<- ..:modules | Moduly ^ .:start | Administrátorská příručka ^ -> ====== Registrace uživatele ====== CzechIdM obsahuje volitelný modul, který uživatelům umožňuje registraci do CzechIdM. Samoregistrovaný uživatel musí projít několika kroky validace než je v CzechIdM založena nová identita a uživateli je umožněn přístup do systému. ===== Jak se sám registruji do systému CzechIdM? ===== {{:Pictures/100002010000017F000000358DE94BED4E6121BB.png?510x70}} //Na login dialogu CzechIdM máme k dispozici odkaz Registrace//, pomocí kterého aktivujeme registrační formulář. Uživatel vyplní následující pole: * Jméno (povinné) * Příjmení (povinné) * Login (povinné) – tato volba je však vidět, pouze pokud je povoleno používat vlastní tvar loginu. Není-li toto pole viditelné, pak je login po odeslání formuláře vygenerován automaticky CzechIdM. * Email (povinné) – pokud je zapnuta validace registrace přes email, pak na tento email bude odeslán validační kód. * Telefon – slouží pro případný kontakt administrátorem nebo pokud jsou v nasazeném CzechIdM odesílány sms notifikace * Organizace – informativní atribut pro případné schvalovatele přístupu nebo pro administrátory, kteří si samoregistrované uživatele třídí * Nové heslo (povinné) – heslo pro přístup do CzechIdM. Informativně je zobrazován ukazatel síly hesla. Heslo musí splňovat politiky hesel nastavené v konfiguraci systému CzechIdM. * Heslo znovu (povinné) – potvrzení hesla {{:Pictures/100002010000025B000002C3B343C5E9B1482A98.png?580x680|fig:}} Po vyplnění položek formuláře budeme pokračovat následujícími kroky: - přijde email s url odkazem do CzechIdM, kterým je zvalidována registrace. - Po kliknutí na odkaz v emailu dojde k validaci registace. - Následně je registrace schvalována pověřenou osobou v CzechIdM. Tento krok může administrátor CzechIdM vypnout, v tom případě se pokračuje rovnou krokem 4. - Po schválení úkolu je odeslán registrovanému uživateli email s autentizačními údaji k CzechIdM. Pomocí těchto údajů je již možné se přihlásit do CzechIdM. ===== Pozadí registračního modulu a konfigurace ===== Po vyplnění registračního formuláře v GUI následují v CzechIdm následující kroky - V CzechIdM je založena neaktivní identita bez vztahu a rolí. Identitě je vygenerován login dle konfigurace, pokud je tato volba povolena. V opačném případě je použit login, který zadal uživatel do registračního formuláře. - Identitě je vytvořen výchozí vztah, kterým je posazena do organizační struktury. Pro validní **posazení do organizační struktury** je třeba mít v CzechIdM nastavenu konfigurační položku //idm.sec.reg.defaultOrgId//. Viz konfigurace modulu dále. - S posazením do organizační struktury získává pochopitelně uživatel také automatické role z dané struktury. - U vytvořeného vztahu je nastaven garant/vedoucí externisty dle konfigurační volby //idm.sec.reg.defaultAuthorizer.//Viz konfigurace modulu dále. - Je zaslán email na adresu, kterou uvedl uživatel při registraci. V emailu je uveden odkaz, na který uživatel klikne a je přesměrován zpět na stránku CzechIdM a tím je jeho registrace potvrzena (lze konfiguračně vypnout). Odkaz má časově omezenou platnost (konfigurační volba). - Je vygenerován schvalovací úkol na držitele role //registrationalApproval//(konfiguračně lze vypnout)//.//**Pozor**, pokud je tato volba zapnutá a roli nemá nikdo přidělenu, pak schválení úkolu vždy selže.Proto tento krok zapínejte vždy, když máte roli vytvořenou a mají ji přidělenu uživatelé. Jako fallback lze roli přidělit uživateli admin. - Po schválení úkolu je dříve vytvořená identita odblokována a jsou jí přiděleny role dle konfigurace registračního modulu. Pozor, tyto role jsou vlastností tohoto modulu, nepleťte si je s automatickými rolemi standardní vlastnoti CzechIdM - Všichni držitelé role //registrationNotification// jsou notifikováni o vytvoření nového uživatele samoregistrací. Významné konfigurační možnosti samoregistračního modulu: * idm.sec.reg.loginGenerator – **bod 1**. Pokud není tato konfigurační položka definována, pak má uživatel možnost zadat svůj login. Jinými slovy ve formuláři registračního modulu bude zobrazeno pole pro vložení loginu. Je-li tato položka definována, pak její hodnotou je název komponenty pro generování loginiu. Možnou hodnotou pak bude například „basicLoginGenerator“ (login tvaru: jméno + 1. písmeno z příjmení). * idm.sec.reg.createEnabled – true, pokud má být identita vytvořená v **bodu 1 a 2** vytvořena jako aktivní * idm.sec.reg.defaultOrgId – **bod 2.** Hodnotou položky je entity_id organizace, kam chceme registrované uživatele posazovat. entity_id vybrané organizace získáme tak, že najdeme detail organizace: Organizace -> Prvky struktury -> vyhledáme naší organizaci např dle jména -> detail organizace (lupa), poté vidíme entity_id v url našeho prohlížeče. Například https:%%//%%somedomain.com/idm/#/treeNode/767b8e11-122c-433a-9cde-2d686061aa3d/detail?_k=mppk0y označuje id ihned za názvem objektu, v tomto případě za /treeNode/. Id je zde 767b8e11-122c-433a-9cde-2d686061aa3d. * idm.sec.reg.confirmationTtlSec – počet sekund, které má uživatel na potvrzení registrace na základě emailu z **bodu 3**//**.**// * idm.sec.reg.defaultRoles - **bod 5** – hodnotou je seznam názvů rolí, které mají být přiděleny uživatelům. * idm.sec.reg.passwordPolicy – obsahuje název politiky hesel, která je použita pro validaci tvaru hesla jež zadává uživatel do registračního formuláře * idm.sec.reg.defaultAuthorizer – login identity, která bude použita jako garant/vedoucí uživatele. Garant uživatelů má možnost dle konfigurace CzechIdM například žádat pro své svěřence o oprávnění nebo vidět jejich detail. Kroky 1-6 nebo jejich části lze zcela vypnout. K tomu slouží následující procesory: request-confirm-processor, request-approve-processor, identity-finalize-processor, user-notification-processor, notification-processor, request-delete-processor.