Viete, v ktorej sfére je jedna z najväčších fluktuácií na Slovensku? Kde privítajú, alebo sa rozlúčia aj s 1500 ľuďmi v priebehu mesiaca?
Organizáciami, kde dochádza k pravidelnej a zásadnej obmene používateľov informačných systémov, ako aj k zmenám ich údajov spracovávaných aplikáciami sú v zásade univerzity. Aj tie vo svojom prostredí používajú rôznorodé IT systémy. To je však len prvá výzva. Druhá – podstatne zložitejšia – sú procesy, ktoré ľudí v týchto inštitúciách sprevádzajú počas ich pôsobenia v tomto prostredí.
Používateľ IT techniky na univerzite môže byť študentom, zamestnancom alebo externistom, pričom môže jednotlivé stavy plynule meniť alebo nadobúdať súčasne. Ako študent môže mať viac štúdií, ako zamestnanec viac pracovných pomerov. V priebehu životného cyklu môže študent štúdium prerušiť, obnoviť, ukončiť alebo absolvovať, pričom špecifickú množinu tvoria absolventi 1. stupňa štúdia, ktorí väčšinou pokračujú v ďalšom (novom) štúdiu na ďalších stupňoch. Zamestnanec môže prejsť do mimoevidenčného stavu a znovu sa vrátiť do aktívneho pracovného pomeru. Pracovný pomer môže byť interný alebo na dohodu, pričom práve množina pracovných pomerov na dohodu je početná a podlieha častým zmenám; počas akademického roka tvorí asi 30% až 40% pracovných pomerov. Vyskytujú sa prípady, keď má zamestnanec aj 6 pracovných pomerov, ktoré môžu byť na rôznych fakultách a mnohé z nich sú iba krátkodobé dohody na niekoľko dní. Naviac ide o nárazovú činnosť; v období zápisov je potrebné vytvoriť 1 500 nových používateľských účtov v priebehu mesiaca.
Používateľ musí mať vždy práva len na také informačné systémy a IT zdroje, na ktoré je aktuálne autorizovaný podľa svojho zaradenia.
Primárnymi a autoritatívnymi zdrojmi používateľov sú akademický informačný systém MAIS (študenti) a systém SAP (zamestnanci). Externista je používateľ, ktorý nie je ani v jednom z uvedených systémov, potrebuje však diferencovaný prístup do rôznych sekundárnych informačných systémov (Evidencia Záverečných Prác, stravovací systém, WIFI, systém elektronickej pošty, SunRay, ...).
Z hľadiska zložitosti statusu a životného cyklu používateľa na univerzite bolo potrebné riešiť aj problémy, ktoré sa v bežnom firemnom prostredí nevyskytujú. Jedná sa napríklad o zmenu stavu používateľa alebo určenie tzv. hlavného štúdia a hlavného pracovného pomeru, ktoré sú rozhodujúce pre import údajov do sekundárnych systémov a môžu sa v čase meniť, či „odklad“ terminácie účtov u absolventov 1. stupňa, ktorí sa po 3 mesiacoch znovu vrátia.
V každom akademickom roku príde k výmene alebo zmene údajov u cca 40% používateľov.
Univerzity musia bezpečne spravovať a optimalizovať heterogénne IT zdroje naprieč fyzickými, virtuálnymi a cloudovými prostrediami. Nutnosťou pre organizácie tohto typu je taktiež získanie inteligentného prehľadu o prístupe používateľov. Tento problém je potrebné vyriešiť centralizovaným poskytovaním používateľských účtov, riadením rolí a bezpečným prístupom ku zdrojom a aplikáciám. Pomocou integrovanej správy rolí a pracovných postupov je možné veľmi efektívne definovať a kontrolovať oprávnenosť prístupov používateľov k univerzitným IT zdrojom.
Riešenie na správu identít a prístupov zabezpečuje, aby zdroje boli prideľované efektívnym spôsobom tým používateľom, ktorí ich potrebujú a zároveň majú oprávnenie k nim pristupovať. Dôležitou črtou je tiež neinvazívnosť riešenia, teda minimálne vyžadované zmeny na strane integrovanej aplikácie.
Základné systémy, kde bolo treba riešiť integráciu a správu používateľov, sú podobné ako v každej bežnej firme, teda napr. SAP, elektronická pošta, stravovací system, prístup do WiFi a samozrejme hlavný informačný systém.
NetIQ Identity Manager (Novell) efektívne nasadený na Trnavskej univerzite
Trnavská univerzita oceňuje nasadenie systému NetIQ Identity Manager (Novell), ktorý pre ňu zabezpečuje spoločnosť newps.sk, spol. s r. o. (pôvodne Novell Slovensko, s.r.o.).
TU hľadala riešenie pre správu svojich identít ako svoju prioritu pred integráciou svojich informačných systémov. Po prieskume trhu pred tromi rokmi vybrala riešenie NetIQ. Univerzita chcela integrovať základné identifikačné údaje o používateľoch informačných systémov univerzity v jednom systéme. Z následnej analýzy jej prostredia vyplynulo, že je potrebné zabezpečiť presne definovaný životný cyklus identity pre rôzne typy používateľov univerzitných informačných systémov.
Na univerzite sa nachádzajú informačné systémy, ktoré riešia najmä nasledujúce oblasti:
- Modulárny Akademický Informačný Systém (MAIS) zabezpečuje riadenie štúdia a pedagogických procesov na univerzite a tiež komunikáciu medzi študentom, pedagógom a študijným oddelením. Systémy tejto kategórie riešia kompletné spracovanie dát súvisiacich s pedagogickým procesom na vysokej škole.
- FIS SAP (Sofia) – Systémy, Aplikácie a Produkty – centrálny ekonomický informačný systém zahrňujúci účtovníctvo a finančníctvo, materiálové hospodárstvo, správu majetku, riadenie ľudských zdrojov a ďalšie oblasti činností.
- Systém elektronickej pošty Zimbra podporuje komunikáciu študentov a zamestnancov tak v rámci univerzity, ako aj mimo univerzitnej siete.
- Evidencia záverečných prác (EZP) – informačný systém, ktorý slúži na zabezpečenie odosielania bakalárskych, magisterských a doktorandských prác študentov do Centrálneho registra záverečných prác, kde prebieha kontrola ich originality.
- Stravovací systém CardPay v elektronickej podobe podporuje automatizované objednávanie a výdaj jedál, predaj jedál, a doplnkového sortimentu. Nahrádza doteraz používaný predpredaj papierových stravných lístkov.
- Transparentný prístup do WIFI siete univerzity na základe existujúcich používateľských účtov v centrálnom adresári používateľov.
- Systém na správu čipových kariet, identifikačných preukazov zamestnancov a študentov. Slúži na vydávanie identifikačných médií (preukazov na báze čipových kariet), ktoré zabezpečujú automatizovanú identifikáciu používateľov v interných systémoch univerzity, prípadne v systémoch externých poskytovateľov (najmä v oblasti dopravy).
- Knižničný informačný systém DAWINCI zabezpečuje pre oprávnených používateľov prístup ku knižničnému fondu univerzity a poskytuje im komplexné knižničné služby (výpožičky, rešerše, kopírovanie, a pod.).
- SunRay systém zabezpečuje správu tenkých klientov na báze terminálov SunRay, ktoré využívajú študenti na prístup k informačným systémom univerzity a k internetu.
- Systém prístupu a správy PC-desktop k univerzitnej sieti na báze Novell OS server a služieb ZEN Works.
- VPN - prístup zamestnancov univerzity do siete z akéhokoľvek umiestnenia s možnosťou pripojenia k internetu.
Riešenie na správu identít a prístupov zabezpečuje, aby prevádzkované systémy boli maximálne chránené pred neoprávneným prístupom a aby zdroje (nielen IT) boli prideľované efektívnym spôsobom tým používateľom, ktorí ich potrebujú a zároveň majú oprávnenie k nim pristupovať. Ďalším cieľom zavedenia systému NetIQ Identity Manager (Novell) je postupné zjednocovanie prihlasovacieho mena (login) a hesla do všetkých univerzitných informačných systémov (UIS), aby mal každý študent jeden login a jedno heslo na prístup k UIS (MAIS, CardPay, DAWINCI, EZP, Zimbra, PC v učebniach a SunRay na chodbách).
Heslo do uvedených systémov si môžu používatelia zadávať a spravovať prostredníctvom samoobslužného autentifikačného portálu (zmena hesla, odblokovanie hesla, obnovenie zabudnutého hesla). Okrem týchto možností si používateľ môže sám aktualizovať osobné údaje, ktoré sú automaticky importované do všetkých integrovaných systémov a sú k dispozícii napr. študijnému oddeleniu, zdrojom pre telefónny zoznam, atď.
Inštruktážne videá, uľahčujúce študentom oboznámenie sa s prostredím, sú na web stránke Trnavskej univerzity www.truni.sk/sk/videonavody
Správa identít a prístupov pomocou produktu NetIQ Identity Manager (Novell) má nasledovné vlastnosti:
- Schopnosť integrácie do existujúceho prostredia (platformy, systémy, aplikácie)
- Provisioning pre popísané systémy (pokrytie celého životného cyklu používateľa, t. j. nástup na univerzitu, zmena stavu, zmena oprávnení, odchod používateľa)
- Podpora pracovných postupov (workflow)
- Správa hesiel (password self-service)
- Otvorenosť a škálovateľnosť riešenia (podpora štandardov, možnosti rozšírenia funkcionality, výkonnosti)
- Bezpečnosť (autentifikácia, autorizácia, šifrovanie údajov)
- Auditovateľnosť, podpora notifikácie pri vzniknutých udalostiach a reporting
- Podpora delegovanej správy
Toto riešenie je neinvazívne, maximalizuje ochranu predchádzajúcich investícií zákazníka, pomáha univerzite znižovať náklady na nasadenie a správu používateľských účtov, umožňuje implementovať služby centralizovanej správy identity, užívateľských účtov a prístupových práv, zjednodušiť zložité prideľovanie účtov, zabezpečenie správy prístupov na základe statusu používateľa, zvýšenie efektivity správy používateľských účtov a prístupov, zvýšenie bezpečnosti prístupu k informačným systémom, centrálneho a pravdivého auditu, vynútiteľnosti bezpečnostných politík a samoobslužných nástrojov pre koncových používateľov.
Tabuľka: Harmonogram implementácie NetIQ Identity Manager (Novell) na Trnavskej univerzite
Univerzitné informačné systémy | Pripojenie k IDM |
MAIS | August 2011 |
SAP | August 2011 |
Zimbra | Júl 2012 |
VPN | November 2012 |
EZP | 1. štvrťrok 2013 |
WiFi | 1. polrok 2013 |
SunRay | 1. polrok 2013 |
Stravovací systém | 2. polrok 2013 |
Graf: Súčasný stav využívania systémov na správu identít na slovenských univerzitách
Časť rozhovoru s Ing. Jozefom Koricinom, riaditeľom centra IT Trnavskej univerzity:
Koľko času bolo potrebné na vytvorenie jedného používateľa pred nasadením systému NetIQ Identity Manager (Novell)?
V prvom rade išlo v jednotlivých systémoch o procesne náročné činnosti. Po zaznamenaní osoby v zdrojovom systéme bolo potrebné dostať informáciu o potrebe založenia konta do sekundárnych systémov (napr. vytlačeným reportom, v niektorých prípadoch automatizovane po spustení skriptu). Administrátor ručne alebo automatizovane vytvoril konto a heslo, ktoré bolo potrebné bezpečne distribuovať používateľovi. Tento proces trval od 1 dňa do 1 mesiaca, pričom významne vyťažil administrátorov sekundárnych systémov.
Po zavedení systému NetIQ Identity Manager administrátori MAIS, Zimbra (čoskoro EZP a WIFI siete) neriešia vytváranie prihlasovacích mien a distribúciu hesiel. V tejto fáze už len usmerňujú niekoľko málo používateľov, ktorí nezvládli samoobslužný autentifikačný portál.
Aký bol manažment resetu hesiel?
Bol závislý od administrátora daného systému na základe požiadavky používateľa.
Na niektorých univerzitách je bežnou praxou, že jeden zamestnanec centra IKT rieši iba reset hesiel používateľov. To si my nemôžeme dovoliť.
Aká bola podpora používateľov v prípade riešenia ich problémov s prihlásením a zmenou údajov?
K dispozícii bol len e-mailový kontakt s administrátormi jednotlivých systémov.
V čom vidíte najväčší prínos nasadenia NetIQ Identity Manager?
Zavedenie IDM zabezpečilo:
1. Včasné a správne nahrávanie dát v zdrojových systémoch podľa centrálne stanovených metodických pokynov, ktoré vytvorili predpoklad pre spresnenie a zjednotenie procesov v jednotlivých súčastiach univerzity a prispeli k zvýšeniu kvality údajov v informačných systémoch.
2. Okamžité vytvorenie používateľských účtov do sekundárnych systémov po splnení podmienok v zdrojových systémoch, t. j. nástup zamestnancov alebo začiatok štúdia študenta. V období zápisov ide o 1 500 nových účtov v priebehu mesiaca.
3. Okamžité blokovanie prístupu k informačným systémom po ukončení posledného štúdia a pracovného pomeru používateľa, čo viedlo k zvýšeniu úrovne bezpečnosti.
4. Samoobslužná správa hesla k používateľským účtom prostredníctvom autentifikačného portálu znamenala zrušenie komplikovanej distribúcie hesiel používateľom a presunula zodpovednosť za správu prihlasovacích údajov na používateľa.
5. Vykonávanie automatizovaného provisioningu nad účtami v cieľových systémoch na základe zmien a definovaných pravidiel v zdrojových systémoch.
6. Logovanie dôležitých stavov súvisiacich so správou identít a tiež zmien v dôležitých osobných údajoch, čo umožňuje včas eliminovať mnohé chyby pri zadávaní do primárnych systémov na centrálnej úrovni.
S Ing. Jozefom Koricinom sa rozprával Ing. Bedřich Vavřena, výkonný riaditeľ spoločnosti newps.sk s.r.o.
Projekt je ukážkou najpokročilejšieho nasadenia IDM a integrácie informačných systémov v prostredí vysokých škôl na Slovensku. Vyžaduje si úzku spoluprácu odborných zamestnancov univerzity s pracovníkmi spoločnosti newps.sk pri analýze a následnej implementácii riešenia.
