Instalační balíčky CzechIdM

Implementované procesy

Definice oprávnění v identity manageru

Zdroj dat

Struktura synchronizovaných dat

Pro implementaci identity manageru formou balíčku je třeba součinnost v podobě zpřístupnění zdrojových dat odpovídajících následující struktuře. Zpřístupnění může být formou databázové tabulky, pohledu nebo CSV souborů. Názvy sloupců mohou být libovolné.

Struktura View nebo CSV odpovídá objektům Identita (Identity),Vztah(Contracts),Organizace (Department, Position) znázorněné na následujícím obrázku https://wiki.czechidm.com/_media/devel/adm/idm_entities.png

Identity

Tabulka identit, slouží jako základní zdroj informací pro založení identity uživatele v CzechIdM.

atribut unikátní povinný poznámka
id * * často osobní číslo, ideálně v čase neměnný identifikátor, který není po ukončení vztahu s osobou "recyklován"
login * minimální délka 2 znaky, pokud není dostupný, generuje login identity manager
jméno
příjmení
titul před
titul za
email standardně je použit pro předávání hesla
mobilní telefon v případě napojení identity manageru na SMS bránu může být na mobil zasíláno heslo SMSkou
timestamp časová značka změny, ideálně tzv. "unix timestamp"

Kontrakty

Běžně může mít identita v identity manageru evidováno více kontraktů, pro tyto případy je možné kontrakty synchronizovat z externího zdroje stejně jako tomu je u identit. Pokud nejsou kontrakty v organizaci využívány, není tato synchronizace nutná - identity manager si "sám" založí výchozí kontrakt na který navazuje veškerou funkčnost.

Kontrakty (Contracts) si lze představit jako PPV, DPP, DPČ zaměstnance nebo kontrakt externího dodavatele, stážista na oddělení, studium na fakultě, účastník na neplaceném projektu a další. U kontraktu je nejdůležitější vlastník a mají-li být řízeny automatické procesy jako nástup zaměstnance nebo ukončení zaměstnance, pak i platnosti kontraktů od/do.

atribut unikátní povinný poznámka
id * * klíč pro zpracování
název pracovní pozice např. "Vrchní sestra", nepovinné
vlastník * reference na id osoby
platnost od sql timestamp - Platnost pracovní smlouvy nebo kontraktu
platnost do sql timestamp - Platnost pracovní smlouvy nebo kontraktu
vyřazení z ev. počtu boolean, příznak vyřazení z evidenčního počtu
hlavní kontrakt boolean, příznak hlavního kontraktu. Pokud není uveden, je využit automatický výpočet
nadřízený reference na id osoby, lze využít i bez organizační struktury
organizace reference na id z organizační struktury
timestamp časová značka změny, ideálně tzv. "unix timestamp"

Organizační struktura

V případě požadavku na synchronizaci organizační struktury do identity manageru je třeba dodržet následující strukturu dat. Do takto synchronizované organizační struktury mohou být přiřazeny kontrakty identity. I když identity manager podporuje více organizačních struktur, v rámci instalačních balíčků je synchronizována pouze jedna. Při odstranění prvku organizační struktury ze zdroje dat je odpovídající část org. struktury v identity manageru smazána pouze pokud je prázdná.

atribut unikátní povinný poznámka
id * * neměnný klíč pro zpracování
název * * unikátní název organizační jednotky nebo pozice
rodič reference na id nadřízeného prvku organizační struktury

Všechny sloupce jsou datového typu varchar s limitem 254 znaků až na časové razítko, které je typu timestamp.

Formát CSV souborů

Pokud je jako zdroj použit CSV soubor, musí být v následujícím formátu:

Cíl dat

Podporované cíle dat:

MS AD - struktura synchronizovaných dat

atribut povinný poznámka
DN * distinguished name
sAMAccountName login uživatele
cn common name - často používané jako RDN
displayName název účtu uživatele, často se zobrazuje v aplikacích používajících AD
description
password
sn přijmení
givenName křestní jméno
mail email uživatele
userPrincipalName login + doména

Není li definováno níže jinak, jsou výše uvedené atributy předávány z identity uživatele bez transformace.

Má-li se spravovat heslo z IdM (password), musí zákazník nakonfigurovat SSL spojení k AD přes port 636 (LDAP protokol).

Význačné atributy s transformací:

Požadavky na HW/SW prostředí

Součinnost zákazníka

Níže uvedené úkony se očekávají jako součinnost zákazníka: