A role in CzechIdM is an entity representing a set (1 or many) of permissions/privileges on the end system or in CzechIdM itself. Users acquire roles:
From the perspective of the identity manager, it does not matter whether the user acquires an account in a specific application, is placed in a group in LDAP, his indication is set to “can use VPN”, or a permission is set for him in the application. In all the cases, a role is assigned. A simplification carried out like this allows general rules to be applied for assigning all types of permissions (~roles) in the same way.
To create a new role, go to Role agenda and Role management tab, then click Add. A unique name for the role must be chosen within all the roles. The role can also be placed in one or more folders in the catalogue of roles.
Každá role může mít nastaveno, kdo je jejím garantem, na garanta se mohou vázat další události jako například schválení přidání role, změna platnosti a její odebrání. Více viz sekce schvalovaní rolí.
A guarantee can be set for every role. Other processes can be related to the guarantee such as approval of assigning a role, change in time validity and its removal from user. See more in the section about role approval.
The following attributes can be set with every role:
After all the requested selections have been entered, click on Save and continue. This will bring you straight to the menu Role → Role management, specifically to the detail of the newly created role.
Extended role attributes can be edited in the tab More information. A separated chapter is thia guide is dedicated to extended role attributes.
Role permissions – Permissions of a given role for administrator actions in CzechIdM are defined in the tab Permissions. A permission for CzechIdM is not necessarily defined for every role.
To add some permissions for actions in CzechIdM to a role, click the button Add. The following attributes can then be worked with:
Při přidávání oprávnění máme možnost pracovat s následujícími atributy:
Záložka Automatické role umožňuje zavěsit danou roli na organizační strom. To znamená, že role bude přidělována a odebírána uživatelům na základě zařazení/vyřazení uživatele do/z organizační stromové struktury. Agenda automatických rolí zobrazuje aktuální seznam prvků stromové struktury (organizací), ve kterých je aktuálně editovaná role nastavena jako automatická.
Vytvoření nové automatické role lze provést kliknutím na tlačítko přidat. Lze nastavit následující parametry automatických rolí.
Při zařazení uživatele do struktury je kontrolována platnost Vztahu, pomocí kterého je uživatel zařazován. Je-li vztah uživatele neplatný (dle atributů vztahu platnost od a platnost do), pak
Mění-li se platnost vztahu uživatele, na který má přidělenu automatickou roli, pak se mění i platnost vztahu uživatel ↔ role. Tím je zaručeno, že při začátku či konci vztahu bude vždy role odebrána či přidána bez ohledu na to, jak se měnila platnost vztahu v čase.
Přidáte-li roli jako automatickou do struktury, ve které již sedí nějaký uživatel, pak uživatel tuto roli dostane přiřazenu ihned. Naopak odeberete-li roli jako automatickou ze struktury, kde sedí nějaký uživatel, je tato role všem těmto uživatelům ihned odebrána. Kliknutím na tlačítko přidat na záložce automatická role máte možnost roli zařadit do struktury a nechat ji automaticky přidělovat uživatelům. Je možné specifikovat následující atributy:
V CzechIdM je několik způsobů přidělení role. V této kapitole je popsáno, jaký proces doprovází manuální přidělení role
V každém z předešlých bodů je vytvořena Žádost o změnu oprávnění,viz kapitola 2.2.3. CzechIdM obsahuje proces, který zajišťuje schvalování této žádosti v následujících krocích
V bodech 1,2,3,5 je schvalována žádost jako celek. Tj. Všechny role, které byly v předchozím krocích schváleny postupují do dalšího kola schvalování. V každém ze schvalovacích kol 1,2,3 má realizátor možnost žádost vrátit k přepracování, zamítnou, nebo potvrdit. Pokud schvalovatel provede vrácení, případně zamítnutí celé žádosti, je notifikován žadatel. Po úspěšném schválení celé žádosti je vygenerovaná notifikace s výsledným stavem žádosti tj. které role byly schváleny a které ne.
Zapnutí či vypnutí těchto kol schvalování (stejně jako definice názvů rolí pro jednotlivá schvalovací kola) lze nastavit v konfiguračním souboru application.propertiesnebo explicitním zadáním na záložce Nastavení → Konfigurace aplikace:
Obrázek 11 Příklad nastavení zapnutí schvalovacích kol
Obrázek 12 Příklad nastavení jmen rolí pro schvalovací kola
Hlavní proces o změnu oprávnění se může rozpadnou na menší subprocesy v závislosti na nastavení aplikace. Pod položkou menu Nastavení → Konfigurace aplikacelze nastavit klíče tvaru idm.sec.core.wf.role.approval<1-5>, přičemž hodnotou každého z nich je název workflow, které schvaluje danou úroveň kritičnosti. Kritičnost je vyjádřena číslem na konci každého z klíčů. Základní volby pro hodnoty jsou: approve-role-by-guarantee (schvaluje garant dané role), approve-role-by-manager (schvaluje nadřízený uživatele, pro kterého je žádáno o roli).
V subprocesech je realizováno schválení jednotlivých rolí, o které bylo žádáno v rámci hlavního procesu. Toto schválení probíhá asynchronně pro všechny role. V hlavním procesu je pokračováno až po dokončení posledního subprocesu (ať už zamítnutí nebo schválení).
U každé role také můžeme nastavit její kritičnost. Na kritičnost lze navázat, kdo bude schvalovat změnu oprávnění v subprocesech. V základní aplikaci CzechIdM máme celkem 5 kritičností:
Na každou kritičnost se mohou vázat různé schvalovací workflow. Nastavení příslušných workflow k dané kritičnosti se provádí skrze Nastavení – Konfigurace aplikace.
Uživatel nebo oprávněný administrátor má možnost měnit role uživatelů pomocí tzn. Žádosti o změnu oprávnění. K žádosti se lze dostat skrze detail uživatele, pro kterého se bude o změnu žádat. Na záložce Přiřazené role je k dispozici formulář zobrazující:
Dále je zde tlačítko „Změnit oprávnění“, pomocí kterého je vyvolán proces Žádost o změnu oprávnění, jak je vidět na následujícím obrázku.
Ve formuláři pro změnu oprávnění lze role přidávat, odebírat, nastavovat platnosti rolí. Odebírat nelze automatické role, ty se přidělují/odebírají automaticky. Role z výběru odstraníme kliknutím na červený křížek v tabulce Aktuálně přiřazené role (včetně požadovaných změn). Kliknutím na oranžový čtvereček se symbolem tužky lze provést editaci přidělení role (stejný formulář jako přidání dále). Nové role se do žádosti vkládají pomocí tlačítka Přidat.
Výběr rolí potvrdíme kliknutím na tlačítko Nastavit.Role můžeme do jedné žádosti přidávat popsaným způsobem opakovaně, pokud chceme například různým rolím nastavovat jiné úvazky či platnosti.
Po vyplnění formuláře je třeba kliknout na tlačítko Podat žádost, pomocí které se formulář pošle k realizaci do procesu Žádost o změnu oprávnění. Pokud je formulář uzavřen tlačítkem zpět (vedle tlačítka Podat žádost), je formulář uložen jako koncept.
Proces žádosti o změnu oprávnění pokračuje schvalováním. Jednotlivým krokům schvalování se věnuje samostatná kapitola 1.1.1. Teprve po schválení v posledním kroku jsou změny aplikovány na uživatele a je odeslána notifikace obsahující seznam všech změn.
Po vytvoření žádosti můžeme na záložce Přiřazené role daného uživatele v tabulce Role čekající na schválení vidět aktuální seznam rolí, o které uživatel žádá a jejich stav.
Po kliknutí na detail (ikona lupy) se zobrazí aktuální detail procesu, včetně osob, které mohou danou žádost řešit. Po vyřešení celé žádosti o změnu oprávnění vidí uživatel všechny své role v tabulce Přiřazené role.