Veřejná správa

Krajský úřad Moravskoslezského kraje

Krajskému úřadu jsme v rámci projektu Vnitřní integrace úřadu pomohli vytvořit systém pro zavedení integračních vazeb mezi interními systémy úřadu a zajistit efektivnější využívání informačních technologií. Společně jsme tak zlepšili veřejné služby poskytované občanům kraje a umožnili napojení a spolupráci se systémy veřejné správy.

Naše výzva

Zajistit technologické připravenosti pro rozsáhlejší projekty
Implementovat dostatečně robustní systém pro správu identit s možností integrace interních i externích uživatelů
Zajistit transparentní integrace agend do informačního systému kraje a také dohled nad tokem dat
Připravit systémy kraje na integraci s Jednotným identitním prostorem veřejné správy, ISZR a dalšími centrálními projekty eGovernment

Projekt souvisel s celkovou realizací strategie zavádění eGovernmentu v ČR a byl založen na typových projektech, zajišťujících jednotný způsob jeho provedení ve všech krajích.

Cíl projektu

1. Zavedení jednotného účtu uživatelů a řízení jeho životního cyklu

2. Synchronizace účtů se systémem JIP CzechPOINT

3. Efektivní využívání sdílených služeb e-governmentu

4. Autentizace a řízení přístupu externích subjektů k systémům MSK

5. Jednotné rozhraní pro budoucí integrace systémů

Jak vypadala
implementace?

Projekt jsme řídili na základě principů a pravidel kladených na projekty, dotované z fondů Evropské unie. Veškeré projektové dokumenty a výstupy měly své povinné prvky, jako např. grafiku, loga, či jednotný vzhled. Na jednotlivé výstupy i harmonogram se po celou dobu kladly vysoké nároky, i přes to jsme však zvládli úspěšně dodat jednotlivé etapy projektu dle předem stanoveného harmonogramu. Jediné drobné zdržení se stalo v úvodní fázi Analýzy a návrhu řešení, kdy bylo třeba precizně doladit sporné technické aspekty komplexního řešení a určit jeho rozsah.

1. Analýza
Začali jsme odbornou analýzou systémů MSK, které byly součástí integrovaných systémů v rámci projektu Vnitřní integrace úřadu. Analýza nám umožnila navrhnout řešení tak, aby byly vytvořeny podmínky, potřebné k naplnění legislativních požadavků vyplývajících ze zavádění eGovernmentu ve veřejné správě. Díky zevrubné analýze jsme mohli zajistit příležitosti, které současné informační a komunikační technologie přináší, a přispět tak k rozvoji regionu.

Cílový dokument s analýzou a návrhem řešení se předem určil smlouvou a byl precizně revidován zákazníkem v akceptačním řízení. Toto řízení bylo několikakolové, aby se pečlivě vyhodnotil návrh řešení a zafixoval se rozsah implementace do další fáze. V rámci řízení se uplatnila vysoká odbornost technických týmů jak dodavatele, tak i objednatele, a podařilo se dokument akceptovat v takové podobě, aby byly splněny veškeré požadavky zákazníka.

2. Implementace řešení
Odborná analýza odhalila, že původní produkční systémy KÚ MSK měly omezenou míru integrace jednotlivých systémů ICT. Integrační vazby mezi aplikacemi se řešily ad hoc bez jakéhokoliv systému pro podporu integračních vazeb. Zákazníkovi zcela chyběl systém jednotné správy uživatelských účtů pomocí technologie pro správu identit – Identity Management (IdM). Naší velkou výzvou se tak stala právě dodávka IdM řešení, které zajistí sjednocení identit interních i externích uživatelů, efektivní proces správy identit a zpřehlednění řízení přístupu uživatelů k informačním systémům a zdrojům.

Součástí dodaného systému byly i návazné služby, jako je systém jednotného přihlašování, řízení přístupu pomocí rolí, implementace systémů pro vícefaktorovou autentizaci, apod.

Primární implementační fáze trvala od ledna 2013 až do října 2013. Následovala fáze integrace se systémy eGovernment, která trvala do dubna 2014 a měla návaznost na připravenost služeb eGovernment pro integraci požadovaného typu.

3. Průběh realizace IdM systému
Základem integrace aplikací na dodávaný IdM systém byly tyto integrační vazby:

Identity management -> KS program (personální systém)
Identity management -> Active Directory
Docházka -> Intranet (Portál)
Mzdy z personalistiky KS -> GINIS INU
Kontaktní údaje -> Exchange
SW602 Form Server vnitřní a vnější
SATUM

Námi navržený IdM ukládá a dále pracuje s identitami interních a externích uživatelů. Interní uživatelé jsou zaměstnanci, zastupitelé a praktikanti KÚ MSK. Za externí uživatele jsou považováni uživatelé z jiných úřadů v kraji, z komerčních subjektů a příspěvkových organizací. Následující schéma zobrazuje přehled celkového řešení včetně jeho stavebních prvků a integračních vazeb.

Zvolený systém IdM je otevřený systém, postavený na open source komponentách. Pro adresářovou službu jsme využili eDirectory od společnosti MicroFocus a pro potřeby ukládání dat stávající databázi Oracle. Součástí dodávky byla také aplikace Portál uživatele, která umožňuje správu uživatelských účtů a potřebných informací, uložených v identitním prostoru.

Jednou ze základních funkcí připravovaného IdM řešení měla být automatizace životního cyklu interních uživatelů. Systém se nyní opírá o koncept autoritativního zdroje informací uživatelských identit a změny v personálním systému se automaticky promítají do uživatelských účtů v IdM, odkud jsou dále propagovány do integrovaných IS.

Důležitou součástí realizovaného řešení byla i přístupová brána se zajištěním požadavků na vysokou dostupnost HA. Brána nyní zajišťuje komplexní požadavky na přihlášení interních i externích uživatelů do aplikací a zajišťuje jednotné přihlašování SSO, respektující prvotní přihlašování interních uživatelů do systému Microsoft Active Directory.

Řešení zahrnovalo také integrační komponentu (LDAP2JIP), která zajišťuje synchronizaci uživatelských identit mezi lokálním identitním prostorem MSK a identitním prostorem JIP systému CzechPOINT.

4. Pilotní provoz
Tuto projektovou fázi zákazník naplánoval na jeden kalendářní rok – od listopadu 2013 do konce října 2014. Díky správně zvolené délce této fáze jsme zvládli provést veškeré kroky a testování včas, a připravit tak řešení na bezproblémový přechod do rutinního provozu.

Fázi jsme zakončili přechodem do produkce se zvýšeným dohledem a podporou, zejména v náběhu systému a zahájení jeho používání. Jak implementační fáze, tak i fáze pilotního provozu, jsme dodali bez výhrad a při splnění harmonogramu.

5. Technická podpora
Poskytování technické podpory jsme zahájili už s fází implementace projektu. Zákazníka jsme napojili na náš Service Desk a technickou podporu jsme realizovali podle SLA parametrů.

Celkovou dobu podpory jsme zajistili na 7 let, a za každé roční období jsme dodali report, zahrnující seznam provedených servisních tiketů, plnění SLA a další ukazatele. Za celou dobu poskytování technické podpory nedošlo z naší strany k porušení žádného definovaného SLA.

Další rozvoj systému

I po oficiálním ukončení projektu v říjnu 2014 se dále aktivně podílíme na rozvoji systému a na poskytování technické podpory.

V roce 2017 jsme navíc realizovali rozvojovou část systému na základě smlouvy na zajištění „Správy identit Krajské korporace“. Šlo o větší rozvojový projekt, který obsahoval tyto komponenty řešení:

Rozšíření licencí na geografickou multilicenci pro neomezený počet uživatelů v rámci kraje
Zpracování analýzy a prováděcího návrhu úprav a dalšího rozvoje systému správy identit
Úprava portálu samoobslužného řešení
Rozšíření IDM o workflow modul
Systém zasílání logů do SIEM
Typová instalace a konfigurace otevřeného vzorového konektoru
Specifikace integračního rozhraní pro integraci aplikací
Úprava systému rolí, propagace rolí
Škálování Access Gateway pro vyšší výkon a dostupnost
Vývoj autentizační metody podle specifikace EIDAS do Access Gateway
Vytvoření testovacího prostředí
Customizace auditních reportů

Za téměř 9 let jsme krajskému úřadu pomohli vytvořit také množství drobnějších rozvojových projektů a celou řadu integračních řešení. V současné době se podílíme na projektu integrace centrálního personálního systému Moravskoslezského kraje.