Dodavatel elektřiny a plynu, společnost E.ON, používá pro svůj provoz několik centrálních aplikací s odděleným řízením účtů a přístupů. Řízení účtů v těchto aplikacích probíhalo manuálně nebo spouštěním na míru vytvořených skriptů, které zajišťovaly zpracování základních požadavků (založení uživatele, změnu atributů). Tato situace se postupně stávala neudržitelnou, neboť nebylo možné efektivně reagovat na postupné změny v IT prostředí společnosti. Dále nebylo možné jednoduše získávat aktuální a přehledné informace o uživatelích v jednotlivých aplikacích a nebylo možné zautomatizovat některé další procesy. Vedení IT se proto rozhodlo implementovat Identity Manager, který bude výše uvedené problémy řešit. Hlavními požadavky byla licenční nezávislost na počtu identit, rolí a připojených systémů, otevřený kód, možnost vývoje vlastních konektorů, nezávislost na operačním systému, podpora běžných databází pro repozitář objektů, podpora autentikace proti LDAPu (eDirectory), produktová podpora, kontinuální vývoj od výrobce a přidávání nových vlastností, moderní design a použití moderních technologií. Jako SSO řešení je ve společnosti E.ON používán produkt WSO2.

Ve výběrovém řízení vyšel jako vítěz produkt firmy Evolveum – midPoint Identity Manager nabízený implementátorem AMI Praha a.s. Produkt nabízel všechny požadované funkcionality, nebo je bylo možné zdokumentovaným a oficiálně podporovaným způsobem doimplementovat. MidPoint je nabízen jako opensource, je tedy možné ho stáhnout ze stránek firmy bezplatně a dokonce i bez jakékoliv registrace. Podle vysoké aktivity na fórech produktu je midPoint hojně využíván a jsou do něj vývojovým týmem přidávány nové a nové funkcionality. Podle ohlasů jeho uživatelů je midPoint velmi oblíbeným nástrojem pro správu identit a je implementován jak na univerzitách, tak v komerčních a státních firmách.

Společnost E.ON používá různorodé aplikace, kterými jsou zejména: GDS LDAP jako hlavní adresář, SAP HR jako zdroj dat o zaměstnancích a o organizační struktuře a dále několik aplikací s vlastní databází uživatelů. Data o zaměstnancích a organizační struktuře jsou ze SAP HR k dispozici pouze v XML formátu. Evidence externích spolupracovníků není centrálně řešena vůbec.

Z technického hlediska bylo třeba provést následující kroky:

• Nasadit centrální řešení IdM
• Zpracovat do IdM informace o zaměstnancích ze SAP HR (tzv. primární účty)
• Zpracovat do IdM informace o pracovních vztazích zaměstnanců a organizační struktuře ze SAP HR
• Zavést centrální evidenci externistů, generovat pro ně jedinečné ID (tzv. SID) a napojit ji na IdM
• Navrhnout a vytvořit v IdM strukturu aplikačních a business rolí a na ně napojené workflow
• Vytvořit LDAP adresář SARA Directory, do kterého budou z IdM exportováni uživatelé, role a přiřazení uživatelů do rolí
• Na SARA Directory napojit WSO2 aplikaci, která z něj bude čerpat údaje o přiřazení uživatelů do rolí
• Připojit další cílové systémy pro konzumaci dat

Díky implementaci IdM mohly být sjednoceny v E.ONu některé důležité procesy, jezména kolem zakládání uživatelů a kolem přidělování rolí. Dále byly zavedeny některé další podpůrné procesy, jako je zakládání aplikačních rolí, nebo zakládání externistů.

Nyní je díky IdM umožněno zaměstnancům E.ONu požádat o přiřazení do role. Při vytvoření takové žádosti se rozběhne schvalovací workflow, kde musí žádost schválit odpovědné osoby.

Díky správně nastavenému procesu žádostí o role a správnému nastavení schvalovacího workflow v IdM bylo možné také plně zautomatizovat řízení přiřazení uživatelů SARA Directory do aplikačních skupin. Z těchto údajů pak následně čerpá WSO2 pro nastavení autorizací v návazných aplikacích.

Implementace nástroje pro správu identit ve společnosti E.ON očekávání managementu a lze ji považovat za úspěšnou. Vedení IT v E.ONu ve spolupráci s AMI Praha připravuje další požadavky na rozvoj implementace tohoto nástroje a chystá napojení dalších aplikací. Vyzdvihnout lze hlavně jednoduchost napojení midPointu na jednotlivé aplikace a české uživatelské prostředí.

E.ON dále kladně hodnotí bezproblémovou spolupráci AMI Praha přímo s vývojáři midPointu a s jejich velikou ochotou při řešení problémů. MidPoint, jako alternativu ke komerčním řešením, lze tedy vřele doporučit.