Table of Contents

Role

Role v CzechIdM je entita reprezentují soubor (jedno a více) oprávnění na koncovém systému nebo v samotném CzechIdM. Uživatelé získávají role:

Z pohledu identity manageru je jedno, jestli uživatel získá účet v konkrétní aplikaci, je zařazen do nějaké skupiny v LDAP, je mu nastaven příznak „může používat VPN“ nebo mu je nastaveno právo v aplikaci. Vždy se jedná o přidělení role. Takto provedené zjednodušení umožňuje aplikovat obecná pravidla na přidělování všech druhů oprávnění (~rolí) stejným způsobem.

Založení/editace role

Pokud chceme založit novou roli přejdeme na agendu Role a Správa rolía klikneme na tlačítko Přidat. Roli musíme zvolit unikátní jméno v rámci všech rolí, Roli také lze zařadit do jedné a více složek v katalogu rolí.

Každá role může mít nastaveno, kdo je jejím garantem, na garanta se mohou vázat další události jako například schválení přidání role, změna platnosti a její odebrání. Více viz sekce schvalovaní rolí.

U rolí lze nastavit následující atributy:

Poté, co jsou všechny požadované volby zadány, klikneme na Uložit a pokračovat. Tím se rovnou dostaneme do menu Role → Správa rolí, konkrétně rovnou na detail nově vytvořené role.

Na záložce Další údaje lze upravovat rozšířené atributy rolí. Rozšířeným atributům role je věnována samostatná kapitola.

Oprávnění role

Na záložce Oprávnění se definují oprávnění dané role pro CzechIdM. Tímto způsobem je možné vytvořit roli, který přidá uživateli administrátorská práva v CzechIdM.

Při přidávání oprávnění máme možnost pracovat s následujícími atributy:

Automatické role

fig:

Záložka Automatické role umožňuje zavěsit danou roli na organizační strom. To znamená, že role bude přidělována a odebírána uživatelům na základě zařazení/vyřazení uživatele do/z organizační stromové struktury. Agenda automatických rolí zobrazuje aktuální seznam prvků stromové struktury (organizací), ve kterých je aktuálně editovaná role nastavena jako automatická.

fig:

Aktuálně je podporováno pouze vytváření a mazání automaticky přiřazovaných rolí. Změna existující přiřazené role není podporována.

Vytvoření nové automatické role lze provést kliknutím na tlačítko přidat. Lze nastavit následující parametry automatických rolí.

Při zařazení uživatele do struktury je kontrolována platnost Vztahu, pomocí kterého je uživatel zařazován. Je-li vztah uživatele neplatný (dle atributů vztahu platnost od a platnost do), pak

Mění-li se platnost vztahu uživatele, na který má přidělenu automatickou roli, pak se mění i platnost vztahu uživatel ↔ role. Tím je zaručeno, že při začátku či konci vztahu bude vždy role odebrána či přidána bez ohledu na to, jak se měnila platnost vztahu v čase.

Přidáte-li roli jako automatickou do struktury, ve které již sedí nějaký uživatel, pak uživatel tuto roli dostane přiřazenu ihned. Naopak odeberete-li roli jako automatickou ze struktury, kde sedí nějaký uživatel, je tato role všem těmto uživatelům ihned odebrána. Kliknutím na tlačítko přidat na záložce automatická role máte možnost roli zařadit do struktury a nechat ji automaticky přidělovat uživatelům. Je možné specifikovat následující atributy:

Schvalování přidělování rolí

V CzechIdM je několik způsobů přidělení role. V této kapitole je popsáno, jaký proces doprovází manuální přidělení role

V každém z předešlých bodů je vytvořena Žádost o změnu oprávnění,viz kapitola 2.2.3. CzechIdM obsahuje proces, který zajišťuje schvalování této žádosti v následujících krocích

V bodech 1,2,3,5 je schvalována žádost jako celek. Tj. Všechny role, které byly v předchozím krocích schváleny postupují do dalšího kola schvalování. V každém ze schvalovacích kol 1,2,3 má realizátor možnost žádost vrátit k přepracování, zamítnou, nebo potvrdit. Pokud schvalovatel provede vrácení, případně zamítnutí celé žádosti, je notifikován žadatel. Po úspěšném schválení celé žádosti je vygenerovaná notifikace s výsledným stavem žádosti tj. které role byly schváleny a které ne.

Zapnutí či vypnutí těchto kol schvalování (stejně jako definice názvů rolí pro jednotlivá schvalovací kola) lze nastavit v konfiguračním souboru application.propertiesnebo explicitním zadáním na záložce Nastavení → Konfigurace aplikace:

Obrázek 11 Příklad nastavení zapnutí schvalovacích kol

Obrázek 12 Příklad nastavení jmen rolí pro schvalovací kola

Schvalování jednotlivých rolí – rozpad na subprocesy

Hlavní proces o změnu oprávnění se může rozpadnou na menší subprocesy v závislosti na nastavení aplikace. Pod položkou menu Nastavení → Konfigurace aplikacelze nastavit klíče tvaru idm.sec.core.wf.role.approval<1-5>, přičemž hodnotou každého z nich je název workflow, které schvaluje danou úroveň kritičnosti. Kritičnost je vyjádřena číslem na konci každého z klíčů. Základní volby pro hodnoty jsou: approve-role-by-guarantee (schvaluje garant dané role), approve-role-by-manager (schvaluje nadřízený uživatele, pro kterého je žádáno o roli).

V subprocesech je realizováno schválení jednotlivých rolí, o které bylo žádáno v rámci hlavního procesu. Toto schválení probíhá asynchronně pro všechny role. V hlavním procesu je pokračováno až po dokončení posledního subprocesu (ať už zamítnutí nebo schválení).

U každé role také můžeme nastavit její kritičnost. Na kritičnost lze navázat, kdo bude schvalovat změnu oprávnění v subprocesech. V základní aplikaci CzechIdM máme celkem 5 kritičností:

Na každou kritičnost se mohou vázat různé schvalovací workflow. Nastavení příslušných workflow k dané kritičnosti se provádí skrze NastaveníKonfigurace aplikace.

Žádost o změnu oprávnění

Uživatel nebo oprávněný administrátor má možnost měnit role uživatelů pomocí tzn. Žádosti o změnu oprávnění. K žádosti se lze dostat skrze detail uživatele, pro kterého se bude o změnu žádat. Na záložce Přiřazené role je k dispozici formulář zobrazující:

Dále je zde tlačítko „Změnit oprávnění“, pomocí kterého je vyvolán proces Žádost o změnu oprávnění, jak je vidět na následujícím obrázku.

fig:Ve formuláři pro změnu oprávnění lze role přidávat, odebírat, nastavovat platnosti rolí. Odebírat nelze automatické role, ty se přidělují/odebírají automaticky. Role z výběru odstraníme kliknutím na červený křížek v tabulce Aktuálně přiřazené role (včetně požadovaných změn). Kliknutím na oranžový čtvereček se symbolem tužky lze provést editaci přidělení role (stejný formulář jako přidání dále). Nové role se do žádosti vkládají pomocí tlačítka Přidat.

 \\
Obrázek 15: Výběr role

Výběr rolí potvrdíme kliknutím na tlačítko Nastavit.Role můžeme do jedné žádosti přidávat popsaným způsobem opakovaně, pokud chceme například různým rolím nastavovat jiné úvazky či platnosti.

Po vyplnění formuláře je třeba kliknout na tlačítko Podat žádost, pomocí které se formulář pošle k realizaci do procesu Žádost o změnu oprávnění. Pokud je formulář uzavřen tlačítkem zpět (vedle tlačítka Podat žádost), je formulář uložen jako koncept.

Proces žádosti o změnu oprávnění pokračuje schvalováním. Jednotlivým krokům schvalování se věnuje samostatná kapitola 1.1.1. Teprve po schválení v posledním kroku jsou změny aplikovány na uživatele a je odeslána notifikace obsahující seznam všech změn.

Po vytvoření žádosti můžeme na záložce Přiřazené role daného uživatele v tabulce Role čekající na schválení vidět aktuální seznam rolí, o které uživatel žádá a jejich stav.

 \\
Obrázek 16: Tabulka s rolemi, čekajícími na schválení přidělení

Po kliknutí na detail (ikona lupy) se zobrazí aktuální detail procesu, včetně osob, které mohou danou žádost řešit. Po vyřešení celé žádosti o změnu oprávnění vidí uživatel všechny své role v tabulce Přiřazené role.

 \\
Obrázek 17: Seznam přidělených rolí