Služba IdP ve FN Plzeň

Analýza problematiky instalace a implementace technologie

Martin Navrátil, Lukáš Bolek (Lékařská fakulta v Plzni Univerzity Karlovy v Praze)

V první fázi řešení klíčové bylo nutné vyřešit administrativní agendu spojenou s přístupem k federaci eduID.cz. Bylo nutné začlenit FN v Plzni (FN) jakožto organizaci přistupující k federaci eduID.cz. Členství ve federaci vzniká registrací administrativního kontaktu, který zastupuje organizaci při jednáních s operátorem federace. Administrativní kontakt potom jmenoval technický kontakt, který řeší technickou realizaci Identity Provider (instalaci systému, publikaci metadat).

Z důvodu složité síťové infrastruktury ve FN a zachování bezpečnosti bylo nutné analyzovat a vyčlenit nový segment sítě pro provoz služby Identity Provider.

V řešitelském týmu byly diskutovány možnosti mapování atributů Identity Provider z hlediska průchodnosti vnitřních firewallů a jejich samotné párovaní na interní databázi zaměstnanců uložené v Active Directory.
Po provedení systémové analýzy struktury počítačové sítě Fakultní nemocnice Plzeň (FN) a po analýze struktury dat Active Directory potřebných pro ověřování uživatelů ze sítě FN jsme nainstalovali a zprovoznili ověřovací službu Shibboleth Identity Provider (IdP) a napojili jsme ji na cílovou aplikaci MEFANET.

Pro tyto potřeby vyčlenili systémoví administrátoři FN řešitelskému týmu virtualizovaný server na lokální síti FN. Na server jsme naistalovali operační systém Debian Wheezy a provedli jsme jeho základní konfiguraci (aktualizaci jádra, odstranění nepotřebných komponent, nastavení sítě, apod.). Poté jsme zprovoznili službu IdP, což znamenalo zejména instalaci Shibboleth IdP a Shibboleth SP, propojení IdP s ověřovací službou Active Directory FN, integraci služby IdP do struktury České akademické federace identit eduID.cz a propojení IdP s cílovou aplikací MEFANET.

Z důvodu zajištění vysokého stupně zabezpečení jsme IdP server přesunuli do segmentu demilitarizované zóny sítě FN a na systém byly naistalovány pluginy pro sledování provozu služby IdP monitorovacím systémem Nagios. V rámci produkčního provozu byly zjištěny a následně odstraněny drobné administrativní nesrovnalosti ve struktuře dat Active Directory FN Plzeň, které některým uživatelům způsobovaly potíže při ověřování službou IdP.

Konkrétní výstupy technologie Identity Provider

  • Jmenování administrativního kontaktu - Ing Martin Tauchen, vyplnění jmenovací formuláře, ověření statutárním orgánem
  • Vydání osobního certifikátu pro administrativní kontakt
  • Jmenování technického kontaktu - Ing. Miloš Wimmer
  • Vytvoření DMZ zóny v síťové infrastruktuře FN pro provoz serveru serveru zajišťujícího službu Identity Provider
  • Definice atributů z databáze uživatelů Active Directory pro potřeby autentizace aplikací Shibbolethu - eduPersonPrincipalName, eduPersonScopedAffiliation, entitlement, mail, displayName, Shib-Person-o, givenName, sn.
  • Instalace serveru Identity Provider
  • Konfigurace serveru Identity Provider
  • Vytvoření a konfigurace demilitarizované zóny (nový segment sítě FN)
  • Instalace služby Shibboleth IdP
  • Instalace služby Shibboleth SP
  • Integrace služby IdP s Active Directory FN Plzeň a eduID.cz
  • Instalace pluginu pro monitorovací systém nagios
  • Oprava dat administrativního zařazení lékařů v Active Directory FN Plzeň