System Pracy Grupowej

W chwili obecnej jednym z poważnych problemów Uczelni jest mnogość rozwiązań poczty elektronicznej, obiegu dokumentów, zwoływania spotkań, czy nawet funkcjonowania globalnej książki adresowej pracowników. Często rozwiązania lokalne (na Wydziałach, Instytutach, Zakładach i jednostkach pozawydziałowych) bazują na rozwiązaniach typu OpenSource, które w większości przypadków zaspokajają niezbędne minimalne wymagania dot. obsługi poczty elektronicznej. Równie często wykorzystywanym oprogramowaniem do obsługi poczty elektronicznej jest też Microsoft Outlook. Niestety, możliwości tego oprogramowania nie są wykorzystywane w pełni, z uwagi na ograniczoną funkcjonalność serwerów pocztowych bazujących na oprogramowaniu OpenSource (np. Postfix, Dovecot, Sendmail). Książki adresowe, kalendarze tworzone są lokalnie, co sprawia, że nie są one możliwe do wykorzystania przez innych użytkowników. 

Do tego należy także dodać problemy, jakie uwidoczniły się podczas wdrożenia system SAP ERP.  Związane one były z brakiem zdalnej możliwości dystrybucji oprogramowania na komputerach użytkowników, co znacznie wydłużało proces wdrożenia, gdyż wdrożenie obejmowało wiele jednostek organizacyjnych PW.

Sednem tych problemów jest brak domeny Active Directory dla systemów Windows, które są praktycznie jedynymi systemami wykorzystywanymi w części administracyjnej Uczelni, tj. np. w dziekanatach, kwesturze, sekretariatach - wydziałów i innych jednostek Uczelni, tam, gdzie system SAP oraz USOS będą wspierać masowo obsługę pracowników oraz studentów.

Uproszczenie i przyspieszenie realizacji wielu zadań administracyjnych na komputerach użytkowników, jak zdalna instalacja oprogramowania, ochrona antywirusowa, aktualizacja oprogramowania użytkowego oraz systemu Windows, ustalanie  polityk bezpieczeństwa oraz ich monitorowanie, to klucz w efektywnym wsparciu użytkowników, które jest istotnym zadaniem Centrum Informatyzacji.

Pojawiające się nowe technologie coraz częściej zakładają istnienie domeny Active Directory. Jej brak komplikuje możliwość wykorzystania nawet takich urządzeń, jak, np. drukarki sieciowe z funkcją skanera, które zeskanowane dokumenty zapisują na dysku sieciowym serwera włączonego w strukturę domeny Active Directory. Oczywiście znanym obejściem w takiej sytuacji jest stworzenie serwerów plików. Powoduje to jednak dodatkowe komplikacje, w tym konieczność tworzenia kolejnych nazw użytkowników, zapamiętywania ich bądź na komputerze, bądź też ich bezpośrednie przekazywanie użytkownikom, co w praktyce prędzej czy później sprawi, że wpłynie to na bezpieczeństwo sieci, która przecież jest tak bezpieczna jak jej najsłabsze ogniwo.

Brak jest również centralnego zarządzania tożsamością oraz dostępem. Oprócz stawiania firewalli czy urządzeń klasy IDS/IPS, kluczowe dla zapewnienia bezpieczeństwa, chociażby w aspekcie ochrony danych osobowych, są: uwierzytelnianie, autoryzacja oraz kontrola dostępu do zasobów sieciowych. Zastosowanie rozwiązań opartych o „AAA” (Authentication, Authorization, Accounting), opiera się na zarządzaniu oraz weryfikacji tożsamości.

Wszystkie te krótko scharakteryzowane problemy stały się podstawą projektu systemu pracy grupowej bazującego na wprowadzeniu zarządzania tożsamością i dostępem oraz usługach  domeny Active Directory.

W projekcie przeprowadzona zostanie w szczególności analiza grup użytkowników, którzy będą docelowo włączeni do systemu zarządzania tożsamością i dostępem, tj.:

  • kandydaci, rejestrujący się podczas rekrutacji (system Rekrutacji); 
  • pozostali studenci, np. po przeniesieniu z innej uczelni w trakcie roku akademickiego; 
  • pracownicy naukowo-dydaktyczni; 
  • pracownicy administracji wydziałowej; 
  • pracownicy administracji centralnej oraz jednostek niebędących wydziałami; 
  • w szczególnych przypadkach osoby spoza PW (każdy przypadek powinien być rozpatrywany i obsługiwany indywidualnie).

Analiza dotyczyć będzie także możliwości integracji systemów użytkowych, które powinny zostać objęte systemem zarządzania dostępem i tożsamością w zakresie zdefiniowania mechanizmów kontroli dostępu oraz metod uwierzytelniania, autoryzacji i rozliczalności (bilingowanie) użytkowników.

Przewiduje się, że w zakresie systemu poczty elektronicznej i usług komunikacji, wdrożone zostaną następujące usługi:

  • dostęp do systemu kalendarzowego z możliwością zwoływania spotkań, wysyłania zaproszeń do innych użytkowników tego samego systemu; nadawania/odbierania dostępu innym użytkownikom tego samego systemu do kalendarzy, których właścicielem jest dany użytkownik; 
  • dostęp do kontaktów z możliwością tworzenia list dystrybucyjnych, współdzielenia ich z innymi użytkownikami tego samego systemu, nadawania/odbierania dostępu przez właściciela danego kontaktu (kontaktów) innym użytkownikom tego samego systemu; 
  • wysyłanie żądań dostępu do pewnych funkcjonalności przez użytkowników do właściciela danej usługi (np. żądania dołączenia do danej listy dystrybucyjnej) bez konieczności ingerencji administratora.

W ramach prac określone zostaną, m.in.:

  • parametry kont, takie jak wielkość skrzynki, czy standardowe funkcjonalności przydzielanie wszystkim użytkownikom; 
  • zasady zarządzania skrzynkami pocztowymi z poziomu administratora serwera (np. określenie zasobów dyskowych w zależności od parametrów urządzeń dla różnych składowych skrzynek pocztowych – wiadomości starsze, wiadomości wykorzystywane na bieżąco); 
  • dostęp zdalny do zasobów systemu pracy grupowej z dowolnego miejsca i urządzeń niedołączonych do systemu pracy grupowej (niepowiązanych z systemem pracy grupowej żadnymi relacjami, funkcjonujące poza domeną komputerów); 
  • wymagania na tworzenie kopii zapasowych systemu pracy grupowej.

Zarządzanie tożsamością uwzględni również bezpieczne pozyskiwanie następujących informacji:

  • danych osobowych z systemu SAP (dane pracowników); 
  • danych osobowych z systemu USOS (studenci); 
  • danych z innych źródeł (np. plikowych); 
  • informacji niezbędnych do prowadzenia efektywnego wsparcia przez Service Desk; 
  • danych z systemu REPO, w tym w aspekcie wykorzystania danych historycznych (poza systemem klasy IDM); 
  • danych z systemu bibliotecznego (Aleph); 
  • danych dla systemu pocztowego OracleComms, Exchange; 
  • danych dla zapewnienia dostępu bezprzewodowego (Wi-Fi); 
  • danych dla dostępu do VPN.

W rezultacie stworzony zostanie centralny katalog użytkowników, dający np. możliwość dołączenia komputerów, drukarek, serwerów plików i in. Można będzie wykorzystać też dodatkową funkcjonalność w postaci Unified Communications (ujednolicona komunikacja i współpraca). Dzięki niej  otrzymamy możliwość wykonywania rozmów telefonicznych pomiędzy użytkownikami domeny, a także uruchomienie, np. komunikatora.

Usługa katalogowa, w połączeniu z systemem zarządzania tożsamością, pozwoli na scentralizowane i docelowo zautomatyzowane zarządzanie kontami. Dzięki danym z system SAP i systemu EWISTA oraz USOS, stworzymy możliwość zarządzania dostępem do różnych usług, a także zaktualizujemy konta użytkowników. Stworzenie struktury Active Directory daje także możliwość wdrożenia infrastruktury PKI, np. celem wygodnego i bezpiecznego dostępu do sieci bezprzewodowej, która w dużej skali została wdrożona w większości budynków Politechniki Warszawskiej. Logując się do domeny uzyskamy, tzw. “pojedyncze logowanie”, co rozwiązuje problem istnienia wielu nazw użytkownika i haseł.

Domena Active Directory umożliwi wykorzystanie innych produktów firmy Microsoft. Integracja wprowadzi możliwość synchronizacji takich danych, jak dokumenty, poczta za pomocą grubego (Microsoft Office, One Drive for Businnes) i cienkiego klienta (Sharepoint, Office Web Apps, Outlook Web App). Systemy Microsoftu bardzo dobrze wspierają pracę na systemach mobilnych (smartfony, tablety).

Centralizacja systemów oraz możliwość pomocy zdalnej przyczyni się do szybkiego i bardziej efektywnego wsparcia użytkowników przez zespół Service Desk.

Docelowo, sukcesywne wdrażanie systemu pracy grupowej uprości infrastrukturę sieciową, zminimalizuje ryzyko niepożądanego ruchu w sieci, odciąży przełączniki sieciowe dzięki zmniejszeniu generowanego, niepotrzebnego ruchu (centralizacja systemów serwer – host). Umożliwi to optymalizację zasobów i lepszą priorytetyzację ruchu.

Inwentaryzacja i kontrola nad zasobami będzie kolejnym atutem systemu pracy grupowej.

Dodatkowo, automatyzacja aktualizacji oprogramowania, oraz prognozowanie i skalowanie środowiska, a także stacji roboczych umożliwi łatwiejsze i szybsze ustalanie potrzebnego budżetu (zakup licencji, stacji roboczych, urządzeń sieciowych, drukarek).

W związku z projektem, zapraszamy Państwa do współpracy, w szczególności na etapie analizy, celem ustalenia szczegółowych wymagań, które zostaną następnie zrealizowane w ramach projektu, zgodnie z Państwa oczekiwaniami.