Výzva

Veľký európsky telekomunikačný operátor prevádzkoval zastaraný systém na správu identít, ktorý už nevyhovoval požiadavkám moderného, viacsubjektového podniku.

Operátor potreboval overiť, či Evolveum midPoint dokáže nahradiť ich zastaraný IAM systém, pokryť celý životný cyklus identít naprieč všetkými typmi a integrovať sa s existujúcimi aj modernými systémami — bez narušenia prebiehajúcej prevádzky.

Čo sme dodali

Za 5 mesiacov 2-členný tím WKI dodal: autorizačný koncept nahrádzajúci Excel-based správu prístupov, automatizáciu životného cyklu pre 6 typov identít, 6 integrácií podnikových systémov vrátane 2 vlastne vyvinutých konektorov, Kubernetes nasadenie s kompletným CI/CD a štruktúrovaný transfer znalostí internému tímu operátora.

Autorizačný koncept — nahradenie tabuliek politikami

Navrhli a implementovali sme autorizačný koncept, ktorý úplne nahradil Excel-based správu prístupov operátora.

V midPointe sme vybudovali štruktúrovanú architektúru rolí:

• Aplikačné role prepojené s reálnym inventárom aplikácií organizácie, vrátane klasifikácie podnikovej kritickosti a rizika
• Oprávňovacie role definujúce granulárne prístupové práva odvodené z obchodných pravidiel
• Obchodné role zoskupujúce oprávnenia do zmysluplných balíkov podľa pracovných funkcií
• Meta-role vynucujúce predpoklady a vylúčenia na prevenciu toxických kombinácií prístupov (separácia povinností)

Žiadosti o prístupy sa presunuli z e-mailových reťazcov a vyhľadávania v tabuľkách do samoobslužného katalógu rolí. Zamestnanci mohli požiadať o prístup k aplikáciám priamo, s automatickým smerovaním cez schvaľovanie manažérom, kontrolu bezpečnostným pracovníkom a odsúhlasenie vlastníkom role.

Automatizácia životného cyklu identít

Navrhli a implementovali sme správu životného cyklu pre šesť odlišných kategórií identít:

• Interní zamestnanci (viaceré organizačné entity)
• Kontraktori (viaceré organizačné entity)
• Externí predajcovia a personál predajných boutikov
• Strojové a systémové účty

Každý typ identity má vlastné pravidlá provisioningu, organizačné vzťahy a politiky deprovisioningu. Pri deaktivácii identity sa všetky pridelené oprávnenia automaticky odoberú naprieč všetkými pripojenými systémami.

Integrácia podnikových systémov

Prepojili sme midPoint so šiestimi podnikovými systémami:

Príchodzie (zdroje pravdy):

• Podnikový HR systém — denná synchronizácia všetkých údajov o zamestnancoch a organizačnej štruktúre
• Dátový zdroj autorizačného konceptu — denný automatizovaný import mapovania rol-oprávnení-aplikácií

Odchodzie (provisionované systémy):

• Podnikový adresár — provisioning účtov, správa skupín a riadenie prístupov. Nové aplikácie bolo možné pripojiť k identitnej infraštruktúre v priebehu minút
• Vývojová platforma — automatizovaný provisioning používateľov a správa prístupu k projektom
• Interná platforma správy majetku — vlastný konektor vyvinutý od základov
• Ticketingový systém — automatizovaná tvorba tiketov pre sledovanie zmien prístupov

Nasadenie na Kubernetes s kompletným CI/CD

Celé prostredie midPoint bolo nasadené na Kubernetes s produkčnou infraštruktúrou a kompletným GitOps workflow:

• Verzionovaná konfigurácia — celá konfigurácia midPointu uložená v Gite, umožňujúca sledovanie zmien, peer review a rollback
• Automatizované CI/CD pipeline — automatizácia zostavovania, testovania a nasadzovania promovaním cez vývojové, testovacie a produkčné prostredia
• Multi-environment správa — identický deployment proces naprieč prostrediami pomocou Helm chartov, zabezpečujúci konzistenciu
• Správa tajomstiev — prihlasovacie údaje a certifikáty spravované cez dedikovaný vault integrovaný do pipeline

Tím operátora tak mohol spravovať zmeny konfigurácie midPointu cez štandardné vývojové workflow — commit, review, merge, deploy.

Transfer znalostí

Počas celej zákazky sme realizovali štruktúrované školenia, aby interný tím operátora mohol midPoint nasadenie samostatne prevádzkovať a rozvíjať. Na záver zákazky mal tím operátora plnú nezávislosť na prevádzku a rozširovanie platformy.