Spis treści
5.1. Tożsamości
Z menu głównego, wybierz kafelek o nazwie Tożsamości.
Lista tożsamości prezentuje dane zaimportowane przez plik oraz informacje jaki jest status tożsamości.
Statusy w cyklu życia tożsamości:
Opis | |
---|---|
Tożsamość przed rozpoczęciem współpracy, gotowa do aktywacji w systemie PASK | |
Tożsamość może mieć nadawane/odbierane role biznesowe w systemie PASK Możliwe jest utworzenie konta użytkownika | |
Status przejściowy między Aktywny a Nieaktywnym Tożsamość jest dezaktywowana - nie można nadawać uprawnień dla takiej tożsamości, wyliczenie statusu Nieaktywny dla tożsamości możliwe jest gdy tożsamość nie posiada żadnej nadanej roli biznesowej oraz jej daty zatrudnienia są w przeszłości Wszystkie aktywne wnioski akceptacji nadania ról biznesowych zostaną automatycznie anulowane Możliwe będzie wyłącznie odbieranie ról biznesowych dla tożsamości | |
Tożsamość nie może mieć nadawanych/odbieranych ról biznesowych w systemie Okres zatrudnienia tożsamości zakończył się w przeszłości Tożsamość nie posiada żadnych nadanych dostępów ani dostępów w trakcie procesowania |
5.1.1 Aktywacja i dezaktywacja Tożsamości
Administrator systemu ma możliwość manualnej aktywacji/dezaktywacji administracyjnej pojedynczych tożsamości w systemie.
Akcja tego typu ma te same skutki co uruchomienie odpowiadających za te zmiany procesów automatycznych. https://paskid.atlassian.net/wiki/spaces/PASK/pages/322963114/9.+Konfiguracja#9.2.1-Lista-proces%C3%B3w
5.1.1 Szczegóły Tożsamości
W celu wyświetlenia szczegółów tożsamości, wybierz jedną z listy i kliknij Podgląd.
Lista szczegółów tożsamości posiada informacje nt. ról biznesowych tożsamości.
Możesz sprawdzić dokładną historię wybranych pozycji, zawierającą opis akcji:
Nadania roli biznesowej
Recertyfikacji
Odebrania roli biznesowej
5.1.1.1 Recertyfikacja uprawnień tożsamości
Istnieje możliwość przedłużenia daty ważności roli biznesowej nadanej konkretnej tożsamości
Uprawnienie do przedłużenia ważności nadanych dostępów mają wyłącznie użytkownicy typu Użytkownik biznesowy oraz Przełożony tożsamości
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
Datę ważności posiadaja tylko role biznesowe zarządzane manualnie
Osoby uprawnione będą mogły zmieniać datę ważności roli do momentu wystartowania wniosku na odebranie uprawnień
Data nie może być zmieniona na większą niż ustalona maksymalna ważność roli biznesowej w ustawieniach zasobu
Po wykonaniu akcji recertyfikacji, w historii roli biznesowej tożsamości pojawia się wpis z informacjami:
typ akcji - Recertyfikacja
Data realizacji
Opis zawierający:
Dane wykonawcy
Datę ważności przed zmianą
Datę ważności po zmianie
Możliwe jest również skonfigurowanie powiadomienia informującego podmiot o dokonanej zmianie 9. Powiadomienia
5.1.2 Grupy Tożsamości
Lista Tożsamości ma wydzieloną dodatkową sekcję – Grupy Tożsamości.
Grupy tożsamości wykorzystywane są w celach konfiguracyjnych systemu - do definiowania kroków definicji wniosków akceptacji i realizacji
Uprawnienie do przeglądania grup tożsamości w systemie mają wyłącznie użytkownicy typu: Administrator i Audytor
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
5.1.2.1 Dodawanie / edycja grup tożsamości
Użytkownicy PASK mają możliwość tworzenia nowych grup tożsamości lub edycji już istniejących w celu dopasowania grup tożsamości do potrzeb organizacji. Takie grupy tożsamości mogą być następnie przypisywane do wybranego kroku akceptacji lub jako grupa e-mailowa.
Dodawanie oraz edycja dostępna jest z poziomu listy grup tożsamości.
Uprawnienie do tworzenia, edycji grup tożsamości w systemie mają wyłącznie użytkownicy typu: Administrator
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
Formularz dodawania / edycji grup tożsamości składa się z następujących pól:
Nazwa
Opis
Lista tożsamości
Możesz dodać dowolną ilość tożsamości.
Jedna tożsamość może należeć do dowolnej ilości grup.
Możesz dodać jedynie aktywne tożsamości.
Jeżeli mamy w grupie tożsamość, która przestała być aktywna będzie ona wyświetlana nadal w grupie. Nie będzie to miało wpływu na walidacje.
Dla nieaktywnych tożsamości dodanych do grupy będzie wyświetlane ostrzeżenie: "Tożsamość nieaktywna".
Możesz usuwać tożsamości.
Masz możliwość wyszukiwania tożsamości na liście analogicznej do listy tożsamości.
Masz możliwość dodawania wielu tożsamości jednorazowo przez zaznaczenie checkbox na liście tożsamości.
Aby zapisać grupę musi ona posiadać minimum jedną tożsamość.
Autor - tylko do odczytu, uzupełniany imieniem i nazwiskiem użytkownika
tworzącego grupę.
System umożliwia porzucenie zmian (bez zapisu).
Utworzenie / modyfikacja grupy tożsamości powoduje odłożenie nowej wersji grupy.
5.2 Synchronizacja tożsamości
5.2.1 Synchronizacja
Z menu głównego, wybierz kafelek o nazwie Synchronizacja tożsamości.
Widok umożliwia załadowanie odpowiednio przygotowanego pliku z tożsamościami do synchronizacji
Przy pomocy przycisku “Pobierz szablon pliku” możesz pobrać szablon przedstawiający poprawną strukturę pliku synchronizacyjnego
“Typ zatrudnienia” w pliku musi być podany jako jedna z pięciu wartości: REGULAR, UOP, UD, UZ, B2B, CONTRACTOR.
W celu synchronizacji danych, załaduj plik. Automatycznie nastąpi walidacja załączonego pliku.
System wyświetli status oraz liczbę ewentualnych błędów w załączonym pliku. Informacje o błędach wyświetlane są per wiersz w tabeli, w dodatkowej kolumnie “Błędy”
Jeżeli walidacja nie wykryła żadnego błędu, system umożliwi wykonanie synchronizacji (import nowych tożsamości oraz aktualizacja istniejących)
Synchronizacja aktualizuje dane wyłącznie dla tożsamości zamieszczonych w pliku synchronizacyjnym, pozostałe tożsamości, znajdujące się w systemie pozostają bez zmian.
System wymaga kodowania załączanych plików UTF-8
5.2.2 Historia synchronizacji
W zakładce Historia synchronizacji możesz śledzić historię wykonanych synchronizacji w systemie.
5.3. Dostępy
Z menu głównego, wybierz kafelek o nazwie Dostępy.
Poszczególne zakładki widoku prezentują:
aktualnie aktywne dostępy w organizacji
historie wszystkich dostępów
5.3.1 Aktywne dostępy
Lista aktywnych dostępów prezentuje dane dotyczące wszystkich przydzielonych i aktualnie aktywnych ról biznesowych w systemie.
Możesz wyświetlić podgląd/szczegóły elementów, klikając w wybrany/ą:
Tożsamość
Zasób
Rolę biznesową
5.3.2 Historia dostępów
Lista historii dostępów prezentuje raport dotyczący wszystkich nadanych ról biznesowych od początku korzystania z systemu, wraz z zakresem dat aktywności poszczególnych ról.
Możesz wyświetlić podgląd/szczegóły elementów, klikając w wybrany/ą:
Tożsamość
Zasób
Rolę biznesową
W celu weryfikacji określonego zakresu czasu, możesz wykorzystać funkcję filtrowania po dacie korzystając z przycisków:
ostatni miesiąc
ostatnie 3 miesiące
ostatni rok
lub wyznaczając zakres dat manualnie
5.4. Konfiguracja tożsamości
Z menu głównego, wybierz kafelek o nazwie Konfiguracja tożsamości
W tej sekcji możesz zarządzać globalną konfiguracją atrybutów tożsamości oraz parametrami wpływającymi na cykl życia tożsamości
5.4.1 Atrybuty tożsamości
Funkcjonalność umożliwia skonfigurowanie na potrzeby własnej organizacji atrybutów tożsamości oraz określenie dodatkowych atrybutów (opcjonalnie, max 5 atrybutów), które będą przechowywane w systemie PASK.
Dane można skonfigurować tylko do czasu pierwszego importu tożsamości. Po pierwszym imporcie tożsamości, edycja jest niemożliwa.
W celu wykonania edycji zaznacz wybrany atrybut na liście Dodatkowych Atrybutów Tożsamości i dokonaj zmiany w oknie szczegółów a następnie Zapisz.
Poniższa tabela przedstawia zakres konfiguracji atrybutów tożsamości w systemie PASK:
Nazwa atrybutu | Obligatoryjność | Dopuszczalne wartości |
Identyfikator | Tak | Dowolny tekst/Numer |
Tak/Nie - konfigurowalne | Adres e-mail | |
Imię | Tak/Nie - konfigurowalne | Dowolny tekst |
Nazwisko | Tak/Nie - konfigurowalne | Dowolny tekst |
Identyfikator przełożonego | Tak | Dowolny tekst/Numer |
Numer telefonu | Tak/Nie - konfigurowalne | Numer |
Rozpoczęcie współpracy | Tak, jeżeli nieaktywny Uruchomienie dostępów | Data |
Zakończenie współpracy | Tak/Nie - konfigurowalne | Data |
Jednostka organizacyjna | Tak/Nie - konfigurowalne | Dowolny tekst |
Stanowisko | Tak/Nie - konfigurowalne | Dowolny tekst |
Typ zatrudnienia | Tak | Jedna z wartości:
|
Uruchomienie dostępów | Tak, jeżeli nieaktywny Rozpoczęcie współpracy | Data |
Zamknięcie dostępów | Tak/Nie - konfigurowalne | Data |
Atrybuty dodatkowe (opcjonalne) | ||
Atrybut dodatkowy (EXT1) - Np. Oddział | Tak/Nie - konfigurowalne | Dowolny tekst/Numer/Data |
Atrybut dodatkowy (EXT2) | Tak/Nie - konfigurowalne | Dowolny tekst/Numer/Data |
Atrybut dodatkowy (EXT3) | Tak/Nie - konfigurowalne | Dowolny tekst/Numer/Data |
Atrybut dodatkowy (EXT4) | Tak/Nie - konfigurowalne | Dowolny tekst/Numer/Data |
Atrybut dodatkowy (EXT5) | Tak/Nie - konfigurowalne | Dowolny tekst/Numer/Data |
Szczegółowy opis opcji konfiguracji atrybutów:
Nazwa parametru konfiguracyjnego | Uwagi | Opis |
---|---|---|
Nazwa | Dotyczy atrybutów dodatkowych | Pole do edycji, możliwość wprowadzenia max.50 znaków. Nazwa nie może się powtórzyć zarówno w obrębie dodatkowych jak i podstawowych atrybutów |
Status | Dotyczy atrybutów dodatkowych | Możliwe opcje do wyboru:
|
Obligatoryjność | Możliwość wyboru:
| |
Typ danych | Pole, które definiuje jakie znaki są dozwolone dla tego atrybutu.
| |
Niedozwolone znaki | Dotyczy typu danych ‘String’ | Możliwe opcje do wyboru:
|
Normalizacja tekstu | Dotyczy typu danych ‘String’ lub ‘E-mail’ | Możliwe opcje do wyboru:
|
5.4.1 Cykl życia tożsamości
5.4.1.1 Aktywacja tożsamości
Masz możliwość skonfigurowania konkretnego momentu aktywacji tożsamości, w odniesieniu do dnia rozpoczęcia współpracy/dostępów.
Aktywacja (zmiana statusu z “W aktywacji” na “Aktywny”) tożsamości spowoduje że:
możliwe będzie nadawanie i odbieranie ról biznesowych dla tożsamości
uruchomione zostanie zamówienie automatyczne, zgodnie z konfiguracją RBAC
5.4.1.2 Dezaktywacja tożsamości
Masz możliwość skonfigurowania konkretnego momentu dezaktywacji tożsamości, w odniesieniu do dnia zakończenia współpracy/dostępów.
Moment odebrania wszystkich dostępów tożsamości (offboarding) nie jest konfigurowalny, następuje dzień po zakończeniu współpracy
Dezaktywacja (zmiana statusu z “Aktywny” na “W dezaktywacji” ) tożsamości spowoduje że:
wszystkie aktywne wnioski akceptacji nadania ról biznesowych zostaną automatycznie anulowane
niemożliwe będzie zrealizowanie aktywnych wniosków realizacji nadania ról biznesowych
możliwe będzie wyłącznie odbieranie ról biznesowych dla tożsamości
5.5. RBAC - kontrola dostępu oparta na rolach
RBAC to mechanizm kontroli dostępów, który umożliwia zdefiniowanie ról organizacyjnych dla różnych funkcji w organizacji, z którymi wiąże się określony zakres obowiązków.
Poszczególnym rolom organizacyjnym są centralnie przydzielane stosowne role biznesowe (uprawnienia) w systemie informatycznym.
Użytkownicy uzyskują uprawnienia do wykonywania określonych dla tych ról czynności.
Role przypisywane są użytkownikom na podstawie odpowiednio skonfigurowanych reguł, budowanych przy wykorzystaniu atrybutów tożsamości.
Użytkownik może posiadać wiele przypisanych ról organizacyjnych. Rola może być przypisana wielu użytkownikom w organizacji.
Ścieżka akceptacji ról biznesowych wykorzystywanych w konfiguracji RBAC zarządzana jest w sposób automatyczny - wnioski nadania/odebrania uprawnień od razu trafiają do procesu ich realizacji:
ZAMÓWIENIE RBAC | |
WNIOSEK AKCEPTACJI | WNIOSEK REALIZACJI |
Akceptacja wykonana automatycznie przez system | Realizacja wykonywana zgodnie z konfiguracją zasobu/uprawnienia (manualna lub automatyczna) |
5.5.1 Podgląd aktywnej konfiguracji RBAC
Z menu głównego, wybierz kafelek o nazwie RBAC
W tej sekcji możesz zarządzać globalną konfiguracją wyznaczania ról organizacyjnych, przeglądać skład aktualnych i historycznych ról organizacyjnych oraz przeglądać jakie reguły je wyznaczają
5.5.2 Edycja aktywnej konfiguracji RBAC
Wybierz opcję ‘Edytuj konfigurację RBAC’, aby przejść do konfiguracji składu ról organizacyjnych wykorzystywanych w systemie oraz ich reguł wyznaczania.
Formularz edycji ról organizacyjnych pozwala na:
Tworzenie nowych ról organizacyjnych
Edycję składu ról biznesowych w istniejącej roli organizacyjnej
Edycję reguł wyznaczania istniejących ról organizacyjnych
Usuwanie istniejących ról organizacyjnych
Uprawnienie do edycji konfiguracji RBAC w systemie mają wyłącznie użytkownicy typu: Administrator
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
5.5.2.1 Tworzenie i edycja ról organizacyjnych
5.5.2.1.1 Nazwa roli organizacyjnej
Każda rola organizacyjna skonfigurowana w RBAC wymaga biznesowej nazwy (String o max długości 50)
Nazwa roli organizacyjnej powinna w jednoznaczny sposób określać jej potencjalnych posiadaczy
5.5.2.1.2 Przypisane role biznesowe
Rola organizacyjna pozwala na zdefiniowanie zakresu wymaganych uprawnień (zgrupowanych w odpowiednie role biznesowe), dla wybranych grup użytkowników, w zależności od ich zakresu obowiązków w organizacji.
W systemie PASK, role biznesowe zarządzane przy wykorzystaniu RBAC są definiowane niezależnie od tych, o które możemy wnioskować w sposób manualny.https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962411/6.+Zasoby#6.1.2-Dodawanie%2C-edycja-i-podgl%C4%85d-zasob%C3%B3w
Sposób zarządzania rolą biznesową definiujemy podczas tworzenia tej roli w zasobie (konfiguracja zasobu). System nie daje możliwości zmiany sposobu zarządzania dla wcześniej aktywowanej roli biznesowej.
Podczas konfiguracji Roli organizacyjnej, system pozwala określić jakie role biznesowe z poszczególnych zasobów wchodzą w jej skład
Ważna informacja
Uprawnienia wykorzystane w rolach biznesowych zarządzanych przez RBAC mogą być tez składowymi ról biznesowych zarządzanych manualnie
5.5.2.1.3 Reguły roli organizacyjnej
Definiowanie reguł wyznaczania ról organizacyjnych polega na odpowiednim określeniu wartości atrybutów tożsamości, którymi zarządzamy, zgodnie z ich zakresem obowiązków w organizacji.
Reguły wyznaczania ról organizacyjnych definiowane są na podstawie poniższych atrybutów tożsamości:
Atrybut tożsamości | Operator | Wartość | |
---|---|---|---|
1 | Stanowisko | Zawiera się/ Nie zawiera się | Tekst |
2 | Jednostka organizacyjna | Zawiera się/ Nie zawiera się | Tekst |
3 | Typ zatrudnienia | Zawiera się/ Nie zawiera się | Jedna z:
|
4 | Aktywne atrybuty dodatkowe (EXT1 -EXT5) | Zawiera się/ Nie zawiera się | Zgodnie z konfiguracją atrybutu dodatkowego: Tekst/Numer |
Ważna informacja
Brak określenia reguły dla danego atrybutu w roli organizacyjnej, oznacza, że każda wartość tego atrybutu spełnia warunki przypisania do tej roli organizacyjnej
np. Jeżeli Rola organizacyjna nie posiada żadnej reguły, zostanie ona przypisana do wszystkich aktywnych tożsamości w organizacji
5.5.2.2 Usuwanie ról organizacyjnych
Podczas edycji konfiguracji RBAC możliwe jest usuwanie istniejących ról organizacyjnych.
Taka akcja, po zapisie konfiguracji wiąże się z wystawianiem zamówienia odebrania dostępów dla wszystkich tożsamości, które posiadały wybraną rolę organizacyjną
5.5.2.3 Walidacja konfiguracji RBAC
Po wprowadzeniu wszystkich zmian w konfiguracji należy przeprowadzić walidację zmian wykonanych w konfiguracji.
Raport walidacji przedstawi ‘konsekwencje’ wprowadzonych zmian w konfiguracji.
Raport podzielony jest na dwie części:
Akcje na rolach biznesowych tożsamości
Zmiany w składzie ról organizacyjnych tożsamości
Akceptacja raportu walidacji zatwierdza nową konfigurację RBAC. Powoduje to wystawienie zamówienia, zgodnie z oczekiwanymi w raporcie zmianami w rolach biznesowych tożsamości (o ile takie zachodzą)
Uwaga
Jeśli dla wybranej tożsamości istnieje aktywny wniosek realizacji wywołany przez RBAC, kolejne zamówienie nie powstanie do momentu zakończenia tego poprzedniego
Nie ma możliwość zapisania zmian w konfiguracji RBAC, w momencie gdy w systemie istnieje aktywne zamówienie wywołane przez RBAC
5.5.2.4 Historia konfiguracji RBAC
Wybierz opcję ‘Historia konfiguracji’, aby przejść do historii wersji konfiguracji RBAC.
Po wybraniu jednej z wersji, użytkownik może przejrzeć:
z jakich ról organizacyjnych składała się konfiguracja
jakie role biznesowe wchodziły w skład ról organizacyjnych w wybranej wersji
jakie reguły wyznaczały poszczególne role organizacyjne
Uprawnienie do przeglądania historii konfiguracji RBAC mają wyłącznie użytkownicy typu: Administrator i Audytor
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
5.5.2.5 Zarządzanie przy wykorzystaniu RBAC (ról organizacyjnych)
Zamówienie na zmianę (odebranie/nadanie) dostępów tożsamości w systemie, może zostać wywołane na kilka sposobów:
Edycja konfiguracji RBAC - przeliczenie nowych dostępów zgodnie ze skonfigurowanymi zmianami
Dodanie nowej tożsamości do systemu PASK - przeliczenie dostępów dla nowej tożsamości, zgodnie z jej atrybutami https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962007#5.4.1-Atrybuty-to%C5%BCsamo%C5%9Bci
Aktualizacja istniejących tożsamości w systemie PASK - przeliczenie dostępów dla istniejących tożsamości, zgodnie wprowadzonymi zmianami w ich atrybutach
Uruchomienie procesu automatycznego przeliczenia konfiguracji RBAC - przeliczenie dostępów zgodnie z aktualną konfiguracją RBAC
Uwaga
Jeśli dla wybranej tożsamości istnieje aktywny wniosek realizacji wywołany przez RBAC, kolejne zamówienie nie powstanie do momentu zakończenia tego poprzedniego
Nie ma możliwość zapisania zmian w konfiguracji RBAC, w momencie gdy w systemie istnieje aktywne zamówienie wywołane przez RBAC
Tożsamość może posiadać wiele ról organizacyjnych, wyliczana jest suma logiczna uprawnień z nich wynikająca
0 Comments