Jak předávat data do Jednotného identitního prostoru pomocí Identity manageru

Jednotný identitní prostor (JIP) je poměrně nový projekt, který má primárně umožnit autentizaci a autorizaci uživatelů, například úředníků, pro online přístup k agendám orgánů státní moci, jako je třeba ISÚI – Informační Systém Územní Identifikace. Projekt je provozován pod hlavičkou CzechPoint. Nedávno nás oslovil zákazník s požadavkem na automatické plnění dat do JIP z jeho systémů. Toho je možné dosáhnout pomocí identity management SW (IdM). V následujícím článku si představíme, jak může taková integrace vypadat.

Co to je jednotný identitní prostor (JIP)?

JIP je online úložiště dat, ve kterém najdete následující typy objektů:

  • Uživatelé – typicky zaměstnanci úřadů
  • Subjekty – nejčastěji úřady, jejichž zaměstnanci chtějí přistupovat k různým online agendám
  • Úřadovny – se nachází v nějakém subjektu
  • Složky krizového řízení – se nachází v nějakém subjektu
  • Datové schránky – se nachází v nějakém subjektu
  • Zřizované organizace – se nachází v nějakém subjektu

JIP poskytuje službu autentizace a autorizace pro agendové systémy jako jsou ISÚI nebo ISKN. V praxi to znamená, že umožňuje následující scénář. Úředník z města Horní Dolní se chce přihlásit do agendového systému ISÚI. Přistoupí na webovou stránku dané agendy a je vyzván k přihlášení. Po zadání autentizačních údajů (např. jméno a heslo) je autentizován oproti JIP. Dále JIP předává seznam činnostních rolí tohoto uživatele pro danou agendu. Tím umožní provést autorizaci pro přístup k omezené části agendy, například konkrétních spisů.

Jak je vidět na předchozím příkladu, je nutné, aby JIP byl integrován s danou agendou. To má na starosti správce dané agendy. Samozřejmě je také třeba, aby v JIP byly veškeré informace o daném subjektu (úřad) a jeho zaměstnancích. Tuto část integrace má na starosti správce dat na daném úřadu. V tomto článku popisujeme, jak efektivně automatizovat proces zadávání dat z úřadu do JIP.

API JIP pro automatické zakládání dat do systému

Aby bylo možné automaticky online zadávat a upravovat data v JIP, je nutné zpřístupnit na straně tohoto systému API. JIP takové API má  a nazývá ho KAAS. To má dvě složky

  • Autentizační a autorizační – to nás ve scope tohoto článku netrápí
  • Práce s uloženými daty – to je to pravé ořechové pro naši integraci

JIP/KAAS konektor

Aby bylo možné tuto integraci uskutečnit bylo nutné vyvinout vlastní konektor založený na standardu ConnId. Nyní si předstávíme jeho možnosti a limitace.

Konektro umožňuje spravovat dva zákládní objekty:

  • __ACCOUNT__ – uživatelé
  • __GROUP__ – role

Uživatelé

Pomocí našeho konektoru je možné zakládat a upravovat uživatele v koncovém systému JIP. Mazání uživatelů není zpřístupněno v API a tak ho nepodporuje ani konektor. U každého uživatele lze spravovat sadu atributů:

  • Tituly před a za jménem
  • Křeštní jméno
  • Příjmení
  • Heslo
  • Email
  • Identifikátor (object-id) – změna identifikátoru není podporována je možné ho nastavit pouze při založení účtu
  • Zda je účet zablokován (loginDisabled)
  • Role – podporované typy rolí jsou v následujícíc sekci

Atribut křestní jméno a příjmení není možné změnit pokud účet na systému byl již ztotožněn.

Dále lze pomocí konektoru načíst informace o konkrétním uživateli nebo získat seznam všech uživatelů.

Role

Role lze z koncového systému pouze načítat protože žádné další operace nejsou podporovány v API. Konektorem lze spravovat členství u těchto typů rolí:

  • Přístup do Agend
  • Přístup do Czech POINT @office
  • Přístup do Virtuos
  • Přístup do informačního systému
  • Agendové činnostní role
  • Přístup do Czech POINT – nelze získat z koncového systému, ale lze spravovat členství

Aktuální informace z vývoje konektoru je možné sledovat na wiki nebo GitHubu

Závěr

Článek popisuje možnosti jak integrovat JIP do IdM. V případě zájmu o více informací nebo o prezentaci nás neváhejte kontaktovat na info@bcvsolutions.eu.

 

Seriál o Identity Managementu:

  1. Co je to Identity Management?
  2. Jak vybrat IDM?
  3. Jak migrovat Identity Management?
  4. Modely spolupráce s dodavatelem IDM.
  5. Jak zabrátit vendor lock-in?
  6. Jak z personalistiky identifikovat vedoucího pro IDM?
  7. Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu?
  8. Jak správně nasadit IDM do produktivního provozu?
  9. Co je to SCIM?

 

Leave a Reply