Cílem projektu bylo nahradit manuální řízení účtů v centrálních aplikacích, zjednodušit procesy životního cyklu uživatelů a zautomatizovat procesy zajišťující splnění podmínek zákona o Kybernetické bezpečnosti.

Ve výběrovém řízení vyšel jako vítěz produkt firmy Evolveum – midPoint Identity Manager. Produkt nabízel všechny požadované funkcionality, nebo je bylo možné zdokumentovaným a oficiálně podporovaným způsobem doimplementovat.

MidPoint je nabízen jako opensource, je tedy možné ho stáhnout ze stránek firmy bezplatně a dokonce i bez jakékoliv registrace. Podle vysoké aktivity na fórech produktu je MidPoint hojně využíván a jsou do něj vývojovým týmem přidávány nové a nové funkcionality. Podle ohlasů jeho uživatelů je MidPoint velmi oblíbeným nástrojem pro správu identit a je implementován jak v komerčních firmách, tak na univerzitách.

Projekt byl realizován a řízen specialisty společnosti AMI Praha. Pro některé aplikace obsahující API webových služeb byly do IdM doprogramováni odpovídající konektory, pro aplikace HR, Active Directory a Exchange byly použity konektory dodávané spolu s produktem midPoint.

ČOI používá různorodé aplikace, kterými jsou zejména: Active Directory s Exchange jako hlavní adresář, OKbase společnosti OKsystem jako zdroj dat o zaměstnancích, brigádnících, externistech, pracovních místech a o organizační struktuře, dále aplikace Ginis společnosti Gordic, aplikace Mercurius společnosti Inisoft s.r.o. a aplikace EIS Jasu společnosti MÚZO Praha.

Z technologického hlediska tedy bylo nutné napojit následující systémy:

• Pracovníky evidované v OKbase
• Organizační strukturu v OKbase
• Pracovní místa v OKbase
• Uživatele a skupiny v Active Directory
• Poštovní schránky v Exchange
• Uživatele a role v Ginisu
• Uživatele a funkční místa v EIS Jasu
• Uživatele a role v Mercuriu

Následující obrázek schematicky znázorňuje napojení zmiňovaných aplikací na IdM midPoint a tok dat.

Napojení aplikací OKbase a Active Directory s Exchange bylo realizováno pomocí standardních konektorů dodávaných přímo výrobcem IdM.

Pro napojení aplikací Ginis, EIS Jasu a Mercurius k IdM byly vyvinuty konektory na míru. Konektory komunikují s API rozhraním webových služeb pomocí SOAP.

V IdM jsou nadefinovány synchronizační úlohy, které v hodinových intervalech načítají zdrojové informace o uživatelích, organizační struktuře a pracovních místech z aplikace OKBase. Na základě definovaných business procesů a požadavků ČOI IdM data zpracuje a změny odesílá do cílových aplikací. O důležitých změnách jsou automaticky emailem informováni správci jednotlivých aplikací.