Emailové notifikace v CzechIdM
Sice to nemusí na první pohled tak vypadat, ale emailové notifikace jsou podstatnou a důležitou součástí každého dobrého Identity manageru. V tomto příspěvku se podíváme, jakým způsobem jsou emailové notifikace implementovány v našem CzechIdM. Ukážeme si, jak jednoduše se dají vytvářet šablony, dle kterých se emaily odesílají a jak je možné přidat novou notifikaci do stávajícího procesu.
K čemu slouží notifikace
Jak již název napovídá, tak notifikace slouží k informování uživatelů o nastalých situacích. V Identity managementu jsou většinou těmito situacemi stavy, ve kterých se nachází identity uživatelů. Notifikováno ale může být prakticky cokoliv, od přidání nového koncového systému až po nastavení nové politiky hesel pro uživatele v doméně. Tedy alespoň v CzechIdM jsou možnosti prakticky neomezené :-). Vraťme se však zpět a podívejme se, jak by mohly být použity notifikace ve standardních procesech životního cyklu identit.
Nástup nového zaměstnance
Personalista zapíše nového zaměstnance do personálního systému. CzechIdM vytvoří pro nového zaměstnance identitu a přiřadí mu výchozí role (tím se mu založí například emailová adresa, vytvoří se mu účet v doméně, účet v portálu atd.). Nyní je potřeba předat danému zaměstnanci výchozí přihlašovací údaje, poskytnout mu informace o tom, kde si může hesla změnit, jak si může požádat o další role, případně další informace související s jeho nástupem. Zároveň by bylo dobré například informovat vedoucího, že nastoupil jeho nový podřízený a že mu může přidat nová oprávnění. Naskýtá se otázka, kdo informuje vedoucího o novém zaměstnanci? Bude to muset zajišťovat někdo z personálního oddělení? Odpovědí je, že nikoliv. Proces nástupu nového zaměstnance může být implementován tak, že CzechIdM samo po jeho nástupu odešle vedoucímu email, kde budou uvedeny všechny požadované informace o zaměstnanci. Mohou zde být například také informace pro daného zaměstnance, které mu vedoucí předá (výchozí heslo pro CzechIdM, kontakty na helpdesk, administrátory atd.). Pomocí výchozího hesla se pak uživatel přihlásí do CzechIdM, kde si může sám nastavit nová hesla do všech aplikací, kam má přístup.
Přidání oprávnění zaměstnanci
Vedoucí zjistí, že nový podřízený nemá přístup do důležitého systému. Jak to vyřeší? Musí kontaktovat IT oddělení? Jak se dostane výchozí heslo do tohoto systému k danému zaměstnanci? Řešení je opět velmi jednoduché. Pomocí CzechIdM přidá vedoucí zaměstnanci požadovanou roli, která vytvoří účet na daném systému. Přihlašovací informace se pak automaticky odešlou z CzechIdM přímo danému zaměstnanci, který si pak heslo může opět změnit v CzechIdM.
Vytvoření uživatelské žádosti o oprávnění
Zaměstnanec po určité době zjistí, že by potřeboval přístup do nějakého dalšího systému, případně právo pro nějaký sdílený adresář. Místo toho, aby zjišťoval, kdo mu nové přístupy vytvoří a kdo mu je musí nejprve schválit, tak se přihlásí do CzechIdM a jednoduše si o tyto zdroje požádá. Jednotlivým schvalovatelům se vytvoří v CzechIdM žádosti a odešlou se jim emaily s tím, že daný zaměstnanec si žádá o nová práva a že mu je mohou v CzechIdM schválit nebo zamítnout. Pokud žádosti schválí, tak se zaměstnanci vytvoří požadované přístupy, odešle se mu email s potvrzením a zároveň se odešle email jeho vedoucímu, že má daný zaměstnanec další oprávnění. Administrátoři daných systémů tak mohou být odstíněni od těchto žádostí, mohou například pouze dostávat emailové notifikace, že danému uživateli byt vytvořen nový účet. Schvalování může být takto delegováno na obyčejné uživatele, např. na jednotlivé vedoucí atd.
Odchod zaměstnance
Předpokládejme, že ze společnosti odchází zaměstnanec, který kromě uživatelských účtů vlastní firemní notebook a vstupní čipovou kartu. Proces odchodu zaměstnance pak může být implementován tak, že týden před jeho odchodem se odešle z CzechIdM pověřenému zaměstnanci email, že k určitému datu si má notebook a vstupní kartu od odcházejícího zaměstnance vyzvednout. Pak se mu stejný email může poslat ještě jednou v den odchodu. To, že se ke dni odchodu zaměstnance zablokují všechny jeho účty a informují se o tom pověřené osoby, bereme za samozřejmost :-)
Na jednoduchém příkladu životního cyklu identit jsme si ukázali, kde všude se dají použít notifikace a kolik práce mohou pracovníkům personálního oddělení, IT administrátorům a dalším uživatelům ušetřit.
Jak se vytvářejí a editují emailové šablony v CzechIdM
Editace emailových šablon z administrátorského rozhraní CzechIdM je velmi jednoduchá. Stačí se přihlásit a přejít na záložku “Konfigurace“. Poté klikneme na záložku “Emailové šablony” a vybereme si šablonu, kterou chceme editovat. Na obrázku níže je zobrazena editace šablony, dle které se odesílají emaily schvalovatelům role, když je o danou roli zažádáno pro některou z identit, tj. pro některého z uživatelů. Text uzavřený v zápisu #{} označuje název proměnné, jejíž obsah se vloží do odesílaného emailu. V našem případě bude tedy ve výsledném emailu místo #{userFullName} celé jméno uživatele, pro kterého se žádá o roli, místo #{userName} bude uživatelské jméno daného uživatele, #{roleName} se nahradí názvem žádané role a #{roleDescription} bude nahrazeno popisem role.
Způsob přidání emailové notifikace do stávajícího procesu
Administrátoři CzechIdM mohou také vytvářet vlastní emailové šablony a integrovat je do procesů IdM. Po vytvoření šablony vybereme proces (workflow), ve kterém chceme dle ní odesílat notifikace. Po kliknutí na odkaz “Editovat” u daného procesu se nám zobrazí jeho zdrojový kód zapsaný v jBPM. V uzlu, ve kterém chceme odesílat notifikace, stačí do HashMapy doplnit proměnné, které se vkládají do šablony (u příkladu výše například proměnná “roleName”), a zavolat metodu “sendEmailToIdentity” třídy Application. Prvním parametrem dané metody je název identity, které se má email odeslat (uživatelské jméno adresáta). Druhým parametrem je název šablony, dle které se má poslat notifikace, a posledním parametrem je výše zmíněná HashMapa s proměnnými, jejichž obsah se vkládá do šablony. Jak lze vidět na obrázku níže, tak se nejedná o ni složitého.
Závěr
V tomto článku jsme si naznačili, kde všude se dají emailové notifikace použít a co nám jejich použití přináší. Dále jsme si ukázali, jak se dají v CzechIdM emailové šablony upravovat a jak se do stávajícího procesu integruje odesílání notifikací. Pokud byste se chtěli o CzechIdM, případně o Identity managementu, dozvědět více, tak mne neváhejte kontaktovat na emailové adrese jinfo@bcvsolutions.eu.