Reference AAA portál na ČSSZ

Společnost AG COM je spolutvůrcem významné implementace systému správy identit na České správě sociálního zabezpečení. Pro zvýšení bezpečnosti zde byly nasazeny produkty pro správu identit a správu přístupů (Identity a Access management). Byly zvoleny produkty IBM Tivoli Identity Manager a IBM Tivoli Access Manager.

Stav, kdy v systémech a aplikacích existovaly uživatelské účty osob, které již dávno ukončily pracovní poměr,  nebo účty, o kterých nebylo možné zjistit komu patří/patřily či k jakému účelu jsou vůbec v systému obsaženy, byl již dále neudržitelný. Čím vyšších oprávnění daný účet nabývá tím i roste jeho zneužitelnost – získání/zneužití či podvržení důležitých dat organizace.

Implementací řešení pro správu identit byly tyto bezpečnostní problémy eliminovány. Systém přebírá data z personálního systému a na základě toho zakládá uživatelské účty novým zaměstnancům, ruší účty zaměstnancům s ukončeným pracovním poměrem a v průběhu životního cyklu zaměstnance plně postihuje jeho aktuální stav a změny (přesun v organizační struktuře na jiné místo, vynětí ze stavu – například mateřská dovolená, změna místa výkonu práce atd.). Dalším stavebním kamenem systému pro správu identity jsou oprávnění – do systémů, do aplikací, v rámci domény ActiveDirectory atd. IBM produkty se drží standardu RBAC (Role Based Access Control), tzn. přidělování oprávnění na základě rolí. Role přidělují nadřízení svým podřízeným na základě potřeby vykonávat určitou činnost – například přístup do agendy Nemocenského pojištění. Nadřízený zadá přes webové rozhraní žádost o přidělení role pro svého podřízeného, tento požadavek je zpracován systémem workflow a je odeslán na schválení odpovědným osobám (garant aplikace, ředitel odboru atd.). Je-li přidělení schváleno schvalovateli ve všech instancích (obvyklý počet schvalovatelů je 2-3) je role uživateli přidělena a na základě role jsou mu nastavena přístupová oprávnění v odpovídajících systémech / aplikacích.

Důležitou vlastností systému, že o všech výše zmíněných operacích je veden audit a je možné zpětně dohledat veškeré změny v uživatelských oprávněních.

Charakteristika řešení:

  • Jsou spravovány tisíce uživatelů, desetitisíce účtů do systémů aplikací.
  • Cca 40 systémů do kterých jsou řízena přístupová oprávnění.
  • V systému jsou definovány tisíce rolí, které jsou každý den přiřazovány/odebírány uživatelům.
  • Význam řešení podtrhuje fakt, že je naimplementováno v řežimu High Availability (vysoká dostupnost) – tzn. nastane-li problém v jednom z dedikovaných serverů, požadavky jsou přesměrovány na ostatní stroje a proces bez přerušení kontinuálně pokračuje.  
  • Řešení je monitorováno – tím je zajištěno okamžité zjištění problémů, které mohou v provozu nastat (výpadek některé ze softwarových komponent, chyba na disku, vypadnutí dodávky elektrické energie atd.)

AG COM Semináře

Copyright © 2014 AG COM

OP LZZ Projekt Mapa stránek Informace o webu Twitter LinkedIn Vyrobil a spravuje FG Forrest, a.s.