Spis treści

10.1 Powiadomienia

Z menu głównego, wybierz kafelek Powiadomienia.

W tej sekcji możesz konfigurować jakie typy powiadomień są aktywne oraz definiować ich odbiorców.

Powiadomienia wywoływane są przez zachodzące w systemie zdarzenia wywołane przez działanie użytkownika (np. wystawienie nowego zamówienia, zakończenie zadania itp.)

Część powiadomień - powiadomienia przypominające, wywoływane są przez niezależnie konfigurowany proces automatyczny: “Wysłanie powiadomień przypominających” 9.2.1.5 Wysłanie powiadomień przypominających

10.2 Procesy automatyczne

Z menu głównego, wybierz kafelek o nazwie Procesy automatyczne.

W tej sekcji możesz konfigurować i zarządzać procesami automatycznymi.

10.2.1 Procesy automatyczne - widok kafelkowy

Z poziomu widoku kafelkowego, użytkownik może uruchomić manualnie wybrany proces automatyczny, skonfigurować go oraz wyświetlić pełną historię uruchomień danego procesu.

W celu wykonania akcji na wybranym procesie, kliknij 3 kropki w prawym górynym rogu wybranego kafelka i wybierz jedną z opcji:

• konfiguruj,

• uruchom,

• historia procesów.

W kolejnych podrozdziałach opisane zostaną dostępne procesy automatyczne.

10.2.1.1 Aktywacja tożsamości

Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na aktywny.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

• tożsamość musi posiadać status w aktywacji,

• Zakres dat współpracy/dostępów tożsamości jest zgodny z konfiguracją cyklu życia tożsamości (aktywacja) ,

• Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję uruchom.

10.2.1.2 Dezaktywacja tożsamości

Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na w dezaktywacji.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

• tożsamość musi posiadać status aktywny,

• zakres dat współpracy/dostępów tożsamości jest zgodny z konfiguracją cyklu życia tożsamości (dezaktywacja).

Wywołanie procesu powoduje anulowanie aktywnych wniosków nadania uprawnień dla danej tożsamości.

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję uruchom.

10.2.1.3 Odebranie wygasających uprawnień

Aktywowanie procesu pozwala na automatyczne odbieranie nadanych uprawnień, których data ważności wygasła (data ważności w przeszłości).

System wystawi zamówienie i wszystkie jego pozycje trafią bezpośrednio do realizacji (automatyczny proces akceptacji).

10.2.1.4 Przeliczenie konfiguracji RBAC

Aktywowanie procesu pozwala na automatyczne uruchomienie przeliczenia profili RBAC w systemie, zgodnie z konfiguracją RBAC.

Więcej na temat zarządzania rolami przy wykorzystaniu RBAC, można znaleźć tutaj: https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962007#5.5.322963114/10.+Konfiguracja#10.4-RBAC---kontrola-dost%C4%99pu-oparta-na-rolach .

10.2.1.5 Wysłanie powiadomień przypominających

Aktywowanie procesu pozwala na automatyczne wysyłanie powiadomień przypominających, zgodnie z ich konfiguracją 9.1 Powiadomienia.

W systemie dostępnych jest sześć typów powiadomień przypominających:

10.2.1.6 Wystawienie wniosków offboarding

Aktywowanie procesu pozwala na automatyczne uruchomienie wystawienia wniosków odebrania dostępów dla tożsamości kończącej współpracę.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

• tożsamość nie miała wcześniej wystawianego wniosku offboarding,

• tożsamość musi posiadać status w dezaktywacji,

• zakres dat współpracy/dostępów tożsamości jest w przeszłości.

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję uruchom

10.2.1.7 Zmiana statusu tożsamości na nieaktywny

Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na nieaktywny.

Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:

Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.

Proces można również wywołać manualnie, wybierając opcję Uruchom.

10.2.1.8 Wyzwolenie synchronizacji tożsamości

Aktywowanie procesu wyzwala synchronizacje automatyczną skonfigurowaną w https://paskid.atlassian.net/wiki/spaces/PASK/pages/342491142/6.+Synchronizacja+to+samo+ci#6.1.-Automatyczna-synchronizacja-to%C5%BCsamo%C5%9Bci.

Proces wykona synchronizację tożsamości ze wskazanych źródeł zgodnie z konfiguracją.

10.2.1.9 Ponawianie zadań realizacji automatycznej

Aktywowanie procesu ponawia wszystkie zadania realizacji automatycznej zakończone błędem.

Jest to przydatna funkcja, która jest w stanie zaoszczędzić administratorom PASK manualnego rozwiązywania problemów.

10.2

.1.10 Zmiana statusu ról biznesowych na nieaktywne

Aktywowanie procesu wykrywa role biznesowe w systemie dla których wszelkie procesy dezaktywacji zostały zakończone i ustawia ich status jako “Nieaktywna”.

10.2.2 Konfiguracja

W celu wyświetlenia szczegółów konfiguracji wybranego procesu automatycznego, wybierz jeden z listy i kliknij Konfiguracja.

Na ekranie konfiguracji procesu automatycznego możesz aktywować/dezaktywować proces oraz ręcznie ustawić konfigurację crona.

Oczekiwane wyrażenie crona (cron expression) można wygenerować przy pomocy generatora: https://www.freeformatter.com/cron-expression-generator-quartz.html.

10.2.3 Historia

W celu wyświetlenia pełnej historii uruchomień danego procesu , wybierz jeden z listy i kliknij historia procesów.

Na ekranie historii procesu automatycznego możesz prześledzić pełną historię uruchomień danego procesu.

Lista zawiera pozycje dot. zarówno uruchomień automatycznych (Uruchomione przez PASK), jak i manualnych (Uruchomione przez {imię i nazwisko uruchamiającego})

10.3 Lista konektorów

Jako administrator masz możliwość zobaczyć listę utworzonych, aktywnych i nieaktywnych konektorów.

Lista zawiera nazwę konektora, status, typ, przez kogo i kiedy został utworzony i zmodyfikowany oraz listę dostępnych do włączenia funkcjonalności.

Z poziomu listy, administrator może korzystać z opcji: “Dodaj”, “Edytuj”, “Aktywuj”, “Dezaktywuj”, “Konfiguruj”.

Listę można sortować, filtrować, grupować, zmieniać miejsca oraz widoczność poszczególnych kolumn.

10.3.1 Dodawanie i edycja konektorów

Jako administrator masz możliwość dodawania nowych konektorów oraz edycji już istniejących.

W formularzu dodawania konektora w pierwszym kroku musisz wybrać typ konektora. W pierwszym etapie możliwy będzie wybór pomiędzy AD(Active Directory) , Bazy danych(konektor bazodanowy), REST a konektorem typu Microsoft (Entra ID daw. Azure AD). Typy konektorów są przez nas definiowane, wraz z atrybutami koniecznymi do uzupełnienia.

Konektor AD pozwala na tworzenie kont w AD, provisioning uprawnień oraz tworzenie kont w PASK na podstawie AD.

Konektor bazodanowy pozwala na automatyczna synchronizację tożsamości z baz danych.

Konektor REST pozwala na provisioning uprawnień na podstawie nadawanych ról w PASK.

Konektor Microsoft pozwala na tworzenie i blokowanie kont w Entra ID (daw. Azure AD).

Konektor Google Workspace pozwala na tworzenie kont w Google Workspace za pomocą PASK.

Po wybraniu typu, wyświetlą Ci się poniższe pola do uzupełnienia, konieczne do podania przy wybranym typie powiązania. 

Dla typu AD są to pola:

a) nazwa,

b) URL,

c) podstawowe OU,

d) użytkownik,

e) hasło.

Dla typu Bazy danych są to pola:

a) nazwa,

b) host,

c) nazwa bazy danych,

d) użytkownik,

e) hasło,

f) typ bazy danych.

Dla typu REST są to pola:

a) nazwa,

b) URL,

c) typ autoryzacji,

d) użytkownik i hasło lub Klucz API.

Dla typu Microsoft są to pola:

a) nazwa,

b) opis,

c) tenant,

d) ID aplikacji w Microsoft,

e) klucz.

10.3.2 Konfiguracja konektora

Jako Dla typu Google Workspace są to pola:

a) nazwa,

b) opis,

c) e-mail - wartość uzupełniania automatycznie na podstawie klucza konektora,

e) klucz w formacie JSON.

Image Added

10.3.2 Konfiguracja konektora

Jako Administrator masz możliwość skonfigurowania powiązania PASK  z systemem zewnętrznym aby móc synchronizować dane pomiędzy nimi.

Image Removed

Image Removed

Image Removed

Image Removed

Funkcjonalności konektora AD:

Zakładanie i blokowanie kont w AD.

Provisioning uprawnień.

Rekoncyliacja danych.

Zakładanie kont w PASK na podstawie kont w AD.

Image Added

Konfiguracja podstawowa konektora AD - opis pól

Konfiguracja podstawowa konektora AD - przykłady

Funkcjonalności konektora DB

Synchronizacja tożsamości.

Image Added

Funkcjonalności konektora REST

Provisioning uprawnień.

Image Added

Funkcjonalności konektora Microsoft

Zakładanie i blokowanie kont w AD.

Image Added

Funkcjonalności konektora Google Workspace

Zakładanie i blokowanie kont w Google Workspace.

Image Added

W konfiguracji konektora REST mamy do wyboru metodę HTTP jaką będzie się posługiwał. Obsługiwane metody to POST i PUT. Należy również wyszczególnić endpoint, do którego będą wysyłane informacje oraz payload (szablon) wysyłanych informacji. Do wyboru mamy:

• Payload podstawowy zawierający najważniejsze informacje potrzebne do podjęcia akcji,

• Payload rozszerzony zawierający bardziej szczegółowe informacje na temat wymaganej akcji.

10.3.3 Aktywacja/dezaktywacja konektora

Jako Administrator masz możliwość aktywacji i dezaktywacji utworzonych wcześniej konektorów.

10.4 RBAC - kontrola dostępu oparta na rolach

RBAC to mechanizm kontroli dostępów, który umożliwia zdefiniowanie profili RBAC dla różnych funkcji w organizacji, z którymi wiąże się określony zakres obowiązków.

Poszczególnym rolom organizacyjnym są centralnie przydzielane stosowne role biznesowe (uprawnienia) w systemie informatycznym.

Użytkownicy uzyskują uprawnienia do wykonywania określonych dla tych ról czynności.

Profile RBAC przypisywane są użytkownikom na podstawie odpowiednio skonfigurowanych reguł, budowanych przy wykorzystaniu atrybutów tożsamości.

Ścieżka akceptacji ról biznesowych wykorzystywanych w konfiguracji RBAC zarządzana jest w sposób automatyczny - wnioski nadania/odebrania uprawnień od razu trafiają do procesu ich realizacji:

10.4.1 Podgląd aktywnej konfiguracji RBAC

Z menu głównego, wybierz kafelek o nazwie RBAC

W tej sekcji możesz zarządzać globalną konfiguracją wyznaczania profili RBAC, przeglądać skład aktualnych i historycznych profili RBAC oraz przeglądać jakie reguły je wyznaczają

10.4.2 Edycja aktywnej konfiguracji RBAC

Wybierz opcję ‘Edytuj konfigurację RBAC’, aby przejść do konfiguracji składu profili RBAC wykorzystywanych w systemie oraz ich reguł wyznaczania.

Formularz edycji profili RBAC pozwala na:

• tworzenie nowych profili RBAC,

• edycję składu ról biznesowych w istniejącym profilu RBAC ,

• edycję reguł wyznaczania istniejących profili RBAC,

• usuwanie istniejących profili RBAC.

10.4.2.1 Tworzenie i edycja profili RBAC

10.4.2.1.1 Nazwa profilu RBAC

Każdy profil RBAC skonfigurowany w RBAC wymaga biznesowej nazwy (string o max długości 50)

Nazwa profilu RBAC powinna w jednoznaczny sposób określać jej potencjalnych posiadaczy

10.4.2.1.2 Przypisane profile RBAC

Profil RBAC pozwala na zdefiniowanie zakresu wymaganych uprawnień (zgrupowanych w odpowiednie role biznesowe), dla wybranych grup użytkowników, w zależności od ich zakresu obowiązków w organizacji.

W systemie PASK, role biznesowe zarządzane przy wykorzystaniu RBAC są definiowane niezależnie od tych, o które możemy wnioskować w sposób manualny.https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962411/8.+Zasoby#8.1.2-Dodawanie%2C-edycja-i-podgl%C4%85d-zasob%C3%B3w .

Podczas konfiguracji roli organizacyjnej, system pozwala określić jakie role biznesowe z poszczególnych zasobów wchodzą w jej skład.

10.4.2.1.3 Reguły profili RBAC

Definiowanie reguł wyznaczania profili RBAC polega na odpowiednim określeniu wartości atrybutów tożsamości, którymi zarządzamy, zgodnie z ich zakresem obowiązków w organizacji.

Reguły wyznaczania profili RBAC definiowane są na podstawie poniższych atrybutów tożsamości:

10.4.2.2 Usuwanie profili RBAC

Podczas edycji konfiguracji RBAC możliwe jest usuwanie istniejących profili RBAC.

Taka akcja, po zapisie konfiguracji wiąże się z wystawianiem zamówienia odebrania dostępów dla wszystkich tożsamości, które posiadały wybranym profilem RBAC.

10.4.2.3 Walidacja konfiguracji RBAC

Po wprowadzeniu wszystkich zmian w konfiguracji należy przeprowadzić walidację zmian wykonanych w konfiguracji.

Raport walidacji przedstawi ‘konsekwencje’ wprowadzonych zmian w konfiguracji.

Raport podzielony jest na dwie części:

• akcje na rolach biznesowych tożsamości,

• zmiany w składzie tożsamości profili RBAC .

10.4.2.4 Historia konfiguracji RBAC

Wybierz opcję ‘Historia konfiguracji’, aby przejść do historii wersji konfiguracji RBAC.

Po wybraniu jednej z wersji, użytkownik może przejrzeć:

• z jakich profili RBAC składała się konfiguracja,

• jakie role biznesowe wchodziły w skład profili RBAC w wybranej wersji,

• jakie reguły wyznaczały poszczególne profile RBAC.

10.4.2.5 Zarządzanie przy wykorzystaniu RBAC (profili RBAC)

Zamówienie na zmianę (odebranie/nadanie) dostępów tożsamości w systemie, może zostać wywołane na kilka sposobów:

• edycja konfiguracji RBAC - przeliczenie nowych dostępów zgodnie ze skonfigurowanymi zmianami,

• dodanie nowej tożsamości do systemu PASK - przeliczenie dostępów dla nowej tożsamości, zgodnie z jej atrybutami https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962007/6.+To+samo+ci#6.3.1-Atrybuty-to%C5%BCsamo%C5%9Bci ,

• aktualizacja istniejących tożsamości w systemie PASK - przeliczenie dostępów dla istniejących tożsamości, zgodnie wprowadzonymi zmianami w ich atrybutach,

• uruchomienie procesu automatycznego przeliczenia konfiguracji RBAC - przeliczenie dostępów zgodnie z aktualną konfiguracją RBAC.