Member of NEWPS Group
K oncept centrální s právy uživatelů k raje
Experience - Zážitek Economy - Hospodárnost Efficiency - Účelnost Effectivness - Efektivita
1
Ú VO D
Cílem tohoto dokumentu je představit koncept řešení centrální správy uživatelů kraje (Krajský úřad a jeho zřizované organizace), aby plnilo základní úlohy identity managementu od zakládání účtů, přidělování oprávnění, podpory uživatelů po dobu životnosti uživatelského účtu až do doby jeho zneplatnění. Koncept současně počítá s propojením systému správy uživatelů na sdílené služby eGovernmentu ČR, zejména na Jednotný identitní prostor Czech POINT a základní registry, stejně tak s přípravou na použití eID dle Nařízení eIDAS.
1.1 Aktuální sta v V současnosti není v rámci kraje implementována centrální správa přístupů uživatelů (služby autentizace a autorizace) pro všechny agendové informační systémy a aplikace kraje. Většinou se jedná o řízení uživatelů na úrovni aplikací, pouze některé vybrané systémy sdílejí uživatelskou identitu. Tento stav představuje velké bezpečnostní riziko. Uživatel je nucen si pamatovat několik uživatelských účtů, dokonce dochází ke sdílení účtů mezi více uživateli. Nelze tak hovořit o nepopiratelné odpovědnosti uživatele za provedený úkon. Kraj musí současně řešit propojení s ostatními informačními systémy veřejné správy (ISVS), eGov systémy a základními registry. Toho lze dosáhnout pouze skutečnou centrální správou uživatelů, do které bude zapojen celý kraj, tedy Krajský úřad včetně zřizovaných organizací.
K o n c e p t c e n t r á l n í s p r áv y u ž i vat e l ů k r a j e
1.2 C í l o v ý s t a v Po realizaci centrální správy uživatelů Krajského úřadu a zřizovaných organizací bude dosaženo stavu, kdy každý uživatel bude používat pro autentizaci jeden unikátní uživatelský účet včetně vícefaktorové autentizace, čímž bude zajištěna tzv. nepopiratelná odpovědnost každého uživatele za provedené úkony. Systém správy uživatelů bude propojen s Jednotným identitním prostorem Czech POINT. Tím bude zajištěno ztotožnění všech uživatelů vůči základním registrům (Registru obyvatel). Jednotlivé lokální identitní prostory zřizovaných organizací budou synchronizovány s centrálním identitním prostorem Krajského úřadu. Bude tak zajištěna autentizace uživatelů přistupujících ze zřizovaných organizací do agendových informačních systémů (AIS) a aplikací provozovaných Krajským úřadem a současně autentizace uživatelů do centrálních (celostátních) informačních systémů veřejné správy (ISVS) a AIS. Autoritativním zdrojem identitních prostorů centrální správy uživatelů budou personální systémy, případně mzdové systémy těch zřizovaných organizací, které dosud nepoužívají personální systém.
1.3 Po u ž i t é z k r a t k y AD2JIP Synchronizační modul mezi Active Directory a JIP AIS Agendový Informační Systém AGW Access Gateway – Přístupová brána eID Elektronická identita IAIS Integrovaný agendový informační systém IDM Identity Management – Správa uživatelů ISDS Informační systém datových schránek ISUI Informační systém územní identifikace ISVS Informační systém veřejné správy JIP Jednotný identitní prostor
K o n c e p t c e n t r á l n í s p r áv y uživatelů k raje
KAAS Katalog autentizačních a autorizačních služeb LJIP Lokální jednotný identitní prostor LJIP_KÚ Lokální jednotný identitní prostor Krajského úřadu XY OVM Orgán veřejné moci OTP One Time Password – Jednorázové heslo ROB Registr obyvatel RPP Registr práv a povinností SOVM Seznam orgánů veřejné moci
2
Návrh konceptu IDM
Koncept kombinuje know-how společnosti NEWPS.CZ, která vybudovala Jednotný identitní prostor a Katalog autentizačních a autorizačních služeb Czech POINT (JIP/KAAS), a společnosti Microsoft, která je výrobcem software používaným prakticky celou veřejnou správou a je garantem dlouhodobého vývoje svého software, tedy ochrany vložených investic.
2.1 I dentity Mana gement – Lokální JIP Krajského úřadu X Y Koncept jde za hranici klasického pojetí Identity managementu, vychází ze zkušeností získaných při realizaci JIP Czech POINT a integrací IDM systémů orgánů veřejné moci (OVM) pro zajištění autentizace a autorizace uživatelů prostřednictvím jednoho univerzálního uživatelského účtu. Počítá s vybudováním centrálního adresáře uživatelů v prostředí Krajského úřadu XY a lokálními adresáři uživatelů pro zřizované organizace. V centrálním adresáři budou uloženy uživatelské účty všech uživatelů Krajského úřadu XY, v lokálních pak uživatelské účty jednotlivých zřizovaných organizací. Centrální adresář bude postaven na technologii NetIQ eDirectory nebo Microsoft Active Directory. Stane se základem nového Identity Management Systému - Lokálního Jednotného identitního prostoru (dále „LJIP_KÚ“). Nahradí tak současné řešení správy uživatelských účtů v IT prostředí Krajského úřadu XY. Centrální adresář bude dále propojen s Identity Management Systémem (IDM), který zajistí správu všech uživatelů po celou dobu životního cyklu uživatele. Bude navázán na autoritativní zdroj dat – personální systém, který je de facto jediným spolehlivým zdrojem o stavu uživatele – úředníka/zaměstnance Krajského úřadu XY, případně může být navázán na mzdový systém. Uživatelské identity budou následně propagovány do všech připojených agendových informačních systémů a aplikací Krajského úřadu XY. Součástí řešení IDM jsou rovněž postupy (workflow) pro schvalování přístupových oprávnění a uživatelská samoobsluha, prostřednictvím které uživatelé mohou sami provádět změnu hesla či vybraných údajů jejich uživatelských účtů. Cílovým stavem je sjednocení uživatelských účtů ve všech používaných systémech pro každého uživatele, čímž budou mimo jiné sníženy náklady na provoz a údržbu mnoha agendových informačních systémů a aplikací při současném zvýšení bezpečnosti IT systémů. K o n c e p t c e n t r á l n í s p r áv y u ž i vat e l ů k r a j e
Koncept počítá rovněž s kontrolou přístupu externích uživatelů. Pro přístup externích uživatelů (například zaměstnanců zřizovaných organizací, případně externích spolupracovníků, konzultantů apod.) je počítáno s použitím komponenty Access Gateway (AGW, přístupová brána), která umožní další rozvoj systému v případě zajištění přístupu uživatelů z řad zřizovaných organizací, či dalších externích subjektů. AGW zajistí ověření přístupových údajů uživatele vůči centrálnímu adresáři uživatelů, po úspěšném ověření pak pouští uživatele k systémům a aplikacím na základě přidělených oprávnění (uživatelských rolí). AGW umožňuje autentizaci uživatele klasickým postupem (jménem a heslem), ale i použití vícefaktorové autentizace, a to pomocí certifikátu nebo jednorázového hesla (OTP - One Time Password). AGW slouží primárně pro autentizaci externích uživatelů, lze ji však využít jako centrální přístupovou bránu, přes kterou by k systémům a aplikacím přistupovali rovněž interní uživatelé. Komponenta AGW prokázala svou spolehlivost v systémech jako Czech POINT a ISDS.
2.2 Synchronizace LJIP_KÚ – JIP C zech POINT
Obr.1 Základní schéma konceptu IDM
Krajský úřad XY je z pohledu zákona orgánem veřejné moci (OVM), takže může využít výhod synchronizace uživatelských účtů z centrálního adresáře uživatelů Krajského úřadu XY (LJIP_KÚ) s Jednotným identitním prostorem Czech POINT (JIP). Synchronizaci účtů zajistí komponenta AD2JIP. Díky tomu pak mohou uživatelé z Krajského úřadu XY a vybraných zřizovaných organizací přistupovat prostřednictvím jednoho unikátního uživatelského účtu k takovým informačním systémům veřejné správy, jako je např. Czech POINT, CzechPOINT@office, ISUI, IAIS, AIS RPP Působnostní apod., stejně jako k lokálním systémům jejich vlastního úřadu. Nezanedbatelnou výhodou synchronizace je ztotožnění uživatelů vůči Registru obyvatel (ROB), což zajistí, že uživatelský účet používá skutečná osoba, jejíž data jsou vedena správně jak v základních registrech, tak v personálním systému. Opačnou synchronizací dat může Krajský úřad XY z JIP Czech POINT získat aktuální seznam agend a činnostních rolí, k nimž se přihlásilo v základních registrech. Synchronizace uživatelských účtů má kromě výše uvedeného ještě jeden pozitivní bezpečnostní přínos. Propojením JIP Czech POINT – LJIP_KÚ – personální systém (autoritativní zdroj dat o uživatelích) dochází po změně statusu v personálním systému (například při skončení pracovního poměru) automaticky k zablokování uživatelského účtu zaměstnance, který ukončil pracovní poměr v LJIP_KÚ. Současně je tato informace propagována do všech připojených systémů, tedy i JIP Czech POINT.
pro Krajský úřad XY a zřizované organizace K o n c e p t c e n t r á l n í s p r áv y u ž i vat e l ů k r a j e
2.3 Z ř i z o v a n é o r g a n i z a c e Koncept počítá s Lokálním adresářem uživatelů pro vybrané zřizované organizace. Výběr záleží na požadavcích Krajského úřadu XY. V nich jsou uloženy uživatelské účty uživatelů příslušné zřizované organizace. Tyto účty jsou primárně používány pro přihlašování uživatelů do lokálních systémů a aplikací zřizované organizace. Prostřednictvím synchronizačního modulu jsou uživatelské účty zřizované organizace synchronizovány do Centrálního adresáře uživatelů Krajského úřadu XY. To umožní, aby se uživatelé z jednotlivých organizací s oprávněním přístupu mohli přihlásit pomocí svých unikátních uživatelských účtů do AIS a aplikací provozovaných Krajským úřadem XY. Volitelně lze řešení doplnit o synchronizační komponentu AD2JIP, prostřednictvím které budou uživatelské účty uživatelů zřizovaných organizací synchronizovány do JIP Czech POINT. (Výhody uvedeny v kapitole 2.2) Schéma navrhovaného řešení – viz obr.1.
2.4 S p r á v a u ž i v a t e l ů Vlastní správa uživatelů vychází ze zkušeností správy uživatelů JIP Czech POINT. Každý subjekt (Krajský úřad XY, zřizované organizace) má pověřeného administrátora/y. Lze aplikovat obdobný způsob autorizace lokálního administrátora/ů jako u JIP Czech POINT. Administrátor Krajského úřadu XY je odpovědný za správu uživatelů Krajského úřadu XY, kterou provádí primárně v systému Identity Management. Uživatelské účty může spravovat rovněž v prostředí Czech POINT v aplikaci Správa dat. Provedené změny jsou automaticky propagovány prostřednictvím synchronizační komponenty AD2JIP do Centrálního adresáře uživatelů nebo naopak do JIP Czech POINT. Pro každou zřizovanou organizaci je určen administrátor, který je odpovědný za správu uživatelů své organizace. Správu provádí v prostředí Lokálního adresáře uživatelů. Druhou možností je spravovat uživatele své organizace přímo v systému IDM v prostředí Krajského úřadu XY. Všechny změny jsou pomocí Synchronizačního modulu propagovány zpět do Lokálního úložiště identit a naopak. V rámci správy uživatelů je zajištěna rovněž správa certifikátů, případně dalších autentizačních prostředků uživatelů. Správa certifikátů zahrnuje registraci nových certifikátů uživatele do systému IDM, případně obnovených certifikátů, přičemž certifikáty mohou být vydány některou z externích certifikačních autorit (I.CA, PostSignum, eIdentity), případně K o n c e p t c e n t r á l n í s p r áv y uživatelů k raje
také interní certifikační autoritou. Je preferováno použití certifikátů vydávaných některou z externích certifikačních autorit. Správa jiných autentizačních prostředků zahrnuje registraci (či zrušení registrace) OTP zařízení pro generování jednorázových hesel, nebo třeba i reset zapomenutého hesla.
3
L o k á l n í SOV M
Volitelnou součástí konceptu centrální správy uživatelů kraje je Lokální seznam orgánů veřejné moci. Toto řešení uvítají zejména ti, kteří se trápí s „krizovým“ telefonním seznamem a nedaří se jim udržet aktuální údaje. V rámci krajského úřadu XY lze implementovat klon SOVM s údaji, které se týkají konkrétního kraje. Krajský úřad XY tak získá svůj vlastní Lokální SOVM, tedy nejenom krizový telefonní seznam, ale i mnoho dalších informací, které SOVM poskytuje. A pořád je zde možnost Lokální SOVM propojit se SOVM a data synchronizovat. Tímto získáte data, která jsou aktuální, ověřená a poskytovaná s neodmítnutelnou odpovědností samotným orgánem veřejné moci, který je editoval. Administrace dat je pak pouze na jednom místě (podobně jako u LJIP) a data jsou tak neustále k dispozici. Lokální JIP a Lokální SOVM jsou řešení, která vychází z poznatků provozování JIP/KAAS a SOVM a požadavků zákazníků. Jejich předností je především možnost synchronizace se sdílenými službami eGovernmentu ČR, nepopiratelná odpovědnost uživatelů a aktuální informace neustále po ruce. Řešení je připraveno pro platformu Microsoft, jejich nasazením dochází k utilizaci softwaru zákazníka a utilizaci proškolených pracovníků.
4
Přínosy řešení
Jeden uživatelský účet – Uživatelé Krajského úřadu XY se přihlásí pomocí jednoho uživatelského účtu jak do aplikací Krajského úřadu XY, tak do tzv. „celostátních“ informačních systémů veřejné správy. Uživatelé ze zřizovaných organizací se přihlásí pomocí stejných přihlašovacích údajů do aplikací své organizace, do centrálních aplikací Krajského úřadu XY a do „celostátních“ ISVS. K o n c e p t c e n t r á l n í s p r áv y u ž i vat e l ů k r a j e
Snadná správa uživatelů a jejich oprávnění – Jelikož jsou uživatelské identity uloženy v centrálním úložišti, mají administrátoři lepší přehled o svých uživatelích a jejich přidělených přístupových oprávněních. Velkou výhodou je napojení na autoritativní zdroj dat a ztotožnění uživatelů vůči ROB. Eliminace rizik – Má-li v současnosti uživatel zřízeno více uživatelských účtů a skončí jeho pracovní poměr, existuje riziko, že mu nebudou zablokovány všechny jeho účty. Nezablokovaný účet může být následně zneužit k neoprávněnému přístupu do systému. V řešení IDM napojeném na autoritativní zdroj dat dochází automaticky k zablokování účtu uživatele při ukončení pracovního poměru. Díky centralizaci uložení uživatelských účtů a použití synchronizačních modulů se zablokování účtu přenese do relevantních úložišť účtů a aplikací. Neodmítnutelnost odpovědnosti – Zavedením autoritativního zdroje identit je jasně dán původ těchto identit. Jsou jasně definováni administrátoři, kteří zajišťují správu identit. Díky napojení na JIP Czech POINT a ověření vůči ROB je zaručena skutečná existence osob, jež jsou majiteli uživatelských účtů. Ochrana investic – Krajský úřad XY je dlouholetým uživatelem softwarových produktů společnosti Microsoft. Je oprávněn odebírat produkty na základě Enterprise Agreement, která garantuje výhodné ceny. Jak bylo uvedeno výše, společnost Microsoft je garantem dlouhodobého vývoje svého software, tedy ochrany vložených investic.
5
Hardware je umístěn v IT prostředí Krajského úřadu XY, na něm je pak implementován systém správy uživatelů. Systém provozuje zákazník sám na vlastních zdrojích. Výhodou této varianty je skutečnost, že zákazník má celé řešení na svých prostředcích (HW a SW) a ve svém perimetru. Nevýhodou je naopak nutnost zajištění investičních prostředků na pořízení HW a SW a zajištění následné podpory, případně výměny/upgrade HW, na kterém je systém provozován. Cloud Tato varianta počítá s řešením správy uživatelů Krajského úřadu XY a zřizovaných organizací v prostředí azure.com, které provozuje společnost Microsoft. Jednotný identitní prostor Czech POINT je de facto rovněž cloudové řešení. Administrátoři i uživatelé přistupují k autentizačním a autorizačním službám vzdáleně prostřednictvím webových služeb (Katalog autentizačních a autorizačních služeb – KAAS). Stejné řešení lze tedy aplikovat i pro Krajský úřad XY s tím rozdílem, že LJIP_KÚ bude umístěn v prostředí azure.com a jak administrátoři, tak uživatelé budou k němu přistupovat vzdáleně prostřednictvím webových služeb (Access Gateway). Cloudové služby azure.com získaly všechny nezbytné certifikace požadované pro zpracování a bezpečnost dat a jsou v souladu se zákonem č.101/2000 Sb., o ochraně osobních údajů. Výhodou je efektivní a bezpečný provoz systému bez nutnosti investičních prostředků, řešení lze provozovat jako službu. Zákazník platí pouze za skutečně použité služby v daném časovém období. Perioda placení je na dohodě.
Varianty řešení
Pro navrhovaný koncept lze použít několik variant zajištění HW a SW prostředků. Výběr je na zákazníkovi, kterou variantu zvolí. On-prem Počítá s využitím HW a SW prostředků zákazníka v Technologickém centru kraje, případně s jejich doplněním na základě prvotní analýzy. Výstupem prvotní analýzy bude výběr klíčových AIS a aplikací Krajského úřadu XY pro integraci s IDM včetně autoritativního zdroje dat. Podle výběru režimu, v jakém má být IDM provozováno (základní nebo HA), budou definovány požadavky na HW a SW. K o n c e p t c e n t r á l n í s p r áv y uživatelů k raje
Kombinovaná Varianta počítá s implementací řešení LJIP_KÚ v IT prostředí Krajského úřadu XY (resp. v Technologickém centru KU). To znamená, že celé řešení je implementováno na prostředcích zákazníka a cloud je využit pro backup a disaster recovery řešení. Veškeré zálohy jsou prováděny v prostředí azure.com. Pro disaster recovery je cloud výhodný zejména v tom, že lze v pravidelných intervalech ukládat image disků LJIP_KÚ v prostředí azure.com, platit pouze za využitý diskový prostor a přitom mít kdykoliv k dispozici kompletní obraz disku v případě havárie HW v IT prostředí Krajského úřadu XY.
K o n c e p t c e n t r á l n í s p r áv y u ž i vat e l ů k r a j e
www.newps.cz