Možnosti připojení CzechIdM na vzdálené systémy

Identity Manager CzechIdM umožňuje spravovat uživatelské účty na vzdálených systémech prostřednictvím vhodných konektorů či adaptérů. Jedná se o komunikační rozhraní využívající standardní protokoly ke komunikaci a správě koncového systému. Většina z nich podporuje tzv. bezagentový přístup, což znamená, že na straně koncového systému není potřeba provádět žádné dodatečné změny. Pouze připojení do OS MS Windows (Active Directory) potřebuje na straně spravovaného systému instalaci agenta.

CzechIdM je možné připojit libovolný systém, který je dostupný po síti a je známa (nebo zjistitelná) struktura identit. Pokud jste níže v seznamu nenašli svůj systém, který byste chtěli spravovat, nezoufejte. Konektor pro správu koncového systému je možné vyvinout na míru. Jako příklad náročnosti vytvoření zákaznického adaptéru může posloužit příklad připojení SAPu, což byl opravdu náročný adaptér. Přesto šikovnému programátorovi trválo naprogramování SAP zákaznického adaptéru cca 10MD.

Jak na připojení nepodporovaného systému k IDM

Pro připojení systému, které není standardně podporován v IDM je několik možností.

  • Vytvoření zákaznického Resource Adaptéru Pro většinu systémů je možné naprogramovat vlastní resource adapter. Vytvářeli jsme adapréry například pro systémy SAP, Communigate, AIX, Request Tracker, SSH+Kerberos, různé portály pomocí web service.
  • Zápis do tabulek databáze přes JDBC Pokud daná aplikace ukládá informace o uživatelích do databáze, která umožňuje připojení přes JDBC, je možné nakonfigurovat IDM tak, aby s touto databází spolupracoval. Konektor pro JDBC spojení umožňuje standardně ovládat jednu tabulku.
  • XML soubor IDM podporuje zápis do XML souboru na lokálním disku, tento soubor je možné dále zpracovávat a promítnout změny do koncového systému.
  • Flat File Active Sync FFAS adaptér umožňuje přístup z IDM k souborům ve formátu CSV, Pipe-delimited (|) a LDIF (zdroj dat pro LDAP).
  • Scripted Gateway SG adaptér umožňuje spouštění vlastních dávkových souborů na ovládaném systému (OS MS Windows). Na vzdáleném systému musí být nainstalován agent Sun Identity Manager Gateway (gateway.exe).

 

Příklad vlastností konektoru SAPu

Namátkou jsem vybral jednu z realizací SAP konektoru. Ve stručnosti v tomto konkrétním případě byly implementovány tyto procesy:

  • Založení nového účtu
  • Přejmenování účtu
  • Aktivace a dekativace
  • Odstranění účtu
  • Prvotní načtení všech již existujících účtů
  • Opakovaná synchronizace – pravidelná kontrola změn
  • Změna hesla
  • Přiřazení a změna
    kdy byly využity tyto skupiny SAP funkcí:
  • RFC1, SDIFRUNTIME, SYST, SYSU, BFHV, SG00, SRFC, SUSR

 

Seznam nejčastěji připojovaných systémů

Tento seznam není konečný ani úplný. Jedná se pouze o reprezentativní vzorek „zajímavých“ systémů, které jsme řešili u nějakého zákazníka.

 

Seznam je k nalezení zde.