Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
instalacni_balicek [2017/12/14 09:22] hanakp [Table] |
instalacni_balicek [2020/07/28 08:17] poulm osoby -> identity |
||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Instalační balíčky CzechIdM ====== | ||
+ | |||
+ | ===== Implementované procesy ===== | ||
+ | |||
+ | * Řízení životního cyklu identit. | ||
+ | * Synchronizace osob + synchronizace vztahů (kontraktů). | ||
+ | * Standardní proces předání hesla - zaslání emailem uživateli při vytvoření účtu v AD/LDAP/DB. | ||
+ | * Standardní procesy životního cyklu identity: Nový kontrakt, Konec kontraktu, Vynětí z evidenčního počtu, Změna organizačního zařazení. | ||
+ | * Pro použití standardních procesů je třeba plnit atributy kontraktů uživatelů (synchronizací ze zdroje dat nebo manuálně v CzechIdM) | ||
+ | * Synchronizace organizační struktury. | ||
+ | * Schvalovací proces žádosti o změnu přidělených rolí. | ||
+ | * Konfigurace standardního schvalovacího procesu pro role: | ||
+ | * helpdesk může doplnit/ | ||
+ | * vedoucím uživatele, | ||
+ | * správci uživatelů, | ||
+ | * případně finální schválení // | ||
+ | * Definice úrovně schvalování (kritičností role): | ||
+ | * 0 - neschvalovat, | ||
+ | * 1 - schvaluje garant role. | ||
+ | |||
+ | ===== Definice oprávnění v identity manageru ===== | ||
+ | |||
+ | * Super administrátor - minimálně jeden uživatel na straně zákazníka, | ||
+ | * Helpdesk - změna hesel, přístup k auditním informacím a odeslaným notifikacím. | ||
+ | * Běžný uživatel - změna svého hesla, svůj profil pro čtení, může podat žádost o změnu oprávnění. | ||
+ | * Vedoucí - práva jako běžný uživatel + vidí své podřízené, | ||
+ | |||
+ | ===== Zdroj dat ===== | ||
+ | |||
+ | * Podporované zdroje dat: | ||
+ | * Databáze - Připojení do databáze pomocí JDBC, pro každý typ objektu samostatná tabulka nebo pohled | ||
+ | * Soubory CSV - pro každý typ zpracovávaného objektu samostatný soubor | ||
+ | * Podpora synchronizace: | ||
+ | |||
+ | ==== Struktura synchronizovaných dat ==== | ||
+ | |||
+ | Pro implementaci identity manageru formou balíčku je třeba součinnost v podobě zpřístupnění zdrojových dat odpovídajících následující struktuře. Zpřístupnění může být formou databázové tabulky, pohledu nebo CSV souborů. Názvy sloupců mohou být libovolné. | ||
+ | |||
+ | Struktura View nebo CSV odpovídá objektům Identita (Identity), | ||
+ | |||
+ | === Idnetity === | ||
+ | |||
+ | Tabulka identit, slouží jako základní zdroj informací pro založení identity uživatele v CzechIdM. | ||
+ | |||
+ | ^ atribut ^ unikátní | ||
+ | | id | * | * | často osobní číslo, ideálně v čase neměnný identifikátor, | ||
+ | | login | * | | minimální délka 2 znaky, pokud není dostupný, generuje login identity manager | | ||
+ | | jméno | | ||
+ | | příjmení | | | | | ||
+ | | titul před | | ||
+ | | titul za | | ||
+ | | email | | ||
+ | | mobilní telefon | | | v případě napojení identity manageru na SMS bránu může být na mobil zasíláno heslo SMSkou | | ||
+ | | timestamp | | | časová značka změny, ideálně tzv. "unix timestamp" | ||
+ | |||
+ | === Kontrakty === | ||
+ | |||
+ | Běžně může mít identita v identity manageru evidováno více kontraktů, pro tyto případy je možné kontrakty synchronizovat z externího zdroje stejně jako tomu je u identit. Pokud nejsou kontrakty v organizaci využívány, | ||
+ | |||
+ | Kontrakty (Contracts) si lze představit jako PPV, DPP, DPČ zaměstnance nebo kontrakt externího dodavatele, stážista na oddělení, studium na fakultě, účastník na neplaceném projektu a další. U kontraktu je nejdůležitější vlastník a mají-li být řízeny automatické procesy jako nástup zaměstnance nebo ukončení zaměstnance, | ||
+ | |||
+ | ^ atribut ^ unikátní | ||
+ | | id | * | * | klíč pro zpracování | | ||
+ | | název pracovní pozice | | | např. " | ||
+ | | vlastník | | * | reference na id osoby | | ||
+ | | platnost od | | | sql timestamp - Platnost pracovní smlouvy nebo kontraktu | | ||
+ | | platnost do | | | sql timestamp | ||
+ | | vyřazení z ev. počtu | | | boolean, příznak vyřazení z evidenčního počtu | | ||
+ | | hlavní kontrakt | | | boolean, příznak hlavního kontraktu. Pokud není uveden, je využit automatický výpočet | | ||
+ | | nadřízený | | | reference na id osoby, lze využít i bez organizační struktury | | ||
+ | | organizace | | | reference na id z organizační struktury | | ||
+ | | timestamp | | | časová značka změny, ideálně tzv. "unix timestamp" | ||
+ | |||
+ | |||
+ | === Organizační struktura === | ||
+ | |||
+ | V případě požadavku na synchronizaci organizační struktury do identity manageru je třeba dodržet následující strukturu dat. Do takto synchronizované organizační struktury mohou být přiřazeny kontrakty identity. I když identity manager podporuje více organizačních struktur, v rámci instalačních balíčků je synchronizována pouze jedna. Při odstranění prvku organizační struktury ze zdroje dat je odpovídající část org. struktury v identity manageru smazána pouze pokud je prázdná. | ||
+ | |||
+ | ^ atribut | ||
+ | | id | ||
+ | | název | ||
+ | | rodič | ||
+ | |||
+ | Všechny sloupce jsou datového typu varchar s limitem 254 znaků až na časové razítko, které je typu timestamp. | ||
+ | |||
+ | ==== Formát CSV souborů ==== | ||
+ | |||
+ | Pokud je jako zdroj použit CSV soubor, musí být v následujícím formátu: | ||
+ | |||
+ | * Textový soubor se sloupci oddělenými dodělovačem | ||
+ | * Jeden záznam na řádek | ||
+ | * Každý záznam má stejné pořadí sloupců | ||
+ | * Podporované oddělovače sloupců: '',;'' | ||
+ | * Nový řádek: LF, CRLF | ||
+ | * Hlavička: 1. řádek volitelně | ||
+ | * Kódování: | ||
+ | * Sloupec/ | ||
+ | * Uvozovky v textu musí být zdvojeny (//" | ||
+ | * Nový řádek v textu je podporován jen ve sloupcích obalených uvozovkami | ||
+ | |||
+ | ===== Cíl dat ===== | ||
+ | Podporované cíle dat: | ||
+ | * LDAPv3 - provisioning identity a jejích rolí | ||
+ | * MS AD - jedna doména, provisioning identity a jejích rolí | ||
+ | * Databáze - Připojení do databáze pomocí JDBC, jedna tabulka pro identity (users) | ||
+ | |||
+ | ==== MS AD - struktura synchronizovaných dat ==== | ||
+ | ^ atribut | ||
+ | | DN | * | distinguished name | | ||
+ | | sAMAccountName | | login uživatele | | ||
+ | | cn | | common name - často používané jako RDN | | ||
+ | | displayName | | název účtu uživatele, často se zobrazuje v aplikacích používajících AD| | ||
+ | | description| | | | ||
+ | | password| | ||
+ | | sn | | přijmení | | ||
+ | | givenName| | křestní jméno | | ||
+ | | mail | | email uživatele | | ||
+ | | userPrincipalName| | login + doména | | ||
+ | |||
+ | Není li definováno níže jinak, jsou výše uvedené atributy předávány z identity uživatele bez transformace. | ||
+ | |||
+ | Má-li se spravovat heslo z IdM (password), musí zákazník nakonfigurovat SSL spojení k AD přes port 636 (LDAP protokol). | ||
+ | |||
+ | Význačné atributy s transformací: | ||
+ | * DN je generováno na základě organizačního zařazení uživatele, nebo složením nejvýše 2 atributů identity. Neexistuje-li nějaká část DN v AD, pak ji CzechIdM vytvoří. | ||
+ | * cn je generováno kombinací nejvýše 3 atributů identity. Je doporučeno jej použít jako RDN. | ||
+ | * RDN (ať už je použito cn či nikoli) je doporučeno používat ve formátu zajišťujícím unikátnost v rámci daného OU (lépe celého AD). Například <jméno příjmení (ID)>. Není-li zajištěna unikátnost RDN v rámci OU, zůstane při kolizi požadavek pro vytvoření účtu ve frontě provisioningu na manuální vyřešení administrátorem. | ||
+ | * displayName je generováno kombinací nejvýše 3 atributů identity. | ||
+ | * password je plněn heslem identity. Heslo nelze namapovat na jiný atribut. | ||
+ | |||
+ | ====== Požadavky na HW/SW prostředí ====== | ||
+ | |||
+ | * [[faq: | ||
+ | * Pro instalaci a konfiguraci je potřeba fungující přístup ze serveru do Internetu za účelem stažení potřebného software. | ||
+ | |||
+ | ===== Součinnost zákazníka ===== | ||
+ | |||
+ | Níže uvedené úkony se očekávají jako součinnost zákazníka: | ||
+ | |||
+ | * Příprava serveru (hardware/ | ||
+ | * Instalace operačního systému, konfigurace firewallu apod. | ||
+ | * Nastavení mailserveru - identity manager vyžaduje přístup k SMTP serveru. | ||
+ | * Konfigurace SSL spojení k Active Directory (pokud se spravuje heslo) | ||
+ | * Vzdálený přístup pro techniky provádějící implementaci. | ||
+ | * Přístup na administrátorský účet (root) pro techniky provádějící instalaci. | ||
+ | * Příprava zdroje dat dle formátu výše, zpřístupnění v síti | ||
+ | * Účast na školení a předání prostředí | ||
+ | |||
+ | ~~NOTOC~~ |