Hlavním cílem integračního projektu Identity Management v Raifeissenbank (dále jen RB) bylo zajistit jednotnou a centralizovanou správu uživatelských účtů a rolí pro informační systémy (dále jen IS), které byly nově  implementovány v rámci transformace bankovního systému Finacle – E-Banking RM, E-banking Admins, Treasury, Core, systém DMS Documentum a CRM Oracle Siebel. Dále pak vytvořit platformu pro řízení rolí v již existujících aplikacích. Pro napojení těchto systémů bylo nutné napojit autoritativní zdroj identit HR systém KS Program a vyřešit správu externích pracovníků, kteří nejsou v HR systémů evidovaní.

Tedy automaticky řídit účty na těchto systémech jak z pohledu jejich existence, tak z pohledu rolí a oprávnění. Nastavit správně politiku rolí a reportovat případné nesoulady.

Tento záměr bylo třeba splnit nejen technicky, ale také procesně. Proto byl vyhotoven podrobný dokument popisující všechny procesy životního cyklu uživatelských identit a životní cyklus oprávnění v IS. Celý tento procesní diagram byl zpracován v rámci současných procesů RB. Technický cíl byl naplněn implementací CA IdentityMinder 12.5 (dále jen IDM) a napojením požadovaných IS přes vyvinuté konektory.

Dalším cílem projektu bylo zajistit životní cyklus řízení rolí na jednotlivých IS. Jeho analytická část, věnovaná návrhu rolí, byla zpracována pomocí CA Governance Minder 12.5. Jeho procesní část, věnovaná schválení rolí, použití rolí a přiřazování rolí byla zpracována custom vývojem do produktu IDM.

Posledním cílem bylo zajistit fakt, aby navržené procesní i technické řešení bylo dostatečné obecné a robustní pro použití pro další IS RB a v následně byly napojovány další IS, jako jsou Microsoft Active Directory, Lotus Notes, Oracle DB a další interní IS.

Projekt byl realizován a řízen specialisty společnosti AMI Praha a.s. Partner RAC dodal procesní analýzu a finální návrh procesů pro životní cyklus identit a rolí. K vývoji některých funkcionalit přispěli společnost Gordic a freelancer Michal Opatřil.

Přínosy pro zákazníka

• Automatické akce a kontroly zvyšující bezpečnost
• Jednotný proces správy uživatelských účtů a přidělení jejich rolí
• Auditovatelnost změn a žádostí
• Jednotný proces správy rolí
• Zjednodušení práce pro uživatele, schvalovatele a správce IS
• Jednotná data uživatelů ve všech systémech

Po důkladné analýze bylo navržené centralizované řešení a implementace IDM, který získává data z autoritativního systému KS Program (přes rozhraní IDM Java konektoru) a dále je propaguje (případně zpracovává a propaguje) na ostatní připojené systémy. Pro připojení systémů byly použity custom Java konektory, kde byly všechny funkcionality kompletně naprogramovány (DB externistů, KS Program) a TIF konektor navíc pro Message broker (integrační platformu) u systémů připojených přes integrační platformu (Finacle Core, Finacle E-banking Admins, Finacle E-banking RM, Finacle Treasury, Siebel CRM, DMS).

IDM vytváří jednotnou databázi identit všech zaměstnanců s jednotným souborem atributů k nim přiřazených. Na tyto účty jsou pak napárovány účty na jednotlivých koncových systémech a pomocí nich jsou spravovány. Vznik, update i zánik uživatelských účtů na jednotlivých koncových systémech je tak zabezpečen z jedné aplikace (IDM) a jednotným procesem správy. Tento proces je charakterizován různými schvalovacími workflow, která jsou definována v IDM automatickými pravidly pro přidělování rolí a hodnotami jednotlivých atributů, která jsou stále vynucována, případně je reportováno jejich porušení. Veškeré procesy jsou pak auditované a je možné je reportovat.

Na požadavek zákazníka byla do IDM doimplementována funkčnost životního cyklu rolí, jejich návrh/zánik/update, schvalování, vytvoření pravidel pro jejich přidělení a import do IDM. Role se tak spravují přímo v aplikaci IDM. Jsou využívány role, které jsou vázány k organizační struktuře, agregují určitá oprávnění a hodnoty atributů v IS, které náleží dané pracovní pozici. Tyto role se přidělují buď automaticky definovanými pravidly (většinou dle zařazení do organizační struktury) nebo uživatelskou žádostí v IDM. Vlastností role může být časové omezení a může nést i požadavek na zaškolení pracovníka. Povinnou součástí definice role je určení schvalovacího workflow, příznak požadavku na proškolení a pravidlo automatického přidělování. Proces přidělení role je podmíněn jejím schválením, a to dle workflow na několika úrovních (např. nadřízený, správce systému, školitel). Veškeré schvalování probíhá přímo v aplikaci IDM a přidělení i schvalování rolí je auditované.

V projektu byl implementován i autoritativní zdroj externích pracovníků, který je přímo v IDM. Jejich existence je opět podmíněna žádostí v IDM a po schvalovacím procesu v IDM (např. správce systému, fyzická bezpečnost, nadřízený) je uživatel založen v IDM a jsou mu přiděleny povinné role pro externí pracovníky (případně dle žádosti mail, přístupová karta apod.). Pro externí pracovníky je pak dále možné žádat o přístupy k napojeným IS a auditovat a reportovat jejich přístupy a žádosti.

Pro přístup do IDM bylo implementováno Single Sign-On (SSO) – tedy systém, kdy se po přihlášení do počítače (tedy domény AD) není potřeba přihlašovat do IDM. IDM není implementován v HA režimu, protože požadavky na dostupnost nejsou kritické a napojené IS jsou funkční i bez IDM.

V rámci úvodní fáze projektu byly k IDM připojeny KS Program, CRM a DMS. Připojování dalších aplikací postupně pokračuje Active Directory a dalšími.