Reference

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Reference Rozvoj IdM 2011

Rozvoj IdM 2011

ČEZ

Implementovali jsme nové funkcionality nad centrální správou identit a rolí v aplikaci SUN Identity Manager, připojili jme nové systémy a vytvořili metodické dokumenty ke správě uživatelů a rolí.

Cíl projektu

Prvotním cílem projektu bylo připojení dalších systémů, zejména SAPů, ale i nových systémů jako TIPOM či ArcGIS.

Druhotným úkolem bylo rozšířit užívání aplikace IdM mezi uživatele ve skupině ČEZ, a to zejména pomocí nových doplňkových funkacionalit a metodických návodů.

Cílem bezpečnosti pak bylo také vytvoření havarijních scénářů jak pro aplikaci IdM, tak pro SSO realizovaných přes Kerberos.

Popis projektu

Projektový tým tvořil mimo projektového managera jeden senior architekt a 1-2 IdM specialisti z firmy AMI Praha. Vedle toho byly některé subdodávky přesunuty na firmu Profinit (zejména SSO a připojení 1 nového systému) a firmu Avnet (zejména metodické dokumenty).

Na straně zákazníka se již tradičně účastnilo zejména oddělení správa uživatelů (provozní útvar ČEZ ICT Services pro aplikační podporu a správu aplikace IdM) a oddělení bezpečnosti, které bylo iniciátorem projektu. Z dalších oddělení se pak na dílčí oblasti účastnili pracovníci SAP, ServiceDesku nebo administrátoři AD či nově připojovaných systémů. Projektu se také za stranu zákazníka účastnily 2 dodavatelské firmy, které připravovali databázové procedury pro nově napojované systémy.

Projekt byl v rámci harmonogramu dodržen a neobsahoval žádné změnové požadavky.

Popis řešení

V rámci projektu byly provedeny následující funkcionality a oblasti řešení:

 1. Aktualizace systémové infastruktury – byl proveden update OS Solaris, instalace čtyř nových serverů a změna nastavení OS dle metodiky ČEZ, update Java JDK 1.5 Update 11, patch IDM 7.1.1.17, HW posílení testovacího a vývojového prostředí.
 2. Sloučení databázových schémat do jednoho – byla sloučena databázová schémata IDM do jednoho pro každé prostředí z důvodu lepší správy na straně administrátorů IDM v ČEZ ICT Services.
 3. Doplnění SAP adaptéru pro nastavení SAP v SSO – do rozhraní IDM – SAP byly doplněny SNC atributy, které označují, zda uživatel může používat Single SignOn do SAP systémů.
 4. Připojení systému TIPOM – systém pro správu dokumentů a tvorbu a řízení procesů změn pro elektrárny byl připojen k IDM. Jsou řízeny všechny uživatelské identity a většina rolí přes Scripted JDBC adaptér. Adaptér využívá databázové procedury, které byly připraveny dodavatelem systému TIPOM.
 5. Zohlednění odstávek systémů – byla implementována funkcionalita, která umožnuje dát dlouhodobě nedostupný připojený systém do odstávky, čímž je zajištěno, že se IDM nesnaží na takovém systému dělat žádné operace, a tím nazatěžuje své hromadné úlohy. Po opětovném zprovoznění připojeného systému pak IDM dožene všechny změny, které měly proběhnout na takto odstaveném systému po dobu jeho odstávky.
 6. Povinné zadání původního hesla při jeho změně – z bezpečnostních důvodů bylo implementováno povinné zadání hesla při vstupu na záložku „změna hesla“ v IDM. Tato kontrola byla provedena na úrovni filtru na aplikačním serveru.
 7. SSO SAP Portal – bylo zprovozněno Single SignOn na SAP portálu (PIA a PIP) přes kerberos vůči MS Active Directory. SSo je funkční pro OS Windows (200, XP, 7) a prohlížeče IE (6,7,8) a FF 3.
 8. Analýza systémových a programových účtů – byla provedena analýza registrace a evidence programových účtů připojených systémů v rámci SAP modulu BCRI a IDM. Na základě této analýzy byl sepsán Cílový koncept řešení.
 9. Analýza UNIX adaptérů – byla provedena analýza UNIX systémů (RedHat, AIX, HP-UX a Solaris) s ohledem na přípravu univerzálního adaptéru pro správu identit a skupin v těchto OS. Na základě zjištěných informací byl sepsán Cílový koncept řešení – ten navrhnul jeden univerzální custom adaptér, který volá příslušné vytvořené skripty na OS.
 10. Připojení systému ArcGIS – systém pro správu primárních technických informací ve skupině ČEZ byl připojen k IDM. Jsou řízeny všechny uživatelské identity a role přes Scripted JDBC adaptér. Adaptér využívá databázové procedury, které byly připraveny dodavatelem systému ArcGIS.
 11. Možnost přidělit pouze 1 z n rolí – v rámci řízení a přidělování rolí byla připravena funkcionalita, která v určité skupině rolí umožňuje mít přidělenou pouze jednu roli. Primárně se toto používá pro velikosti home adresářů.
 12. Řízení home adresářů uživatelů – vytváření home adresářů a jejich velikost je nyní řízena při zakládání účtu nebo na základě požadavku o roli z IdM.
 13. Rekonciliace rolí na všechny systémy zároveň – načítání stavu přidělení rolí bylo upraveno tak, aby probíhalo paralelně na všech systémech zároveń, a aby se tak snížila doba běhu a požadavky na administraci.
 14. Podpora změny hesla pro Servicedesk – operátorům SD je umožněno při změně hesla „zákazníkovi“ (uživateli) nechat toto heslo vygenerovat a poslat pomocí SMS na mobilní telefon. Tato funkacionalita se implementovala zejména kvůli bezpečnosti, aby se dotyčný uživatel nemusel přes telefon identifikovat.
 15. Analýza hromadného importu přidělení rolí – byla provedena analýza potřeb pro hromadnou administraci rolí, zejména pak pro systémy SAP.
 16. Havarijní scénáře IdM a SSO – byly vypracovány havarijní scénáře a strategie nápravy pro IDM a SSO přes kerberos.
 17. Metodika SSO – byla vytvořena metodika  implementace SSO na informačních systémech z pohledu technického i procesního.

Další projekty pro klienta

Zaujala vás tato reference?