V České republice se připravuje řešení, kdy minimálně pro první dva roky bude nosičem eID nový občanský průkaz s novým čipem, tzv. eOP. Jeho držitelé tak budou moci prokázat svoji identitu v kyberprostoru pomocí eOP, potažmo BOK (bezpečnostního ochranného kódu) a kvalifikovaného certifikátu fyzické osoby, uloženého právě na čipu eOP.
To na první pohled zní složitě. Jak ale může vypadat realita například na krajském nebo městském úřadě, který se rozhodne pro autentizaci svých zaměstnanců jít s dobou a zavelí – všichni si vyzvedněte eOP! Od prvního příštího měsíce se všichni budete autentizovat k ICT systémům úřadu pomocí eOP.
Realita
Vraťme se chvíli na zem. Podívejme se raději, jaký je stav autentizace a autorizace uživatelů na úřadech nyní. Většinou to nestojí ani za řeč, ale najdou se výjimky, například olomoucký krajský úřad. Ten v rámci projektu Vnitřní integrace úřadu vytvořil prostředí, které umožní standardizovat ICT procesy, zajistit vzájemnou integraci a výměnu dat interních aplikací, integrovat se na dostupné elektronické služby e-governmentu. Vnitřní integrace úřadu obsahovala celkem tři hlavní technologické součásti, a to implementaci Portálu úředníka, dále zavedení systému pro správu identit (IDM) a nasazení integrační sběrnice.
„Z hlediska rozsahu a komplexnosti tohoto projektu šlo za poslední období o jeden z největších projektů, který se v rámci odboru informatiky na Olomouckém kraji realizoval,“ říká vedoucí tamního odboru informačních technologií pan Jiří Šafránek.
Společnost NEWPS.CZ, která se podílela na realizaci zakázky právě v oblasti správy uživatelů, zvolila jako nástroj pro správu identit koncepci LJIP (lokální jednotný identitní prostor). LJIP představuje modulární systém, který na jedné straně zavádí robustní řešení pro zavedení jednotné správy uživatelských účtů (tedy IDM) a na druhé straně s pomocí integračních modulů zajišťuje efektivní provázanost vnitřních systémů kraje s e-government službami, jako např. základními registry, RPP, JIP Czech POINT apod.
Správa uživatelů a LJIP
Původní zadání projektu stanovilo požadavek na řešení, které by zajistilo správu 750 interních a 2 500 externích účtů – tedy uživatelských identit. Aktuální počet spravovaných účtů je 525 interních a externích uživatelů je 660.
Jak vlastně u vás probíhala správa uživatelů před implementací projektu Vnitřní integrace úřadu?
Šafránek: „Pokud se podíváme na původní model správy uživatelů, jednalo se vlastně pouze o interní uživatelské účty zaměstnanců krajského úřadu, případně nějaké specializované účty. Tyto účty byly spravovány v adresářové službě Microsoft AD a neměly žádnou návaznost na personální systém krajského úřadu a zcela minimální vazby na další interní systémy kraje. Systém LJIP společnosti NEWPS.CZ zavedl nejen robustní identitní úložiště informací o uživatelích, ale přinesl i provázanost právě na HR systém (ten slouží jako autoritativní zdroj informací o interních uživatelích) a provázanost na další systémy včetně AD, které jsme definovali v zadání projektu. Jednodušeji řečeno, došlo k mapování a sjednocení uživatelských účtů mezi požadovanými systémy LJIP a personální aplikací.“
Z hlediska správy externích uživatelů je rovněž využívána identitní databáze systému LJIP, všechny účty jsou tedy zpracovávány na jednom místě a pouze logicky jsou odděleny interní a externí účty. Navíc pro správu externích i interních účtů se používá jeden společný nástroj, a tím je součást modulárního řešení LJIP – Portál uživatele. Tato aplikace spravuje jednotlivé účty (profily) uživatelů a řídí rovněž zařazování uživatelů do jednotlivých rolí, a zajišťuje tedy řízení přístupu ke zdrojům (access management).
Jakou koncepci přináší implementovaný projekt z pohledu správy externích uživatelů?
„Externími uživateli z pohledu našeho úřadu jsou v tuto chvíli hlavně zaměstnanci příspěvkových organizací. Vlastní zakládání a další správu těchto účtů v úložišti LJIP však neprovádějí administrátoři krajského úřadu, ale administrátoři příslušných subjektů a využívají k tomu právě aplikaci Portál uživatele,“ říká Šafránek
Single sign-on a řízení přístupu
Další komponentou řešení LJIP je přístupová brána AGW (Access Gateway), která z pohledu interních uživatelů zajišťuje jednotné přihlašování (SSO) interních uživatelů na integrované aplikace se třívrstvou architekturou a z pohledu externích uživatelů zajišťuje jejich autentizaci a bezpečný přístup na interní systémy krajského úřadu. Krajský úřad má možnost zabezpečit přístup vynucením různých metod zesílené autentizace podle povahy a citlivosti dat, ke kterým se přístup přes AGW zřizuje.
Integrace na JIP CzechPOINT
V rámci projektu byla částečně řešena i provázanost lokálního identitního prostoru LJIP se systémem JIP CzechPOINT. K integraci byl použit specializovaný konektor LDAP2JIP, který zajišťoval stahování relevantních informací o subjektu kraje do LJIP. Jednalo se hlavně o přenášení agendových a činnostních rolí, což zajistilo pravidelnou aktualizaci agend a agendových činnostních rolí příslušejících krajskému úřadu při případných změnách.
Prošlo dodané řešení v poslední době nějakým dalším rozvojem?
Šafránek: „Ano, naším cílem je pochopitelně řešení dále rozvíjet. Například v roce 2015 byla provedena úprava integračního řešení vůči adresáři JIP CzechPOINT. V první fázi jsme potřebovali provést jistou homogenizaci účtů v našem interním prostředí. Tato homogenizace představovala přejmenování přihlašovacích jmen uživatelů v AD (a samozřejmě i v úložišti LJIP) a uživatelským jménům jsme na doporučení společnosti NEWPS.CZ předřadili povinný prefix s označením Olomouckého kraje ok_. Pomocí tohoto prefixu bylo možné zajistit integraci uživatelů také v perimetru JIP. Rekonfigurované synchronizační rozhraní vůči JIP nám nyní zajišťuje plně automatizovanou správu uživatelských účtů v JIP (správa je nyní vykonávána lokálně v LJIP a změny jsou synchronizovány do JIP), což přineslo značné zjednodušení administrátorské práce.“
Jak tedy dnes vypadá kompletní scénář správy interních uživatelů na vašem úřadu?
„Pokud bychom prošli celý scénář životního cyklu uživatele, pak za současného stavu je po založení uživatele v personálním systému založen automatizovaně i účet v LJIP, v AD a následně se informace synchronizuje na všechny integrované systémy včetně JIP CzechPOINT. Pokud zaměstnanec krajský úřad opustí, informace z HR aplikace je dále zpracována v LJIP a účet je automaticky zneplatněn ve všech výše uvedených systémech bez nutnosti zásahu administrátora,“ dodává Šafránek.
Připravenost na eID
eOP se zcela jistě stane de facto dalším možným prostředkem pro autentizaci uživatele. Výše uvedený případ správy uživatelů pomocí konceptu Lokálního identitního prostoru úřadu s vazbou na JIP Czech POINT a přístupovou bránou – Access Gateway – je v podstatě již technologicky na tuto alternativu připraven. AGW je totiž možné přizpůsobit tak, aby mimo autentizaci vůči lokálnímu úložišti identit LJIP využila jiný autentizační zdroj, kterým bude např. eID. Protože pak budou moci uskutečnit myšlenku z úvodu článku – úředníci se budou autentizovat k aplikacím úřadu třeba i pomocí eOP.
Což je jistě pozitivní zpráva pro všechny úřady, které implementovali Lokální JIP.
Martin Řehořek, jednatel NEWPS CZ a David Čečelský, solution architecht NEWPS CZ