Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Table of Contents

9.1 Powiadomienia

Z menu głównego, wybierz kafelek Powiadomienia.

...

Spis treści

Table of Contents

10.1 Powiadomienia

Z menu głównego, wybierz kafelek Powiadomienia.

Image Added

W tej sekcji możesz konfigurować jakie typy powiadomień są aktywne oraz definiować ich odbiorców.

Note

Uprawnienie do aktywacji/dezaktywacji powiadomień w systemie mają wyłącznie użytkownicy typu: Administrator.

Użytkownicy typu Audytor i Użytkownik biznesowy mają możliwość odczytu aktualnie obowiązującej konfiguracji powiadomień dla organizacji.

https://paskid.atlassian.net/wiki/spaces/

...

...

...

1-Role-u%C5%BCytkownik%C3%B3w-PASK

Powiadomienia wywoływane są przez zachodzące w systemie zdarzenia wywołane przez działanie użytkownika (np. wystawienie nowego zamówienia, zakończenie zadania itp.)

Część powiadomień - powiadomienia przypominające, wywoływane są przez niezależnie konfigurowany proces automatyczny: “Wysłanie powiadomień przypominających” 9.2.1.5 Wysłanie powiadomień przypominających

Grupy

Typ powiadomienia

Tytuł mail powiadomienia

Odbiorcy

1

Zamówienia

Rozpoczęcie zamówienia

PASK: Rozpoczęcie zamówienia nr X

Składający zamówienie

2

 

 

 

3

Zakończenie zamówienia

PASK: Zakończenie zamówienia nr X

Składający zamówienie

4

Wnioski akceptacji

Rozpoczęcie wniosku akceptacji w trybie automatycznym

PASK: Rozpoczęcie wniosku akceptacji nr X

Podmiot

5

 

 

Przełożony

6

 

 

Właściciele zasobów

7

 

 

Składający zamówienie

8

 

 

 

9

Rozpoczęcie wniosku akceptacji w trybie manualnym

PASK: Rozpoczęcie wniosku akceptacji nr X

Podmiot

10

 

 

Przełożony

11

 

 

Właściciele zasobów

12

 

 

Składający zamówienie

13

 

 

 

14

Zakończenie wniosku akceptacji w trybie automatycznym

PASK: Zakończenie wniosku akceptacji nr X

Podmiot

15

 

 

Przełożony

16

 

 

Właściciele zasobów

17

 

 

Składający zamówienie

18

 

 

 

19

Zakończenie wniosku akceptacji w trybie manualnym

PASK: Zakończenie wniosku akceptacji nr X

Podmiot

20

 

 

Przełożony

21

 

 

Właściciele zasobów

22

 

 

Składający zamówienie

23

Wnioski realizacji

Rozpoczęcie wniosku realizacji

PASK: Rozpoczęcie wniosku realizacji nr X

Podmiot

24

 

 

Przełożony

25

 

 

Właściciele zasobów

26

 

 

Składający zamówienie

27

 

 

 

28

 

 

 

29

Zakończenie wniosku realizacji (nadanie dostępów)

PASK: Zakończenie wniosku realizacji nr X

Podmiot

30

 

 

Przełożony

31

 

 

Właściciele zasobów

32

 

 

Składający zamówienie

33

Zadania akceptacji

Zadanie akceptacji jest aktywne (wykonaj)

PASK: Zadanie akceptacji nr X gotowe do wykonania

Akceptujący

34

 

 

 

35

Zadanie akceptacji zostało aktywowane (poinformuj)

PASK: Aktywacja zadania akceptacji nr X

Podmiot

36

 

 

Przełożony

37

 

 

Składający zamówienie

38

 

 

 

39

Przypomnienie o zadaniu akceptacji do wykonania

PASK: Przypomnienie o zadaniu akceptacji nr X do wykonania

Akceptujący/Realizujący

40

 

 

 

41

Informacja o niewykonanym zadaniu akceptacji

PASK: Zadanie akceptacji nr X jest niewykonywane od Y dni

Przełożony

42

Zadania realizacji

Zadanie realizacji jest aktywne (wykonaj)

PASK: Zadanie realizacji nr X gotowe do wykonania

Realizujący

43

 

 

 

44

Zadanie realizacji jest aktywne (poinformuj)

PASK: Aktywacja zadania realizacji nr X

Składający zamówienie

45

 

 

Podmiot

46

 

 

Przełożony

47

 

 

 

48

Przypomnienie o zadaniu realizacji do wykonania

PASK: Przypomnienie o zadaniu realizacji nr X do wykonania

Akceptujący/Realizujący

49

 

 

 

50

Informacja o niewykonanym zadaniu realizacji

PASK: Zadanie realizacji nr X jest niewykonywane od Y dni

Przełożony

51

Zadanie realizacji zakończyło się niepowodzeniem

PASK: Automatyczna realizacja zakończona niepowodzeniem

Akceptujący/Realizujący

52

Uprawnienia

Informacja o zmianie daty ważności uprawnień

PASK: Zmiana daty ważności roli biznesowej {rola} w zasobie {zasób}

Podmiot

...

53

 

 

 

...

54

Informacja o terminie ważności uprawnień (poinformuj)

PASK: Wygasające dostępy

Podmiot

...

55

 

 

 

...

56

Informacje o terminie ważności uprawnień (wykonaj)

PASK: Wygasające dostępy - wymagana akcja

Przełożony

...

57

Grupy tożsamości

Zmiana w grupie tożsamości

PASK: Zmiany w grupie tożsamości [Nazwa grupy]

Tożsamość dodana do grupy

...

58

 

 

Tożsamość usunięta z grupy

...

59

 

 

Członkowie grupy

...


10.2 Procesy automatyczne

Z menu głównego, wybierz kafelek o nazwie Procesy automatyczne.

W tej sekcji możesz konfigurować i zarządzać procesami automatycznymi.

...

10.2.1

...

Procesy automatyczne - widok kafelkowy

Z poziomu

...

widoku kafelkowego, użytkownik może uruchomić manualnie wybrany proces automatyczny, skonfigurować go oraz wyświetlić pełną historię uruchomień danego procesu.

W celu wykonania akcji na wybranym procesie, kliknij 3 kropki w prawym górynym rogu wybranego kafelka i wybierz jedną z opcji:

...

  • konfiguruj,

...

Uruchom

  • uruchom,

  • historia procesów.

Note

Tylko osoba posiadająca uprawnienia Administrator może uruchamiać i konfigurować procesy automatyczne w systemie

...

.

...

Image Added

W kolejnych podrozdziałach opisane zostaną dostępne procesy automatyczne.

...

10.2.1.1 Aktywacja tożsamości

Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na aktywny.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

...

  • tożsamość musi posiadać status

...

  • w aktywacji,

  • Zakres dat współpracy/dostępów tożsamości jest zgodny z konfiguracją

...

Proces można również wywołać manualnie, wybierając opcję

...

uruchom.

...

10.2.1.2 Dezaktywacja tożsamości

Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na

...

w dezaktywacji.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

...

...

  • aktywny,

...

  • zakres dat współpracy/dostępów tożsamości jest zgodny z konfiguracją

...

Wywołanie procesu powoduje anulowanie aktywnych wniosków nadania uprawnień dla danej tożsamości.

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję

...

uruchom.

...

10.2.1.3 Odebranie wygasających uprawnień

Aktywowanie procesu pozwala na automatyczne odbieranie nadanych uprawnień, których data ważności wygasła (data ważności w przeszłości).

System wystawi zamówienie i wszystkie jego pozycje trafią bezpośrednio do realizacji (automatyczny proces akceptacji).

...

10.2.1.4 Przeliczenie konfiguracji RBAC

Aktywowanie procesu pozwala na automatyczne uruchomienie przeliczenia

...

profili RBAC w systemie, zgodnie z konfiguracją RBAC.

Więcej na temat zarządzania rolami przy wykorzystaniu RBAC, można znaleźć tutaj: https://paskid.atlassian.net/wiki/spaces/

...

...

...

...

9.2.1.5 Wysłanie powiadomień przypominających

Aktywowanie procesu pozwala na automatyczne wysyłanie powiadomień przypominających, zgodnie z ich konfiguracją 9.1 Powiadomienia

...

W systemie dostępnych jest sześć typów powiadomień przypominających:

...

Grupy

...

Typ powiadomienia

...

Tytuł mail powiadomienia

...

Odbiorcy

...

Zadania akceptacji

...

Przypomnienie o zadaniu akceptacji do wykonania

...

PASK: Przypomnienie o zadaniu akceptacji nr X do wykonania

...

Akceptujący/Realizujący

...

 

...

 

...

 

...

Informacja o niewykonanym zadaniu akceptacji

...

PASK: Zadanie akceptacji nr X jest niewykonywane od Y dni

...

Przełożony

...

Zadania realizacji

...

Przypomnienie o zadaniu realizacji do wykonania

...

PASK: Przypomnienie o zadaniu realizacji nr X do wykonania

...

Akceptujący/Realizujący

...

 

...

 

...

 

...

Informacja o niewykonanym zadaniu realizacji

...

PASK: Zadanie realizacji nr X jest niewykonywane od Y dni

...

Przełożony

...

Uprawnienia

...

Informacja o zmianie daty ważności uprawnień

...

PASK: Zmiana daty ważności roli biznesowej {rola} w zasobie {zasób}

...

Podmiot

...

 

...

 

...

 

...

Informacja o terminie ważności uprawnień (poinformuj)

...

PASK: Wygasające dostępy

...

Podmiot

...

 

...

 

...

 

9.2.1.6 Wystawienie wniosków offboarding

Aktywowanie procesu pozwala na automatyczne uruchomienie wystawienia wniosków odebrania dostępów dla tożsamości kończącej współpracę.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

  • Tożsamość nie miała wcześniej wystawianego wniosku offboarding

  • Tożsamość musi posiadać status W dezaktywacji

  • Zakres dat współpracy/dostępów tożsamości jest w przeszłości

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję Uruchom

9.2.1.7 Zmiana statusu tożsamości na nieaktywny

Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na nieaktywny.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

Info

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję Uruchom.

9.2.2 Konfiguracja

W celu wyświetlenia szczegółów konfiguracji wybranego procesu automatycznego, wybierz jeden z listy i kliknij Konfiguracja.

...

Na ekranie konfiguracji procesu automatycznego możesz aktywować/dezaktywować proces oraz ręcznie ustawić konfigurację crona.

Oczekiwane wyrażenie crona (cron expression) można wygenerować przy pomocy generatora: https://www.freeformatter.com/cron-expression-generator-quartz.html

...

9.2.3 Historia

W celu wyświetlenia pełnej historii uruchomień danego procesu , wybierz jeden z listy i kliknij Historia.

...

Na ekranie historii procesu automatycznego możesz prześledzić pełną historię uruchomień danego procesu.

Lista zawiera pozycje dot. zarówno uruchomień automatycznych (Uruchomione przez PASK), jak i manualnych (Uruchomione przez {imię i nazwisko uruchamiającego})

...

Konfiguracja#10.4-RBAC---kontrola-dost%C4%99pu-oparta-na-rolach .

10.2.1.5 Wysłanie powiadomień przypominających

Aktywowanie procesu pozwala na automatyczne wysyłanie powiadomień przypominających, zgodnie z ich konfiguracją 9.1 Powiadomienia.

Image Added

W systemie dostępnych jest sześć typów powiadomień przypominających:

Grupy

Typ powiadomienia

Tytuł mail powiadomienia

Odbiorcy

1

Zadania akceptacji

Przypomnienie o zadaniu akceptacji do wykonania

PASK: Przypomnienie o zadaniu akceptacji nr X do wykonania

Akceptujący/Realizujący

2

 

 

 

3

Informacja o niewykonanym zadaniu akceptacji

PASK: Zadanie akceptacji nr X jest niewykonywane od Y dni

Przełożony

4

Zadania realizacji

Przypomnienie o zadaniu realizacji do wykonania

PASK: Przypomnienie o zadaniu realizacji nr X do wykonania

Akceptujący/Realizujący

5

 

 

 

6

Informacja o niewykonanym zadaniu realizacji

PASK: Zadanie realizacji nr X jest niewykonywane od Y dni

Przełożony

7

Uprawnienia

Informacja o zmianie daty ważności uprawnień

PASK: Zmiana daty ważności roli biznesowej {rola} w zasobie {zasób}

Podmiot

8

 

 

 

9

Informacja o terminie ważności uprawnień (poinformuj)

PASK: Wygasające dostępy

Podmiot

10

 

 

 

10.2.1.6 Wystawienie wniosków offboarding

Aktywowanie procesu pozwala na automatyczne uruchomienie wystawienia wniosków odebrania dostępów dla tożsamości kończącej współpracę.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

  • tożsamość nie miała wcześniej wystawianego wniosku offboarding,

  • tożsamość musi posiadać status w dezaktywacji,

  • zakres dat współpracy/dostępów tożsamości jest w przeszłości.

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję uruchom

10.2.1.7 Zmiana statusu tożsamości na nieaktywny

Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na nieaktywny.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

Info

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję Uruchom.

10.2.1.8 Wyzwolenie synchronizacji tożsamości

Aktywowanie procesu wyzwala synchronizacje automatyczną skonfigurowaną w https://paskid.atlassian.net/wiki/spaces/PASK/pages/342491142/6.+Synchronizacja+to+samo+ci#6.1.-Automatyczna-synchronizacja-to%C5%BCsamo%C5%9Bci.

Proces wykona synchronizację tożsamości ze wskazanych źródeł zgodnie z konfiguracją.

10.2.1.9 Ponawianie zadań realizacji automatycznej

Aktywowanie procesu ponawia wszystkie zadania realizacji automatycznej zakończone błędem.

Jest to przydatna funkcja, która jest w stanie zaoszczędzić administratorom PASK manualnego rozwiązywania problemów.

10.2.1.10 Zmiana statusu ról biznesowych na nieaktywne

Aktywowanie procesu wykrywa role biznesowe w systemie dla których wszelkie procesy dezaktywacji zostały zakończone i ustawia ich status jako “Nieaktywna”.

10.2.2 Konfiguracja

W celu wyświetlenia szczegółów konfiguracji wybranego procesu automatycznego, wybierz jeden z listy i kliknij Konfiguracja.

Image Added

Na ekranie konfiguracji procesu automatycznego możesz aktywować/dezaktywować proces oraz ręcznie ustawić konfigurację crona.

Oczekiwane wyrażenie crona (cron expression) można wygenerować przy pomocy generatora: https://www.freeformatter.com/cron-expression-generator-quartz.html.

Image Added

10.2.3 Historia

W celu wyświetlenia pełnej historii uruchomień danego procesu , wybierz jeden z listy i kliknij historia procesów.

Image Added

Na ekranie historii procesu automatycznego możesz prześledzić pełną historię uruchomień danego procesu.

Lista zawiera pozycje dot. zarówno uruchomień automatycznych (Uruchomione przez PASK), jak i manualnych (Uruchomione przez {imię i nazwisko uruchamiającego})

Image Added

10.3 Lista konektorów

Jako administrator masz możliwość zobaczyć listę utworzonych, aktywnych i nieaktywnych konektorów.

Lista zawiera nazwę konektora, status, typ, przez kogo i kiedy został utworzony i zmodyfikowany oraz listę dostępnych do włączenia funkcjonalności.

Z poziomu listy, administrator może korzystać z opcji: “Dodaj”, “Edytuj”, “Aktywuj”, “Dezaktywuj”, “Konfiguruj”.

Listę można sortować, filtrować, grupować, zmieniać miejsca oraz widoczność poszczególnych kolumn.

Image Added

10.3.1 Dodawanie i edycja konektorów

Jako administrator masz możliwość dodawania nowych konektorów oraz edycji już istniejących.

Note

Osoba posiadająca uprawnienia Administrator może dodawać i edytować konektory w systemie .

https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830/9.+Konta+u+ytkownik+w#9.1.1-Role-u%C5%BCytkownik%C3%B3w-PASK

W formularzu dodawania konektora w pierwszym kroku musisz wybrać typ konektora. W pierwszym etapie możliwy będzie wybór pomiędzy AD(Active Directory) , Bazy danych(konektor bazodanowy), REST a konektorem typu Microsoft (Entra ID daw. Azure AD). Typy konektorów są przez nas definiowane, wraz z atrybutami koniecznymi do uzupełnienia.

Konektor AD pozwala na tworzenie kont w AD, provisioning uprawnień oraz tworzenie kont w PASK na podstawie AD.

Konektor bazodanowy pozwala na automatyczna synchronizację tożsamości z baz danych.

Konektor REST pozwala na provisioning uprawnień na podstawie nadawanych ról w PASK.

Konektor Microsoft pozwala na tworzenie i blokowanie kont w Entra ID (daw. Azure AD).

Konektor Google Workspace pozwala na tworzenie kont w Google Workspace za pomocą PASK.

Po wybraniu typu, wyświetlą Ci się poniższe pola do uzupełnienia, konieczne do podania przy wybranym typie powiązania. 

Dla typu AD są to pola:

a) nazwa,

b) URL,

c) podstawowe OU,

d) użytkownik,

e) hasło.

Image Added

Dla typu Bazy danych są to pola:

a) nazwa,

b) host,

c) nazwa bazy danych,

d) użytkownik,

e) hasło,

f) typ bazy danych.

Image Added

Dla typu REST są to pola:

a) nazwa,

b) URL,

c) typ autoryzacji,

d) użytkownik i hasło lub Klucz API.

Image Added

Dla typu Microsoft są to pola:

a) nazwa,

b) opis,

c) tenant,

d) ID aplikacji w Microsoft,

e) klucz.

image-20240309-155658.pngImage Added

Dla typu Google Workspace są to pola:

a) nazwa,

b) opis,

c) e-mail - wartość uzupełniania automatycznie na podstawie klucza konektora,

e) klucz w formacie JSON.

konektor gw.pngImage Added


10.3.2 Konfiguracja konektora

Jako Administrator masz możliwość skonfigurowania powiązania PASK  z systemem zewnętrznym aby móc synchronizować dane pomiędzy nimi.

Note

Osoba posiadająca uprawnienia Administrator może konfigurować parametry utworzonego konektora.

https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830/9.+Konta+u+ytkownik+w#9.1.1-Role-u%C5%BCytkownik%C3%B3w-PASK

Funkcjonalności konektora AD:

(tick) Zakładanie i blokowanie kont w AD.

(tick) Provisioning uprawnień.

(tick) Rekoncyliacja danych.

(tick) Zakładanie kont w PASK na podstawie kont w AD.

image-20240607-120616.pngImage Added

Konfiguracja podstawowa konektora AD - opis pól

Atrybut

Sekcja

Opis

Uwagi

Klasy obiektów (User object classes)

Użytkownicy

Nazwy klas obiektów (jednej lub kilku, oddzielonych przecinkami) w schemacie użytkownika AD. Dla OpenLDAP mogą to być klasy 'inetOrgPerson, posixAccount'.  W przypadku MS Active Directory jest to najczęściej klasa 'user' oraz klasy takie jak 'person' czy 'organizationalPerson'. W przypadku działania konektora w trybie tworzenia kont, klasy tu zdefiniowane będą przypisywane nowo tworzonym użytkownikom. W pozostałych przypadkach będą wykorzystywane w zapytaniu LDAP jako flitry do wyszukiwania użytkowników.

  • Wartość wymagana

Główny atrybut (User Name Atribute)

Użytkownicy

Nazwa atrybutu obiektu użytkownika LDAP, który przechowuję nazwę użytkownika (username). W przypadku MS Active Directory jest to najczęściej atrybut o nazwie 'sAMAccountName' lub 'cn'. W innych przypadkach (np. dla Open LDAP ) może to być atrybut o nazwie 'uid' lub 'cn'.

  • Wartość wymagana

  • W obecnej wersji systemu PASK, jeżeli do provisioningu uprawnień, poprzez przypisywanie do grup AD, wykorzystywany MS Active Directory, należy utworzyć do tego celu niezależny konektor. W jego konfiguracji, pole to musi przyjmować wartość 'dn'.

Atrybut z loginem (User Login Attribute)

Użytkownicy

Nazwa atrybutu obiektu użytkownika LDAP, w którym przechowywany jest login użytkownika. Najczęściej jest to ten sam atrybut, co atrybut główny, ale nie jest to reguła. Np. w przypadku MS Active Directory może to być atrybut 'cn' ( mimo, że główny atrybut jest zdefiniowany jako 'sAMAccountName').

  • Wartość wymagana

Atrybut z hasłem (User Password Attribute)

Użytkownicy

Nazwa atrybut obiektu użytkownika LDAP, przechowującego hasło. Najczęściej jest  jest to atrybut o nazwie 'userPassword'. W przypadku działania konektora w trybie tworzenia kont, wygenerowane hasło dla nowego użytkownika, będzie wstawiane jako wartość tego pola.

  • Wartość wymagana

Unikalny atrybut użytkownika (User Unique Attribute)

Użytkownicy

Nazwa atrybutu  LDAP, wykorzystywanego jako unikatowy identyfikator (UUID) obiektu. Może to być atrybut o nazwie 'entryUUID'. Dla MS Active Directory jest to zazwyczaj 'objectGUID'. Jeżeli serwer LDAP nie obsługuje UUID'ów może to być dowolny atrybut, który powinien przyjmować unikatowe wartości dla obiektów LDAP (np. 'uid' lub 'entryDN').

  • Wartość wymagana

Filtr do szukania użytkowników (User Object Filter)

Użytkownicy

Dodatkowe filtry do zapytania LDAP wyszukującego użytkowników. Pole powinno pozostać puste, jeżeli żadne dodatkowe filtry nie są potrzebne. W przypadku ich dodania upewnij się, że zaczynają się i kończą nawiasami zwykłymi '(  )'.

  • Pole opcjonalne

Klasy obiektu (Group Object Classes)

Grupy

Klasa, lub klasy obiektów LDAP repezentujących grupy. W MS Active Directory jest to zazwyczaj klasa o nazwie 'group'. W innych przypadkach może to być 'posixGroup' lub 'groupOfNames'.

  • Wartość wymagana

Główny atrybut (Group Name Attribute)

Grupy

Nazwa atrybutu, którego wartość reprezentuje nazwę grupy. Najczęściej jest to atrybut 'cn'.

  • Wartość wymagana

Atrybut członków grupy (Group Members Attribute)

Grupy

Nazwa atrybutu obiektu grupy wykorzystywanego do mapowania członkostwa w grupie. W przypadku MS Active Directory jest to atrybut 'member' W innych implementacjach (np. Open LDAP) może to być atrybut 'memberUid'.

  • Wartość wymagana

 Atrybut przynależności do grupy (User Membership Attribute)

Grupy

Nazwa atrybutu obiektu użytkownika, który przechowuje listę grup, do której należy użytkownik. Zazwyczaj jest to atrybut 'memberOf'. Atrybut ten wykorzystywany jest przez konektor wyłącznie pomocniczo przy wyszukiwaniu członkostwa w grupie.

  • Pole opcjonalne

Konfiguracja podstawowa konektora AD - przykłady

Open LDAP

MS Active Directory (tworzenie kont)

MS Active Directory (provisioning)

Screen

image-20240607-115901.pngImage Added

image-20240607-120527.pngImage Added

image-20240607-120034.pngImage Added

Funkcjonalności konektora DB

(tick) Synchronizacja tożsamości.

Image Added

Funkcjonalności konektora REST

(tick) Provisioning uprawnień.

Image Added

Funkcjonalności konektora Microsoft

(tick) Zakładanie i blokowanie kont w AD.

image-20240309-160013.pngImage Added

Funkcjonalności konektora Google Workspace

(tick) Zakładanie i blokowanie kont w Google Workspace.

konfiguracja konektora gw.pngImage Added

W konfiguracji konektora REST mamy do wyboru metodę HTTP jaką będzie się posługiwał. Obsługiwane metody to POST i PUT. Należy również wyszczególnić endpoint, do którego będą wysyłane informacje oraz payload (szablon) wysyłanych informacji. Do wyboru mamy:

  • Payload podstawowy zawierający najważniejsze informacje potrzebne do podjęcia akcji,

  • Payload rozszerzony zawierający bardziej szczegółowe informacje na temat wymaganej akcji.


10.3.3 Aktywacja/dezaktywacja konektora

Jako Administrator masz możliwość aktywacji i dezaktywacji utworzonych wcześniej konektorów.

Info

Dezaktywacja konektora zablokuje połączenie między PASK i systemem zewnętrznym. Niemożliwe będzie wykonywanie automatycznego provisioningu czy logowanie się do systemu przy wykorzystaniu danego konektora.

Image Added

10.4 RBAC - kontrola dostępu oparta na rolach

RBAC to mechanizm kontroli dostępów, który umożliwia zdefiniowanie profili RBAC dla różnych funkcji w organizacji, z którymi wiąże się określony zakres obowiązków.

Poszczególnym rolom organizacyjnym są centralnie przydzielane stosowne role biznesowe (uprawnienia) w systemie informatycznym.

Użytkownicy uzyskują uprawnienia do wykonywania określonych dla tych ról czynności.

Profile RBAC przypisywane są użytkownikom na podstawie odpowiednio skonfigurowanych reguł, budowanych przy wykorzystaniu atrybutów tożsamości.

Info

Użytkownik może posiadać wiele przypisanych profili RBAC. Rola może być przypisana wielu użytkownikom w organizacji.

Ścieżka akceptacji ról biznesowych wykorzystywanych w konfiguracji RBAC zarządzana jest w sposób automatyczny - wnioski nadania/odebrania uprawnień od razu trafiają do procesu ich realizacji:

ZAMÓWIENIE RBAC

WNIOSEK AKCEPTACJI

WNIOSEK REALIZACJI

(tick) Akceptacja wykonana automatycznie przez system

(info) Realizacja wykonywana zgodnie z konfiguracją zasobu/uprawnienia (manualna lub automatyczna)

10.4.1 Podgląd aktywnej konfiguracji RBAC

Z menu głównego, wybierz kafelek o nazwie RBAC

W tej sekcji możesz zarządzać globalną konfiguracją wyznaczania profili RBAC, przeglądać skład aktualnych i historycznych profili RBAC oraz przeglądać jakie reguły je wyznaczają

Image Added

10.4.2 Edycja aktywnej konfiguracji RBAC

Wybierz opcję ‘Edytuj konfigurację RBAC’, aby przejść do konfiguracji składu profili RBAC wykorzystywanych w systemie oraz ich reguł wyznaczania.

Formularz edycji profili RBAC pozwala na:

  • tworzenie nowych profili RBAC,

  • edycję składu ról biznesowych w istniejącym profilu RBAC ,

  • edycję reguł wyznaczania istniejących profili RBAC,

  • usuwanie istniejących profili RBAC.

Note

Uprawnienie do edycji konfiguracji RBAC w systemie mają wyłącznie użytkownicy typu: Administrator.

https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830/9.+Konta+u+ytkownik+w#9.1.1-Role-u%C5%BCytkownik%C3%B3w-PASK

Image Added

10.4.2.1 Tworzenie i edycja profili RBAC

10.4.2.1.1 Nazwa profilu RBAC

Każdy profil RBAC skonfigurowany w RBAC wymaga biznesowej nazwy (string o max długości 50)

Nazwa profilu RBAC powinna w jednoznaczny sposób określać jej potencjalnych posiadaczy

Image AddedImage Added

10.4.2.1.2 Przypisane profile RBAC

Profil RBAC pozwala na zdefiniowanie zakresu wymaganych uprawnień (zgrupowanych w odpowiednie role biznesowe), dla wybranych grup użytkowników, w zależności od ich zakresu obowiązków w organizacji.

W systemie PASK, role biznesowe zarządzane przy wykorzystaniu RBAC są definiowane niezależnie od tych, o które możemy wnioskować w sposób manualny.https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962411/8.+Zasoby#8.1.2-Dodawanie%2C-edycja-i-podgl%C4%85d-zasob%C3%B3w .

Note

Sposób zarządzania rolą biznesową definiujemy podczas tworzenia tej roli w zasobie (konfiguracja zasobu). System nie daje możliwości zmiany sposobu zarządzania dla wcześniej aktywowanej roli biznesowej.

Podczas konfiguracji roli organizacyjnej, system pozwala określić jakie role biznesowe z poszczególnych zasobów wchodzą w jej skład.

Image Added
Info

Ważna informacja

Uprawnienia wykorzystane w rolach biznesowych zarządzanych przez RBAC mogą być tez składowymi ról biznesowych zarządzanych manualnie.

10.4.2.1.3 Reguły profili RBAC

Definiowanie reguł wyznaczania profili RBAC polega na odpowiednim określeniu wartości atrybutów tożsamości, którymi zarządzamy, zgodnie z ich zakresem obowiązków w organizacji.

Reguły wyznaczania profili RBAC definiowane są na podstawie poniższych atrybutów tożsamości:

Atrybut tożsamości

Operator

Wartość

1

Stanowisko

Zawiera się/ Nie zawiera się

Tekst

2

Jednostka organizacyjna

Zawiera się/ Nie zawiera się

Tekst

3

Typ zatrudnienia

Zawiera się/ Nie zawiera się

Jedna z:

  • REGULAR

  • UOP

  • UZ

  • UD

  • B2B

  • CONTRACTOR

4

Aktywne atrybuty dodatkowe (EXT1 -EXT5)

Zawiera się/ Nie zawiera się

Zgodnie z konfiguracją atrybutu dodatkowego:

Tekst/Numer

Image Added

Info

Ważna informacja

Brak określenia reguły dla danego atrybutu w profilu RBAC, oznacza, że każda wartość tego atrybutu spełnia warunki przypisania do tego profilu RBAC

np. jeżeli profil RBAC nie posiada żadnej reguły, zostanie ona przypisana do wszystkich aktywnych tożsamości w organizacji.

10.4.2.2 Usuwanie profili RBAC

Podczas edycji konfiguracji RBAC możliwe jest usuwanie istniejących profili RBAC.

Taka akcja, po zapisie konfiguracji wiąże się z wystawianiem zamówienia odebrania dostępów dla wszystkich tożsamości, które posiadały wybranym profilem RBAC.

Image Added

10.4.2.3 Walidacja konfiguracji RBAC

Po wprowadzeniu wszystkich zmian w konfiguracji należy przeprowadzić walidację zmian wykonanych w konfiguracji.

Raport walidacji przedstawi ‘konsekwencje’ wprowadzonych zmian w konfiguracji.

Raport podzielony jest na dwie części:

  • akcje na rolach biznesowych tożsamości,

  • zmiany w składzie tożsamości profili RBAC .

Info

Akceptacja raportu walidacji zatwierdza nową konfigurację RBAC. Powoduje to wystawienie zamówienia, zgodnie z oczekiwanymi w raporcie zmianami w rolach biznesowych tożsamości (o ile takie zachodzą).

Note

Uwaga

Jeśli dla wybranej tożsamości istnieje aktywny wniosek realizacji wywołany przez RBAC, kolejne zamówienie nie powstanie do momentu zakończenia tego poprzedniego.

Nie ma możliwość zapisania zmian w konfiguracji RBAC, w momencie gdy w systemie istnieje aktywne zamówienie wywołane przez RBAC.

Image AddedImage Added

10.4.2.4 Historia konfiguracji RBAC

Wybierz opcję ‘Historia konfiguracji’, aby przejść do historii wersji konfiguracji RBAC.

Po wybraniu jednej z wersji, użytkownik może przejrzeć:

  • z jakich profili RBAC składała się konfiguracja,

  • jakie role biznesowe wchodziły w skład profili RBAC w wybranej wersji,

  • jakie reguły wyznaczały poszczególne profile RBAC.

Note

Uprawnienie do przeglądania historii konfiguracji RBAC mają wyłącznie użytkownicy typu: Administrator i Audytor.

https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830/9.+Konta+u+ytkownik+w#9.1.1-Role-u%C5%BCytkownik%C3%B3w-PASK

Image AddedImage Added

10.4.2.5 Zarządzanie przy wykorzystaniu RBAC (profili RBAC)

Zamówienie na zmianę (odebranie/nadanie) dostępów tożsamości w systemie, może zostać wywołane na kilka sposobów:

  • edycja konfiguracji RBAC - przeliczenie nowych dostępów zgodnie ze skonfigurowanymi zmianami,

  • dodanie nowej tożsamości do systemu PASK - przeliczenie dostępów dla nowej tożsamości, zgodnie z jej atrybutami https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962007/6.+To+samo+ci#6.3.1-Atrybuty-to%C5%BCsamo%C5%9Bci ,

  • aktualizacja istniejących tożsamości w systemie PASK - przeliczenie dostępów dla istniejących tożsamości, zgodnie wprowadzonymi zmianami w ich atrybutach,

  • uruchomienie procesu automatycznego przeliczenia konfiguracji RBAC - przeliczenie dostępów zgodnie z aktualną konfiguracją RBAC.

Note

Uwaga

Jeśli dla wybranej tożsamości istnieje aktywny wniosek realizacji wywołany przez RBAC, kolejne zamówienie nie powstanie do momentu zakończenia tego poprzedniego.

Nie ma możliwość zapisania zmian w konfiguracji RBAC, w momencie gdy w systemie istnieje aktywne zamówienie wywołane przez RBAC.

Info

Tożsamość może posiadać wiele profili RBAC, wyliczana jest suma logiczna uprawnień z nich wynikająca