Co je to Identity Management?

Z hlediska běžného uživatele tvoří zdroje dat v převážné míře jednotlivé aplikace, se kterými pracuje. Úlohou IT oddělení je zajištění provozu IT zdrojů, jejich bezpečnosti, aktualizace, vysoké dostupnosti či zálohování. Za přístup uživatele ke zdroji je zodpovědný vlastník zdroje. Vezmeme-li si příklad z praxe, tak vlastníkem zdroje personální aplikace je vedoucí personálního oddělení a ten rozhoduje o tom, který pracovník bude mít přístup. IT oddělení na jeho pokyn může takový přístup nastavit. Dostáváme se však do rozporu, kdy správce aplikace má neomezený administrátorský přístup ke zdroji, aniž by tomu vlastník aplikace, zodpovědný za přístupy ke zdroji, mohl nějak zabránit. Obdobně jsou řešeny i změny přístupu uživatele ke zdroji nebo jeho zneaktivnění.

Životní cyklus identity

Procesy popisující životní cyklus identity by měly řešit 4 základní oblasti: Vznik nové identity v IT prostředí firmy, správu identity, podporu identity a ukončení platnosti identity v IT prostředí. To vše by navíc mělo výt podpořeno auditem a reportováním.

Cíl identity managementu

Cílem identity managementu je implementovat výše uvedené procesy životního cyklu identity ve firmě tak, aby odrážely skutečný stav, tedy aby probíhaly on-line, aby jejich průběh byl řízený, aby osoby odpovědné za výsledek jednotlivých kroků procesu o nich mohly efektivně rozhodovat a aby kroky v procesech byly reportované a auditované.

V dnešním článku si popíšeme základní vlastnosti poměrně mladého produktu midPoint z dílny firmy Evolveum.

O společnosti Evolveum

Společnosti Evolveum předcházel v roce 2004 vznik firmy nLight, která již implementovala řešení IdM firem Sun a Novell. V letech 2010 až 2011 pak spolupracovala na vývoji první verze OpenIDM firmy ForgeRock.

V roce 2011 pak vznikla již samotná společnost Evolveum, která se soustředila na vývoj vlastního IdM řešení midPoint. Dnes má Evolveum zhruba 12 zaměstnanců, vesměs specialistů na identity management. Společnost klade důraz na řízení vývoje open source IdM produktu MidPoint a na úzkou spolupráci se svými partnery, klienty a dalšími vývojáři.

Co je to IdM midPoint?

IdM midPoint je open source řešení identity managementu, s otevřeným kódem, bez nutnosti nakupovat licence. Má otevřenou a rozšiřitelnou architekturu založenou na standardech Java, XML a REST. Snahou je docílit maximální efektivnost při minimálním úsilí.

Veliký důraz je také kladen na vývoj a implementaci nových vlastností přímo do produktu IdM midPoint, proto jsou poměrně často vydávány jeho nové verze.

Při vývoji IdM midPoint jsou v maximální míře využívány standardy a frameworky založené na jazyku Java - Spring, Spring Security, Prism Objects, Wicket. Dále je možné využít skriptovací jazyky, jako je například Groovy, JavaScript, XPath v2 a další. K připojení zdrojových a cílových aplikací je použito frameworku OpenICF, dále je možné připojit webové služby SOAP/WSDL. Další frameworky a konektory budou postupně doplněny.

Součástí produktu je i webové administrátorské rozhraní, které umožňuje administrátorům konfigurovat IdM midPoint a uživatelům provádět nastavení hesla a zpracování požadavků.

IdM midPoint je vyvíjen několika nezávislými vývojovými týmy a společnost Evolveum koordinuje zapracování nových vlastností, vydávání nových verzí a vydávání oprav. Výhodou společnosti Evolveum je její know-how a cca 11 let zkušeností jejích inženýrů v oblasti IdM implementací.

Vlastnosti IdM midPoint

IdM midPoint má řadu unikátních vlastností, které ho odlišují od ostatních IdM řešení. Produkt nabízí téměř kompletní portfolio služeb pro řízení identit. Níže uvádíme jejich přehled.

Integrovaná správa životního cyklu identity

 • Vznik pracovního poměru, ukončení pracovního poměru, změna zařazení
 • Řízení přiřazování a odebírání rolí, workflow, řízení procesů, řízení pravidel, řízení politik

Integrace systémů a identit

 • Konektory pro drtivou většinu běžných aplikací a systémů (databáze, adresáře, CSV, …)
 • Několik typů úložišť pro uložení informací o identitách

Modifikovatelnost a rozšiřitelnost

 • Možnost přidat plug-iny a rozšíření
 • 100% otevřený kód, maven, git

Webové rozhraní

 • Administrace uživatelů, rolí a zdrojů
 • Administrace automatických úloh
 • Audit a reporty
 • Konfigurace a nastavení
 • Reset a nastavení hesla
 • Zpracování požadavků

Závěr

IdM midPoint je mladý produkt pro správu identit splňující požadavky pro řízení identit většiny firem. Společnost Evolveum se do něj snaží implementovat další a další vlastnosti, které dělají tento produkt velmi zajímavým. Na druhou stranu je nutné říci, že díky tomuto intenzivnímu vývoji a přidávání nových vlastností ho provází některé dětské nemoci, které mohou celkový dojem z produktu pokazit. Evolveum se však snaží s partnery i zákazníky velmi úzce spolupracovat a reportované problémy promptně opravit. Lze se tedy právem domnívat, že na poli správy identit bude IdM midPoint v brzké době jistě silným hráčem.

Ukázky webového rozhraní MidPoint

Seznam uživatelů

Obrázek 1 - Seznam uživatelů

 Seznam rolí

Obrázek 2 - Seznam rolí

 Detail uživatele

Obrázek 3 - Detail uživatele

 Ukázka reportu v PDF

Obrázek 4 - Ukázka reportu v PDF

Autor: Roman Pudil