Plnění atributů z více rolí

Jednou z devíz připravovaného releasu CzechIdM je možnost plnění atributů účtu na koncovém systému z více rolí. V minulosti bylo toto chování třeba implementovat zvlášť, za pomoci pravidel. V tomto článku se podíváme, jak jednoduše toto chování nastavit v novém release CzechIdM.

Plnění atributů z role je jednou ze základních funkcionalit CzechIdM. Pokud má uživatel přiřazenou roli, která má ve svých schématech nastaveno plnění nějakého atributu na koncovém systému, ať konstantou, nebo pravidlem, tak tato hodnota je při provisioningu propagována na koncový systém.

Nacházíme-li se však v situaci, kdy potřebujeme přidělovat uživatelům práva na základě přiřazených rolí, nebo například na základě těchto rolí zařazovat uživatele do skupin, je nutné, aby se tato práva agregovala do jednoho atributu na koncovém systému z více rolí. Vyvstává zde však otázka, jaká hodnota se má propagovat na koncový systém, pokud více rolí plní jeden atribut?

Strategie plnění atributů

CzechIdM definuje tři strategie plnění atributů – SET, MERGE a AUTHORITATIVE_MERGE. Tyto strategie ovlivňují to, jaká hodnota se bude propagovat na koncový systém při provisioningu.

Výběr strategie plnění atributu

Výběr strategie plnění atributu

 Strategie SET

První strategie plnění, která lze u atributu nastavit, je strategie SET. Toto nastavení umožňuje, aby byl atribut plněn pouze hodnotou z jedné role. Pokud je atribut s touto strategií plněn z více rolí, nastane při provisioningu chyba, jelikož z logiky chování této strategie nedává plnění atributu z více rolí smysl.

Strategie MERGE a AUTHORITATIVE_MERGE

Pokud chceme atribut na koncovém systému plnit z více rolí, pak zvolíme strategii MERGE. Výsledná hodnota atributu je pak seznam, který se skládá ze všech hodnot, které měl atribut před provisioningem, a k těmto hodnotám jsou přidány hodnoty, které definují role.

Rozdíl mezi MERGE a AUTHORITATIVE_MERGE je ten, že u druhé zmíněné strategie, nejsou při provisioningu zachovány původní hodnoty, které měl atribut nastaveny, ale výsledný seznam hodnot sestává pouze z hodnot, které atributu definují uživatelovy role.

Obě tyto strategie je možné nastavit pouze u multivalued atributů.

Závěr

A to je vše, přátelé. V dnešním článku jsme si představili jednoduchý způsob, jak plnit atributy na koncovém systému pomocí více rolí a vysvětlili jsme si chování jednotlivých strategií plnění atributů.

Pokud máte jakýkoliv dotaz ohledně této funkcionality CzechIdM, neváhejte se ozvat na adresu info@bcvsolutions.eu