Veřejná správa
Český statistický úřad
Český statistický úřad s námi zjednodušil způsob ověřování uživatelů při zachování vysokého stupně zabezpečení.
Naše výzva
Zastaralý a komplikovaný způsob ověřování externích uživatelů
Služby ČSÚ využívá celá řada externích uživatelů – jedná se například o statutární zástupce právnických osob nebo o tzv. pověřené osoby. Ověřování těchto uživatelů se provádělo pouze vůči úložišti identit CASe (Central Authentication Service – external) – tedy centralizovanému úložišti identit provozovaného v prostředí ČSÚ.
Když se externí uživatel chtěl přihlásit do některého z napojených informačních systémů, musel mít v tomto úložišti zavedenou svoji identitu, bez ní nebylo možné přístup ověřit.
Systém ověřování tak nesplňoval náročné požadavky na přístup širokého spektra externích uživatelů, a bylo třeba tento stav řešit. Motivací pro změnu byla i současně probíhající modernizace systému DANTE WEB – webové aplikace, která poskytuje externím uživatelům možnost on-line vyplňování statistických výkazů. Právě v těchto případech se totiž ověřování externích uživatelů hojně využívá.
Cíl projektu
Jak vypadala
implementace?
Nejprve jsme sestavili tým odborníků s bohatými zkušenosti s nasazováním podobných řešení u našich zákazníků. Při implementaci jsme vycházeli z předchozích zkušeností, které jsme uplatnili především v návrhu celkové architektury řešení a celkovou koncepci jsme přizpůsobili požadavkům zákazníka. V průběhu analýzy řešení předložil zákazník také požadavek na změnu části architektury řešení. Vše jsme zohlednili ve změnovém požadavku a i následně v návrhu řešení.
1. Analýza požadavků zákazníka a návrh řešení
Začali jsme detailní analýzou požadavků zákazníka, návrhem řešení a zároveň jsme provedli i vývoj portálu CAB a první integrace – konkrétně na autentizační služby ISDS a NIA. V této fázi jsme byli samozřejmě vázání projektovým harmonogramem, který jsme dodrželi.
2. Odevzdání a akceptace dokumentu s analýzou
Klíčovým momentem bylo odevzdání a akceptace dokumentu s analýzou a návrhem řešení, kdy nám do hry navíc vstoupil změnový požadavek. Další komplikací byl systém (Service Provider celého řešení), který se v rámci projektu teprve vyvíjel, navíc dodavatel systému nebyl aktérem tohoto projektu. I přes nečekané komplikace se nám ale podařilo dodržet projektový harmonogram.
3.Vývoj a testování
V této fázi jsme připravili vývojové i produkční prostředí. S přechodem do produkce navíc souvisela i část testovací – tj. provedení sady testů, které prokázaly připravenost řešení v rutinním provozu. Součástí akceptační řízení této výzvy bylo pak i zaškolení administrátorů na obsluhu a používání systému.
4. Přidání JIP/KAAS jako dalšího poskytovatele identit
Vzhledem k tomu, že naše společnost je provozovatelem systému Czech POINT a autorem webových služeb JIP/KAAS, jednalo se o relativně jednodušší fázi. Tuto fázi projektu jsme po dohodě se zákazníkem začali dříve a to z důvodu prodlení dodavatele v přípravě integračního rozhraní pro napojení interního identitního systému, které se mělo původně nastavovat v této fázi. Tato změna přinesla lepší možnosti kontinuity dodávky projektu se zachováním projektového harmonogramu.
5.Integrace řešení na interní identitní prostor
V této části projektu jsme integrovali pro nás zcela neznámý systém, kde bylo potřeba zajistit součinnost s jeho dodavatelem, dohodnout se na způsobu integrace a provést vlastní implementaci i otestování. I touto fází projektu jsme prošli úspěšně a dodávka i celý projekt byl zakončen v rámci stanoveného projektového harmonogramu.
6. Poskytování technické podpory
Jako u většiny projektů poskytuje naše společnost zákazníkovi služby technické podpory po dobu rutinního provozu. Se zákazníkem jsme dohodli formu technické podpory, kde se na ní podílí náš Service Desk tým ve spolupráci se Servis Desk týmem zákazníka. K monitoringu řešení a včasné notifikaci o chybách byl zvolen nástroj Zabbix. Zákazníkovi jsme dodali základní šablony nástroje a dohodli se na systému předávání tiketů. Cílem je poskytování technické podpory na nejvyšší úrovni a dodržení SAL.
Bezpečně
nejlepší výsledky
Zlepšení uživatelského zážitku
Postup přihlašování uživatele je díky zavedení nových metod ověřování identity skutečně jednoduchý. Jakmile si uživatel ve svém prohlížeči otevře adresu požadovaného systému ČSÚ, do kterého se chce přihlásit, dojde k automatickému přesměrování na stránku portálu CAB se seznamem poskytovatelů identity. Zde si uživatel vybere preferovaný způsob ověření – zvolený poskytovatel identity pak zajistí autentizaci uživatele a předání informací o uživateli portálu CAB, který následně zajistí přístup uživatele do cílového systému.
Přínosy pro uživatele i ČSÚ
Díky zavedení nových metod ověřování, mohou nyní právnické osoby využívat ověření identity v systému datových schránek, fyzické osoby mohou vybrat některou z autentizačních služeb NIA a úředníci veřejné správy zase svůj svůj účet v JIP/KAAS. Naše řešení je koncipováno jako otevřené a disponuje širokými konfiguračními možnostmi, pomocí kterých lze definovat spojení na externí poskytovatele, napojení na integrované aplikace ČSÚ, požadované autentizační metody a také autentizační pravidla, která ovlivňují průběh autentizačních procesů v rámci řešení CAB. Pro každou integrovanou aplikaci ČSÚ lze nastavit vlastní konfiguraci, skládající se ze šablon webových stránek, povolených poskytovatelů identity, autentizačních metod, autentizačních procesů a pravidel. Výhodou řešení je i použití autentizačního mechanismu s využitím OpenID Connect včetně API pro získávání informací o uživateli. Obdobným způsobem je možné tuto platformu využívat i pro další integrace v budoucnu.
Budoucí rozvoj
ČSÚ očekává, že uživatelé, kteří dnes využívají k autentizaci svůj účet v CASe, postupně přejdou k používání identit externích poskytovatelů, a ČSÚ tak nebude muset spravovat identity externích uživatelů po celou dobu jejich životního cyklu.
V další etapě projektu bude řešení rozšířeno o autentizaci prostřednictvím interního systému CASe – ověřování externích uživatelů se tak bude opírat o čtyři základní poskytovatele identit. Součástí této výzvy bude také napojení systému DANTE WEB na řešení CAB. Bude se tak jednat o první informační systém ČSÚ, který začne využívat ověřování identity externích uživatelů pomocí uvedených poskytovatelů. Dokončení této etapy se předpokládá v průběhu roku 2023.