Open source CzechIdM ve finále soutěže IT produkt roku 2011 (diskuse)

AbcLinuxu:/ Blogy / Zdendův blog / Open source CzechIdM ve finále soutěže IT produkt roku 2011 / Open source CzechIdM ve finále soutěže IT produkt roku 2011 (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

14.6.2011 14:56 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Odpovědět | Sbalit | Link | Blokovat | Admin

Ze seznamu konektorů na vašem webu:
Složitý konektor pro SAP šikovnému programátorovi trvá cca 10MD.

Tohle by mě vážně zajímalo. Vážně dokážete donutit SAP logon, aby ověřil jméno a heslo proti nečeme jinému než je databáze uživatelů SAP? Tedy jde mi hlavně o SAPGUI for Java, na platformě Windows to jde vyřešit přes SNC, to vím.

14.6.2011 15:55 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Asi to špatně chápeš, ale IDM je podle mně centralizovaná správa účtů, tedy jedno rozhraní ke všem systémům. Když tedy změníš v IDM heslo, tak to se pomocí konektorů sesyncuje s ostatníma serverama (Active Directory, SAP atd. podle toho, co máš vše definováno).
Pak máš definované skupiny a v nich příslušné uživatele. Ke každé skupině definuješ nějaké konektory (s čím vším se to má syncovat). Takže je uživatel a heslo na několika místech a aplikace se ověřují proti serverům, pro které jsou určeny.
Díky IDM a webovému rozhraní pak umožníš uživateli, aby si mohl jednoduše měnit heslo v určitých intervalech, velmi jednoduše, jednou zadá a změní se mu ke všemu atd.
Takto nějak to zjednodušeně funguje.
Zdar Max

Měl jsem sen ... :(

14.6.2011 15:57 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Spravujeme uživatele přímo v SAPu, neměníme způsob autentizace a autorizace uživatelů uprostřed spravovaných programů. Jedná se tedy o konektor pro správu uživatelů, rolí případně dalších objektů.

Pokud si dobře pamatuji, tak i v SAP GUI for java jde použít např. Kerberos (přes SNC).

-- Nezdar není hanbou, hanbou je strach z pokusu.

14.6.2011 16:23 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Aha, tak to jo. Btw, v tom případě ten programátor není moc šikovný, pokud mu toto zabere 10 MD... :-)

14.6.2011 16:32 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Když si to vezmeš, tak to není zas tak těžký, udělat server-klient část se šifrovaným spojením s tím, že klient bude nainstalován na serverech a bude lokálně přistupovat do konkrétních systémů a měnit hesla, popř. vytvářet a mazat uživatele. Změna hesla v AD z lokálu je brnkačka. Podobně to je u jiných systémů, které k tomu mají většinou nějaké API apod.
Jenomže, další ošetřování chyb, bezpečnostních pravidel atd. a začne to pěkně narůstat. Jedna věc je něco zbastlit, druhá je něco vyladit a co možná nejvíce ošetřit :-/.
Zdar Max

Měl jsem sen ... :(

14.6.2011 16:50 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Obecně správa uživatelů v organizacích (tak jak ji děláme my) není jen o technice, ale také o procesech a jejich optimalizaci a také o rolích - správa rolí je často náročná podobně jako správa uživatelů. Identity Manager je "jen" nástroj, který to pomůže automatizovat.

Když si to vezmeš, tak to není zas tak těžký, udělat server-klient část se šifrovaným spojením s tím, že klient bude nainstalován na serverech a bude lokálně přistupovat do konkrétních systémů a měnit hesla, popř. vytvářet a mazat uživatele.

Náš Identity Manager nepotřebuje na většinu spravovaných systémů agenta na serveru (např. pro MS Active Directory není nutný, ale je to vhodné, umíme pak víc věcí než jen kdybysme přistupovali přes LDAP rozhraní), připojuje se na servery jejich nativním způsobem (unix = ssh na server a useradd/passwd).

-- Nezdar není hanbou, hanbou je strach z pokusu.

14.6.2011 16:42 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Ono to není jen o vlastním kódování, ale o celé tvorbě - zpracovat zadání, napsat, otestovat, předat zákazníkovi...

-- Nezdar není hanbou, hanbou je strach z pokusu.

14.6.2011 19:39 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

V pohodě

Já jen že pokud je tedy úkolem z Vaší aplikace změnit heslo uživatele ze SAP R/3, pak jde o jedno zavolání funkčního modulu SUSR_USER_CHANGE_PASSWORD_RFC přes RFC... Takovéto standardní řešení (ten funkční modul je tuším dostupný už od R/2) mi nepřijde jako práce na 10 člověkodnů. Ale to je jedno, produkt jako takový vypadá zajímavě. My řešíme podobný problém také, ale zatím to vypadá, že naší centrální databází zůstane AD... Celkem jednoduše jsme zařídili synchronizaci účtů v AD dle SAP HR, ale problém je právě se synchronizací hesel R/3 <-> AD.

15.6.2011 09:03 Lukáš Cirkva | skóre: 10 | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Úkolem Identity Managementu není jen změna hesla, ale hlavně správa celého životní cyklu identit od vzniku identity, změn parametrů a zániku identity. Zjednodušeně řešeno se jedná o systém, který spravuje uživatelské identity (kdo nebo co má přístup) a jejich vztah k jednotlivým aplikacím a datům (kam má přístup) a na základě jaké pravomoci získal přístupy (schváleno nadřízeným nebo dle role, organizačního zařazení atd.). Tyto informace jsou jednoduše auditovatelné a reportovatelné v čase a to vše v souladu s bezpečnostními politikami. Aby to nebylo tak jednoduché, tak pod identitou si lze představit uživatelský účet, certifikát, reprezentace PC v doméně, ale i role a organizační strukturu. Každý druh identit mívá vlastní životní cyklus. Všechny tyto vlastnosti musí být schopen vyvinutý konektor obsáhnout.

Každý SAP bývá jiný. A tím nemyslím jen verzi, ale způsob nasazení, implementace, rozsahu přizpůsobení a množství použitých modulů. Například jsme řešili dynamické někololikaúrovňové přidělování rolí na základě vstupu administrátora nebo změny v číselníku.

Namátkou jsem vybral jednu z realizací SAP konektoru. Ve stručnosti v tomto konkrétním případě byly implementovány tyto procesy:

Založení nového účtu
Přejmenování účtu
Aktivace a dekativace
Odstranění účtu
Prvotní načtení všech již existujících účtů
Opakovaná synchronizace – pravidelná kontrola změn
Změna hesla
Přiřazení a změna

kdy byly využity tyto skupiny SAP funkcí:

RFC1, SDIFRUNTIME, SYST, SYSU, BFHV, SG00, SRFC, SUSR

V případě zájmu rád předvedu, vysvětlím jak řešíme Identity Management.

Samozřejmě je možně, že pisatel předchozího příspěvku nebo někdo z čtenářů je natolik šikovný vývojář, že by zvládl vytvořit konektor v řádu hodin. Stále hledáme nové kolegy, neváhejte se nám přihlásit. Kontakty jsou na firemním webu.

15.6.2011 12:26 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Je pravda, že všechny aspekty jsem neuvažoval, vlastně jen ten jeden, který aktuálně řeším já (tedy pouze synchronizaci hesel neboť účty samotné se již synchronizují). Jinak co se týče tohoto

Každý SAP bývá jiný. A tím nemyslím jen verzi, ale způsob nasazení, implementace, rozsahu přizpůsobení a množství použitých modulů.

tak tam bych tak skeptický nebyl. Uvedená problematika je záležitostí báze, která nebývá tak diverzifikovaná. A odchylky, které se vyskytují lze řešit formou jednoduché customizace (např. použití CUA atd.). Ale je fakt, že jsem neviděl tolik systémů jako konzultanti, kteří se živí poskytováním služeb mnoha společnostem.

Jinak zájem by určitě byl, je to zajímavé téma, ale čas by nebyl :-) I když mě to zajímá, je to okrajové téma.

14.6.2011 16:19 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Odpovědět | Sbalit | Link | Blokovat | Admin

Zdendo, rozcházel jsem v jobu SunIDM, zkoušel jsem rozcházet i Alfresco. Obě věci jsou java. Nemile mně překvapilo, že s 1GB bez dat a klientů je to skoro nepoužitelný a po čase to udělá bum z nedostatku paměti. Pořád nevím, zda jsem takový břídil, že neumím nastavit rozumnou správu paměti, nebo to ty javovský aplikáče (třeba glassfish) + ony aplikace (idm, alfresco) opravdu vyžadují. Když jsem nastavil 1,5GB paměti pro IDM, tak už je to udržitelný. Já vím, že v dnešní době je paměť cenově zanedbatelná věc, ale i tak. Jen by mně zajímalo, zda to tak je normální, nebo musím někde chybovat :-/.
Díky
Zdar Max

Měl jsem sen ... :(

14.6.2011 16:44 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Samotný Glassfish potřebuje jen sám pro sebe půl giga aby trošku žil :-(

Je třeba si zvyknout, že Java = 1,5-2GiB RAM jako rozumné minimum.

-- Nezdar není hanbou, hanbou je strach z pokusu.

14.6.2011 21:44 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Díky, opravdu jsem se lekl, že jsem lempl a neumím správně nastavit memory management. 1,5GB beru jako hraniční minimum, vím, že pod 1,5GB mi SunIDM po čase nechtělo jet. Takže 2GiB bude asi opravdu 100% tutovka pro minimum, aby se člověk nemusel bát, že žije na hraně.
Zdar Max

Měl jsem sen ... :(

14.6.2011 21:19 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Licence?

Odpovědět | Sbalit | Link | Blokovat | Admin

Software poskytujeme při implementaci zdarma.

Pod jakou licencí?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

22.6.2011 08:38 Lukáš Cirkva | skóre: 10 | Praha
Rozbalit Rozbalit vše Re: Licence?

Licence CzechIdM má několik stran právnických obratů, stručně odpovím to zajímavé.

Produkt CzechIdM je v současné době poskytován:

zdarma
s otevřenými zdrojovými kódy
bez omezení užití na procesory, uživatele, instance atd.
zákazník má právo měnit kódy

Abychom ochránili naši investici do několika let vývoje máme tyto podmínky:

CzechIdM poskytujeme pouze našemu zákazníkovi v případě implementace řešení na klíč. Tzn. zákazník si od nás odebere implementační služby.
CzechIdM meumožňujeme poskytnout třetí osobě nebo dceřiným společnostem.

Dle našeho názoru se jedná o velmi vstřícný přístup. Konkurenční produkty stojí obvykle na licenčních poplatcích za poměrně veliké peníze a to s omezením na uživatele, instance, konektory apod., což je pro zákazníky limitující.

22.6.2011 20:00 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Licence?

CzechIdM meumožňujeme poskytnout třetí osobě nebo dceřiným společnostem.

Tedy není opensource (určitě ne ve smyslu, v jakém se to používá zde na Abclinuxu). Díky za odpověď, a prosím, abyste přestali ten software za opensource vydávat.

Dle našeho názoru se jedná o velmi vstřícný přístup. Konkurenční produkty stojí obvykle na licenčních poplatcích za poměrně veliké peníze a to s omezením na uživatele, instance, konektory apod., což je pro zákazníky limitující.

Váš názor chápu. Na druhou stranu to o své nabídce tvrdí každý.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.6.2011 13:35 CEST
Rozbalit Rozbalit vše Re: Licence?

CzechIdM meumožňujeme poskytnout třetí osobě nebo dceřiným společnostem.
Tedy není opensource (určitě ne ve smyslu, v jakém se to používá zde na Abclinuxu). Díky za odpověď, a prosím, abyste přestali ten software za opensource vydávat.

Pro pripadne dalsi opozdene zabloudilce. Samozrejme, ze kdyz mi dodavatel da k programu zdrojove kody, tak je to OpenSource software. Ze ty si OpenSource pojem pletes s FreeSoftware/SvobodnymSoftwarem je tvuj osobni problem ("Free software is a matter of liberty, not price. To understand the concept, you should think of free as in free speech, not as in free beer." R.M. Stallman).

Takze CzechIdM je OpenSource, ale neni to FreeSoftware/Svobodny a nema "free software license" - svobodnou licenci.

Tenhle zpusob je nahodou dost dobry zpusob, jak vydelavat, ale pritom zakaznikovi garantovat za jeho penize skutecne produkt. V pripade dodani binarniho blobu se zakaznik nemuze rozhodnout nechat si udelat upravy od nekoho jineho. Takhle ma aspon za sve penize neco v ruce.

A poskytnuti zdarma v pripade objednavky implementacnich sluzeb je taky super, takhle to delaji i ostatni.

25.6.2011 00:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Licence?

Pro pripadne dalsi opozdene zabloudilce. Samozrejme, ze kdyz mi dodavatel da k programu zdrojove kody, tak je to OpenSource software. Ze ty si OpenSource pojem pletes s FreeSoftware/SvobodnymSoftwarem je tvuj osobni problem ("Free software is a matter of liberty, not price. To understand the concept, you should think of free as in free speech, not as in free beer." R.M. Stallman).

Je velmi pochybné používat jako jediný zdroj hlavního představitele víceméně konkurenčního tábora. Já bych spíš citoval:

Open source doesn't just mean access to the source code. The distribution terms of open-source software must comply with the following criteria:

(http://www.opensource.org/docs/osd)

Používat pojem open source v jiném významu, než ve kterém byl zaveden, a následně někoho označovat za opožděného zabloudilce, mi přijde nanejvýš pochybné a hloupé.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.6.2011 16:11 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Licence?

O konkurenční definici open source od FSF a od OSI jsem se tu již několikrát pohádali. Vzhledem k tomu, že FSF má delší historii, považuji za právoplatnou verzi od FSF – že open source nezahrnuje právo na redistribuci.

26.6.2011 20:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Licence?

O konkurenční definici open source od FSF a od OSI jsem se tu již několikrát pohádali. Vzhledem k tomu, že FSF má delší historii, považuji za právoplatnou verzi od FSF – že open source nezahrnuje právo na redistribuci.

Citation needed.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.6.2011 20:28 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Licence?

FSF ani RMS a svobodný software do toho ani nemusíš tahat. Přečti si definici otevřeného softwaru / Open Source.

The Open Source Definition (originál)
Definice otevřeného softwaru (česky)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.6.2011 20:22 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Licence?

Tedy není opensource

ano, to není

určitě ne ve smyslu, v jakém se to používá zde na Abclinuxu

smysl je jen jeden -- definice mluví jasně -- taková licence porušuje hned první bod a nejedná se o open source / otevřený software (ani o free software / svobodný software).

Díky za odpověď, a prosím, abyste přestali ten software za opensource vydávat.

Souhlas -- přesně takový marketing firem, které se snaží na open sourcu přiživit, mu dělá dělá špatné jméno. Lidi si pak budou stěžovat, že to byl přece "open source", ale nemohli s tím dělat to a to... přitom kdyby to open source (resp. svobodný software) byl, tak by to dělat mohli.

Na druhou stranu jejich přístup* dokážu pochopit a považuji ho za mnohem slušnější a přívětivější než přístup používaný u jiného proprietárního softwaru (uživatel nemá ani zdrojáky natož právo je měnit).

*) to, že zvolili restriktivní licenci. Pro zneužívání pojmu "open source" (pokud se tak děje) pochopení nemám, to je neomluvitelné.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

26.6.2011 20:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Licence?

Souhlas -- přesně takový marketing firem, které se snaží na open sourcu přiživit, mu dělá dělá špatné jméno. Lidi si pak budou stěžovat, že to byl přece "open source", ale nemohli s tím dělat to a to... přitom kdyby to open source (resp. svobodný software) byl, tak by to dělat mohli.

Ono to nakonec (doufám) uškodí i samotné firmě. Pokud je to totiž součástí oficiálního marketingu, budou to někteří obchodní partneři právem vnímat jako podvod.

*) to, že zvolili restriktivní licenci.

To taky chápu.

Pro zneužívání pojmu "open source" (pokud se tak děje) pochopení nemám, to je neomluvitelné.

Souhlas.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

29.6.2011 08:56 Lukáš Cirkva | skóre: 10 | Praha
Rozbalit Rozbalit vše Re: Licence?

Doplním vyjádření za nás tvůrce CzechIdM.

Byly zde pozitivní i negativní ohlasy. Negativní ohlasy se točili kolem licenční politiky, konkrétně bodu omezení redistribuce vs. definice Open source dle OSI.

Abychom uspokojili všechny, rozhodli jsme se urychlit vydání CzechIdM i pod licencí dle OSI tedy včetně volné redistribuce. Tedy pokud zákazník projeví zájem, dostane možnost pořídit CzechIdM s Open source licencí dle OSI. Open source licence vždy byla a je naším záměrem. Připravujeme i zveřejnění SW/kódu komunitě.

Děkuji všem za reakce. Tímto považuji téma k licencím zde za vyčerpané, veškeré další dotazy k tomuto tématu směřujte prosím pouze na můj mail.

29.6.2011 19:37 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Licence?

Příjemné překvapení. Díky. :-)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

30.6.2011 23:17 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Licence?

Abychom uspokojili všechny, rozhodli jsme se urychlit vydání CzechIdM i pod licencí dle OSI tedy včetně volné redistribuce. Tedy pokud zákazník projeví zájem, dostane možnost pořídit CzechIdM s Open source licencí dle OSI. Open source licence vždy byla a je naším záměrem. Připravujeme i zveřejnění SW/kódu komunitě.

To je pro mě rovněž velké překvapení. Jen bych rád připomněl, že jsem nikde nekritizoval, že software není licencován podle OSI.

Ale samozřejmě si počkám na výsledek. Pokud plánujete vydat SW jako opensource, tak mě docela hodně zajímá, jak bude vypadat ochrana vaši investice do tohoto opensource.

Děkuji všem za reakce. Tímto považuji téma k licencím zde za vyčerpané, veškeré další dotazy k tomuto tématu směřujte prosím pouze na můj mail.

Já myslím, že je to zajímavé pro všechny, takže zatím nemám důvod psát cílené maily. Nastavit upozorňování na příspěvky mailem je zde na Abclinuxu triviální.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

14.6.2011 23:03 Andrei Badea | skóre: 5 | Praha
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Odpovědět | Sbalit | Link | Blokovat | Admin

Pěkný počin, gratuluju!

Ze zvědavosti, když mluvíš o "sadě konektorů" máš na mysli projekt Identity Connectors? Ptám se a jako svého času spravovatel frameworku a autor LDAP konektoru ;-)

Heureux qui, comme Ulysse, a fait un beau voyage.

20.6.2011 12:36 moris | blog: Morisův Blog
Rozbalit Rozbalit vše Re: Open source CzechIdM ve finále soutěže IT produkt roku 2011

Dobrý den,
dovolím si odpovědět za kolegu Zdenka. Ano, jedná se o Identity Connectors. Na našem firemním blogu a vlastně i zde na blobu se nachází článek, kde se snažím zjednodušeně popsat Identity Connector Framework a vývoj konektorů zjednodušeně demonstrovat na vývoji jednoho našeho konektoru.

Založit nové vlákno • Nahoru

Tiskni Sdílej: