Spis treści
9.1 Powiadomienia
Z menu głównego, wybierz kafelek Powiadomienia.
W tej sekcji możesz konfigurować jakie typy powiadomień są aktywne oraz definiować ich odbiorców.
Uprawnienie do aktywacji/dezaktywacji powiadomień w systemie mają wyłącznie użytkownicy typu: Administrator.
Użytkownicy typu Audytor i Użytkownik biznesowy mają możliwość odczytu aktualnie obowiązującej konfiguracji powiadomień dla organizacji.
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
Powiadomienia wywoływane są przez zachodzące w systemie zdarzenia wywołane przez działanie użytkownika (np. wystawienie nowego zamówienia, zakończenie zadania itp.)
Część powiadomień - powiadomienia przypominające, wywoływane są przez niezależnie konfigurowany proces automatyczny: “Wysłanie powiadomień przypominających” 9.2.1.5 Wysłanie powiadomień przypominających
Grupy | Typ powiadomienia | Tytuł mail powiadomienia | Odbiorcy | |
|---|---|---|---|---|
| 1 | Zamówienia | Rozpoczęcie zamówienia | PASK: Rozpoczęcie zamówienia nr X | Składający zamówienie |
| 2 |
|
|
| |
| 3 | Zakończenie zamówienia | PASK: Zakończenie zamówienia nr X | Składający zamówienie | |
| 4 | Wnioski akceptacji | Rozpoczęcie wniosku akceptacji w trybie automatycznym | PASK: Rozpoczęcie wniosku akceptacji nr X | Podmiot |
| 5 |
|
| Przełożony | |
| 6 |
|
| Właściciele zasobów | |
| 7 |
|
| Składający zamówienie | |
| 8 |
|
|
| |
| 9 | Rozpoczęcie wniosku akceptacji w trybie manualnym | PASK: Rozpoczęcie wniosku akceptacji nr X | Podmiot | |
| 10 |
|
| Przełożony | |
| 11 |
|
| Właściciele zasobów | |
| 12 |
|
| Składający zamówienie | |
| 13 |
|
|
| |
| 14 | Zakończenie wniosku akceptacji w trybie automatycznym | PASK: Zakończenie wniosku akceptacji nr X | Podmiot | |
| 15 |
|
| Przełożony | |
| 16 |
|
| Właściciele zasobów | |
| 17 |
|
| Składający zamówienie | |
| 18 |
|
|
| |
| 19 | Zakończenie wniosku akceptacji w trybie manualnym | PASK: Zakończenie wniosku akceptacji nr X | Podmiot | |
| 20 |
|
| Przełożony | |
| 21 |
|
| Właściciele zasobów | |
| 22 |
|
| Składający zamówienie | |
| 23 | Wnioski realizacji | Rozpoczęcie wniosku realizacji | PASK: Rozpoczęcie wniosku realizacji nr X | Podmiot |
| 24 |
|
| Przełożony | |
| 25 |
|
| Właściciele zasobów | |
| 26 |
|
| Składający zamówienie | |
| 27 |
|
|
| |
| 28 |
|
|
| |
| 29 | Zakończenie wniosku realizacji (nadanie dostępów) | PASK: Zakończenie wniosku realizacji nr X | Podmiot | |
| 30 |
|
| Przełożony | |
| 31 |
|
| Właściciele zasobów | |
| 32 |
|
| Składający zamówienie | |
| 33 | Zadania akceptacji | Zadanie akceptacji jest aktywne (wykonaj) | PASK: Zadanie akceptacji nr X gotowe do wykonania | Akceptujący |
| 34 |
|
|
| |
| 35 | Zadanie akceptacji zostało aktywowane (poinformuj) | PASK: Aktywacja zadania akceptacji nr X | Podmiot | |
| 36 |
|
| Przełożony | |
| 37 |
|
| Składający zamówienie | |
| 38 |
|
|
| |
| 39 | Przypomnienie o zadaniu akceptacji do wykonania | PASK: Przypomnienie o zadaniu akceptacji nr X do wykonania | Akceptujący/Realizujący | |
| 40 |
|
|
| |
| 41 | Informacja o niewykonanym zadaniu akceptacji | PASK: Zadanie akceptacji nr X jest niewykonywane od Y dni | Przełożony | |
| 42 | Zadania realizacji | Zadanie realizacji jest aktywne (wykonaj) | PASK: Zadanie realizacji nr X gotowe do wykonania | Realizujący |
| 43 |
|
|
| |
| 44 | Zadanie realizacji jest aktywne (poinformuj) | PASK: Aktywacja zadania realizacji nr X | Składający zamówienie | |
| 45 |
|
| Podmiot | |
| 46 |
|
| Przełożony | |
| 47 |
|
|
| |
| 48 | Przypomnienie o zadaniu realizacji do wykonania | PASK: Przypomnienie o zadaniu realizacji nr X do wykonania | Akceptujący/Realizujący | |
| 49 |
|
|
| |
| 50 | Informacja o niewykonanym zadaniu realizacji | PASK: Zadanie realizacji nr X jest niewykonywane od Y dni | Przełożony | |
| 51 | Zadanie realizacji zakończyło się niepowodzeniem | PASK: Automatyczna realizacja zakończona niepowodzeniem | Akceptujący/Realizujący | |
| 52 | Uprawnienia | Informacja o zmianie daty ważności uprawnień | PASK: Zmiana daty ważności roli biznesowej {rola} w zasobie {zasób} | Podmiot |
| 53 |
|
|
| |
| 54 | Informacja o terminie ważności uprawnień (poinformuj) | PASK: Wygasające dostępy | Podmiot | |
| 55 |
|
|
| |
| 56 | Informacje o terminie ważności uprawnień (wykonaj) | PASK: Wygasające dostępy - wymagana akcja | Przełożony | |
| 57 | Grupy tożsamości | Zmiana w grupie tożsamości | PASK: Zmiany w grupie tożsamości [Nazwa grupy] | Tożsamość dodana do grupy |
| 58 |
|
| Tożsamość usunięta z grupy | |
| 59 |
|
| Członkowie grupy |
9.2 Procesy automatyczne
Z menu głównego, wybierz kafelek o nazwie Procesy automatyczne.
W tej sekcji możesz konfigurować i zarządzać procesami automatycznymi.
9.2.1 Procesy automatyczne - widok kafelkowy
Z poziomu widoku kafelkowego, użytkownik może uruchomić manualnie wybrany proces automatyczny, skonfigurować go oraz wyświetlić pełną historię uruchomień danego procesu.
W celu wykonania akcji na wybranym procesie, kliknij 3 kropki w prawym górynym rogu wybranego kafelka i wybierz jedną z opcji:
konfiguruj,
uruchom,
historia procesów.
Tylko osoba posiadająca uprawnienia Administrator może uruchamiać i konfigurować procesy automatyczne w systemie.
W kolejnych podrozdziałach opisane zostaną dostępne procesy automatyczne.
9.2.1.1 Aktywacja tożsamości
Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na aktywny.
Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:
tożsamość musi posiadać status w aktywacji,
Zakres dat współpracy/dostępów tożsamości jest zgodny z konfiguracją cyklu życia tożsamości (aktywacja) ,
Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.
Proces można również wywołać manualnie, wybierając opcję uruchom.
9.2.1.2 Dezaktywacja tożsamości
Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na w dezaktywacji.
Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:
tożsamość musi posiadać status aktywny,
zakres dat współpracy/dostępów tożsamości jest zgodny z konfiguracją cyklu życia tożsamości (dezaktywacja).
Wywołanie procesu powoduje anulowanie aktywnych wniosków nadania uprawnień dla danej tożsamości.
Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.
Proces można również wywołać manualnie, wybierając opcję uruchom.
9.2.1.3 Odebranie wygasających uprawnień
Aktywowanie procesu pozwala na automatyczne odbieranie nadanych uprawnień, których data ważności wygasła (data ważności w przeszłości).
System wystawi zamówienie i wszystkie jego pozycje trafią bezpośrednio do realizacji (automatyczny proces akceptacji).
9.2.1.4 Przeliczenie konfiguracji RBAC
Aktywowanie procesu pozwala na automatyczne uruchomienie przeliczenia ról organizacyjnych w systemie, zgodnie z konfiguracją RBAC.
Więcej na temat zarządzania rolami przy wykorzystaniu RBAC, można znaleźć tutaj: https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962007#5.5.-RBAC---kontrola-dost%C4%99pu-oparta-na-rolach.
9.2.1.5 Wysłanie powiadomień przypominających
Aktywowanie procesu pozwala na automatyczne wysyłanie powiadomień przypominających, zgodnie z ich konfiguracją 9.1 Powiadomienia.
W systemie dostępnych jest sześć typów powiadomień przypominających:
Grupy | Typ powiadomienia | Tytuł mail powiadomienia | Odbiorcy | |
|---|---|---|---|---|
| 1 | Zadania akceptacji | Przypomnienie o zadaniu akceptacji do wykonania | PASK: Przypomnienie o zadaniu akceptacji nr X do wykonania | Akceptujący/Realizujący |
| 2 |
|
|
| |
| 3 | Informacja o niewykonanym zadaniu akceptacji | PASK: Zadanie akceptacji nr X jest niewykonywane od Y dni | Przełożony | |
| 4 | Zadania realizacji | Przypomnienie o zadaniu realizacji do wykonania | PASK: Przypomnienie o zadaniu realizacji nr X do wykonania | Akceptujący/Realizujący |
| 5 |
|
|
| |
| 6 | Informacja o niewykonanym zadaniu realizacji | PASK: Zadanie realizacji nr X jest niewykonywane od Y dni | Przełożony | |
| 7 | Uprawnienia | Informacja o zmianie daty ważności uprawnień | PASK: Zmiana daty ważności roli biznesowej {rola} w zasobie {zasób} | Podmiot |
| 8 |
|
|
| |
| 9 | Informacja o terminie ważności uprawnień (poinformuj) | PASK: Wygasające dostępy | Podmiot | |
| 10 |
|
|
|
9.2.1.6 Wystawienie wniosków offboarding
Aktywowanie procesu pozwala na automatyczne uruchomienie wystawienia wniosków odebrania dostępów dla tożsamości kończącej współpracę.
Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:
tożsamość nie miała wcześniej wystawianego wniosku offboarding,
tożsamość musi posiadać status w dezaktywacji,
zakres dat współpracy/dostępów tożsamości jest w przeszłości.
Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.
Proces można również wywołać manualnie, wybierając opcję uruchom
9.2.1.7 Zmiana statusu tożsamości na nieaktywny
Aktywowanie procesu pozwala na automatyczną zmianę statusu tożsamości na nieaktywny.
Proces zostanie wykonany tylko dla tożsamości spełniających określone warunki:
tożsamość musi posiadać status w dezaktywacji lub aktywny ,
tożsamość nie posiada żadnych nadanych ról biznesowych,
zakres dat współpracy/dostępów tożsamości jest w przeszłości.
Proces automatyczny uruchamiany jest zgodnie z konfiguracją crona.
Proces można również wywołać manualnie, wybierając opcję Uruchom.
9.2.1.8 Wyzwolenie synchronizacji tożsamości
Aktywowanie procesu wyzwala synchronizacje automatyczną skonfigurowaną w https://paskid.atlassian.net/wiki/spaces/PASK/pages/342491142/6.+Synchronizacja+to+samo+ci#6.1.-Automatyczna-synchronizacja-to%C5%BCsamo%C5%9Bci.
Proces wykona synchronizację tożsamości ze wskazanych źródeł zgodnie z konfiguracją.
9.2.1.8 Ponawianie zadań realizacji automatycznej
Aktywowanie procesu ponawia wszystkie zadania realizacji automatycznej zakończone błędem.
Jest to przydatna funkcja, która jest w stanie zaoszczędzić administratorom PASK manualnego rozwiązywania problemów.
9.2.2 Konfiguracja
W celu wyświetlenia szczegółów konfiguracji wybranego procesu automatycznego, wybierz jeden z listy i kliknij Konfiguracja.
Na ekranie konfiguracji procesu automatycznego możesz aktywować/dezaktywować proces oraz ręcznie ustawić konfigurację crona.
Oczekiwane wyrażenie crona (cron expression) można wygenerować przy pomocy generatora: https://www.freeformatter.com/cron-expression-generator-quartz.html.
9.2.3 Historia
W celu wyświetlenia pełnej historii uruchomień danego procesu , wybierz jeden z listy i kliknij historia procesów.
Na ekranie historii procesu automatycznego możesz prześledzić pełną historię uruchomień danego procesu.
Lista zawiera pozycje dot. zarówno uruchomień automatycznych (Uruchomione przez PASK), jak i manualnych (Uruchomione przez {imię i nazwisko uruchamiającego})
9.3. Lista konektorów
Jako administrator masz możliwość zobaczyć listę utworzonych, aktywnych i nieaktywnych konektorów.
Lista zawiera nazwę konektora, status, typ, przez kogo i kiedy został utworzony i zmodyfikowany.
Z poziomu listy, administrator może korzystać z opcji: “Dodaj”, “Edytuj”, “Aktywuj”, “Dezaktywuj”, “Konfiguruj”.
Listę można sortować, filtrować, grupować, zmieniać miejsca oraz widoczność poszczególnych kolumn.
9.3.1. Dodawanie i edycja konektorów
Jako administrator masz możliwość dodawania nowych konektorów oraz edycji już istniejących.
Osoba posiadająca uprawnienia Administrator może dodawać i edytować konektory w systemie .
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
W formularzu dodawania konektora w pierwszym kroku musisz wybrać typ konektora. W pierwszym etapie możliwy będzie wybór pomiędzy AD(Active Directory) a Bazy danych(konektor bazodanowy). Typy konektorów są przez nas definiowane, wraz z atrybutami koniecznymi do uzupełnienia.
Konektor AD pozwala na tworzenie kont w AD, provisioning uprawnień oraz tworzenie kont w PASK na podstawie AD.
Konektor bazodanowy pozwala na automatyczna synchronizację tożsamości z baz danych.
Po wybraniu typu, wyświetlą Ci się poniższe pola do uzupełnienia, konieczne do podania przy wybranym typie powiązania.
Dla typu AD są to pola:
a) nazwa,
b) URL,
c) podstawowe OU,
d) użytkownik,
e) hasło.
Dla typu Bazy danych są to pola:
a) nazwa,
b) host,
c) nazwa bazy danych,
d) użytkownik,
e) hasło,
f) typ bazy danych.
9.3.2. Konfiguracja konektora
Jako Administrator masz możliwość skonfigurowania powiązania PASK z systemem zewnętrznym aby móc synchronizować dane pomiędzy nimi.
Osoba posiadająca uprawnienia Administrator może konfigurować parametry utworzonego konektora.
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
9.3.3. Aktywacja/dezaktywacja konektora
Jako Administrator masz możliwość aktywacji i dezaktywacji utworzonych wcześniej konektorów.
Dezaktywacja konektora zablokuje połączenie między PASK i systemem zewnętrznym. Niemożliwe będzie wykonywanie automatycznego provisioningu czy logowanie się do systemu przy wykorzystaniu danego konektora.
9.4. RBAC - kontrola dostępu oparta na rolach
RBAC to mechanizm kontroli dostępów, który umożliwia zdefiniowanie ról organizacyjnych dla różnych funkcji w organizacji, z którymi wiąże się określony zakres obowiązków.
Poszczególnym rolom organizacyjnym są centralnie przydzielane stosowne role biznesowe (uprawnienia) w systemie informatycznym.
Użytkownicy uzyskują uprawnienia do wykonywania określonych dla tych ról czynności.
Role przypisywane są użytkownikom na podstawie odpowiednio skonfigurowanych reguł, budowanych przy wykorzystaniu atrybutów tożsamości.
Użytkownik może posiadać wiele przypisanych ról organizacyjnych. Rola może być przypisana wielu użytkownikom w organizacji.
Ścieżka akceptacji ról biznesowych wykorzystywanych w konfiguracji RBAC zarządzana jest w sposób automatyczny - wnioski nadania/odebrania uprawnień od razu trafiają do procesu ich realizacji:
ZAMÓWIENIE RBAC | |
WNIOSEK AKCEPTACJI | WNIOSEK REALIZACJI |
|
|
Akceptacja wykonana automatycznie przez system 
Realizacja wykonywana zgodnie z konfiguracją zasobu/uprawnienia (manualna lub automatyczna)9.4.1 Podgląd aktywnej konfiguracji RBAC
Z menu głównego, wybierz kafelek o nazwie RBAC
W tej sekcji możesz zarządzać globalną konfiguracją wyznaczania ról organizacyjnych, przeglądać skład aktualnych i historycznych ról organizacyjnych oraz przeglądać jakie reguły je wyznaczają
9.4.2 Edycja aktywnej konfiguracji RBAC
Wybierz opcję ‘Edytuj konfigurację RBAC’, aby przejść do konfiguracji składu ról organizacyjnych wykorzystywanych w systemie oraz ich reguł wyznaczania.
Formularz edycji ról organizacyjnych pozwala na:
tworzenie nowych ról organizacyjnych,
edycję składu ról biznesowych w istniejącej roli organizacyjnej ,
edycję reguł wyznaczania istniejących ról organizacyjnych,
usuwanie istniejących ról organizacyjnych.
Uprawnienie do edycji konfiguracji RBAC w systemie mają wyłącznie użytkownicy typu: Administrator.
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
9.4.2.1 Tworzenie i edycja ról organizacyjnych
9.4.2.1.1 Nazwa roli organizacyjnej
Każda rola organizacyjna skonfigurowana w RBAC wymaga biznesowej nazwy (string o max długości 50)
Nazwa roli organizacyjnej powinna w jednoznaczny sposób określać jej potencjalnych posiadaczy
9.4.2.1.2 Przypisane role biznesowe
Rola organizacyjna pozwala na zdefiniowanie zakresu wymaganych uprawnień (zgrupowanych w odpowiednie role biznesowe), dla wybranych grup użytkowników, w zależności od ich zakresu obowiązków w organizacji.
W systemie PASK, role biznesowe zarządzane przy wykorzystaniu RBAC są definiowane niezależnie od tych, o które możemy wnioskować w sposób manualny.https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962411/6.+Zasoby#6.1.2-Dodawanie%2C-edycja-i-podgl%C4%85d-zasob%C3%B3w.
Sposób zarządzania rolą biznesową definiujemy podczas tworzenia tej roli w zasobie (konfiguracja zasobu). System nie daje możliwości zmiany sposobu zarządzania dla wcześniej aktywowanej roli biznesowej.
Podczas konfiguracji roli organizacyjnej, system pozwala określić jakie role biznesowe z poszczególnych zasobów wchodzą w jej skład.
Ważna informacja
Uprawnienia wykorzystane w rolach biznesowych zarządzanych przez RBAC mogą być tez składowymi ról biznesowych zarządzanych manualnie.
9.4.2.1.3 Reguły roli organizacyjnej
Definiowanie reguł wyznaczania ról organizacyjnych polega na odpowiednim określeniu wartości atrybutów tożsamości, którymi zarządzamy, zgodnie z ich zakresem obowiązków w organizacji.
Reguły wyznaczania ról organizacyjnych definiowane są na podstawie poniższych atrybutów tożsamości:
Atrybut tożsamości | Operator | Wartość | |
|---|---|---|---|
| 1 | Stanowisko | Zawiera się/ Nie zawiera się | Tekst |
| 2 | Jednostka organizacyjna | Zawiera się/ Nie zawiera się | Tekst |
| 3 | Typ zatrudnienia | Zawiera się/ Nie zawiera się | Jedna z:
|
| 4 | Aktywne atrybuty dodatkowe (EXT1 -EXT5) | Zawiera się/ Nie zawiera się | Zgodnie z konfiguracją atrybutu dodatkowego: Tekst/Numer |
Ważna informacja
Brak określenia reguły dla danego atrybutu w roli organizacyjnej, oznacza, że każda wartość tego atrybutu spełnia warunki przypisania do tej roli organizacyjnej
np. jeżeli rola organizacyjna nie posiada żadnej reguły, zostanie ona przypisana do wszystkich aktywnych tożsamości w organizacji.
9.4.2.2 Usuwanie ról organizacyjnych
Podczas edycji konfiguracji RBAC możliwe jest usuwanie istniejących ról organizacyjnych.
Taka akcja, po zapisie konfiguracji wiąże się z wystawianiem zamówienia odebrania dostępów dla wszystkich tożsamości, które posiadały wybraną rolę organizacyjną.
9.4.2.3 Walidacja konfiguracji RBAC
Po wprowadzeniu wszystkich zmian w konfiguracji należy przeprowadzić walidację zmian wykonanych w konfiguracji.
Raport walidacji przedstawi ‘konsekwencje’ wprowadzonych zmian w konfiguracji.
Raport podzielony jest na dwie części:
akcje na rolach biznesowych tożsamości,
zmiany w składzie ról organizacyjnych tożsamości.
Akceptacja raportu walidacji zatwierdza nową konfigurację RBAC. Powoduje to wystawienie zamówienia, zgodnie z oczekiwanymi w raporcie zmianami w rolach biznesowych tożsamości (o ile takie zachodzą).
Uwaga
Jeśli dla wybranej tożsamości istnieje aktywny wniosek realizacji wywołany przez RBAC, kolejne zamówienie nie powstanie do momentu zakończenia tego poprzedniego.
Nie ma możliwość zapisania zmian w konfiguracji RBAC, w momencie gdy w systemie istnieje aktywne zamówienie wywołane przez RBAC.
9.4.2.4 Historia konfiguracji RBAC
Wybierz opcję ‘Historia konfiguracji’, aby przejść do historii wersji konfiguracji RBAC.
Po wybraniu jednej z wersji, użytkownik może przejrzeć:
z jakich ról organizacyjnych składała się konfiguracja,
jakie role biznesowe wchodziły w skład ról organizacyjnych w wybranej wersji,
jakie reguły wyznaczały poszczególne role organizacyjne.
Uprawnienie do przeglądania historii konfiguracji RBAC mają wyłącznie użytkownicy typu: Administrator i Audytor.
https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962830#6.1.3-Role-u%C5%BCytkownik%C3%B3w-PASK
9.4.2.5 Zarządzanie przy wykorzystaniu RBAC (ról organizacyjnych)
Zamówienie na zmianę (odebranie/nadanie) dostępów tożsamości w systemie, może zostać wywołane na kilka sposobów:
edycja konfiguracji RBAC - przeliczenie nowych dostępów zgodnie ze skonfigurowanymi zmianami,
dodanie nowej tożsamości do systemu PASK - przeliczenie dostępów dla nowej tożsamości, zgodnie z jej atrybutami https://paskid.atlassian.net/wiki/spaces/PASK/pages/322962007#5.4.1-Atrybuty-to%C5%BCsamo%C5%9Bci,
aktualizacja istniejących tożsamości w systemie PASK - przeliczenie dostępów dla istniejących tożsamości, zgodnie wprowadzonymi zmianami w ich atrybutach,
uruchomienie procesu automatycznego przeliczenia konfiguracji RBAC - przeliczenie dostępów zgodnie z aktualną konfiguracją RBAC.
Uwaga
Jeśli dla wybranej tożsamości istnieje aktywny wniosek realizacji wywołany przez RBAC, kolejne zamówienie nie powstanie do momentu zakończenia tego poprzedniego.
Nie ma możliwość zapisania zmian w konfiguracji RBAC, w momencie gdy w systemie istnieje aktywne zamówienie wywołane przez RBAC.
Tożsamość może posiadać wiele ról organizacyjnych, wyliczana jest suma logiczna uprawnień z nich wynikająca
Add Comment