Ministerstvo práce a sociálních věcí získalo díky Microsoft technologiím mocný nástroj umožňující centrální správu identit

Studie ke stažení Ministerstvo práce a sociálních věcí získalo díky Microsoft technologiím mocný nástroj umožňující centrální správu identit 212 KB Soubor PDF Aktualizace: 27. dubna 2006 Stáhněte si prohlížeč Office souborů Přehled řešení Profil zákazníka Země: Česká republika Odvětví: Státní správa Ministerstvo práce a sociálních věcí (MPSV) je významným resortem státní správy ČR zajišťujícím v rámci svých resortních částí výplaty sociálních dávek, podpor, důchodů, správu služeb zaměstnanosti. Provozuje síť WAN o 10.000 uživatelích v přibližně 500 lokalitách po celé ČR a to až do úrovně menších regionálních měst a obcí. Profil partnera: ANECT, a.s. je významným dodavatelem informačních a komunikačních systémů a aplikací se zaměřením na konvergence sítě, jejich služby a bezpečnost. Jako systémový integrátor působí zejména v segmentech státní správy, komerčních a finančních institucí a telekomunikačních operátorů. Kontakty: MPSV ČR Na Poříčním právu 1/376 128 01 Praha 2 Tel: +420 221 921 111 E-mail: posta@mpsv.cz www.mpsv.cz ANECT a.s. Vídeňská 125 619 00 Brno Tel.: +420 547 100 100 E-mail: anect@anect.com www.anect.com Výchozí situace Hlavními nedostatky původního řešení byla zastaralá platforma, roztříštěnost řešení a absence podpory mobilních zařízení. Řešení Řešení postavené na produktech Microsoft Identity Integration Server 2003 a Microsoft SQL Server 2000 přineslo Ministerstvu práce a sociálních věcí (MPSV) nástroj pro synchronizaci identit v průběhu probíhající migrace ze systému Microsoft Exchange 5.5 na Microsoft Exchange 2003. Zároveň tím byl připraven prostor pro nasazení této technologie do připravované komplexní synchronizace identit všech adresářových služeb a aplikací, které MPSV využívá. Výhody • vznik mocného nástroje umožňujícího centrální správu identit • synchronizaci identit mezi všemi spolupracujícími systémy • možnost doručení emailových zpráv mezi jednotlivými lokalitami bez nutnosti měnit topologii sítě • globální adresář všech kontaktů v celé organizaci • rozšiřitelnost řešení Software a služby • Microsoft Identity Integration Server 2003 • Microsoft SQL Server 2000 • Microsoft Windows Server 2003 • Microsoft Exchange Server 2003 • Miscrosoft Outlook 2003 • Microsoft Visual Studio .NET

Situace

Ministerstvo práce a sociálních věcí (MPSV) je státní organizací. Provozuje síť WAN o 10.000 uživatelích v přibližně 500 lokalitách po celé ČR.

Hlavními nedostatky původního řešení byla zastaralá platforma, roztříštěnost řešení a absence podpory mobilních zařízení: ve WAN síti byl provozován poštovní systém Microsoft Exchange Server 5.5 jako jedna organizace se společným globálním adresářem a doménový model tvořily samostatné NT 4.0 domény pro poštu a různé verze Microsoft Windows NT/2000P2003 pro přihlašování, souborový systém a aplikace.

Zadáním bylo přejít na Microsoft Windows Server 2003 a Microsoft Exchange Server 2003 – sjednotit platformy OS a povýšit poštu na aktuální verzi s podporou mobilních služeb. Kromě této skutečnosti došlo k významným organizačním změnám, které vedly k restrukturalizaci celé WAN sitě.

Obchodní cíle

Při přechodu z Microsoft Exchange Server 5.5 na Microsoft Windows Server 2003 a Microsoft Exchange Server 2003 vyvstala otázka, jak efektivně a pokud možno bez zásahu do současné topologie sítě a nastavení domén vytvořit globální adresář kontaktů. Dále bylo nutné zajistit vzájemnou doručitelnost jak mezi nově migrovanými systémy, tak i se systémy ještě běžícími na Microsoft Exchange Server 5.5. Zároveň zde byl požadavek na vytvoření otevřeného systému, který umožní budoucí rozvoj dle požadavků zákazníka.

Řešení

Při přechodu z Microsoft Exchange Server 5.5 na Microsoft Windows Server 2003 a Microsoft Exchange Server 2003 bylo nutné dodržet požadavek zákazníka na zachování současné topologie sítě, kde je přibližně 80 nezávislých lokalit. Z tohoto důvodu nebylo možné využít vnitřní synchronizaci a postavit jednu Active Directory přes celou organizaci, ale vytvořit 80 nezávislých adresářů na bázi Active Directory. Pro synchronizaci mezi jednotlivými Active Directory organizacemi byl využit Microsoft Identity Integration Server 2003 (MIIS), který umožňuje synchronizaci identit (uživatelských účtů, skupin, zdrojů a dalších objektů) mezi velkým množstvím nejenom adresářových služeb ale i databází.

Synchronizace identit a jejich atributů probíhá podle zadaných požadavků nastavovaných v agentech pro jednotlivé adresářové služby. Dále je možné upravit chování MIIS pomocí programových doplňků, psaných v prostředí Microsoft .NET, a tím docílit funkcionality přesně na míru. Těmito doplňky je naprogramována celá logika mapování atributů mezi Microsoft Exchange Server 5.5 a Microsoft Exchange Server 2003, vytváření a mazání kontaktů v cílových adresářích a také ošetření možných chybových stavů (např. shodnost jmen a podobně).

V rámci migrací bylo nutné zajistit několik základních funkcí:

Obr.1: Princip fungování synchronizace

Nasazení produktu Microsoft Identity Integration Server 2003 přineslo MPSV jednotný systém správy identit, který je předpokladem dalších navazujících řešení a projektů. Realizace proběhla bez výraznějších komplikaci, a to i v tak rozsáhlé WAN síti, jakou MPSV provozuje – díky dodavatelům, společnosti ANECT a Microsoft ČR. Roman Kučera ředitel odboru informatiky MPSV

Synchronizace funguje ve třech základních krocích a to následujícím způsobem: Nejprve MIIS naimportuje všechny nově vytvořené, změněné a odstraněné identity z organizačních jednotek určených pro synchronizaci (Export) ze všech připojených lokalit. Poté dojde k synchronizaci načtených informací v rámci MIIS databáze. Zde se podle předem zadaných pravidel určí, je-li daná identita určená k exportu do cílových lokalit. V pravidlech je nastaveno například, že identita musí obsahovat emailovou adresu, dále jedná-li se o kontakt, uživatele nebo distribuční skupinu a také, které další atributy budou synchronizovány. V případě splnění všech podmínek k exportu, dojde v posledním kroku k zápisu do cílových organizačních jednotek (WAN) v Active Directory a také do Microsoft Exchange Server 5.5.

Uživatelé v aplikaci Microsoft Outlook 2003 mají následně možnost použít informace v organizační jednotce WAN jako globální adresář celé organizace, ve kterém jsou informace v pravidelných intervalech aktualizovány.

Přínosy

Nasazením Microsoft Identity Integration Serveru 2003 získalo MPSV mocný nástroj umožňující centrální správu identit, jejich synchronizaci mezi všemi spolupracujícími systémy, dále také možnost doručení emailových zpráv mezi jednotlivými lokalitami bez nutnosti měnit topologii sítě a v neposlední řadě i globální adresář všech kontaktů v celé organizaci. Pomocí programovatelných doplňků v Microsoft .NET je možné daný systém dále rozvíjet podle požadavků zákazníka. Jedná se například o:

Nahoru