychle a bez úprav využít pro samoregistraci uživatelů do různých systémů. Zároveň může IDM sloužit k automatizaci vytváření přístupů do VPN a dalších systémů.

Seriál o Identity Managementu:

  1. Co je to Identity Management?
  2. Jak vybrat IDM?
  3. Jak migrovat Identity Management?
  4. Modely spolupráce s dodavatelem IDM.
  5. Jak zabrátit vendor lock-in?
  6. Jak nasadit IdM do produkce a vyhnout se problémům?
  7. Jak z personalistiky identifikovat vedoucího pro IDM?
  8. Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu?
  9. Jak správně nasadit IDM do produktivního provozu?
  10. Co je to SCIM?
  11. JIP/KAAS – jak předávat data.

About Lukáš Cirkva

CEO, Identity Management consultant with 10+ years of experience. I have also played a leadership role in the development of our company's own SW tool - CzechIdM. We also service our delivered solutions. Please see www.CzechIdM.com and linkedin for more info: www.linkedin.com/in/lukascirkva/

Leave a Reply