Pro ZČU to znamenalo začít hledat řešení nové, moderní, a minimálně stejně kvalitní. Hlavními požadavky byla licenční nezávislost na počtu identit, rolí a připojených systémů, otevřený kód, možnost vývoje vlastních konektorů, nezávislost na operačním systému, podpora běžných databází pro repozitář objektů, podpora autentizace proti Active Directory a LDAPu, produktová podpora, kontinuální vývoj od výrobce a přidávání nových vlastností, moderní design a použití moderních technologií.

Ve výběrovém řízení vyšel jako vítěz produkt firmy Evolveum – midPoint Identity Manager nabízený implementátorem AMI Praha a.s. Produkt nabízel všechny požadované funkcionality, nebo je bylo možné zdokumentovaným a oficiálně podporovaným způsobem doimplementovat. MidPoint je nabízen jako opensource, je tedy možné ho stáhnout ze stránek firmy bezplatně a dokonce i bez jakékoliv registrace. Podle vysoké aktivity na fórech produktu je midPoint hojně využíván a jsou do něj vývojovým týmem přidávány nové a nové funkcionality. Podle ohlasů jeho uživatelů je midPoint velmi oblíbeným nástrojem pro správu identit a je implementován jak na univerzitách, tak v komerčních a státních firmách.

ZČU provozovala Sun Identity Manager jako nástroj pro správu zaměstnanců, studentů a externistů. Zdrojem dat o zaměstnancích byla aplikace Magion, zdrojem dat o studentech byla aplikace STAG a zdrojem dat o externistech bylo samotné IdM. Získaná data pak byla přes IdM distribuována do cílových aplikací. Pro řízení rolí byla používána aplikace Grouper, která byla zastaralá a z funkčního hlediska nevyhovující.

Z technického hlediska bylo třeba provést následující kroky:

• Nahradit zastaralou aplikaci Grouper – její funkčnost převzalo IdM
• Připravit uživatelské rozhraní IdM pro používání uživatelů v různých rolích
• Připojit k IdM zdrojové systémy zaměstnanců, studentů, organizační struktury, seznamu předmětů, seznamu studií apod.
• Umožnit zaměstnancům zakládat v IdM tzv. hostovská konta
• Nastavit na IdM Kerberos autentizaci
• Připojit cílové systémy pro konzumaci dat

Instalace IdM midPoint

Hardwarové a softwarové požadavky midPointu nejsou nijak výjimečné a neliší se od požadavků podobných produktů. Doporučovaným operačním systémem je libovolná běžná linuxová distribuce. Dále je vyžadován Apache Tomcat verze 8 a vyšší, Java Development Kit verze 8 a vyšší a pro uložení dat o identitách databáze MySQL, MSSQL, Oracle nebo PostgreSQL.

V ZČU padla volba na operační systém Debian, Apache Tomcat verze 8, Java Development Kit verze 8 a Oracle. Server byl vytvořen ve virtuálním prostředí a bylo mu vyhrazeno 32 GB RAM paměti a 150 GB místa na disku.

Samotná instalace IdM midPoint také nebyla nijak složitá a sestávala z několika málo kroků: spuštění skriptu pro vytvoření DB tabulek budoucího repozitáře IdM midPoint a dále stažení WAR souboru midPoint ze stránek firmy Evolveum a jeho nakopírování do adresáře webapps v instalaci Apache Tomcat. Autoinstalační služba Tomcatu pak provedla instalaci a zpřístupnění webového rozhraní midPointu.

Tím byla základní instalace hotova a bylo možné přistoupit k napojení aplikací a k implementaci požadovaných funkcionalit.

Požadavky

Diskuzí se zástupci IT oddělení bylo sesbíráno několik desítek požadavků a podnětů pro zapracování funkcionalit do nového IdM midPoint. Tento seznam vycházel zejména ze zkušeností s provozem předchozího IdM řešení Sun IdM. Dále to byly požadavky od běžných uživatelů pracujících s IdM, které již nebylo možné zapracovat do předchozího IdM nebo by jejich zapracování vyžadovalo vysoké náklady. Seznam byl také doplněn o nové požadavky vzniklé postupnými změnami procesů v ZČU.

Jedním z hlavních požadavků bylo převedení stávající funkcionality z původního IdM do nového řešení tak, aby samotná funkcionalita zůstala zachována, ale aby bylo v co nejvyšší možné míře využito vlastností nového IdM řešení. Jednalo se zejména o možnost zakládání hostovských kont samotnými zaměstnanci ZČU. Bylo tedy nutné navrhnout a poté nastavit prostředí IdM tak, aby uživatelé pracující v IdM mohli provádět jen ty úkony, které jim z hlediska jejich role náležely.

Dalším důležitým požadavkem bylo převedení veškeré funkcionality aplikace Grouper do prostředí IdM. Byla to funkcionalita automatického přiřazování rolí zaměstnancům podle jejich zařazení v organizační struktuře a dále automatické přiřazování rolí studentům podle jejich studií.

Napojení aplikací na IdM

Aplikace jsou k IdM napojeny pomocí konektorů, které jsou pro běžné aplikace již připravené (LDAP, databázové tabulky), nebo je nutné takové konektory zdokumentovaným a podporovaným postupem naprogramovat (typicky různé webové služby).

V následujících odstavcích uvedeme jednotlivé aplikace napojené na IdM midPoint a stručné popíšeme způsob jejich napojení.

Aplikaci Magion jsme napojili pomocí konektoru naprogramovaného na míru databázovým pohledům. Konektor byl později přepsán přímo do Javy z důvodu výkonu. Databázové pohledy poskytují do IdM midPoint data o zaměstnancích, o pracovních pozicích zaměstnanců (pracoviště, fakulty, katedry) a o organizační struktuře ZČU.

Aplikaci STAG jsme napojili podobně jako Magion pomocí naprogramovaného konektoru na míru webovým službám, které STAG obsahuje. Webové služby poskytují do IdM midPoint data o studentech, jejich studiích a studovaných předmětech.

Další napojovanou aplikací je STAG_UCITEL. Jedná se o další sadu webových služeb aplikace STAG, která konzumuje z IdM midPoint informace o učitelích používajících tuto aplikaci. IdM midPoint pomocí těchto webových služeb řídí přístup učitelů do aplikace STAG. Stejně jako v předchozích případech byla aplikace napojena pomocí naprogramovaného konektoru obsluhující tyto webové služby.

Aplikaci JIS jsme na IdM opět napojili přes webové služby, které JIS poskytuje. IdM midPoint do aplikace JIS poskytuje informace o zaměstnancích, studentech a externistech a o jejich pozicích. Zpět do IdM midPoint čerpáme data o vydaných přístupových kartách.

Zrušení napojení stávajících aplikací

Díky změnám v architektuře vazeb aplikací a IdM midPoint jsme mohli navrhnout zjednodušení a optimalizaci některých propojení s IdM až do té míry, že jsme některá propojení mohli odstranit. Jsou to zejména aplikace CRO a Grouper.

Funkcionality aplikace CRO převzalo IdM midPoint. Jednalo se o generování CROID, zakládání, aktualizace a deaktivace osob, párování osob při souběhu více pozic, archivace neaktivních osob a výstup dat do exportní tabulky.

Funkcionality Grouperu také převzalo IdM midPoint. IdM nyní zajišťuje automatické přiřazení uživatelů k pracovním místům podle jejich pozice, automatické zařazení uživatelů do org. jednotek. Tajemníci a jejich sekretářky mají možnost manuálně přiřazovat uživatele k pracovním místům a do org. jednotek.

IdM rozhraní pro uživatele

MidPoint obsahuje webové rozhraní jak pro koncové uživatele, tak pro administrátory. IdM midPoint nabízí uživatelům mnoho užitečných funkcí, včetně možnosti požádat si o role a jejich následné schválení, změna a synchronizace hesel, nebo notifikace a reporting. V rámci implementace IdM midPoint jsme řešili dva základní požadavky na funkcionalitu – náhrada funkcionalit aplikace Grouper a možnost zakládání externích kont.

Prvním požadavkem bylo, aby zaměstnanci na pozici tajemník nebo na pozici sekretářka tajemníka měli možnost přiřazovat uživatele IdM midPoint do vybraného stromu organizační struktury a dále také do určeného typu rolí. Jednalo se o náhradu aplikace Grouper. Díky velmi rozsáhlým možnostem nastavení autorizací byl tento požadavek v midPointu beze zbytku vyřešen.

Druhým požadavkem bylo, aby všichni aktivní zaměstnanci měli možnost vytvořit si v prostředí IdM midPoint libovolný počet externích kont. Při založení konta se zaměstnanec automaticky stal garantem a dále platnost externího konta byla automaticky nastavena na maximálně 2 roky (pokud zaměstnanec neurčí méně). Díky možnostem autorizací mohl být tento požadavek opět bez problémů splněn.

Jazykové verze

Standardní součástí aktuální verze midPointu je i český jazykový balíček. Nastavení jazyka se řídí podle aktuálního prostředí operačního systému konkrétního uživatele.

Závěr

Implementace nástroje pro správu identit v ZČU splnila očekávání managementu a lze ji považovat za úspěšnou. Vedení IT v ZČU ve spolupráci s AMI Praha připravuje další požadavky na rozvoj implementace tohoto nástroje a chystá napojení dalších aplikací. Vyzdvihnout lze hlavně jednoduchost napojení midPointu na jednotlivé aplikace a české uživatelské prostředí.

ZČU dále kladně hodnotí bezproblémovou spolupráci AMI Praha přímo s vývojáři midPointu a s jejich velikou ochotu při řešení problémů. MidPoint, jako alternativu ke komerčním řešením, lze tedy vřele doporučit.