Audit

CzechIdM obsahuje kompletní auditní informace o spravovaných objektech jako je Identity, Role, Organizace, Vztah a vybraných operacích např. Synchronizace. Auditní informace jsou dostupné formou „snapshotu“ neboli jak vypadal daný objekt nebo výsledek operace v čas nějaké změny. Tento otisk lze v auditu dohledat a porovnat s libovolným jiným otiskem nebo se současným stavem objektu.

Identita je v CzechIdM natolik důležitá entita, že si vysloužila vlastní agendu v GUI pro práci s auditními informacemi. Do agendy se dostaneme kliknutím na Audit → Audit → Audit pro uživatele.Tato agenda je oproti běžnému auditu pro entity význačná zejména tím, že vyhledává uživatele dle zadaného loginu a do vyhledaných objektů přidává také vztah uživatele na jiné objekty, například

• role uživatele
• vztahy uživatele
• rozšířené atributy uživatele

Jedním dotazem tak můžeme zjistit, jaké role nebo úvazky uživatele byly měněny. Filtr auditu pro identity obsahuje zejména pole Uživatelské jménopro vložení loginu identity, kterou hledáme.

Na audit pro entity se v GUI dostaneme pomocí menu Audit → Audit. V pravé části obrazovky se zobrazí formulář obsahující dvě záložky: Audit pro entity a audit pro uživatele. Nejprve se budeme zabývat auditem pro entity.

Audit pro entity obsahuje často velmi mnoho záznamů (například až desítky milionů), proto je při procházení auditu nejvhodnější použít filtr. Ten rozklikneme stejně jako na každém formuláři jenž jej podporuje, a to pomocí tlačítka Filtr s obrázkem trychtýře. Na filtru máme možnost vyznačit zejména následující položky:

• Datum od – Nastavením tohoto data bude omezeno hledání změn na objektu pouze na toto dané období
• Datum do - Nastavením tohoto data bude omezeno hledání změn na objektu pouze na toto dané období
• Typ Entity – Nejdůležitější atribut pro filtrování auditních záznamů. Určuje, jaký typ objektu chceme hledat. Zajímavé jsou zejména následující typy objektů
  • IdmIdentity – Identita
  • IdmIdentityRole – Vazba Identit a Rolí
  • IdmRole - Role
  • IdmConfiguration – Konfigurace aplikace CzechIdM
  • IdmRoleCatalogue – Katalog rolí
  • IdmTreeNode – Organizační strom
  • IdmFormDefinition – Rozšířené atributy objektů (například rozšířené atributy Identit)
• Typ modifikace – je vhodné zejména pro nalezení záznamu, kdy objekty vznikly/zanikly
  • Vytvoření
  • Smazání
  • Modifikace
• Akci provedl – tato volba umožňuje filtrovat log dle uživatele, který provedl akci. Zadává se uživatelské jméno (login).
• Id entity – tato volba omezuje filtr pouze na jeden konkrétní objekt. Například na změny nad konkrétní Identitou knovak. Do tohoto pole se zadává unikátní identifikátor. Identifikátor objektu lze vyčíst následujícím způsobem:
  • Identita - V detailech konkrétní identity: na záložce Uživatelé a po rokliknutí na detail uživatele přejdeme na záložku Audit. Pomocí znaku lupa rozklikneme libovolný záznam v tabulce a v jednom z atributů vidíme ID entity.
  • Ostatní objekty – V detailech objektu například Role vyhledáme identifikátor jako řetězec v URL našeho webového prohlížeče. Například: https://somedomain.com/idm/#/role/767b8e11-122c-433a-9cde-2d686061aa3d/detail?_k=mppk0y označuje id ihned za názvem objektu, v tomto případě za /role/.Id je zde //767b8e11-122c-433a-9cde-2d686061aa3d//.

Všechny požadavky na zapsání do spravovaného systému ("provisioning") jsou ukládány do fronty, po zpracování fronty jsou archivovány. Viz detailní popis v kapitole Systémy - Fronta pro provisioning.

Workflows in CzechIdM represent a process – e.g. New Identity, Start of maternity leave. These are basically an executable part of the application which realize these processes. From the perspective of architecture, it is, in fact, a state automatic machine which executes a pre-defined action in its individual states, e.g. it sends an email to the manager when a new identity has been created or it creates a task for the IT department when an employee has left to remove all his access.

All executions of these workflows are registered in the audit log in the menu Audit → Workflow history.

The name of the workflow instance is always comprised of the name of the workflow itself and a variable which most often defines for which process this instance has been executed. For example, from the name Change permissions request for "Administrator", it is obvious that it is a workflow servicing a change permissions request and it has been executed for the user “Administrator” in this instance. The values of the variables in the workflow name are usually marked with quotation marks.

The workflow name often also contains names of entities. For example, if you put the value Administrator in the box Name in this form, you will then get all the workflows related to this user. In contrast, if you enter „Change permissions request“ in the Name box, you will then get all workflows for change permissions request for all users.