Moduly  
 

Registrace uživatele

CzechIdM obsahuje volitelný modul, který uživatelům umožňuje registraci do CzechIdM. Samoregistrovaný uživatel musí projít několika kroky validace než je v CzechIdM založena nová identita a uživateli je umožněn přístup do systému.

Jak se sám registruji do systému CzechIdM?

Na login dialogu CzechIdM máme k dispozici odkaz Registrace, pomocí kterého aktivujeme registrační formulář.

Uživatel vyplní následující pole:

  • Jméno (povinné)
  • Příjmení (povinné)
  • Login (povinné) – tato volba je však vidět, pouze pokud je povoleno používat vlastní tvar loginu. Není-li toto pole viditelné, pak je login po odeslání formuláře vygenerován automaticky CzechIdM.
  • Email (povinné) – pokud je zapnuta validace registrace přes email, pak na tento email bude odeslán validační kód.
  • Telefon – slouží pro případný kontakt administrátorem nebo pokud jsou v nasazeném CzechIdM odesílány sms notifikace
  • Organizace – informativní atribut pro případné schvalovatele přístupu nebo pro administrátory, kteří si samoregistrované uživatele třídí
  • Nové heslo (povinné) – heslo pro přístup do CzechIdM. Informativně je zobrazován ukazatel síly hesla. Heslo musí splňovat politiky hesel nastavené v konfiguraci systému CzechIdM.
  • Heslo znovu (povinné) – potvrzení hesla

fig:

Po vyplnění položek formuláře budeme pokračovat následujícími kroky:

  1. přijde email s url odkazem do CzechIdM, kterým je zvalidována registrace.
  2. Po kliknutí na odkaz v emailu dojde k validaci registace.
  3. Následně je registrace schvalována pověřenou osobou v CzechIdM. Tento krok může administrátor CzechIdM vypnout, v tom případě se pokračuje rovnou krokem 4.
  4. Po schválení úkolu je odeslán registrovanému uživateli email s autentizačními údaji k CzechIdM. Pomocí těchto údajů je již možné se přihlásit do CzechIdM.

Pozadí registračního modulu a konfigurace

Po vyplnění registračního formuláře v GUI následují v CzechIdm následující kroky

  1. V CzechIdM je založena neaktivní identita bez vztahu a rolí. Identitě je vygenerován login dle konfigurace, pokud je tato volba povolena. V opačném případě je použit login, který zadal uživatel do registračního formuláře.
  2. Identitě je vytvořen výchozí vztah, kterým je posazena do organizační struktury. Pro validní posazení do organizační struktury je třeba mít v CzechIdM nastavenu konfigurační položku idm.sec.reg.defaultOrgId. Viz konfigurace modulu dále.
    1. S posazením do organizační struktury získává pochopitelně uživatel také automatické role z dané struktury.
    2. U vytvořeného vztahu je nastaven garant/vedoucí externisty dle konfigurační volby idm.sec.reg.defaultAuthorizer.Viz konfigurace modulu dále.
  3. Je zaslán email na adresu, kterou uvedl uživatel při registraci. V emailu je uveden odkaz, na který uživatel klikne a je přesměrován zpět na stránku CzechIdM a tím je jeho registrace potvrzena (lze konfiguračně vypnout). Odkaz má časově omezenou platnost (konfigurační volba).
  4. Je vygenerován schvalovací úkol na držitele role registrationalApproval(konfiguračně lze vypnout).Pozor, pokud je tato volba zapnutá a roli nemá nikdo přidělenu, pak schválení úkolu vždy selže.Proto tento krok zapínejte vždy, když máte roli vytvořenou a mají ji přidělenu uživatelé. Jako fallback lze roli přidělit uživateli admin.
  5. Po schválení úkolu je dříve vytvořená identita odblokována a jsou jí přiděleny role dle konfigurace registračního modulu. Pozor, tyto role jsou vlastností tohoto modulu, nepleťte si je s automatickými rolemi standardní vlastnoti CzechIdM
  6. Všichni držitelé role registrationNotification jsou notifikováni o vytvoření nového uživatele samoregistrací.

Významné konfigurační možnosti samoregistračního modulu:

  • idm.sec.reg.loginGenerator – bod 1. Pokud není tato konfigurační položka definována, pak má uživatel možnost zadat svůj login. Jinými slovy ve formuláři registračního modulu bude zobrazeno pole pro vložení loginu. Je-li tato položka definována, pak její hodnotou je název komponenty pro generování loginiu. Možnou hodnotou pak bude například „basicLoginGenerator“ (login tvaru: jméno + 1. písmeno z příjmení).
  • idm.sec.reg.createEnabled – true, pokud má být identita vytvořená v bodu 1 a 2 vytvořena jako aktivní
  • idm.sec.reg.defaultOrgId – bod 2. Hodnotou položky je entity_id organizace, kam chceme registrované uživatele posazovat. entity_id vybrané organizace získáme tak, že najdeme detail organizace: Organizace → Prvky struktury → vyhledáme naší organizaci např dle jména → detail organizace (lupa), poté vidíme entity_id v url našeho prohlížeče. Například https://somedomain.com/idm/#/treeNode/767b8e11-122c-433a-9cde-2d686061aa3d/detail?_k=mppk0y označuje id ihned za názvem objektu, v tomto případě za /treeNode/. Id je zde 767b8e11-122c-433a-9cde-2d686061aa3d.
  • idm.sec.reg.confirmationTtlSec – počet sekund, které má uživatel na potvrzení registrace na základě emailu z bodu 3.
  • idm.sec.reg.defaultRoles - bod 5 – hodnotou je seznam názvů rolí, které mají být přiděleny uživatelům.
  • idm.sec.reg.passwordPolicy – obsahuje název politiky hesel, která je použita pro validaci tvaru hesla jež zadává uživatel do registračního formuláře
  • idm.sec.reg.defaultAuthorizer – login identity, která bude použita jako garant/vedoucí uživatele. Garant uživatelů má možnost dle konfigurace CzechIdM například žádat pro své svěřence o oprávnění nebo vidět jejich detail.

Kroky 1-6 nebo jejich části lze zcela vypnout. K tomu slouží následující procesory: request-confirm-processor, request-approve-processor, identity-finalize-processor, user-notification-processor, notification-processor, request-delete-processor.

Moduly  
Administrátorská příručka  
 
  • (external edit)