Registrace uživatele
CzechIdM obsahuje volitelný modul, který uživatelům umožňuje registraci do CzechIdM. Samoregistrovaný uživatel musí projít několika kroky validace než je v CzechIdM založena nová identita a uživateli je umožněn přístup do systému.
Jak se sám registruji do systému CzechIdM?
Na login dialogu CzechIdM máme k dispozici odkaz Registrace, pomocí kterého aktivujeme registrační formulář.
Uživatel vyplní následující pole:
- Jméno (povinné)
- Příjmení (povinné)
- Login (povinné) – tato volba je však vidět, pouze pokud je povoleno používat vlastní tvar loginu. Není-li toto pole viditelné, pak je login po odeslání formuláře vygenerován automaticky CzechIdM.
- Email (povinné) – pokud je zapnuta validace registrace přes email, pak na tento email bude odeslán validační kód.
- Telefon – slouží pro případný kontakt administrátorem nebo pokud jsou v nasazeném CzechIdM odesílány sms notifikace
- Organizace – informativní atribut pro případné schvalovatele přístupu nebo pro administrátory, kteří si samoregistrované uživatele třídí
- Nové heslo (povinné) – heslo pro přístup do CzechIdM. Informativně je zobrazován ukazatel síly hesla. Heslo musí splňovat politiky hesel nastavené v konfiguraci systému CzechIdM.
- Heslo znovu (povinné) – potvrzení hesla
Po vyplnění položek formuláře budeme pokračovat následujícími kroky:
- přijde email s url odkazem do CzechIdM, kterým je zvalidována registrace.
- Po kliknutí na odkaz v emailu dojde k validaci registace.
- Následně je registrace schvalována pověřenou osobou v CzechIdM. Tento krok může administrátor CzechIdM vypnout, v tom případě se pokračuje rovnou krokem 4.
- Po schválení úkolu je odeslán registrovanému uživateli email s autentizačními údaji k CzechIdM. Pomocí těchto údajů je již možné se přihlásit do CzechIdM.
Pozadí registračního modulu a konfigurace
Po vyplnění registračního formuláře v GUI následují v CzechIdm následující kroky
- V CzechIdM je založena neaktivní identita bez vztahu a rolí. Identitě je vygenerován login dle konfigurace, pokud je tato volba povolena. V opačném případě je použit login, který zadal uživatel do registračního formuláře.
- Identitě je vytvořen výchozí vztah, kterým je posazena do organizační struktury. Pro validní posazení do organizační struktury je třeba mít v CzechIdM nastavenu konfigurační položku idm.sec.reg.defaultOrgId. Viz konfigurace modulu dále.
- S posazením do organizační struktury získává pochopitelně uživatel také automatické role z dané struktury.
- U vytvořeného vztahu je nastaven garant/vedoucí externisty dle konfigurační volby idm.sec.reg.defaultAuthorizer.Viz konfigurace modulu dále.
- Je zaslán email na adresu, kterou uvedl uživatel při registraci. V emailu je uveden odkaz, na který uživatel klikne a je přesměrován zpět na stránku CzechIdM a tím je jeho registrace potvrzena (lze konfiguračně vypnout). Odkaz má časově omezenou platnost (konfigurační volba).
- Je vygenerován schvalovací úkol na držitele role registrationalApproval(konfiguračně lze vypnout).Pozor, pokud je tato volba zapnutá a roli nemá nikdo přidělenu, pak schválení úkolu vždy selže.Proto tento krok zapínejte vždy, když máte roli vytvořenou a mají ji přidělenu uživatelé. Jako fallback lze roli přidělit uživateli admin.
- Po schválení úkolu je dříve vytvořená identita odblokována a jsou jí přiděleny role dle konfigurace registračního modulu. Pozor, tyto role jsou vlastností tohoto modulu, nepleťte si je s automatickými rolemi standardní vlastnoti CzechIdM
- Všichni držitelé role registrationNotification jsou notifikováni o vytvoření nového uživatele samoregistrací.
Významné konfigurační možnosti samoregistračního modulu:
- idm.sec.reg.loginGenerator – bod 1. Pokud není tato konfigurační položka definována, pak má uživatel možnost zadat svůj login. Jinými slovy ve formuláři registračního modulu bude zobrazeno pole pro vložení loginu. Je-li tato položka definována, pak její hodnotou je název komponenty pro generování loginiu. Možnou hodnotou pak bude například „basicLoginGenerator“ (login tvaru: jméno + 1. písmeno z příjmení).
- idm.sec.reg.createEnabled – true, pokud má být identita vytvořená v bodu 1 a 2 vytvořena jako aktivní
- idm.sec.reg.defaultOrgId – bod 2. Hodnotou položky je entityid organizace, kam chceme registrované uživatele posazovat. entityid vybrané organizace získáme tak, že najdeme detail organizace: Organizace → Prvky struktury → vyhledáme naší organizaci např dle jména → detail organizace (lupa), poté vidíme entityid v url našeho prohlížeče. Například https:%%%%somedomain.com/idm/#/treeNode/767b8e11-122c-433a-9cde-2d686061aa3d/detail?_k=mppk0y označuje id ihned za názvem objektu, v tomto případě za /treeNode/. Id je zde 767b8e11-122c-433a-9cde-2d686061aa3d. * idm.sec.reg.confirmationTtlSec – počet sekund, které má uživatel na potvrzení registrace na základě emailu z bodu 3. * idm.sec.reg.defaultRoles - bod 5 – hodnotou je seznam názvů rolí, které mají být přiděleny uživatelům. * idm.sec.reg.passwordPolicy – obsahuje název politiky hesel, která je použita pro validaci tvaru hesla jež zadává uživatel do registračního formuláře * idm.sec.reg.defaultAuthorizer – login identity, která bude použita jako garant/vedoucí uživatele. Garant uživatelů má možnost dle konfigurace CzechIdM například žádat pro své svěřence o oprávnění nebo vidět jejich detail. Kroky 1-6 nebo jejich části lze zcela vypnout. K tomu slouží následující procesory: request-confirm-processor, request-approve-processor, identity-finalize-processor, user-notification-processor, notification-processor, request-delete-processor.