Pro implementaci identity manageru formou balíčku je třeba součinnost v podobě zpřístupnění zdrojových dat odpovídajících následující struktuře. Zpřístupnění může být formou databázové tabulky, pohledu nebo CSV souborů. Názvy sloupců mohou být libovolné.
Struktura View nebo CSV odpovídá objektům Identita (Identity),Vztah(Contracts),Organizace (Department, Position) znázorněné na následujícím obrázku https://wiki.czechidm.com/_media/devel/adm/idm_entities.png
Tabulka identit, slouží jako základní zdroj informací pro založení identity uživatele v CzechIdM.
atribut | unikátní | povinný | poznámka |
---|---|---|---|
id | * | * | často osobní číslo, ideálně v čase neměnný identifikátor, který není po ukončení vztahu s osobou "recyklován" |
login | * | minimální délka 2 znaky, pokud není dostupný, generuje login identity manager | |
jméno | |||
příjmení | |||
titul před | |||
titul za | |||
standardně je použit pro předávání hesla | |||
mobilní telefon | v případě napojení identity manageru na SMS bránu může být na mobil zasíláno heslo SMSkou | ||
timestamp | časová značka změny, ideálně tzv. "unix timestamp" |
Běžně může mít identita v identity manageru evidováno více kontraktů, pro tyto případy je možné kontrakty synchronizovat z externího zdroje stejně jako tomu je u identit. Pokud nejsou kontrakty v organizaci využívány, není tato synchronizace nutná - identity manager si "sám" založí výchozí kontrakt na který navazuje veškerou funkčnost.
Kontrakty (Contracts) si lze představit jako PPV, DPP, DPČ zaměstnance nebo kontrakt externího dodavatele, stážista na oddělení, studium na fakultě, účastník na neplaceném projektu a další. U kontraktu je nejdůležitější vlastník a mají-li být řízeny automatické procesy jako nástup zaměstnance nebo ukončení zaměstnance, pak i platnosti kontraktů od/do.
atribut | unikátní | povinný | poznámka |
---|---|---|---|
id | * | * | klíč pro zpracování |
název pracovní pozice | např. "Vrchní sestra", nepovinné | ||
vlastník | * | reference na id osoby | |
platnost od | sql timestamp - Platnost pracovní smlouvy nebo kontraktu | ||
platnost do | sql timestamp - Platnost pracovní smlouvy nebo kontraktu | ||
vyřazení z ev. počtu | boolean, příznak vyřazení z evidenčního počtu | ||
hlavní kontrakt | boolean, příznak hlavního kontraktu. Pokud není uveden, je využit automatický výpočet | ||
nadřízený | reference na id osoby, lze využít i bez organizační struktury | ||
organizace | reference na id z organizační struktury | ||
timestamp | časová značka změny, ideálně tzv. "unix timestamp" |
V případě požadavku na synchronizaci organizační struktury do identity manageru je třeba dodržet následující strukturu dat. Do takto synchronizované organizační struktury mohou být přiřazeny kontrakty identity. I když identity manager podporuje více organizačních struktur, v rámci instalačních balíčků je synchronizována pouze jedna. Při odstranění prvku organizační struktury ze zdroje dat je odpovídající část org. struktury v identity manageru smazána pouze pokud je prázdná.
atribut | unikátní | povinný | poznámka |
---|---|---|---|
id | * | * | neměnný klíč pro zpracování |
název | * | * | unikátní název organizační jednotky nebo pozice |
rodič | reference na id nadřízeného prvku organizační struktury |
Všechny sloupce jsou datového typu varchar s limitem 254 znaků až na časové razítko, které je typu timestamp.
Pokud je jako zdroj použit CSV soubor, musí být v následujícím formátu:
,;
"
("sloupec1", "sloupec 2", sloupec 3)Podporované cíle dat:
atribut | povinný | poznámka |
---|---|---|
DN | * | distinguished name |
sAMAccountName | login uživatele | |
cn | common name - často používané jako RDN | |
displayName | název účtu uživatele, často se zobrazuje v aplikacích používajících AD | |
description | ||
password | ||
sn | přijmení | |
givenName | křestní jméno | |
email uživatele | ||
userPrincipalName | login + doména |
Není li definováno níže jinak, jsou výše uvedené atributy předávány z identity uživatele bez transformace.
Má-li se spravovat heslo z IdM (password), musí zákazník nakonfigurovat SSL spojení k AD přes port 636 (LDAP protokol).
Význačné atributy s transformací:
Níže uvedené úkony se očekávají jako součinnost zákazníka: