Sep 30, 2020   5:15 p.m.      Jarolím        
University information system

Správa oprávnění


právaprávní systém

Součástí jádra každého většího informačního systému je nezbytně správa oprávnění – právní systém. Pomocí něj určujeme, jaké aplikace může uživatel používat, jeho stupeň pravomocí v těchto aplikacích (čtení, zápis, správa) a rozsah přístupných dat (jedna fakulta, celá vysoká škola). Prostředí webových IS je bezstavové a nelineární, z čehož plyne nutnost kontroly práv při zpracování každého požadavku. K základním vlastnostem ideálního právního systému proto patří rychlost a efektivita. Samozřejmá je bezpečnost a robustnost proti útokům a v neposlední řadě snadná spravovatelnost a dostatečná flexibilita.

Úplný právní systém je tvořen následujícími komponentami:

  • Práva – opravňují uživatele k nějaké činnosti v systému (spuštění studijní evidence, vkládání fotek, založení studia).

  • Role – sdružují několik souvisejících práv nutných k ovládání určité skupiny aplikací (referentka, vedoucí ústavu, OSSA). Usnadňují správu práv z hlediska vývoje systému.

  • Uživatelé – jsou nositelé práv a rolí, které si mohou mezi sebou dále předávat – delegovat.

  • Skupiny uživatelů – prvek usnadňující správu právního systému z hlediska integrátora. Uživatelé zařazení ve skupině mají práva a role udělené této skupině.

Systém oprávnění je v UIS reprezentován aplikací Správa oprávnění. V následujících odstavcích jsou popsány jednotlivé části této aplikace aktuálně používané pro správu skupin uživatelů, přidělení práv skupině a jednotlivým uživatelům. Zmíněny jsou také související aplikace pro zjištění členství ve skupinách a oprávnění uživatele v UIS, které jsou přístupné všem uživatelům přihlášeným v autentizované části UIS.

Práva uživatele a jeho členství ve skupinách

právní systém!moje oprávněníprávní systém!moje skupiny

Každý uživatel má možnost přesvědčit se, v jakých uživatelských skupinách je zařazen a jaká oprávnění mu byla v  UIS přidělena. K tomuto slouží záložky:

  • Moje oprávnění – zobrazuje seznam práv, která byla uživateli přidělena, označení objektové vlastnosti, ke které jsou mu práva přidělena, a zda může právo delegovat.

  • Moje skupiny – poskytuje uživateli informaci, do kterých uživatelských skupin je zařazen.

Moje oprávnění

oprávnění!moje

Záložka Moje oprávnění umožňuje zobrazit všechna oprávnění, která má uživatel přidělena individuálně nebo prostřednictvím členství ve skupině. Práva uživatelům většinou přiděluje systémový integrátor nebo provozní tým UIS, případně další uživatelé, kteří mohou své právo delegovat.

Seznam všech práv uživatele je zobrazen v přehledové tabulce. Pro každý záznam seznamu je uvedena identifikace práva (název a SYSID) a objektová vlastnost, ke které je právo přiděleno. Prostřednictvím ikony  ve sloupci Podrobnosti je možné zobrazit podrobnější informace o vybraném právu, objektové vlastnosti, ke které je právo přiděleno a možnostech delegace. Ve sloupci Získáno ze skupiny jsou uvedeny skupiny oprávnění, ze kterých uživatel právo pro daný objekt získal. Kliknutím na identifikaci skupiny je možné zobrazit o skupině podrobnější informace. Je-li toto pole prázdné, jedná se o ručně přidělené právo.

Moje skupiny

oprávnění!moje skupiny

Skupina slouží ke sdružování osob za účelem přidělení stejné sady práv. Jedná se o skupinu osob (studijní referentky, proděkani, vedoucí pracovišť, vývojáři apod.), která má přístup ke stejným aplikacím UIS a může provádět stejné operace. Záložka Moje skupiny se zobrazuje pouze uživatelům zařazeným alespoň do jedné skupiny a obsahuje seznam příslušných skupin.

Skupiny, jichž je uživatel členem nebo správcem, jsou zobrazeny v přehledové tabulce. Pro každou skupinu je uvedena její zkratka, název, popis, jméno správce a ve sloupci Jsem správce informace, zda uživatel patří mezi správce skupiny. Kliknutím na ikonu  ve sloupci Podrobnosti je možné zobrazit podrobnosti o skupině.

Správa oprávnění uživatelů

právní systém!správa oprávnění uživatelů

Záložka Správa oprávnění uživatelů slouží k zobrazení přehledu práv konkrétního uživatele a k jejich správě. Osoby s právem prava-prohl-a mohou práva uživatele pouze prohlížet. Přidělovat práva mohou pouze osoby, které mají přiděleno alespoň jedno právo s možností delegace. Stejně tak odebírat práva mohou pouze osoby, které mají přiděleno právo s možností delegace na daném objektu.

Prvním krokem v aplikaci je výběr uživatele, který se vyhledá pomocí vyhledávacího pole. Hledat se dá podle jména, příjmení, loginu nebo ID čísla bez ohledu na diakritiku. Je nutné zadat minimálně tři znaky libovolného podřetězce jména či příjmení. Kliknutím na tlačítko budou zobrazeny základní informace o uživateli a jemu přidělená práva. V případě nalezení více uživatelů je nutné zvolit správného. V základních informacích je zobrazena fotka uživatele (je-li v UIS uložena), úplné jméno uživatele, identifikační číslo, univerzitní email a identifikace zařazení.

Pod základními údaji o uživateli je zobrazen formulář pro přidání nového oprávnění, následovaný seznamem všech uživatelových práv.

Právo se uživateli přidělí přes roletkové menu, ve kterém se vybere jedno z práv (podle názvu nebo SYSID). Následně se zvolí objekt (pracoviště/externí subjekt), ke kterému má mít uživatel oprávnění přiděleno. Standardně jsou nabízeny pouze základní objekty, kompletní výčet je možné získat po stisknutí tlačítka . Výběr oprávnění i objektů je závislý na právech uživatele, který právo přiděluje. Zatržením pole Lze delegovat se uživateli povoluje možnost poskytnutí práva další osobě nebo skupině. Zadáním data do pole OdkdyDokdy je možné omezit dobu platnosti práva. Vyplněné údaje je nutné potvrdit stisknutím tlačítka . Měl-li uživatel přidělované právo již v minulosti přiděleno a platnost tohoto oprávnění již vypršela, systém na toto upozorní. Pro přidělí je následně nutné znovu stisknout tlačítko . Původní již neplatné oprávnění je tak přepsáno novým nastavením.

Seznam všech práv uživatele je zobrazen pod přidávacím formulářem. Pro každý záznam seznamu je uvedena identifikace práva (název a SYSID), objektová vlastnost, na kterou je právo přiděleno a zda může uživatel dané právo delegovat či nikoliv. Prostřednictvím ikony  ve sloupci Podrobnosti je možné zobrazit podrobnější informace o vybraném právu. Ve sloupci Získáno ze skupiny jsou uvedeny skupiny oprávnění, ze kterých uživatel právo pro daný objekt získal. Kliknutím na identifikaci skupiny je možné zobrazit o skupině podrobnější informace. Je-li toto pole prázdné, jedná se o ručně přidělené právo.

Právo se uživateli odebere jeho označením a kliknutím na tlačítko .

V této aplikaci je možné odebrat pouze ručně přidělená oprávnění. Pro odebrání práva pocházejícího ze skupiny je nutné použít aplikaci Správa skupin.

Správa skupin

skupiny uživatelůprávní systém!správa skupin

Záložka Správa skupin poskytuje nástroj, pomocí kterého lze seskupit řadu uživatelů informačního systému do jednoho objektu, se kterým se dále pracuje jako s celkem, například lze skupině přidělovat oprávnění. Příkladem jsou skupiny Studijní referentky, OSSA, SIF. Aplikace Správa skupin umožňuje zakládání a evidenci skupin uživatelů, nastavení jejich členů a správců a přidělování oprávnění skupinám. Záložka je stejně jako Správa oprávnění uživatelů zobrazována pouze uživatelům, kteří mohou práva nastavovat.

Skupina se zakládá přes formulář, kde se uvede stručný a výstižný název skupiny a její zkratka, vhodné je vložit i popis, kde je uveden význam skupiny. Název a zkratka skupiny musí být jedinečné v rámci celého informačního systému. Správce skupiny je vždy předvyplněn jménem osoby, která skupiny zakládá. Kliknutím na  bude skupina založena. Uvedené údaje o skupině je možné později editovat.

Skupiny, jichž je uživatel vlastníkem (zakladatel skupiny), jsou zobrazeny v tabulce umístěné pod formulářem pro založení nové skupiny. Pro každou skupinu je uvedena její zkratka, název, popis a sada ikon. Kliknutím na ikonu  ve sloupci Detail je možné zobrazit podrobnosti o skupině, stejně tak jako kliknutím na odkaz ve sloupci Zkratka. Změnit název nebo popis skupiny je možné kliknutím na ikonu  ve stejném sloupci. Úpravu těchto údajů může provádět pouze správce skupiny, proto je tato ikona zobrazována pouze jemu.

Ikonu  ve sloupci Správa skupiny umožňuje editovat seznamy členů, správců a oprávnění skupiny. Jednotlivé evidence jsou popsány níže.

Členové skupiny

skupiny uživatelů!členové

Prostřednictvím záložky Členové skupiny je možné spravovat seznam členů vybrané skupiny. Správu uživatelů mohou provádět pouze správci skupiny.

Uživatelé se do vytvořené skupiny přiřazují pomocí připraveného formuláře. Osoba se vyhledá přes dohledávací pole, a pak se podle potřeby vypíší ostatní pole formuláře. Zadáním data do pole OdkdyDokdy je možné omezit dobu členství uživatele ve skupině. Pro neomezené členství se tato pole ponechají nevyplněna. Kliknutím na tlačítko se osoba zařadí mezi ostatní uživatele skupiny.

Seznam všech členů zvolené skupiny je zobrazen tabulce. Každý řádek obsahuje informaci o uživateli skupiny, době platnosti jeho členství a případně poznámku, byla-li vyplněna.

Uživatelé se ze skupiny odebírají jejich označením a stisknutím tlačítka .

Správci skupiny

skupiny uživatelů!správci

Záložka Správci skupiny umožňuje spravovat seznam správců vybrané skupiny. Správci mohou následně spravovat seznam členů. Seznam správců může spravovat pouze správce skupiny.

Nový správce se ke skupině přiřadí pomocí připraveného formuláře. Osoba se vyhledá přes dohledávací pole zadáním jména, příjmení, loginu nebo ID čísla bez ohledu na diakritiku a stisknutím tlačítka . Zobrazí-li se seznam uživatelů, je nutné zvolit konkrétní osobu. Následně se podle potřeby vyplní ostatní pole formuláře. Zadáním data do pole OdkdyDokdy je možné omezit dobu působení správce ve skupině. Pro neomezené působení se tato pole ponechají nevyplněna. Kliknutím na tlačítko se osoba zařadí mezi ostatní správce skupiny.

Seznam všech správců zvolené skupiny je uveden v zobrazené tabulce. Každý řádek obsahuje informaci o správci skupiny, době platnosti jeho členství a případně poznámku, byla-li vyplněna. Správce je možné ze skupiny odebrat jeho označením a stisknutím tlačítka .

Oprávnění skupiny

skupiny uživatelů!práva skupiny

Oprávnění se skupině uživatelů přidělují v záložce Oprávnění skupiny. Tímto způsobem je zajištěno přidělení stejných práv osobám, které mají v UIS vykonávat stejnou nebo podobnou činnost, a větší přehled nad přidělenými právy. Za skupinu lze označit i osobu s jedinečnou funkcí (např. děkan, integrátor), ke které se vztahuje nějaká sada práv. Při změně osoby ve funkci je pak zajištěna snadnější manipulace s právy – jejich odebrání a poskytnutí nové osobě v dané funkci je pouze otázkou výměny člena skupiny.

Další právo se skupině uživatelů přidělí přes roletkové menu, ve kterém se vybere jedno z práv (podle názvu nebo SYSID). Následně se zvolí objekt (pracoviště/externí subjekt), ke kterému má být oprávnění přiděleno. Standardně jsou nabízeny pouze základní objekty, kompletní výčet je možné získat po stisknutí tlačítka . Výběr oprávnění i objektů je závislý na právech uživatele, který právo přiděluje. Zatržením pole Lze delegovat se členům skupiny zpřístupňuje možnost poskytnutí daného práva další osobě nebo skupině. Zadáním data do pole OdkdyDokdy je možné omezit dobu platnosti práva. Vyplněné údaje je nutné potvrdit stisknutím tlačítka .

Správně zvolený název objektu je důležitý pro správné využití práva. Například práva týkající se studií se definují na celou fakultu. Na jiném objektu, jako je děkanát, ústav a podobně, toto právo nemá smysl, protože studia jsou zakládána a evidována pod fakultou.

Seznam všech práv skupiny je zobrazen pod přidávacím formulářem. Pro každý záznam seznamu je uvedena identifikace práva (název a SYSID), objektová vlastnost, na kterou je právo přiděleno a zda mohou členové skupiny dané právo delegovat či nikoliv. Prostřednictvím ikony  ve sloupci Podrobnosti je možné zobrazit podrobnější informace o vybraném právu.

Právo je možné skupině odebrat jeho označením ve sloupci Ozn. a stisknutím tlačítka .

V této aplikaci je možné odebrat pouze oprávnění pro celou skupinu. Má-li uživatel přiděleno některé právo ručně, je nutné použít aplikaci Správa oprávnění uživatelů.

Zobrazení uživatelů s oprávněním

uživatelé s oprávněnímprávní systém!uživatelé s oprávněním

Záložka Zobrazení uživatelů s oprávněním umožňuje vypsat uživatele, jež mají přiděleno zvolené oprávnění. Záložka je dostupná uživatelům s oprávněním prava-prohl-a. Kromě konkrétního oprávnění je možné zvolit platnost oprávnění (platné, neplatné, bez omezení). Výpis je proveden s ohledem na objekty, na něž bylo právo prava-prohl-a přiděleno. Ve sloupci Možnost delegovat je uvedena informace o tom, zda je daná osoba oprávněna poskytnout právo další osobě. Sloupec Získáno ze skupiny obsahuje identifikátor skupiny, ze které uživatel právo získal. Není-li skupiny uvedena, jedná se o ručně přidělené právo.

Ručně přidělená oprávnění

uživatelé s ručním oprávněnímprávní systém!uživatelé s ručním oprávněním

Záložka Přehled ručně přidělených oprávnění poskytuje přehled všech uživatelů UIS s ručně přiděleným oprávněním. Seznam je možné omezit na konkrétního uživatele, právo nebo jejich kombinace. Aplikace je dostupná všem uživatelům, kteří mají přiděleno oprávnění prava-prohl-a.