Univerzita Pardubice získala spolehlivý systém pro digitální identifikaci osob

Situace

Univerzita Pardubice (UPa) rozvíjí více než padesátiletou tradici vysokého školství ve městě. Byla založena jako Vysoká škola chemická v Pardubicích a v roce 1953 přetransformována na Vysokou školu chemicko-technologickou v Pardubicích. Vznikem nových fakult se po roce 1990 struktura školy změnila. Z jednofakultní školy chemického zaměření se stala instituce poskytující vysokoškolské vzdělání univerzitního typu. Od roku 1994 nese současný název Univerzita Pardubice.

V oblasti identifikace osob se vztahem k univerzitě byly a jsou používány dva systémy: VEMA – personální agenda zaměstnanců a STAG – studijní agenda studentů. Každý z těchto systémů komplexně řešil danou problematiku, bohužel ale neumožňoval jednotnou identifikaci osoby, neboť jednotlivec, který byl zaměstnancem a studentem (buď zároveň nebo v nějaké časové posloupnosti) získával dvě identity – jednu jako zaměstnanec a druhou jako student.

Pro správce systémů to znamenalo neschopnost udržet jednotnou identitu osoby. Docházelo pak k nepřesnostem např. v používání příjmení u provdaných žen, v používání titulů apod. Pro uživatele to znamenalo nutnost hlásit jakoukoliv změnu ve své identitě (příjmení, tituly, adresy, atd.) ve všech systémech, kde se tyto údaje vyskytovaly. Uživatel ale často ani netušil, kde všude by změnu měl nahlásit, kdo je příslušným správcem aplikací, proto změna proběhla jen v některých systémech.

Obchodní cíle

Prvořadým cílem bylo nasazení Centrálního Registru (CR) osob, který by vyřešil jednoznačnou identifikaci osob se vztahem k univerzitě.

Jednotná identifikace měla rovněž pomoci aplikacím poskytujícím na univerzitě nejrůznější služby (knihovna, menza, copy centrum, dveřní systém) k jasnému vydefinování uživatelů těchto aplikací.

Cílem nového řešení bylo rovněž zvýšení spokojenosti uživatelů systému, kteří by již nemuseli být obtěžování povinnostmi spojenými s nahlašováním změn v několika různých systémech.

Řešení

Univerzita Pardubice se rozhodla pro produkt Microsoft Identity Integration Server (MIIS) 2003 a to především z důvodu již používaných Microsoft Windows na klientské straně. Současně má škola uzavřeny licenční smlouvy Microsoft Campus Agreement a Microsoft Select, které škole umožňují pružné licencování Microsoft produktů.

MIIS 2003 nyní centralizuje informace o jednotlivých identitách osob – integruje informace mezi jednotlivými zdroji dat a zabraňuje tak možnosti vzniku konfliktních informací v rámci celého systému. Rovněž určuje, které informace o identitách osob budou importovány z návazných datových zdrojů. MIIS zajišťuje provisioning - automaticky propaguje změny v informacích o identitách osob ve všech návazných datových zdrojích.

MIIS 2003 je rovněž použit k vytvoření účtů v Active Directory, které následně slouží k ověřování přístupu osob jak k počítači resp. připojení k sítí, tak k ověřování uživatelů u vybraných aplikací. Cílem je, aby MIIS sloužil k ověřování resp. k jednotnému přihlášení uživatelů všech aplikací (Single Sign On).

MIIS 2003 využívá jako svou databázi Microsoft SQL Server 2000.

Implementace a integrace Centrálního Registru (CR)
Centrální datový zdroj osob
CR byl implementován od dubna 2004, kdy byly zahájeny implementační práce až do října 2004, kdy bylo dokončeno testování produktu a zahájen ostrý provoz. V první fázi byly analyzovány primární zdroje dat (VEMA a STAG), definována podoba agregovaných identit v CR, implementováno sloučení zdrojových dat do těchto identit a vytvořeny mechanismy pro jejich synchronizaci do cílových systémů. Tyto systémy využívají data z CR..Současně byla vyvíjena aplikace Kartové centrum umožňující tisk a evidenci průkazů zaměstnanců a studentů UPa.

Ke zdrojům dat CR patří:

• VEMA – mzdová a personální agenda, v níž figurují zaměstnanci a dlouhodobí hosté UPa a uživatelé odpovědní za data (Oddělení lidských zdrojů)
• STAG – studijní agenda, kde se nacházejí informace o studentech UPa a uživatelích odpovědných za data o studentech (Studijní oddělení)
• KC – kartové centrum, které obsahuje informace o čipových kartách, identifikační průkazech a uživatelích odpovědných za průkazy (Infomační Centrum)

Aplikace pro jednotnou správu CR
Aplikace pro správu využívá webové rozhraní. Umožňuje definovat dávky synchronizačních procesů (synchronizace jediného, vybraných či všech systémů),spouštět je na vyžádání či libovolně časově plánovat. Aplikace uchovává historii běhu jednotlivých kroků, včetně informací o úspěšnosti jednotlivých procesů.

Integrace se stávajícími aplikacemi UPa
Integrace je (s vyjímkou Active Directory) řešena pomocí pohledů do databáze CR. Jejich struktura vzniká na základě požadavků cílových aplikací a představují tedy aplikačně specifickou podmnožinu agregovaných dat. Synchronizace mezi CR a cílovými aplikacemi je ponechána na aplikacích samotných nebo na dodatečných procesech mimo MIIS. Důvodem je převážně nemožnost přímého přístupu do některých cílových databází a odstínění CR od jejich změn, jež pak funguje jako jasně definované datové rozhraní. Platí přitom pravidlo, že údaje z primárních zdrojů VEMA a STAG jsou jediným validním zdrojem dat o osobách a žádna z aplikací navázaných na CR je nemůže změnit. Navazující aplikace tedy využívají CR pouze jako zdroj o identitách osob a přidávají si k těmto identitám další atributy.

Kartové centrum (KC)
Aplikace Kartového centra je vytvořena na míru požadavkům UPa. KC čerpá identity z CR, přidá si k identitě naskenovanou fotografii a umožní vytištění průkazu zaměstnance/studenta. Do CR pak při synchronizaci předá údaj o ID čipu (10znakový hexadecimální kód). Základním požadavkem je princip jedna identita = jeden průkaz resp. jedna aktivní hodnota čipu. KC dále umožňuje jednoduchou správu, evidenci a vyhledávání v průkazech zaměstnanců/studentů.

Centrální registr - architektura

Přínosy

Nasazením Microsoft Identity Integration Serveru 2003 získala Univerzita Pardubice nástroj umožňující centrální správu identit a jejich synchronizaci mezi všemi spolupracujícími systémy. Zákazník implementací MIIS získal řešení, které splňuje náročné podmínky provozu v akademické instituci a zároveň získal spolehlivou a bezpečnou platformu pro rozšiřování služeb.

K dalším přínosům patří:

• úspora nákladů na administraci a správu uživatelských účtů – k zadávání informací dochází pouze na jediném místě
• díky CR se veškeré změny v informacích o identitách osob projevují ve všech návazných datových zdrojích, což má vliv na usnadnění práce administrátorů
• došlo k odstranění duplicitního zadávání dat a tím ke snížení chybovosti a naprosté eliminaci přítomnosti konfliktních informací o identitách osob
• zvýšení produktivity práce IT oddělení díky úspoře času práce s centrálním zdrojem dat
• synchronizace mezi jednotlivými systémy zajišťuje vždy aktuální informace o osobách
• nové kartové centrum zajišťuje jednoduchou správu, evidenci a vyhledávání v průkazech zaměstnanců/studentů

Výhody

• úspora nákladů na administraci a správu uživatelských účtů
• díky CR se veškeré změny v informacích o identitách osob projevují ve všech návazných datových zdrojích
• došlo k odstranění duplicitního zadávání dat a tím ke snížení chybovosti a eliminaci přítomnosti konfliktních informací o identitách osob
• zvýšení produktivity práce IT oddělení díky úspoře času práce s centrálním zdrojem dat
• synchronizace mezi jednotlivými systémy zajišťuje vždy aktuální informace o osobách