Automatické role a jejich import z CSV
Jednou z největších výhod použití Identity Manageru (IdM) v rámci organizace je velká možnost automatizace jinak pracných a časově náročných procesů. Přesně k tomu slouží tzv. automatické role.
Automatické role představují soubor pravidel, podle nichž jsou kontraktům přidělované role automaticky. Existují dva typy automatických rolí: 1) přidělované dle organizační struktury a 2) přidělované na základě atributu. Ukážeme si na příkladu našeho SW CzechIdM
Automatické role přidělované dle organizační struktury
První kategorie funguje tak, že role se má přiřadit všem kontraktům, které mají nastavenou pozici na konkrétní prvek stromu (místo v organizační struktuře). Pak všem uživatelům, kteří se nacházejí na tomto místě v organizační struktuře, automaticky (bez žádání a schvalování) přiřazena definovaná role. Navíc je možné propagovat toto pravidlo i na nadřazené či podřazené prvky struktury pomocí specifikace typu rekurze, který je použit.
Typický příklad využití je např. na pozici účetní, bude mít přidělená práva pro přístup do účetního systému (tj. nějakou konkrétní roli), bez ohledu na to, kdo konkrétně na této pozici sedí.
Automatické role přidělované na základě atributu
Druhá kategorie přiřazuje role na základě hodnoty nějakého atributu. Při definici můžeme vedle nastavení přidělené role nastavit pravidla pro přidělení výběrem z atributů identity či kontraktu, a to jak těch standardních (např. jméno, název pozice), tak těch rozšířených, které může vytvářet sám administrátor. Pokud potom identita, popř. kontrakt, má nastavenou specifikovanou hodnotu atributu, bude mu automaticky přidělená vybraná role. Pravidel pro přidělení může být v tomto případě nastaveno víc (včetně kombinací atributů identity a kontraktu).
Příkladem tohoto použití může být situace, kdy jen část uživatelů má mít vytvořený účet pro AD, např. všichni, kdo pracují na hlavní pracovní poměr. To, že zaměstnanec pracuje na HPP, může být v IdM evidováno jako rozšířený atribut kontraktu. Podle toho pak snadno nastavíme, že každý, kdo má hodnotu atributu např. HPP nastavenou na ‚true‘, dostane přidělenou roli pro AD.
Import automatických rolí z CSV
Správně nastavené automatické role dokážou ušetřit obrovské množství práce v rámci jedné organizace, jejich ruční nastavení je však při velkém množství poměrně pracné. Proto umožňuje IdM importovat oba typy automatických rolí z CSV souboru.
Import automatických rolí přidělovaných dle organizační struktury
Na základě jednoduchého CSV souboru lze pomocí nástroje ImportAutomaticRoleForTreeNodeFromCSVExecutor importovat automatické role přidělované dle organizační struktury do IdM. V CSV souboru bude na každém řádku uveden název prvku organizační struktury a kód role, která bude přidělena. Volitelně lze specifikovat typ rekurze pro šíření přidělení role.
V konfiguraci ImportAutomaticRoleForTreeNodeFromCSVExecutor je pak třeba specifikovat, jak se jmenují jednotlivé sloupce CSV souboru a další informace o struktuře CSV.
Celý návod je k dispozici zde. Tento nástroj je součástí modulu extras.
Import automatických rolí přidělovaných na základě atributu
Podobně jednoduše můžeme importovat automatické role, které jsou přidělované na základě atributu. K tomu slouží nástroj ImportAutomaticRoleAttributesFromCSVExecutor. CSV soubor bude na každém řádku obsahovat kód přidělované role a hodnotu rozšířeného atributu kontraktu (příp. dva), podle nějž bude role přidělena.
V konfiguraci ImportAutomaticRoleAttributesFromCSVExecutor je pak třeba specifikovat, jak se jmenují jednotlivé sloupce CSV souboru a další informace o struktuře CSV.
V tuto chvíli tento nástroj podporuje import rolí přidělovaných pouze na základě rozšířeného atributu kontraktu.
Celý návod je k dispozici zde. Tento nástroj je součástí modulu extras.