Co jsou business role a jak je používat
Oprávnění pro jednotlivé systémy jsou v CzechIdM řízeny pomocí rolí. S každým napojeným systémem přibývají další a další role, vyznat se v nich proto může být mnohdy oříšek. CzechIdM disponuje řadou funkcí, které nám zde mohou pomoci (např. katalog rolí). Často je však užitečné mít možnost několik rolí seskupit do jednoho celku, který pak lze snadněji spravovat.
Právě to umožňuje funkcionalita business rolí: každé roli lze nastavit podřazené role. Když pak přidělíme uživateli tuto nadřazenou roli, automaticky dojde k přidělení i podřazených rolí. Díky tomu můžeme mít přehlednější a systematičtější přehled oprávnění. Business role přitom funguje jako běžná role, lze ji např. schvalovat, příp. ji nastavit jako automatickou roli např. podle pracovní pozice.
Příklady užití a nastavení business rolí
Použití business rolí předvedu na dvou příkladech. V tom prvním vytvoříme novou roli, která bude sloužit pouze jako obálka nad existujícími rolemi. V tom druhém seskupíme dvě existující role, u nichž víme, že pokud uživatel má jednu roli, má mít i druhou roli. Aby to nebylo moc jednoduché, tak zároveň lze podřadit, případně nadřadit busineess roli do jiné business role.
Role jako obálka nad existujícími rolemi
V naší společnosti existuje typová pozice ‚vývojář‘. Každý vývojář musí mít mj. přístup do našeho ticketovacího systému Redmine a našeho interního nástroje pro správu zdrojových kódů GitLab. Vytvoření účtů do těchto systémů zajišťují v CzechIdM role Redmine-uživatel a GitLab-uživatel. Protože role obvykle přiřazujeme obě najednou, dává smysl vytvořit business roli, která je bude seskupovat.
Nejprve vytvoříme samotnou roli, která bude obě role seskupovat. Pojmenujeme ji např. Vývojář. Roli můžeme nastavit další atributy, např. garanty, kteří budou schvalovat její přidělování. Pozor je třeba dávat na to, že podřazené role se neschvalují, vždy se schvaluje pouze business role (v našem případě Vývojář). Roli uložíme.
Na detailu role pak přejdeme na položku Business role a u položky Podřazené role klikneme na tlačítko přidat. Zde vybereme roli Redmine-uživatel a klikneme na Uložit. Postup zopakujeme pro roli GitLab-uživatel.
A to je vše, co je třeba udělat. Pokud nyní přiřadíme uživateli roli Vývojář, automaticky se mu přiřadí i role Redmine-uživatel a GitLab-uživatel. Business role se ve výchozím stavu zobrazuje tak, že pod ní podřazené role jsou skryté.
Po kliknutí na tlačítko plus vedle názvu business role se objeví role, které jsou roli Vývojář podřazené:
Stávající samostatné role (např. Redmine-uživatel) lze i nadále používat. Pokud bychom tedy chtěli uživateli vytvořit účet pouze v systému Redmine, je to možné.
Podřazení rolí
Druhý způsob využití business rolí je užitečný v případě, kdy nedává smysl, aby měl uživatel přidělenou jednu roli, ale ne druhou roli. Představte si, že máme dva systémy: Faktury a Účtárna. Účet na systému vytváří uživateli role Faktury-uživatel, resp. Účtárna-uživatel. Aby ale mohl uživatel používat systém Faktury, musí mít přístup do systému Účtárna. V takovém případě tedy nedává smysl, abychom uživateli přidělili roli Faktury-uživatel, ale ne roli Účtárna-uživatel.
Zde lze využít business role podobným způsobem jako v prvním případě. Rozdíl však bude ten, že namísto vytváření nové role, která bude fungovat jako obálka nad více rolemi, použijeme stávající role. Protože uživatel musí mít účet na systému Účtárna, aby mohl používat systém Faktury, dává smysl použít roli Faktury-uživatel jako nadřazenou a podřadit jí roli Účtárna-uživatel.
Díky tomu pak máme jistotu, že v případě, kdy uživateli přiřadíme roli Faktury-uživatel, získá i roli Účtárna-uživatel. Naopak pokud chceme, aby měl přístup pouze do systému Účtárna, přidělíme uživateli roli Účtárna-uživatel jako doposud.
Vhodně nadefinované business role výrazně zjednodušují a zpřehledňují práci s rolemi v CzechIdM.