Správa identit pomocí Microsoft Identity Integration Serveru na Univerzitě Hradec Králové
|
Situace
Univerzita Hradec Králové (UHK) je významným střediskem vzdělanosti Královéhradeckého kraje. Tvoří ji tři fakulty - informatiky a managementu, pedagogická a filozofická, které navštěvuje kolem osmi tisíc studentů. Své místo zaujímá i na poli vědecko-výzkumných činností, například v oblasti historických věd, didaktik přírodních věd, znalostního managementu a e-learningu.
Z pohledu logického uspořádání jednotlivých informačních systémů UHK jde o rozsáhlé a nejednotné prostředí. Zahrnuje několik autoritativních zdrojových systémů informací o studentech a zaměstnancích, které jsou udržovány odděleně.
Vzhledem k integritě dat v rámci celé univerzity je nutné synchronizovat tyto informace mezi různými provozovanými aplikacemi, a zabezpečit tak jejich aktuálnost a jednoznačnost. Tato okolnost je v akademickém prostředí tím naléhavější, že životní cyklus studentů ve vztahu k univerzitě je velmi dynamický a znamená každoročně pohyb v řádu tisíců osob. Zejména při ukončení studia nebo pracovního poměru, kdy daná osoba přestává mít právo přístupu k informačním systémům a budovám, je aktuálnost relevantních dat zásadní.
V roce 2007 byl proto ve spolupráci se společností AG COM, a.s. implementován projekt Správa identit pomocí Microsoft Identity Integration Serveru. Díky tomu došlo k propojení většiny univerzitou používaných systémů - od systémů evidujících informace o studentech a zaměstnancích, přes systémy sloužící pro vytváření hlášení a statistik, až po přístupové systémy identifikačních karet.
Obchodní cíle
Od nasazení nového systému vedení UHK očekávalo zejména:
| • | garanci aktuálních a jednoznačných údajů v rámci celé univerzity |
| • | zabezpečené používání identifikačních karet pro přístupový a knihovní systém |
| • | eliminaci evidování a předávání chybně zadaných osobních údajů |
| • | snížení pracnosti vedoucí k úspoře nákladů na správu údajů studentů i zaměstnanců |
Řešení
Z pohledu Univerzity Hradec Králové se ukázalo jako nejvhodnější řešení s pomocí Microsoft Identity Integration Serveru (MIIS). Pro jeho nasazení hovořily nejenom možnosti jeho rozšiřitelnosti pomocí technologie .NET, ale také významná základna produktů Microsoft již dříve instalovaných na univerzitě.
Vlastnímu nasazení předcházela důkladná analýza procesů životního cyklu identit na UHK. Řešení bylo rozděleno do dvou navazujících etap.
Na úvodním semináři, určeném především vedoucím pracovníkům informatických oddělení jednotlivých fakult, byly představeny principy a možnosti Microsoft Identity Integration Serveru a upřesněny požadavky týkající se připojovaných aplikací. V první etapě k němu byly připojeny tyto autoritativní zdrojové systémy:
| • | oddělené studijní systémy fakult |
| • | informační systém personálního oddělení univerzity |
V této fázi byly všechny identity v rámci autoritativních zdrojů určeny pouze pro čtení bez možnosti zpětného zápisu jejich atributů do ostatních autoritativních zdrojů - komunikace se systémem byla jednosměrná.
Cílovými systémy, v nichž docházelo na základě získaných informací k zakládání identit, byly:
| • | informační systém kartového centra spravující veškeré informace o identifikačních kartách a jejích držitelích |
| • | kolejní informační systém |
| • | přístupový systém identifikačních karet |
Během druhé etapy byla spuštěna oboustranná komunikace neboli možnost zápisu do autoritativních systémů a došlo k připojení dalších aplikací. Konkrétně se jednalo o umožnění zápisu požadovaných atributů identit do studijních systémů jednotlivých fakult a personálního oddělení univerzity z ostatních zdrojů. K MIIS byl připojen přístupový a informační systém univerzitní knihovny.
Připojení jiných - nestandardních databází - a zpracování atypických procesů bylo řešeno pomocí rozšiřitelných knihoven programovaných v nástroji Microsoft Visual Studio 2005, který poskytuje téměř neomezené možnosti přizpůsobení se připojovaným aplikacím. To se týkalo zejména propojení MIIS s přístupovým systémem identifikačních karet využívaným v knihovně, na studentských kolejích a v nové budově Fakulty informatiky a managementu.
Během realizace projektu se ukázaly nové možnosti využití tohoto zavedeného identity management systému. Na základě pozitivního ohlasu vedoucích pracovníků informatických oddělení byly do řešení zahrnuty i další aplikace – například povinná statistická hlášení nebo řešení problematiky zahraničních studentů.
V době předání projektu do produkčního provozu univerzita s pomocí Microsoft Identity Integration Serveru spravovala více než 17 000 identit.
Na závěr implementace se konalo školení správců MIIS vybraných z pracovníků IT oddělení jednotlivých fakult a rektorátu. Pro potřeby zaškolení společnost AG COM připravila virtuální prostředí odpovídající strukturou systémům Univerzity Hradec Králové s praktickou ukázkou řešení možných problémů specifických pro toto prostředí.
Výstupem z obou etap je přehledná, na intranetu on-line dostupná, technická dokumentace umožňující efektivní správu celého řešení. Správci mohou na jejím základě provádět změny prostředí bez ohrožení funkčnosti systému, ale také jeho kompletní obnovu.
Přínosy
| • | Jednoznačnost identit osob na UHK v provozovaných informačních systémech |
| • | Každodenní spolehlivá synchronizace změn týkajících se studentů a zaměstnanců |
| • | Zvýšená bezpečnost přístupového systému |
| • | Bezprostřední odebrání přístupových oprávnění při zrušení vztahu s UHK |
| • | Zamezení výskytu duplicitních záznamů v připojených systémech |
| • | Přehledná a snadná správa identit v rámci univerzity |
