Využitelnost business rolí ve státní správě | E15.cz

Využitelnost business rolí ve státní správě

Využitelnost business rolí ve státní správě
Řízení rolí
• 

Martin Šlancar

Patrně nejstarší formou řízení přístupu jsou přístupová práva k souborovému systému. Linuxové/Unixové souborové systémy (např. Ext2, Ext3, ReiserFS) umožňují nastavit každému souboru či adresáři tři práva: čtení, zápis a spouštění. Tato práva lze nastavit vlastníkovi souboru, dále skupině, jíž je vlastník členem, a nakonec všem ostatním uživatelům.

Souborový systém NTFS, používaný v operačních systémech Windows, umožňuje nastavit přístupová práva k souborům v jemnější granularitě. Existuje zde např. právo nastavování atributů souborů nebo možnost dědění přístupových práv z nadřazené složky.

V informačních systémech je ovšem použití tohoto modelu přístupu neefektivní. Složité aplikace mohou být tvořeny desítkami elementárních funkcí (např. vystavení objednávky, zaplacení faktury). Pokud by se uživatelům měla nastavovat práva k jednotlivým funkcím aplikace, byla by správa přístupových oprávnění nepřehledná a administrátoři by si mohli práci ulehčit prostým nastavením přístupu „všechno všem“. Řízení přístupu do aplikace se tak fakticky stává neúčinné a je snížena úroveň zabezpečení celé aplikace.

Z tohoto důvodu se zavedl princip tzv. aplikačních rolí. Pomocí jedné aplikační role nastaví administrátor uživateli přístup k základním funkcím aplikace, které spolu logicky souvisejí. Pomocí aplikační role je tak vyjádřen vztah daného uživatele k informačnímu systému, s nímž pracuje. Mohou existovat např. role Čtenář, Editor, Superuživatel, atd. Dobře napsané aplikace disponují jen omezeným počtem aplikačních rolí, což ulehčuje správu přístupů uživatelů do aplikace. Z celkového počtu např. 10 aplikačních rolí není tak složité vybrat ty správné, zvláště pokud je zvoleno intuitivní a „sebevysvětlující“ pojmenování rolí.

Nicméně ve větší organizaci (i úřadu) se používá více informačních systémů. Pokud administrátor spravuje přístup do více aplikací, roste počet aplikačních rolí, ze kterých je potřeba vybírat. To platí zejména v případě, kdy je zavedeno centrální řízení přístupu a administrátor vybírá z rozsáhlé matice rolí, v níž jsou obsaženy aplikační role z více aplikací. Celkový počet aplikačních rolí ze všech aplikací tak může dosahovat vyšších desítek až stovek, což opět zesložiťuje celkovou správu rolí.

Řízení rolíŘízení rolíAutor:

Tento problém řeší koncept tzv. business rolí. Jedna business role v sobě zahrnuje jednu nebo více aplikačních rolí do jednoho nebo více informačních systémů. Jednou business rolí lze tedy stanovit, že uživatel přistupuje do aplikace A v roli Čtenáře a do aplikace B v roli Editora. Business role tak reprezentují pracovní zařazení dané osoby v rámci společnosti (úřadu). Definována může být např. business role Účetní, která povoluje přístup do finančních informačních systémů, nebo např. role IT správce, povolující přístup do administračních aplikací. A role Interní auditor může mít přístup do všech aplikací, ale pouze za účelem prohlížení bezpečnostních logů. Business role samozřejmě musí být podpořeny specializovanou aplikací, která zajistí jejich překlad na odpovídající aplikační role a případně nastavení aplikačních rolí uživatelskému účtu v příslušných informačních systémech.

Tento problém řeší koncept tzv. business rolí. Jedna business role v sobě zahrnuje jednu nebo více aplikačních rolí do jednoho nebo více informačních systémů. Jednou business rolí lze tedy stanovit, že uživatel přistupuje do aplikace A v roli Čtenáře a do aplikace B v roli Editora. Business role tak reprezentují pracovní zařazení dané osoby v rámci společnosti (úřadu). Definována může být např. business role Účetní, která povoluje přístup do finančních informačních systémů, nebo např. role IT správce, povolující přístup do administračních aplikací. A role Interní auditor může mít přístup do všech aplikací, ale pouze za účelem prohlížení bezpečnostních logů. Business role samozřejmě musí být podpořeny specializovanou aplikací, která zajistí jejich překlad na odpovídající aplikační role a případně nastavení aplikačních rolí uživatelskému účtu v příslušných informačních systémech.

Základní registry a nový typ rolí

Dne 1. 7. 2012 byl spuštěn produkční provoz základních registrů. Jedná se o centrální databáze, ke kterým mohou přistupovat orgány veřejné moci (OVM) prostřednictvím svých agendových informačních systémů (AIS). Občané České republiky mohou požádat o výpis údajů ze základních registrů na kontaktním místě Czech POINT. V základních registrech jsou uloženy referenční údaje o obyvatelích ČR, právnických osobách a podnikatelích, adresních místech.

Řízení přístupu k referenčním údajům je založeno na seznamu zaregistrovaných agend v registru práv a povinností. Ke každé agendě je definována sada tzv. činnostních rolí, které opravňují k přístupu k vybrané množině referenčních údajů. Agenda je přirovnávána ke konkrétnímu zákonu, činnostní role zase ke konkrétnímu paragrafu daného zákona. Pro agendy se používají zkratky ve formátu A+číslo (např. A117 „Občanské průkazy“), činnostní role se označují zkratkou CR+číslo (např. CR1511 „Vydání OP“). Ne všechny činnostní role mají snadno zapamatovatelné názvy, např. role CR9829 má název „oznámení od cestovní kanceláře o zahájení zprostředkování prodeje zájezdů pro cestovní kancelář usazenou na území jiného státu, včetně údajů o rozsahu pojištění záruky pro případ úpadku cestovní kanceláře, nebo jiné formy zajištění těchto zájezdů“. Seznam agend s činnostními rolemi lze nalézt na webových stránkách Správy základních registrů (http://www.szrcr.cz).

Každá agenda má dále definovánu skupinu orgánů veřejné moci, které mohou danou agendu vykonávat. Každý z těchto úřadů provede tzv. oznámení působnosti OVM v agendě. Jinými slovy se OVM zaregistruje ke konkrétní agendě a označí činnostní role, které potřebuje ke své činnosti. Tato činnost se provádí v systému s názvem AIS RPP Působnostní.

Řízení přístupu do základních registrů

OVM přistupuje do základních registrů pomocí jednoho nebo více AIS. Tyto AISy musí nejprve zaregistrovat do základních registrů. V žádosti o registraci se uvádí seznam agend, které daný AIS zajišťuje. Samotný AIS dále při komunikaci se základními registry uvádí v hlavičce svého požadavku kód AIS, IČO OVM, uživatelské jméno uživatele, zkratku agendy a zkratku činnostní role.

Základní registry zkontrolují předanou agendu a činnostní roli vůči registru práv a povinností, zda se daný OVM skutečně zaregistroval k dané agendě a činnostní roli. Podle výsledků kontroly je danému AIS povolen přístup k referenčním údajům nebo ne.

Na straně samotného OVM by mělo být zajištěno, že do základních registrů přistupují jen ti úředníci, kteří k tomu mají legitimní nárok (vyplývající z legislativy a pracovního zařazení). K tomu se ostatně OVM zavazuje již při registraci svého AIS do základních registrů.

Možných řešení tohoto požadavku je několik. Lze například řídit přístup uživatelů do AIS pomocí aplikačních rolí, zatímco AIS používá činnostní role podle používaných funkcí, ne podle přihlášeného uživatele. Koncepčně správnější je však využít samotné činnostní role a přiřazovat je uživatelům. Uživatel bez činnostních rolí nebude mít vůbec přístup do základních registrů, uživatel s nastavenými činnostními rolemi se dostane jen k takovým referenčním údajům, na které má nárok. Tento koncept musí být samozřejmě také aplikačně podpořen na úrovni samotného AIS, který musí činnostní role přiřazované uživatelům podporovat.

Druhou variantu vyžaduje např. právě systém AIS RPP Působnostní. Pokud přistupující uživatel z OVM nemá nastavenu správnou činnostní roli, nepodaří se mu do systému vůbec přihlásit.

Jak se dostanu ke svým činnostním rolím?

Takovou otázku si mohou klást orgány veřejné moci. Seznam agend a činnostních rolí je uložen v registru práv a povinností a lze jej dohledat v systému AIS RPP Působnostní. Pro jejich reálné využití je zapotřebí najít řešení, které zajistí automatizované a opakované stahování tohoto seznamu ze základních registrů.

Jednou z možností je využít tzv. Jednotný identitní prostor (JIP) v projektu Czech POINT. Jedná se o adresář všech orgánů veřejné moci a uživatelských účtů jejich úředníků. Do JIP jsou v pravidelných intervalech synchronizovány agendy a činnostní role všech OVM ze základních registrů.

OVM může stahovat tyto informace z JIP voláním webových služeb KAAS (Katalog autentizačních a autorizačních služeb), které jsou aplikační nadstavbou nad JIP. Podmínkou je, že OVM zaregistruje svoji synchronizační aplikaci do JIP Czech POINT, což je ostatně mnohem jednodušší proces než v případě registrace do základních registrů.

OVM přitom nemusí vyvíjet vlastní synchronizační řešení s JIP, ale může využít již stávající řešení na trhu. Jedním z nich je třeba produkt LDAP2JIP od firmy NEWPS.CZ s.r.o., který zajišťuje oboustrannou synchronizaci dat s JIP. Synchronizovaná data navíc nemusí být omezena jen na agendy a činnostní role, ale mohou zahrnovat i uživatelské účty.

Řížení rolí.Řížení rolí.Autor:

Příliš mnoho činnostních rolí

Ani činnostním rolím se nevyhne problém s jejich správou z důvodu jejich vysokého množství. Vlastně se opakuje stejná situace jako u aplikačních rolí pro více informačních systémů, jenom místo informačního systému dosadíme agendu a aplikační role nahradíme činnostními rolemi.

Problém u činnostních rolí je navíc ten, že administrátoři je nemohou uživatelům přiřazovat podle vlastního uvážení, ale musí vzniknout jasná pravidla jejich přiřazování, na jejichž přípravě se bude muset podílet více odborů z daného úřadu.

Koncept rozšířených business rolí podporuje např. produkt EST4IDM od firmy NEWPS.CZ s.r.o. V databázi EST4IDM je uložena matice business rolí, která obsahuje mapování business rolí na aplikační a činnostní role. EST4IDM přebírá z personálního systému úřadu informace o identitách a nastavených business rolích a provádí konverzi na aplikační a činnostní role, které jsou následně propagovány do integrovaných aplikací.

Autor je business analytikem ve firmě NEWPS.CZ s.r.o.

Autor: Martin Šlancar
 
Newsletter
Využijte služby
zasílání zpráv do vaší
e-mailové schránky!