Veřejná správa
Český telekomunikační úřad
Pro klienta jsme vytvořili komplexní řešení, které se stalo centrálním úložištěm uživatelských identit, usnadnilo uživatelům přihlašování a zjednodušuje správu účtů.
Naše výzva
Vytvořit komplexní systém, který bude základem integračního řešení a pokryje autentizaci uživatelů, synchronizaci agend a další funkcionality
Požadavkem zákazníka bylo vytvořit takový systém, který bude plnit funkci centrálního úložiště uživatelských identit a zajišťovat pravidelné synchronizace agend a agendových činnostních rolí, k nimž se ČTÚ přihlásil v základním registru práv a povinností RPP.
Systém bude zároveň zajišťovat autentizaci uživatelů, přistupujících do připojených AIS ČTÚ a autorizaci uživatelů přistupujících do AIS ČTÚ – zajistí tedy ověření přístupových práv v podobě aplikačních přístupových rolí.
Další z požadovaných funkcí systému bylo zajišťování synchronizace dat s JIP Czech POINT (zejména agendových činnostních rolí).
Cíl projektu
Jak vypadala
implementace?
Celý projekt byl rozdělen do tří fází. První z nich byla analýza systému a předložení návrhu řešení. Následovalo předání díla do pilotní a náběhové části a poté předání hotového systému. Všechny 3 fáze probíhaly dle projektového harmonogramu.
1. Zajištění synchronizace dat napojených systémů
V rámci řešení bylo klíčové analyzovat požadavky napojených systémů z pohledu dat. Data mezi těmito systémy a LJIP bylo třeba synchronizovat a také vyvinout integrační konektory pro jednotlivé systémy, které synchronizaci v reálném čase zajistí. Mimo uživatelských identit byla tak v LJIP uložena i celá řada doplňkových informací, včetně rolí potřebných pro nastavení oprávnění do jednotlivých systémů apod., které byly dále do napojených systému automatizovaně distribuovány.
2. Využití modulárního IdM systému
Při budování systému LJIP jsme využili modulární IdM systém, který se skládá z následujících technologických komponent:
- Adresářová služba eDirectory, zajišťující bezpečné uložení identit
- Synchronizační modul, realizující propojení LJIP ČTÚ s JIP Czech POINT
- PUMA, což je webový nástroj, sloužící k administraci prostředí (správa identit uživatelů)
- AGW (Access Gateway), komponenta pro zajištění integrace požadovaných aplikací, tvoří centrální přístup do systému a zajišťuje autentizaci a autorizaci uživatelů proti adresářové službě.
3. Autentizace přístupu a jednotné přihlašování
Autentizaci a přístup uživatelů k integrovaným aplikacím zajišťuje přístupová brána, Access Gateway (dále AGW). Jedná se o centrální přístupový bod, který umožňuje více autentizačních metod. V prostředí ČTÚ je nyní k dispozici přihlášení pomocí jména a hesla, nebo přihlášení jednorázovým heslem OTP. Hlavním benefitem pro uživatele je jednoduché a jednotné přihlašování. Námi dodané řešení totiž vychází z koncepce Single Sign On. Díky tomu může uživatel, který je již autentizován v LJIP, transparentně přistupovat do dalších systémů bez nutnosti další autentizace.
4. Integrace uživatelských účtů mezi LJIP a JIP Czech POINT
Pro uživatele, kteří mají účet v ISVS (např. Czech POINT) zároveň došlo ke sjednocení těchto účtů s účty v LJIP, včetně uživatelských hesel. Uživatelé ČTÚ tak mohou pomocí jediného účtu přistupovat do centrálních ISVS, které jsou integrovány s JIP Czech POINT (např. ISUI, IAIS, AIS RPP Působnostní, atd.).
5. Detailní podklady pro integrátory
Důležitou součástí dodávaného řešení je i dokument, sloužící pro budoucí integrátory, kteří budou dodávaná řešení napojovat na systém LJIP. V tomto dokumentu definujeme konkrétní podmínky pro připojení systémů. Předpokladem je fakt, že každá aplikace integrovaná s LJIP si musí být schopna stahovat a aktualizovat údaje o identitách do svého lokálního úložiště patřícího dané aplikaci přes WS LJIP. Tím je do budoucna zajištěna konzistence informací o uživatelské identitě v celém prostředí. Pro synchronizaci údajů pak slouží webové služby LJIP umožňují provádět synchronizaci dat v LJIP do integrovaných aplikací.
6. Navazující technická podpora
Poskytování technické podpory bylo zahájeno po předání projektu do produkčního provozu a je stále aktivní. Zákazník je napojen na náš systém Service Desk, který dohlíží na plnění hlášených incidentů a dodržování SLA parametrů, definovaných platnou servisní smlouvou.
Bezpečně
nejlepší výsledky
Systém na míru
Pro klienta se nám podařilo vytvořit komplexní systém, který je centrálním úložištěm uživatelských identit, obstarává synchronizaci dat napojených systémů v reálném čase, zajišťuje autentizaci a přístup uživatelů k integrovaným aplikacím a přináší benefit jednotného přihlašování.
Zjednodušení správy účtů
Integrace uživatelských účtů mezi LJIP a JIP Czech POINT přinesla velký benefit z pohledu správy. Dosavadní správu uživatelů v JIP Czech POINT byla nahrazena správou uživatelů v rámci LJIP a provedené změny se automaticky přenáší do JIP Czech POINT. Tuto synchronizaci realizujeme pomocí produktu NEWPS.CZ s označením LDAP2JIP. Pro přístup do ISVS systémů je zapotřebí uživatelům ČTÚ přiřadit odpovídající role, což dosud musel provádět lokální administrátor ČTÚ v aplikaci Správa dat. Námi dodané integrační řešení však umožňuje přenesení administrátorských úkonů přímo do LJIP a provedené změny z pohledu rolí se synchronizují z LJIP do JIP Czech POINT.
Další rozvoj systému
Od ukončení projektu v roce 2015 spolupracuje naše společnost s ČTÚ na rozvoji tohoto řešení a za více jak 8 let provozu byla realizována celá řada dalších integrací na systém LJIP. Mezi nejdůležitější integrační řešení bylo napojení na personální systém FLUX. Tento systém se stal základem řešení pro vstup identit do systému a je autoritativním zdrojem informací o identitě interní uživatelů ČTÚ. Mezi další integrace patřilo napojení některých dalších klíčových systémů ČTÚ, jako např. MySpectra, ESD2, AIS Balík a další. V současné době naše společnost provádí analýzu na připojení systému LJIP ke stávající adresářové službě Microsoft Active Directory, což kvalitativně posune celý koncept řešení LJIP na vyšší úroveň.