Вышло обновление 1.01 IDM Midpoint DEMO EPPL помимо исправления ошибок были добавлены новые функции:

• Ускоренная реконсиляция на нескольких Node

• Стоп лист для генерации логинов

• Бесконечные логины

• Мелкие улучшения и исправления ошибок

Долгие отношения с IDM Midpoint не могли пройти без последствий, так родилось это DEMO под названием EPPL - Employment Position Project LDAP. Как видно из названия это продолжение статей про концепцию Сотрудник Трудоустройства и Назначения на Должность в Midpoint. Но DEMO гораздо больше чем просто перенос кода, когда я описывал концепцию это был поиск, погоня за идей, которая местами уводила не в то место или просто что-то упускалось. В DEMO же во-первых все оттестировано(те функции что показаны ниже), найдена масса моих багов и к сожалению много переписано.. Комментировать код на этот раз не буду, но все что сделано-переделано отражено на окончательной схеме.

Добавляем в концепцию Сотрудник‑Трудоустройство‑Назначение на должность концепцию Проекты. Допустим что у нас нет источника где написано у кого какой проект, и мы не можем их создать из ресурса и развесить как делали это с трудоустройствами и назначениями. Пусть у нас будет динамическое, даже автономно‑персональное, создание проекта и управления правами и участниками проекта. Проект в философском смысле это всего лишь — управление членами проекта, и правами проекта.

Продолжаем реализацию концепции Сотрудник-Трудоустройство-Назначение на должность в IDM Midpoint. У нас на стороне Админа все выстроилось все назначается, теперь надо это реализовать со стороны пользователей! Даже если вы думаете что напишите свою GUI тут надо в первую очередь решить проблемы с авторизацией для просмотра для действий для этого подойдёт и встроенное GUI - в данный момент(4.9.1) частично не работает частично невозможно получается - кое что пришлось переделать по сравнению с частью 1,2 этого повествования.

Окончательная схема работающей концепции Сотрудник-Трудоустройство-Назначение на должность в IDM Midpoint 4.9.1

Продолжаем реализацию концепции Сотрудник-Трудоустройство-Назначение на должность в IDM Midpoint. В первой части мы настроили носители информации и пути её перетекания из профиля сотрудника в трудоустройства и назначения из кадрового источника. Теперь будем делать тоже самое с ролями. Нам потребуется еще две концепции Forward роли и nickNmae как роль.

Один из механизмов IDM Midpoint — Personas позволяет создавать управляемых двойников и хотя сами разработчики не очень доверяют этой функции (прочитайте вот тут внизу — типичный Evolveum) его вполне можно использовать в интересных сценариях. В статье не только покажу как можно использовать Personas но и залезу в дебри авторизации, потому что одно дело делать все Midpoint админом вручную а другое «давайте сами всё через GUI»!

Что такое Personas человеческим языком — это создание и обновление через маппинг сущности User — связь User to User. Пользователю А дается роль которая создает еще одного пользователя В, в которого по маппингу копируется данные из пользователя А. Если в А что то меняется и на это есть маппинг то это сразу обновляется в В. Вся суть в этой связи, а В сам по себе еще один полноценный пользователь для Midpoint.

Реализации концепции Сотрудник-Трудоустройство-Назначение на должность в IDM Midpoint нет. Это видимо из-за наивного представления что сотрудник будет работать в той компании в которую устраивается и трудоустройство у него будет одно... но это слишком наивное представление о работе, в реальности сотрудник думает что устраивается в одну известную компанию, а оказывается что это не компания а бренд, а в этом бренде несколько компаний, оформят его рандомно в одну из них, да еще например поставят работать в головной офис, а оформят в регион потому что там зарплата меньше, но сразу скажу что дальше концепцию на регионы или проекты я продлевать не стал хотя это тоже можно сделать. В этой первой части я сосредоточусь на скелете концепции и на перетекании информации в нем.

Подключение IDM Midpoint к Microsoft Active Directory (MS AD) стандартная и ключевая задача, однако практического руководства как это сделать от Evolveum (и не только) нет, постараюсь досконально описать как это делать!

Типовая задача: сотруднику нужна сетевая папка на Windows сервере. Чтобы её создать нужен Админ, чтобы раздать к ней права нужен Админ - убираем Админа из этой задачи при помощи IDM Midpoint.

Упрощённая схема, чтобы понять что происходит

IDM от Evolveum Midpoint обещает много, делает только то, что считает нужным. Крайне редкое и малоописанное решение, но в России его любят. СберТех построил на Midpoint свой Platform V IDM и не скрывает этого, по некоторым данным даже обновляет его до последней версии, но demo нет, так что не проверить. По слухам есть ещё две российские IDM, которые тоже выстроены на Midpoint, но на старых версиях, и они это не афишируют. Evolvеum в своих презенташках упирает на то, что Midpoint всё может, а что не может во-первых не нужно, а во-вторых это в старых IDM так было, а мы новые - мы лучше! Так, например, отлично проработана выдача ролей, а вот их отъём в принципе нет, официальный ответ «Не думайте о том как отобрать роль, думайте как её не выдать». Midpoint работает с состояниями, забирает их в себя, хочет быть посредником (это прям в его названии), какие-то команды получать не хочет, хотя есть REST API и можно управлять ими командами, но для этого надо писать внешний сервис для внешних заявок - посредника для посредника!

Но всё равно работу в самом Midpoint c внешними заявками можно реализовать имеющимися инструментами.