Rekapitulace novinek v CzechIdM za rok 2018

CzechIdM je námi vyvíjený Identity Management volně dostupný na GitHubu. Vývoj v roce 2018 byl rychlý. Vydali jsme celkem 10 stabilních verzí, z nichž poslední je CzechIdM 9.4. Což v průměru vychází na release každých 6 týdnů!

Věnovali jsme se hlavně přidávání funkcí dvojího typu. Přibylo mnoho nových vlastností přímo v GUI a nástrojů ať už pro implementátory nebo posilující robustnost chodu (např. asynchronní fronty). Zmíním ty nejzajímavější.

Business role

Business roli lze popsat jako sdružení více rolí do jedné. Tím, že identita získá business roli, získává automaticky i všechny role jí podřazené.

Platnost dílčích podřazených rolí trvá pouze po dobu platnosti business role. Jakmile je přidělená business role identitě odebrána,  všechny dílčí role se zákonitě automaticky odstraní.

Přiřazování a odebírání podřazených rolí CzechIdM provádí na pozadí asynchronně. Uživatel tedy ani při větším množství rolí není omezován čekáním na webové rozhraní.

44588343-b016bf00-a7b5-11e8-93e0-d11ab8905158.png

44588343-b016bf00-a7b5-11e8-93e0-d11ab8905158.pngVíce informací v dokumentaci zde (ENG).

Release CzechIdM 9.0.

Reportní modul aneb jak vytvářet reporty nejen pro GDRP.

Prostřednictvím přehledů mohou správci modulů připravovat zprávy o identitách, rolích a mnoha dalších objektech. Tyto přehledy pomáhají získat přehled o souladu s GDPR.

Každý report má řadu volitelných parametrů, např. “Obsahuje pouze platné role”. Všechny generované reporty jsou k dispozici v GUI webových stránek.reports_agenda.png

reports_agenda.png

Reporty jsou dostupné v těchto formátech: csv, xlsx, json.

Release CzechIdM 7.6

Podpora SSO s Active Directory

CzechIdM podporuje jednotné přihlášení uživatelů (SSO) pomocí ověření domény v Active Directory (AD). Mechanismus využívá webový server, který podporuje Kerberos autentizaci a dodává token ověřeného uživatele do hlavičky protokolu HTTP. Poté CzechIdM tuto hlavičku zpracuje a autentizuje uživatele.

Release CzechIdM 8.2

Hromadné akce s rolemi

Pokud potřebujete udělat akci u mnoha rolí současně, pak je tato funkce právě pro vás. V této verzi jsou podporovány tyto hromadné akce:

Vyvolání přepočtu účtů

Tato operace vyvolá přepočet účtů (tzv. account management) pro každou identitu mající přiřazenou vybranou roli. Tím zároveň proběhne provisioning účtů těchto identit do koncových systémů. Account management jednotlivých identit se provádí asynchronně.bulk_prevalidate_all.png

bulk_prevalidate_all.png

Akce hromadné odebrání role

Provádí hromadné smazání rolí. Protože není možné odebrat roli, která je již přiřazená identitám, naimplementovali jsme vylepšení v podobě zobrazení počtu přiřazení rolí uživatelům. Uživatel tak vidí varování dříve, než zahájí mazání rolí.

Release CzechIdM 8.2

Podpora SCIM 2.0

Specifikace zvaná System for Cross-domain Identity Management (SCIM) umožňuje jednoduchou správu uživatelských identit v cloudovém prostředí. Staví na principu RESTful API, zároveň však definuje schémata, která jsou pro systémy implementující tento mechanizmus povinná. Jednotlivá schémata byla vybrána vždy na základě reálných implementací systémů pro správu identit s důrazem na jednoduchost. V případě potřeby povoluje SCIM definici rozšířených schémat.

Více o tom, co je SCIM.

Release CzechIdM 8.1

Časové řezy úvazků

Některé personální systémy ukládají data o zaměstnancích formou tzv. časových řezů. HR systém ukládá informace o osobě a časovou platnost této informace – jeden časový řez. Má-li se v budoucnu  informace o zaměstnanci změnit, například jeho pracovní zařazení, pak HR systém obsahuje jiný časový řez s platností v budoucnu s touto změnou.

Aby CzechIdM mohlo dopředu reagovat na plánované změny, je třeba tyto časové řezy zpracovat. Například zasílá nadřízeným notifikaci o přechodu zaměstnance. 

CzechIdM Jade rozšiřuje synchronizaci dat o načítání časových řezů. Rovněž GUI jsme upravili tak, aby si oprávněný administrátor mohl časové řezy u uživatele zobrazit.

Podpora časových řezů přináší také možnost snadněji integrovat systém CzechIdM s HR systémy, které řezy používají. Jsou to například systémy VEMA nebo SAP.

Release CzechIdM 8.1

Automatické role dle atributu

Role může být spojena s hodnotou v atributu. Tato role se uživateli přiřazuje a odebírá na základě hodnoty v daném atributu. Přepočítání těchto automatických rolí se provádí po uložení identity a atributů – ať už rozšířených atributů identity či smluv a smlouvy.  Všechny potřebné atributy, které definují automatickou roli podle atributů, jsou uvedeny v agendě “Automatická role podle atributu”.

automatic_role_by_attribute.png

Návod, jak nastavit automatické role zde.

Release CzechIdM 8.1

Životní cyklus rolí

CzechIdM přináší nástroj pro metodiky. Role lze nejen využívat neboli přiřazovat s jejich pomocí práva uživatelům, ale lze je zařazovat i do katalogu, schvalovat jejich změny, určit jejich garanty a následně poskytnout uživatelům.

Role tedy mají svůj životní cyklus: vznikají, mění se jejich obsah, jejich zařazení do business rolí,  zanikají. Nová verze přináší detailnější životní cyklus rolí. Jakákoliv změna role samotné (například popis, parametry nebo schvalovatel) se neukládá automaticky, ale nejprve se založí schvalovací žádost. Nově vznikla pozice garanta, který je zodpovědný za schvalování vlastností dané role.

Dále jsme přidali univerzální agendu žádosti nejen pro schvalování změn rolí, ale  pro jakýkoli objekt v IdM. Výhodou je všestrannost agendy žádostí.

Release CzechIdM 9.1

Závěr

Velkým úkolem do budoucna je zlepšování UX. Všechny důležité funkce již v CzechIdM jsou.  Chceme zapracovat, aby byli snadněji a intuitivněji použitelné. V plánu jsou například šablony pro snadné zakládání uživatelů i připojování koncových systémů, dále shlukování auditních informací související s uživatelem nebo rolí, a mnoho dalšího. Plánované novinky můžete sledovat v dokumentaci Roadmapě produktu.

About Lukáš Cirkva

CEO, Identity Management consultant with 10+ years of experience. I have also played a leadership role in the development of our company's own SW tool - CzechIdM. We also service our delivered solutions. Please see www.CzechIdM.com and linkedin for more info: www.linkedin.com/in/lukascirkva/

Leave a Reply