Nové GUI pro správu rolí

S nedávno vydaným releasem CzechIdM 2016q1 přichází nejen řada nových a zajímavých funkcí, ale i několik změn v GUI. Tou nejvýraznější z nich je nový, uživatelsky přívětivější formulář pro vytváření a editaci rolí. Jelikož se řada nových funkcí týká právě rolí a práce s nimi, přibylo do již tak poměrně nepřehledného editačního formuláře mnoho nových konfiguračních políček. Právě proto vyvstala potřeba formulář přepracovat.

Kromě revize existujících záložek a jejich obsahu jsme zde poprvé v CzechIdM zavedli používání ikon namísto některých tlačítek a odkazů, jednotlivé části formuláře jsme přeskupili do logických bloků na hlavní záložce formuláře a zavedli zarovnání formulářových polí a jejich popisků tzv. „na praporek“. Tyto změny zvyšují přehlednost a tím pádem i komfort administrátorů při správě rolí v CzechIdM a práce samotná se tak stává intuitivnější a tím pádem i jednodušší.

Vytváření rolí

Zásadní změnou prošel i samotný proces vytváření nové role. Zatímco dříve musel administrátor na stránce s přehledem rolí kliknout na tlačítko „Nová role“ nebo „Nová admin role“ v závislosti na tom, jaký typ role chce vytvořit, nyní slouží pro obě možnosti jediné tlačítko „Nová role“. Po kliknutí na toto tlačítko se administrátorovi zobrazí modální okno s rozbalovacím menu, z nějž si vybere typ role, kterou chce vytvořit a klikne na tlačítko „Pokračovat“.
nova_role_2
Poté se administrátor dostane na samotný formulář pro tvorbu a editaci rolí. Vyplní nejdříve základní povinné údaje, tj. technický název role a název pro uživatele (viz níže) a také vybere systém a modul systému, pod nímž bude možné tuto roli při vyhledávání nalézt. Je příhodné podotknout, že každá role v CzechIdM musí být zařazena do systému a modulu. Formulář rovněž obsahuje informaci o tom, o jaký typ role se jedná, ten však editovatelný není.
nova_role_3
Dále následuje volitelná konfigurace, administrátor může roli nastavit počet dnů karantény a zvolit, zda je role aktivní. Odstraněna z GUI byla již zastaralá volba, zda je role validní, z důvodu zachování zpětné kompatibility releasu však tento atribut zůstává součástí datového modelu. Administrátor dále může zvolit, zda o roli lze žádat z uživatelského rozhraní, nově pak může zvolit, jedná-li se o roli pro skupiny, nebo o šablonovou roli. Všechny tři výše zmíněné volby jsou vzájemně výlučné. Zcela nové možnosti práce s rolemi pak představuje možnost zvolit, zda role přiřazuje schéma.

Po této konfiguraci může administrátor vybrat notifikační pravidlo, které bude spuštěno po přidělení role uživateli, a také notifikační pravidlo, které bude spuštěno, pokud je role uživateli odebrána. Volitelná, avšak velice doporučená, je další položka formuláře – poznámka. Obsah tohoto pole se zobrazuje uživatelům i administrátorům při výběru rolí pro uživatele, zároveň je zobrazen v přehledu rolí v administraci CzechIdM.

Vytváření vs. editace

Další část formuláře se liší v závislosti na tom, zda-li roli vytváříme, nebo pouze editujeme. Při vytváření role, vidí administrátor pouze sekci „Podřazené role“, která se přesunula ze samostatné záložky na hlavní záložku, a sekci „Neslučitelné role“, o které si povíme v samostatném článku. Pokud však editujeme již existující roli, vidíme navíc i sekci „Nadřazené role“, nutno podotknout, že seznam nadřazených rolí nelze editovat, má pouze informativní charakter, totéž platí i o poslední sekci „Přiřazení uživatelé“, která obsahuje pouze výčet všech uživatelů, resp. jejich loginů, kterým byla daná role přidělena.
editace_role_2
Přidat novou podřazenou nebo neslučitelnou roli může administrátor jednoduše, kliknutím na zelené plus v pravé části dané sekce. Následně pomocí modálního vyhledávacího okna najde roli, kterou chce do daného seznamu přidat a klikne na „Vybrat“. Tato role se pak zobrazí v daném seznamu. Odebrání role z jednoho z těchto seznamů je také jednoduché, stačí kliknout na ikonu červeného minus u dané položky v seznamu podřazených nebo neslučitelných rolí.

Ostatní záložky editačního formuláře zůstaly beze změny, lze v nich nastavit schvalovací kola, kterými musí projít každé přidělení role, administrátorské roli lze nastavit oprávnění v administraci CzechIdM, technické roli pak lze namísto oprávnění nastavit schemata koncových systémů a způsob plnění atributů na těchto systémech. Oběma typům role pak lze v poslední záložce nastavit seznam uživatelských atributů a jejich hodnot, na základě kterých může být tato role přidělena uživateli během standardní synchronizace, či rekonciliace.

Název pro uživatele

Jak jsem již zmínil výše, role v CzechIdM byly rozšířeny o tzv. „název pro uživatele“. Při nasazování CzechIdM u našich zákazníků se role CzechIdM poměrně často zakládají automaticky načtením např. skupin nebo přímo rolí z koncových systémů. Takto načtené role pak mají technický název, který je pro uživatele ve chvíli, kdy si v uživatelském rozhraní vybírá roli z katalogu, nic neříkající. Typickým příkladem mohou být názvy rolí tvořené atributem „distinguishedName“ skupiny v MS AD.

Zavedením názvu pro uživatele jsme umožnili administrátorům pojmenovat roli v CzechIdM názvem srozumitelným běžnému smrtelníkovi, zároveň však ponechat roli její technický název. Máme zde tedy namísto původně jednoho atributu „Název“ atributy hned dva – „Technický název“ a „Název pro uživatele“. „Technický název“ role vznikl pouhým přejmenováním původního atributu „Název“ a musí být nadále unikátní v celém CzechIdM. „Název pro uživatele“ je naopak zcela novým atributem, povinným atributem.

V uživatelském rozhraní CzechIdM tak běžní uživatelé uvidí pouze „název pro uživatele“, technický název role jim zůstane skryt. Rovněž vyhledávat role v uživatelském rozhraní lze právě pomocí názvu pro uživatele. V administračním rozhraní CzechIdM však administrátoři uvidí vždy oba názvy rolí a stejně tak vyhledávání rolí v administračním rozhraní je prováděno nad oběma názvy. Toto rozdělení zvýší uživatelský komfort a zároveň zachovává možnosti stávajícího používání rolí.

Záložka „Role“

Změnou prošel i seznam rolí na záložce „Role“ v administrační části CzechIdM. Kromě přidání stromu systémů a modulů a ovládacích prvků pro jejich správu, bylo upraveno vyhledávání tak, že nyní lze vyhledávat nikoliv podle začátku názvu, ale podle toho, zda název obsahuje zadaný řetězec. Přidán byl rovněž filtr na vyhledávání pouze aktivních rolí a možnost zobrazit si pouze role pro daný systém nebo modul.
novy_module_node_2
Tabulka s nalezenými rolemi byla v závislosti na přidání názvu pro uživatele rozšířena právě o tento atribut a původní sloupec s názvem byl přejmenován na „Technický název“. Tlačítka v pravé části stránky, jak již bylo zmíněno výše, rovněž prošla změnou. A navíc přibylo tlačítko pro hromadný přesun vybraných rolí do modulů a systémů.
novy_module_node_4

Závěr

Nejen přidávání nových funkcí a rozšiřování těch stávajících, ale i zvyšování komfortu administrátorů i běžných uživatelů, je cílem rozvoje CzechIdM. Nové GUI pro tvorbu a editaci rolí je toho důkazem a pomůže, jak doufáme, administrátorům CzechIdM používat tento nástroj intuitivněji, jednodušeji a tím pádem efektivněji. Pokud máte nějaké postřehy, připomínky, či nápady, jak GUI pro správu rolí ještě zlepšit, neváhejte nás kontaktovat na info@bcvsolutions.eu!