Rekapitulace novinek v CzechIdM za rok 2018
CzechIdM je námi vyvíjený Identity Management volně dostupný na GitHubu. Vývoj v roce 2018 byl rychlý. Vydali jsme celkem 10 stabilních verzí, z nichž poslední je CzechIdM 9.4. Což v průměru vychází na release každých 6 týdnů!
Věnovali jsme se hlavně přidávání funkcí dvojího typu. Přibylo mnoho nových vlastností přímo v GUI a nástrojů ať už pro implementátory nebo posilující robustnost chodu (např. asynchronní fronty). Zmíním ty nejzajímavější.
Business role
Business roli lze popsat jako sdružení více rolí do jedné. Tím, že identita získá business roli, získává automaticky i všechny role jí podřazené.
Platnost dílčích podřazených rolí trvá pouze po dobu platnosti business role. Jakmile je přidělená business role identitě odebrána, všechny dílčí role se zákonitě automaticky odstraní.
Přiřazování a odebírání podřazených rolí CzechIdM provádí na pozadí asynchronně. Uživatel tedy ani při větším množství rolí není omezován čekáním na webové rozhraní.
Reportní modul aneb jak vytvářet reporty nejen pro GDRP.
Prostřednictvím přehledů mohou správci modulů připravovat zprávy o identitách, rolích a mnoha dalších objektech. Tyto přehledy pomáhají získat přehled o souladu s GDPR.
Každý report má řadu volitelných parametrů, např. “Obsahuje pouze platné role”. Všechny generované reporty jsou k dispozici v GUI webových stránek.
Reporty jsou dostupné v těchto formátech: csv, xlsx, json.
Podpora SSO s Active Directory
CzechIdM podporuje jednotné přihlášení uživatelů (SSO) pomocí ověření domény v Active Directory (AD). Mechanismus využívá webový server, který podporuje Kerberos autentizaci a dodává token ověřeného uživatele do hlavičky protokolu HTTP. Poté CzechIdM tuto hlavičku zpracuje a autentizuje uživatele.
Hromadné akce s rolemi
Pokud potřebujete udělat akci u mnoha rolí současně, pak je tato funkce právě pro vás. V této verzi jsou podporovány tyto hromadné akce:
Vyvolání přepočtu účtů
Tato operace vyvolá přepočet účtů (tzv. account management) pro každou identitu mající přiřazenou vybranou roli. Tím zároveň proběhne provisioning účtů těchto identit do koncových systémů. Account management jednotlivých identit se provádí asynchronně.
Akce hromadné odebrání role
Provádí hromadné smazání rolí. Protože není možné odebrat roli, která je již přiřazená identitám, naimplementovali jsme vylepšení v podobě zobrazení počtu přiřazení rolí uživatelům. Uživatel tak vidí varování dříve, než zahájí mazání rolí.
Podpora SCIM 2.0
Specifikace zvaná System for Cross-domain Identity Management (SCIM) umožňuje jednoduchou správu uživatelských identit v cloudovém prostředí. Staví na principu RESTful API, zároveň však definuje schémata, která jsou pro systémy implementující tento mechanizmus povinná. Jednotlivá schémata byla vybrána vždy na základě reálných implementací systémů pro správu identit s důrazem na jednoduchost. V případě potřeby povoluje SCIM definici rozšířených schémat.
Časové řezy úvazků
Některé personální systémy ukládají data o zaměstnancích formou tzv. časových řezů. HR systém ukládá informace o osobě a časovou platnost této informace – jeden časový řez. Má-li se v budoucnu informace o zaměstnanci změnit, například jeho pracovní zařazení, pak HR systém obsahuje jiný časový řez s platností v budoucnu s touto změnou.
Aby CzechIdM mohlo dopředu reagovat na plánované změny, je třeba tyto časové řezy zpracovat. Například zasílá nadřízeným notifikaci o přechodu zaměstnance.
CzechIdM Jade rozšiřuje synchronizaci dat o načítání časových řezů. Rovněž GUI jsme upravili tak, aby si oprávněný administrátor mohl časové řezy u uživatele zobrazit.
Podpora časových řezů přináší také možnost snadněji integrovat systém CzechIdM s HR systémy, které řezy používají. Jsou to například systémy VEMA nebo SAP.
Automatické role dle atributu
Role může být spojena s hodnotou v atributu. Tato role se uživateli přiřazuje a odebírá na základě hodnoty v daném atributu. Přepočítání těchto automatických rolí se provádí po uložení identity a atributů – ať už rozšířených atributů identity či smluv a smlouvy. Všechny potřebné atributy, které definují automatickou roli podle atributů, jsou uvedeny v agendě “Automatická role podle atributu”.
Návod, jak nastavit automatické role zde.
Životní cyklus rolí
CzechIdM přináší nástroj pro metodiky. Role lze nejen využívat neboli přiřazovat s jejich pomocí práva uživatelům, ale lze je zařazovat i do katalogu, schvalovat jejich změny, určit jejich garanty a následně poskytnout uživatelům.
Role tedy mají svůj životní cyklus: vznikají, mění se jejich obsah, jejich zařazení do business rolí, zanikají. Nová verze přináší detailnější životní cyklus rolí. Jakákoliv změna role samotné (například popis, parametry nebo schvalovatel) se neukládá automaticky, ale nejprve se založí schvalovací žádost. Nově vznikla pozice garanta, který je zodpovědný za schvalování vlastností dané role.
Dále jsme přidali univerzální agendu žádosti nejen pro schvalování změn rolí, ale pro jakýkoli objekt v IdM. Výhodou je všestrannost agendy žádostí.
Závěr
Velkým úkolem do budoucna je zlepšování UX. Všechny důležité funkce již v CzechIdM jsou. Chceme zapracovat, aby byli snadněji a intuitivněji použitelné. V plánu jsou například šablony pro snadné zakládání uživatelů i připojování koncových systémů, dále shlukování auditních informací související s uživatelem nebo rolí, a mnoho dalšího. Plánované novinky můžete sledovat v dokumentaci Roadmapě produktu.
