CzechIdM 8.2 Lapis je venku – SSO, práva na atributy a hromadné akce
Po poměrně krátké době od vydání CzechIdM 8.1 Jade, je tu zbrusu nová verze CzechIdM – 8.2 s kódovým jménem Lapis. Přináší další nové funkce pro administrátory – nastavení práv pro správu dílčích atributů, SSO , nové hromadné akce nad rolemi. Pro vývojáře je nově k dispozici šablona modulu, která zásadním způsobem zjednodušuje vývoj vlastního modulu.
Lapis je název drahokamu, který je ceněný již od starověku pro svou výraznou modrou barvu.
Download
Práva na jednotlivé atributy uživatele
V CzechIdM je nyní možné nastavit oprávnění nejen pro identitu jako celek, ale i pro jednotlivé atributy. To znamená, že je možné nastavit taková oprávnění, aby jeden uživatel (s nízkými právy) mohl například editovat pouze rozšířený atribut identity ’email’ a druhý uživatel (s vyššími právy), mohl editovat všechny rozšířené atributy všech uživatelů.
Řízení oprávnění pro konkrétní atribut je k dispozici pro rozšířené atributy (EAV).
Single sign-on (SSO)
CzechIdM podporuje jednotné přihlášení uživatelů (SSO) pomocí ověření z Active Directory (AD) domény. Mechanismus využívá webový server, který podporuje Kerberos autentizaci a poskytuje token ověřeného uživatele do hlavičky protokolu HTTP. Pak CzechIdM zpracuje tuto hlavičku a autentizuje uživatele.
Hromadné akce s rolemi
V minulé verzi CzechIdM byly představeny asynchronní hromadné operace pro identitu. Hromadné akce na rolích se používají pro aplikaci změn na velkém množství rolí nebo pro aplikaci změny bez čekání na odezvu uživateli (asynchronní spouštění). V této verzi jsou podporovány tyto hromadné akce:
- Vyvolání přepočtu účtů
Tato operace vyvolá přepočet účtů (tzv account management) pro každou identitu mající přiřazenou vybranou roli. Tím zároveň proběhne provisioning účtů těchto identit do koncových systémů. Po zvolení této operace, je uživateli zobrazeno, kolik přiřazených identity má každá vybraná role. Přepočet rolí je spuštěn v Plánovači úloh, kde lze sledovat progres.
Account management jednotlivých identit je prováděny asynchronně. Průběh běžících operací můžete sledovat v agendě Události (Events agenda).
- Akce hromadné odebrání role
Provádí hromadné smazání rolí. Protože není možné odebrat roli, která je přiřazená identitám, bylo implementováno vylepšení v podobě zobrazení počtu přiřazení rolí uživatelům. Uživatel, tak vidí varování dříve, než zahájí mazání rolí.
Zobrazení informací o hromadných akcích před jejich spuštěním
Před startem hromadné operace je mnohdy užitečné zobrazit uživateli dodatečné informace / varování o dopadu. Příkladem mohou být hromadné operace s rolemi (popsané výše), kde je díky této funkcionalitě nyní možné zobrazit, kolika identitám je daná role přiřazena.
Tento mechanizmus (prevalidace) je od nové verze CzechIdM možné použít pro všechny hromadné operace, kam bude postupně implementován.
Generátor modulu (archetyp)
CzechIdM vyvíjíme jako modulární systém. Aby bylo vytváření nových modulů co možná nejjednodušší, byl vytvořen tento generátor. Jeho výstupem je základní kostra backend i frontend modulu. Vývojář tak může jednoduše připravit základ pro nový modul do svého projektu nebo i produktu CzechIdM.
Další vlastnosti v této verzi:
- #1125 – Identity extended attributes – support authorization policies
- #636 – Reduce JWT token size
- #1121 – Execute synchronization asynchronously
- #1095 – Support Single-Sign-On
- #1162 – Delete virtual systems
- #1170 – Role – guarantee by role
- #1164 – Bulk backend action – prevalidate
- #681 – Create Maven archetype for CzechIdM module development
- #1053 – Include workflow for AD groups sync to our product
- #488 – List of changes for the managed system
- #1047 – Create default contract in synchronization of users
- #1126 – Sync of identities – add external code as correlation attribute.
- #1163 – Encryption key on confidential storage cannot be changed
- #379 – Resource – allow to map an attribute multiple times
- #1141 – Connid logs cannot be configured
- #1159 – Faster delete of logging events
- #1131 – Insufficient privileges for the request approver
- #1166 – Issue while create superAdminRole
- #1157 – Long running task detail and clearInterval
- #781 – Do acc and provisioning when system on role changed
- #1156 – Add test for Example filter builder
- #1144 – Body(Text) is null when template is created via GUI
- #1172 – Move ProvisioningOperationReport to product
Opravy chyb:
- #1171 – Strange behavior after delete tree nodes in reconciliation
- #1155 – Acc: Update system entity wish attribute, after provisioning is executed
- #606 – IdmIdentityService.updateAuthorityChange should be thread-safe
- #1033 – Scheduling synchronization – prevent to start another long running task
- #1167 – Add cdata tag for description in backup feature
- #1175 – Unique on the automatic role (tree node)
- #1169 – Reusing the implementers in virtual systems
- #1149 – Cancell full provisioning batch error
