Magazín KPI
Časopis Katedry počítačov a informatiky FEI TUKE
kpi

Zefektívnenie správy používateľov v zložitej podnikovej sieti

Tento článok sa venuje výsledkom mojej diplomovej práce s názvom “Zefektívnenie správy používateľov v zložitej podnikovej sieti”. Cieľom tejto práce bolo zefektívniť správu používateľov a používateľských skupín v rámci organizačnej zložky spoločnosti Deutsche Telekom.

Spomínanú správu vykonávajú zamestnanci konkrétneho tímu o veľkosti piatich ľudí v rámci T-Systems Slovakia. Tento proces sa týka vyše 1500 používateľov systému a niekoľkých desiatok používateľských skupín, do ktorých sú títo používatelia zaradení a každým dňom tento počet narastá. Spomínaný systém slúži na manažovanie požiadaviek v rámci zákazníckych centier Deutsche Telekom, čo v praxi znamená, že títo používatelia spracovávajú požiadavky na nový paušál, zmenu internetového programu, úpravu televízneho balíčka atď. Požiadavky na vytváranie nových používateľov, zmenu ich používateľských účtov, priradenie do organizačnej skupiny a mnohé ďalšie požiadavky môže vytvárať len skupina manažérov, teda členovia organizačnej zložky Deutsche Telekom, ktorí následne posúvajú tieto požiadavky na spracovanie tímu v T-Systems Slovakia. Aktuálne môže tieto požiadavky vytvárať deväť ľudí na strane Deutsche Telekom. Mojou úlohou bolo celý proces zefektívniť a zjednodušiť, zároveň však zachovať mieru bezpečnosti celého procesu, respektíve zabezpečenie celého procesu ešte navýšiť.

Analýza pôvodného stavu

Najprv bolo potrebné vykonať analýzu pôvodného stavu správy používateľov a používateľských skupín. Pred implementovaním riešenia, ktoré bolo výsledkom diplomovej práce, bol celý proces založený na mailovej komunikácii a manuálnom archivovaní každej jednej požiadavky, týkajúcej sa správy používateľov. To znamená, že zamestnanec organizačnej zložky Deutsche Telekom (ďalej iba zákazník) poslal na tímovú mailovú adresu do T-Systems Slovakia mail s údajmi o používateľskom účte a špecifikoval akciu, ktorá má byť s týmto účtom vykonaná. Následne niektorý člen tímu túto požiadavku spracoval, zaarchivoval mail a požiadavku zapísal do Excel dokumentu, kde musel vyplniť údaje ako čas vytvorenia požiadavky, názov účtu, ktorého sa požiadavka týkala, meno zákazníka, ktorý požiadavku vytvoril atď. Následne bol zákazníkovi zaslaný mail s odpoveďou, že požiadavka bola spracovaná a úspešne vykonaná. Častokrát sa ale stávalo, že mail od zákazníka neobsahoval všetky potrebné údaje a preto bolo nutné ho opätovne kontaktovať so žiadosťou o doplnenie potrebných údajov. Už na pohľad je zrejmé, že takýto proces je značne neefektívny, zdĺhavý a môže počas neho dôjsť aj k zlyhaniu ľudského faktora pri manuálnej archivácii požiadaviek. Navyše, ako som už spomínal, počet používateľov sa stále zvyšuje, čo znamená aj neustály nárast požiadaviek zo strany zákazníkov.

Návrh a implementácia

Preto bolo nutné navrhnúť a implementovať riešenie, ktoré celý tento proces zefektívni a odstráni možné riziká ľudského zlyhania. Zároveň ale bolo nutné zobrať do úvahy možnosti a obmedzenia podnikovej siete v rámci T-Systems Slovakia. Jedná sa o intranet, ktorý je dostupný cez káblové pripojenie v priestoroch T-Systems Slovakia, alebo po pripojení cez zabezpečenú bezdrôtovú sieť prostredníctvom VPN (Virtual Private Network), kedy sa vytvorí tzv. “tunel”, vďaka ktorému je pripojenie do intranetu zabezpečené. Na obrázku nižšie môžete vidieť znázornenú komunikáciu medzi zamestnancami prostredníctvom VPN. Takéto zabezpečenie je nevyhnutné z dôvodu zabezpečenie biznis procesov a ochrany dát.

Na výber teda boli dve alternatívy a to klasická desktopová aplikácia, alebo dynamická webová aplikácia. Jednoznačnou výhodou webovej aplikácie bola dostupnosť z akéhokoľvek zariadenia priamo z internetového prehliadača bez nutnosti inštalovať aplikáciu do zariadenia. Na základe tohto zistenia som sa rozhodol ako riešenie implementovať dynamickú webovú aplikáciu. Už bolo potrebné iba vybrať technológie, ktoré použijem na vývoj webovej aplikácie. Grafické používateľské rozhranie celej aplikácie je tvorené klasickými technológiami ako HTML (Hypertext Markup Language), CSS (Cascading Style Sheets), a JavaScript. Ešte bolo potrebné rozhodnúť sa pre technológiu, ktorá by zabezpečila logiku za používateľským rozhraním. Tu sa núkalo viacero alternatív, ako využitie PHP, ASP.NET alebo Java Servlet. Keďže zo spomenutých technológií mám najväčšie skúsenosti s programovacím jazykom Java, voľba padla na Java Servlet. Tomuto rozhodnutiu nahral aj fakt, že aplikácia je spustená na internom serveri T-Systems Slovakia, na ktorom je operačný systém Linux a nachádza sa tam aj JDK (Java Development Kit), čo značne zjednodušuje nasadenie aplikácie napísanej v programovacom jazyku Java.

Keď bolo jasné, aké technológie budú použité, prišla na rad konzultácia so zákazníkom ohľadom vzhľadu a funkčnosti systému. Na tieto účely boli vytvorené viaceré diagramy, prostredníctvom ktorých boli overované požiadavky zákazníka. Vytvorené boli klasické UML (Unified Modeling Language) diagramy prípadov použitia a diagramy aktivít. Diagramy boli zhotovené čo najjednoduchšie, aby boli ľahko zrozumiteľné. Na základe nich som dostal spätnú väzbu, vďaka čomu som mohol navrhnúť rozloženie tried a komponentov. Nižšie môžete vidieť jeden z prvých diagramov prípadov použitia, ktoré boli predstavené zákazníkovi.

Po overení požiadaviek zo strany zákazníka bol vytvorený tzv. “horizontálny” prototyp, ktorý bol zameraný na vizuálnu stránku webovej aplikácie, čo znamená, že funkcionalita v ňom bola zahrnutá iba okrajovo. Tento prototyp bol na základe pripomienok zákazníka niekoľkokrát upravený, až kým sme nenašli vzhľad a rozloženie prvkov, ktoré bolo podľa požiadaviek zákazníka.

Následne bola webová aplikácia uvedená do skúšobnej a neskôr aj do ostrej prevádzky. Samotná aplikácia je zložená z dvoch rozhraní. V používateľskom rozhraní môžu zákazníci vytvárať požiadavky na správu používateľov a používateľských skupín. Rozloženie samotných komponentov je urobené tak, aby bola celá aplikácia čo najprehľadnejšia a jednoduchá na používanie. Nižšie môžete vidieť hlavnú stránku používateľskej časti webovej aplikácie.

Používatelia môžu zároveň meniť svoje prístupové heslo a mail, na ktorý má prísť vygenerovaná požiadavka vo forme PDF dokumentu na správu používateľov alebo používateľských skupín. Táto požiadavka je odoslaná na tímovú emailovú adresu do T-Systems Slovakia a súčasne aj zákazníkovi, ktorý túto požiadavku vygeneroval vo webovej aplikácii.

V administrátorskom rozhraní je možné spravovať vytvorené požiadavky, používateľov, ktorý majú prístup do používateľskej časti aplikácie atď. Táto časť aplikácie je dostupná iba pre zamestnancov na strane T-Systems Slovakia. Jednotlivé požiadavky je možné vyhľadať podľa dátumu vytvorenia, alebo podľa názvu používateľského účtu alebo názvu používateľskej skupiny. Na obrázku nižšie sú zobrazené výsledky vyhľadávania podľa názvu účtu.

Bezpečnosť navrhnutého riešenia

Ako som už spomínal vyššie, pri návrhu bolo potrebné brať do úvahy aj zabezpečenie aplikácie. Pomerne vysoká bezpečnosť bola docielená umiestnením aplikácie na interný server spoločnosti T-Systems Slovakia, na ktorý je možné pristupovať iba z firemného intranetu. Databáza, s ktorou aplikácia komunikuje sa taktiež nachádza na internom serveri. Na prvý pohľad je takéto zabezpečenie dostačujúce, ale stále je vo vzduchu otázka, čo keď niekto prelomí toto zabezpečenie a získa prístup k aplikácii. Keby došlo k takejto situácii, bol by ohrozený celý systém, ktorý je prevádzkovaný na strane Deutsche Telekom a ktorý spracováva požiadavky z ich zákazníckych centier. Preto bolo nevyhnutné uvažovať, či je možné ešte nejakým spôsobom zvýšiť zabezpečenie aplikácie a tým aj citlivých údajov, ktoré sa nachádzajú v databáze.

Najčastejšie využívanou formou zabezpečenia aplikácií, ktoré sú dostupné až po prihlásení pomocou mena a hesla je dvojstupňová autorizácia. To znamená, že na prístup do aplikácie je potrebné nie len zadanie prístupového mena a hesla, ale taktiež overenie totožnosti používateľa pomocou SMS, bezpečnostného kódu atď. V tomto prípade sa javila ako najschodnejšia možnosť využiť zabezpečenie pomocou biometrických údajov. To som sa rozhodol vykonať tak, že s webovou aplikáciou prepojím UWP (Universal Windows Platform) aplikáciu. Táto aplikácie komunikuje s webovou aplikáciou prostredníctvom WCF (Windows Communication Foundation) webovej služby.

UWP aplikáciu je možné spustiť na zariadeniach s operačným systémom Windows 10, od telefónov až po klasické desktopy, na ktorých, ale nemá prakticky žiadne využitie. Primárne je táto aplikácie určená pre telefóny a tablety, ktoré majú potrebný hardvér na overenie biometrických údajov, ako je čítačka odtlačkov prstov, skener očnej dúhovky atď. Táto aplikácia overuje totožnosť vlastníka zariadenia pomocou funkcie Windows Hello. V praxi to znamená, že používateľ musí pri prvom prihlásení do UWP aplikácie zadať prístupové meno a heslo a následne je overená jeho totožnosť ako vlastníka zariadenia pomocou biometrických údajov. Pri opätovnom prihlásení už nie je potrebné zadávať prístupové údaje, rovno je overovaná totožnosť používateľa pomocou biometrických údajov. Overenie biometrických údajov je pomerne rýchle, samotná rýchlosť celého procesu však závisí od zariadenia a typu biometrických údajov, ktoré sú overované. Nižšie môžete vidieť prihlasovanie na zariadení Lumia 950, ktoré skenuje očnú dúhovku, kde tento proces trvá asi jednu sekundu.

Po prihlásení do UWP aplikácie je možné na prihlasovacej stránke webovej aplikácie kliknúť na tlačidlo “Login with QR code”, ktoré sa nachádza v pravom hornom rohu prihlasovacej stránky.

Keď používateľ klikne na túto možnosť, vo webovej aplikácii sa objaví QR kód, ktorý je následne možné naskenovať pomocou UWP aplikácie. Potreba naskenovať QR kód je z dôvodu overenia fyzickej prítomnosti používateľa pri zariadení, na ktorom je spustená webová aplikácia. Po úspešnom naskenovaní QR kódu dostane používateľ oznámenie, že prihlásenie prebehlo úspešne a že môže zavrieť aplikáciu.

Záver

Webová aplikácia značne zefektívnila proces správy používateľov a používateľských skupín. Celý proces je rýchlejší, jednoduchší a odpadla potreba manuálnej archivácie vytvorených požiadaviek, nakoľko je každá jedna požiadavka automaticky po jej vytvorení archivovaná v databáze a zároveň je vygenerovaný PDF dokument uložený na serveri. Cestu k jednotlivým požiadavkám, ktoré sú uložené na serveri je možné nájsť v administrátorskej časti webovej aplikácie, vďaka čomu je možné požiadavky v prípade potreby jednoducho vyhľadať. Zároveň nie je nutné opätovne kontaktovať zákazníkov z dôvodu neuvedenia všetkých potrebných údajov v požiadavke na správu používateľov. Požiadavku nie je možné odoslať bez vyplnenia všetkých povinných polí, ktoré sa líšia od druhu požiadavky, či ide o vytvorenie nového používateľa, zmenu jeho hesla atď. Zároveň bola zachovaná bezpečnosť celého procesu, či už umiestnením aplikácie a databázy na interné servery spoločnosti T-Systems Slovakia, alebo zabezpečením prístupu do webovej aplikácie pomocou biometrických údajov, ktoré sú overované v UWP aplikácii. Dovolím si tvrdiť, že výsledok tejto diplomovej práce splnil svoj účel, aj keď je niekoľko vylepšení, ktoré môžu byť v budúcnosti implementované.

Linkovať