Určenie
Pri prístupe k informačným systémom je potrebné zabezpečiť evidenciu používateľov, ich autentifikáciu a na základe úspešnej autentifikácie používateľa zabezpečiť selektívny prístup používateľa k informačným zdrojom a funkciám informačného systému. Centralizovaná správa používateľov nadobúda nové rozmery v prípade, že v rámci danej organizácie je prevádzkovaných viacero informačných systémov, ku ktorým majú používatelia prístup. Potreba centralizovanej správy používateľov a riadenia ich prístupových práv predstavuje kľúčovú požiadavku.
Identifikačný a autorizačný modul D.IAM je určený pre všetky organizácie, ktoré chcú efektívnym spôsobom riadiť a kontrolovať správu elektronických identít a prístupov používateľov v rámci svojich informačných systémov. D.IAM zabezpečuje:
- identifikáciu, autorizáciu a autentifikáciu používateľov s využitím rôznorodých a flexibilných metód identifikácie a autentifikácie
- je prispôsobený k špecifickým požiadavkám na identifikáciu a autentifikáciu vyplývajúce z legislatívneho stavu v SR
- je prepojený s centrálnymi registrami (RFO, RPO, RA, eID ÚPVS)
- predstavuje overené riešenie, ktoré je využívané vo veľkých organizáciách pre kľúčové aplikácie so státisícmi používateľmi (napr. Portál Finančnej správy SR)
Popis riešenia
D.IAM slúži na zabezpečenie centrálnej správy identít, autentifikačných údajov a autorizácií. Riešenie poskytuje potrebné funkcie pre riadenie autentifikácie a oprávnení riadenia prístupu k funkčnostiam a službám jedného alebo aj viacerých informačných systémov.
Kľúčové vlastnosti modulu D.IAM:
- identifikačné služby – používané v procese prihlasovania používateľa (identifikácia a autentifikácia), zabezpečenie poskytovania sady faktov o používateľovi (jeho oprávnenia, funkčné zaradenie a pod.) využiteľné pre systémy využívajúce modul D.IAM
-
podporované typy autentifikácie
- meno a heslo – najrozšírenejší spôsob autentifikácie v existujúcich informačných systémoch
- doménová autentifikácia
- autentifikačný certifikát – v zmysle platnej legislatívy
- eID karta (elektronický občiansky preukaz) – autentifikácia využívaná v súčasnosti pri prístupe k elektronickým službám štátu a pri prístupe na ÚPVS (Ústredný Portál Verejnej Správy)
Pre používateľa je možné definovať rôzne typy autentifikácie. Jednotlivé informačné systémy však môžu pre používateľa vyžadovať autentifikáciu na definovanej úrovni (napr. eID kartu ako najvyšší (najbezpečnejší) spôsob autentifikácie.
- podporné služby – umožňujú informačným systémom získavať potrebné údaje z D.IAM pre podporu vlastných služieb ako sú napr. oprávnenia a funkčné zaradenie používateľa, organizačná štruktúra a pod.
-
spôsob poskytovania služieb modulu D.IAM
- online služby (prihlásenie používateľa cez WS alebo HTML stránky)
- offline služby (distribúcia zmenených údajov evidencie D.IAM do jednotlivých systémov – zmena používateľov, prístupových práv a pod.)
- podpora Webových aj natívnych aplikácií
- podpora SSO (Single Sign On)
- podpora registračného procesu používateľov (dôležité pri zabezpečovaní prevádzky systému v rozsiahlejších nasadeniach tak, aby správa používateľov bola procesne a administratívne zvládnuteľná)
- centrálna administrácia
- logovanie činností
- audit
V rámci jednotlivých submodulov poskytuje D.IAM aj nasledovné správy a funkčnosti podporných štruktúr:
-
D.IAM Core (Jadro modulu IAM)
- implementácia základnej funkčnosti súvisiacej s evidenciou používateľov, autentifikáciou a autorizáciou
-
OST (Organizačná štruktúra)
- správa internej organizačnej štruktúry s podporou hierarchie organizačných jednotiek
- správa identifikátorov jednotiek, ich adries a kontaktov
- správa pracovníkov a ich zaradení v organizačnej štruktúre
-
EES (Evidencia externých subjektov)
- správa subjektov, ich identifikátorov, adries a kontaktov
- správa autorizácií osôb k subjektom
-
EPS (Evidencia používateľov systému)
- správa osôb, ich identifikátorov, adries a kontaktov
- správa používateľov a účtov
- správa skupín, rolí a oprávnení
-
PKI (Public key infrastructure)
- správa autentifikačných certifikátov
-
REG (Registrácie)
- podpora registračného procesu používateľov vo webovom prostredí
-
NOT (Notifikácie)
- správa a odosielanie notifikácií (e-maily) k vybraným udalostiam, ktoré v procesoch správy používateľov môžu nastať
-
REP (Reporting)
- reportovací nástroj pre biznis údaje v EPS a OST za účelom získavania informácií potrebných pre vyhodnocovanie a riadenie procesov správy používateľov
-
LOG (Logovací modul)
- logovanie udalostí
- správu konfigurácie logovania
Modul D.IAM má implementované rozhrania na nasledujúce systémy:
- SAP HR (Human Resources)
- Active Directory
- Microsoft Project
- Microsoft Dynamics CRM (Customer Relationship Management)
- Microsoft SharePoint
Súlad s legislatívou a štandardami
Modul D.IAM je implementovaný v súlade s nasledujúcimi štandardami:
- Dátové - XML, XSD, XSLT, XPATH, XQuery
- Webové servisy - WS-*, WSDL, SOAP, REST
- Komunikačné: HTTP/HTTPS, SFTP/FTP/FTPS, SMTP, POP3, SMB/CIFS
- Adresárové služby (X.500 directory services): LDAP
- Riadenie procesov: BPEL
-
PKI
- W3C/IETF Recommendation: "XML-Signature Syntax and Processing" v2002 02 12 (XMLDSIG)
- ETSI TS 101 903 – XML Advanced Electronic Signatures (XAdES) v1.4.2
- RFC 3125 – Electronic Signature Policies
- RFC 3279 – Algorithms and Identifiers for the Internet X.509 PKI
- RFC 5280 – Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
- RFC 3548 – The Base16, Base32, and Base64 Data Encodings
- RFC 4051 – Additional XML Security Uniform Resource Identifiers
- Zákon č. 215/2002 Z.z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
- Vyhláška NBÚ č. 131/2009 Z.z. o certifikátoch a kvalifikovaných certifikátoch
- Vyhláška NBÚ č. 134/2009 Z.z. o produktoch elektronického podpisu
- Vyhláška NBÚ č. 135/2009 Z.z. o vyhotovení a overovaní elektronického podpisu a časovej pečiatky
- NBÚ Formáty certifikátov a kvalifikovaných certifikátov, v4.0 (2014 07 10)
- NBÚ Formáty zaručených elektronických podpisov, v3.0 (2009 08 12)
- CWA 14170:2004 E – Security requirements for signature creation applications
- Koncepcia všeobecného formátu XML podpisu a aplikácie SCVA, DITEC, a.s., 2006
- Profil XAdES_ZEP – formát ZEP na báze XAdES, v2.0, DITEC, a.s., 2011
Kontext nasadenia
D.IAM je samostatný infraštrukturálny prvok ktoré ponúka služby ostatným biznis systémom prostredníctvom integračných rozhraní.
Referencie na použitie riešenia
Systém D.IAM predstavuje riešenie, ktoré bolo prakticky nasadené a odskúšané v riešeniach prevádzkovaných niekoľko rokov. Jedná sa o stabilný a robustný systém nasadený v nasledovných riešeniach:
- Železnice SR - TIS (Technologický informačný systém)
- Ministerstvo financií SR - PFS (Portál Finančnej správy)
- Ministerstvo financií SR - IOM (Integrované Obslužné Miesto)
- Finančná správa SR - CEP (Centrálny Elektronický Priečinok)
- MŠVVaŠ SR - RIS (Regionálny Informačný Systém školstva)
- Ministerstvo spravodlivosti SR - ESMO (Elektronické služby monitoringu obvinených a odsúdených osôb)
- Ministerstvo spravodlivosti SR - BAI (Aplikačná architektúra a bezpečnostná infraštruktúra rezortu Ministerstva spravodlivosti SR)
Požiadavky na nasadenie a prevádzku
Riešenie D.IAM je vytvorená podľa princípov SOA a má viacvrstvovú architektúru:
-
Klientská vrstva
- Self Services - Webový klient (podporované všetky hlavné prehliadače Chrome, IE/Edge, Firefox)
- Administrácia - Smart klient (pod Windows 7 a vyššie)
- Aplikačná vrstva a Webová vrstva
- Microsoft Windows 2008 a vyššie
- Dátová vrstva
- RDMS: MS SQL Server 2008 a vyššie, Oracle 11g a vyššie
Riešenie je škálovateľné horizontálne (webové a aplikačné farmy, DB clustre) a vertikálne (zosilnenie hardvéru jednotlivých uzlov).