Řešení správy přístupových oprávnění pro ČMSS

21. září 2017

POTŘEBA: Jak přes IDM automatizovat zadávání a evidenci požadavků na IT a mít přehled nad vyhodnocováním i reporty?

Jednou ze základních funkcí systému IDM (Identity Management) je nastavování („provisioning“) přidělených oprávnění ve spravovaném systému.

Ty mají na starosti administrátoři jednotlivých řízených systémů (pokud není aplikace spravována pomocí automatického konektoru). V ČMSS tomu bylo dříve tak, že když vznikl požadavek, administrátorovi bylo nutné dát vědět e-mailem, co a do kdy je třeba udělat. Administrátor pak požadavek v systému ručně vyřídil.

Požadavky vyřizované z e-mailu se kvůli absenci integrace klientova ticketovacího systému Serena Business Manager a IDM nepromítaly do manažerských reportů (a nepracovaly se SLA). V praxi to vypadalo, že administrátor toho dělá méně než ve skutečnosti, navíc nebylo možné požadavky eskalovat, nebyl vyřešen zástup atd.

Předchozí řešení správy oprávnění v sytémech ČMSS prostě nebylo 100% funkční a spolehlivé. Hrál v něm velkou roli lidský faktor a ještě to vypadalo, že příslušní lidé nedělají svou práci naplno.

Nabízelo se tedy řešení – oba systémy (Serena a IDM) náležitě propojit...


ŘEŠENÍ: Vytvoření jednotného rozhraní a propojení požadavkového systému s IDM

Naše řešení spočívalo v propojení IDM nástroje (konkerétně ITIM: IBM Tivoli Identity Manager) a požadavkového (ticketového) systému Serena Business Manager, což umožnilo připojit jakoukoliv aplikaci do IDM nástroje a během několika minut řídit přístupová oprávnění v dané aplikaci.

Toto řešení nahrazuje e-mailovou komunikaci na administrátory automatickým založením ticketu v Sereně s přesným popisem, co má administrátor v příslušném systému nastavit. Jakmile to udělá, automaticky dojde k uzavření ticketu v Sereně a dá se vědět ITIM, který požadavek zaeviduje jako dokončený.

Administrátoři tedy mají všechny požadavky na jednom místě a nemusí je složitě dohledávat v e-mailové komunikaci. Navíc mají ke každému požadavku nějaké SLA, takže vždy vědí, co a do kdy je třeba udělat, a mohou vyřizovat urgentní věci přednostně.

Nadřízení pak zase díky pokročilému reportingu vědí přesně, kolik požadavků (ticketů) konkrétní administrátor měsíčně vyřídil, jak dlouho mu to trvalo atp.


Kromě toho naše řešení funguje i v systémech, které nejsou připojeny prostřednictvím automatizovaného adaptéru (konektoru), protože pro ně neexistuje nativní adaptér dodávaný výrobcem IDM řešení a pro které se z různých důvodů nevyplatí vytvořit tzv. custom adaptér.

Hlavní přínosy našeho řešení z pohledu klienta...

  • Vyřízení požadavku na oprávnění do systémů bez automatického adaptéru ITIM v řádu minut
  • Zvýšení transparentnosti průběhu požadavku u manuálně spravovaných systémů
  • Zjednodušení práce pro zadavatele i řešitele požadavků

... z pohledu koncového uživatele...

  • Jednotné rozhraní pro správu oprávnění do všech aplikací ČMSS bez ohledu na to, zda jsou do IDM připojeny prostřednictvím automatického adaptéru nebo ne
  • Lepší informovanost o průběhu požadavku
  • Rychlejší vyřízení požadavku díky SLA v požadavkovém systému

... z pohledu správců řízených systémů...

  • Jednotné rozhraní pro evidenci požadavků k řešení

... z pohledu Oddělení informační bezpečnosti

  • Upozorňování (systémové notifikace) na požadavky v prodlení
  • Statistické údaje o rychlosti vyřízení požadavků a dodržování SLA

Naše cesta k řešení

Identity management řešení ITIM jsme v TRASK pro zavedli ČMSS již v roce 2005. Od té doby ČMSS správu oprávnění v jednotlivých IS/IT systémech ČMSS zajišťuje výhradně prostřednictvím tohoto nástroje.

Prakticky již v době prvotní implementace se objevila potřeba nastavovat oprávnění i v systémech, které nejsou připojeny prostřednictvím automatizovaného adaptéru (konektoru). Tyto systémy jsou většinou řízeny prostřednictvím systému notifikací administrátorům těchto aplikací. Tento systém je neefektivní a pro administrátory představuje spoustu repetitivní, manuální práce.

Se zavadením požadavkového systému Serena Business Manager souvisela úprava interních procesů ČMSS (všechny požadavky na IT by měly být zadávány a evidovány prostřednictvím požadavkového systému). To přineslo potřebu oba systémy integrovat. Jedním z důvodů bylo to, že úkony provedené na základě notifikace ITIM nebyly evidovány v požadavkovém systému, což například komplikovalo vyhodnocení SLA, zkreslovalo reporty o utilizaci pracovníků a podobně.

Proto jsme vytvořili řešení, které umožnuje automatické vytvoření požadavku v požadavkovém systému na základě přiřazení role v IDM.

Typ a obsah požadavku se dynamicky sestavuje podle požadované role, dotčeného uživatele a aktuálního stavu jeho oprávnění ve spravovaném systému (vytvoření/modifikace/suspend/restore účtu).

Po vyřešení v požadavkovém systému je informace o výsledku prostřednictvím integračního rozhraní přenesena zpět do IDM, kde celý proces končí.

Technicky jsme řešení realizovali vystavením webové služby na straně požadavkového systému, jejím provoláním z prostředí IDM (založení ticketu), vystavením webové složky na straně ITIM a jejím provoláním z prostředí požadavkového systému (informace o vyřešení ticketu).

IDM zůstává jediným nástrojem, jehož prostřednictvím si koncový uživatel žádá o přístupová oprávnění. Rozlišení zda se jedná o automatizovaný či neautomatizovaný systém, je skryto uvnitř IDM nástroje a koncový uživatel je nevidí.

Závěr

Propojení systémů Serena Business Manager a klientova IDM (ITIM) pomohla ČMSS výrazně urychlit nastavování přístupových aplikací (v řádu minut) a to včetně systémů, které nemohou být spravovány prostřednictvím automatického IDM adaptéru.

Administrátoři už nemusí dohledávat požadavky ve svých e-mailových schránkách. Propojení obou systémů jim přineslo přehled o všech požadavcích, jejich prioritách a termínech vyřízení. A v případě nepřítomnosti anebo vytíženosti administrátora je vyřešeno i jeho zastoupení.

Manažeři mohou nyní přehledně vyhodnocovat SLA, využití konkrétních pracovníků apod.

Jsme rádi, že jsme mohli lidem v ČMSS pomoci zjednodušit a zefektivnit každodenní práci.