Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
instalacni_balicek [2019/08/14 08:25] apeterova [Součinnost zákazníka] |
instalacni_balicek [2024/07/18 10:06] (current) romana |
||
---|---|---|---|
Line 1: | Line 1: | ||
- | ====== Instalační balíčky | + | ====== Instalační balíčky |
===== Implementované procesy ===== | ===== Implementované procesy ===== | ||
* Řízení životního cyklu identit. | * Řízení životního cyklu identit. | ||
- | | + | |
- | * Standardní proces předání hesla - zaslání emailem uživateli při vytvoření účtu v AD/ | + | * Standardní proces předání hesla - zaslání emailem uživateli při vytvoření účtu v AD/ |
- | * Standardní procesy životního cyklu identity: Nový úvazek, Konec úvazku, Vynětí z evidenčního počtu, Změna organizačního zařazení. | + | * Standardní procesy životního cyklu identity: Nový kontrakt, Konec kontraktu, Vynětí z evidenčního počtu, Změna organizačního zařazení. |
- | * Pro použití standardních procesů je třeba plnit atributy | + | * Pro použití standardních procesů je třeba plnit atributy |
* Synchronizace organizační struktury. | * Synchronizace organizační struktury. | ||
* Schvalovací proces žádosti o změnu přidělených rolí. | * Schvalovací proces žádosti o změnu přidělených rolí. | ||
- | | + | |
- | * helpdesk může doplnit/ | + | * helpdesk může doplnit/ |
- | * vedoucím uživatele, | + | * vedoucím uživatele, |
- | * správci uživatelů, | + | * správci uživatelů, |
- | * případně finální schválení // | + | * případně finální schválení // |
- | * Definice úrovně schvalování (kritičností role): | + | * Definice úrovně schvalování (kritičností role): |
- | * 0 - neschvalovat, | + | * 0 - neschvalovat, |
- | * 1 - schvaluje garant role. | + | * 1 - schvaluje garant role. |
===== Definice oprávnění v identity manageru ===== | ===== Definice oprávnění v identity manageru ===== | ||
Line 30: | Line 29: | ||
* Podporované zdroje dat: | * Podporované zdroje dat: | ||
- | | + | |
- | * Soubory CSV - pro každý typ zpracovávaného objektu samostatný soubor | + | * Soubory CSV - pro každý typ zpracovávaného objektu samostatný soubor |
* Podpora synchronizace: | * Podpora synchronizace: | ||
Line 38: | Line 37: | ||
Pro implementaci identity manageru formou balíčku je třeba součinnost v podobě zpřístupnění zdrojových dat odpovídajících následující struktuře. Zpřístupnění může být formou databázové tabulky, pohledu nebo CSV souborů. Názvy sloupců mohou být libovolné. | Pro implementaci identity manageru formou balíčku je třeba součinnost v podobě zpřístupnění zdrojových dat odpovídajících následující struktuře. Zpřístupnění může být formou databázové tabulky, pohledu nebo CSV souborů. Názvy sloupců mohou být libovolné. | ||
- | Struktura View nebo CSV odpovídá objektům Identita (Identity), | + | Struktura View nebo CSV odpovídá objektům Identita (Identity), |
- | === Osoby === | + | {{ : |
- | Tabulka osob, slouží jako základní zdroj informací pro založení identity uživatele v CzechIdM. | + | === Identity === |
- | ^ atribut ^ unikátní | + | Tabulka identit, slouží jako základní zdroj informací pro založení identity |
- | | id | * | * | často osobní číslo, ideálně v čase neměnný identifikátor, | + | |
- | | login | * | | minimální délka 2 znaky, pokud není dostupný, generuje login identity | + | |
- | | jméno | | + | |
- | | příjmení | | | | | + | |
- | | titul před | | + | |
- | | titul za | | + | |
- | | email | | + | |
- | | mobilní telefon | | | v případě napojení identity manageru na SMS bránu může být na mobil zasíláno heslo SMSkou | | + | |
- | | timestamp | | | časová značka změny, ideálně tzv. "unix timestamp" | + | |
- | === Vztahy === | + | ^atribut^ |
+ | |id| * | * |často osobní číslo, ideálně v čase neměnný identifikátor, | ||
+ | |login| | ||
+ | |jméno| | ||
+ | |příjmení| | ||
+ | |titul před| | ||
+ | |titul za| | ||
+ | |email| | ||
+ | |mobilní telefon| | ||
+ | |timestamp| | ||
- | Běžně může mít identita v identity manageru evidováno více pracovně právních vztahů, pro tyto případy je možné vztahy synchronizovat z externího zdroje stejně jako tomu je u identit. Pokud nejsou vztahy v organizaci využívány, | + | === Kontrakty === |
- | Vztahy (Contracts) si lze představit jako PPV, DPP, DPČ zaměstnance nebo kontrakt | + | Běžně může mít identita v identity manageru evidováno více kontraktů, pro tyto případy je možné kontrakty synchronizovat z externího zdroje stejně jako tomu je u identit. Pokud nejsou kontrakty v organizaci využívány, není tato synchronizace nutná - identity manager si " |
- | ^ atribut ^ unikátní | + | Kontrakty (Contracts) si lze představit jako PPV, DPP, DPČ zaměstnance |
- | | id | * | * | klíč pro zpracování | | + | |
- | | název úvazku | | | např. " | + | |
- | | vlastník | | * | reference na id osoby | | + | |
- | | platnost od | | | sql timestamp - Platnost pracovní smlouvy | + | |
- | | platnost do | | | sql timestamp | + | |
- | | vyřazení z ev. počtu | | | boolean, příznak vyřazení z evidenčního počtu | | + | |
- | | hlavní úvazek | | | boolean, příznak hlavního úvazku. Pokud není uveden, | + | |
- | | nadřízený | | | reference na id osoby, lze využít i bez organizační struktury | | + | |
- | | organizace | | | reference na id z organizační struktury | | + | |
- | | timestamp | | | časová značka změny, ideálně tzv. "unix timestamp" | + | |
+ | ^atribut^ | ||
+ | |id| * | * |klíč pro zpracování| | ||
+ | |název pracovní pozice| | ||
+ | |vlastník| | ||
+ | |platnost od| | ||
+ | |platnost do| | ||
+ | |vyřazení z ev. počtu| | ||
+ | |hlavní kontrakt| | ||
+ | |nadřízený| | ||
+ | |organizace| | ||
+ | |timestamp| | ||
=== Organizační struktura === | === Organizační struktura === | ||
- | V případě požadavku na synchronizaci organizační struktury do identity manageru je třeba dodržet následující strukturu dat. Do takto synchronizované organizační struktury mohou být přiřazeny | + | V případě požadavku na synchronizaci organizační struktury do identity manageru je třeba dodržet následující strukturu dat. Do takto synchronizované organizační struktury mohou být přiřazeny |
- | ^ atribut | + | ^atribut |
- | | id | + | |id | * | * |neměnný klíč pro zpracování |
- | | název | + | |název |
- | | rodič | + | |rodič |
- | Všechny sloupce jsou datového typu varchar s limitem 254 znaků až na časové razítko, které je typu timestamp. | + | Všechny sloupce jsou datového typu varchar s limitem 254 znaků až na časové razítko, které je typu timestamp. |
==== Formát CSV souborů ==== | ==== Formát CSV souborů ==== | ||
Line 96: | Line 96: | ||
* Hlavička: 1. řádek volitelně | * Hlavička: 1. řádek volitelně | ||
* Kódování: | * Kódování: | ||
- | * Sloupec/ | + | * Sloupec/ |
* Uvozovky v textu musí být zdvojeny (//" | * Uvozovky v textu musí být zdvojeny (//" | ||
* Nový řádek v textu je podporován jen ve sloupcích obalených uvozovkami | * Nový řádek v textu je podporován jen ve sloupcích obalených uvozovkami | ||
===== Cíl dat ===== | ===== Cíl dat ===== | ||
+ | |||
Podporované cíle dat: | Podporované cíle dat: | ||
+ | |||
* LDAPv3 - provisioning identity a jejích rolí | * LDAPv3 - provisioning identity a jejích rolí | ||
* MS AD - jedna doména, provisioning identity a jejích rolí | * MS AD - jedna doména, provisioning identity a jejích rolí | ||
* Databáze - Připojení do databáze pomocí JDBC, jedna tabulka pro identity (users) | * Databáze - Připojení do databáze pomocí JDBC, jedna tabulka pro identity (users) | ||
- | ==== MS AD - struktura | + | ==== MS AD - struktura |
- | ^ atribut | + | |
- | | DN | * | distinguished name | | + | ^atribut |
- | | sAMAccountName | | login uživatele | | + | |DN| * |distinguished name| |
- | | cn | | common name - často používané jako RDN | | + | |sAMAccountName| |
- | | displayName | | název účtu uživatele, často se zobrazuje v aplikacích používajících AD| | + | |cn| |
- | | description| | | | + | |displayName| |
- | | password| | + | |description| | | |
- | | sn | | přijmení | | + | |password| |
- | | givenName| | křestní jméno | | + | |sn| |přijmení| |
- | | mail | | email uživatele | | + | |givenName| |křestní jméno| |
- | | userPrincipalName| | login + doména | | + | |mail| |
+ | |userPrincipalName| |login + doména| | ||
Není li definováno níže jinak, jsou výše uvedené atributy předávány z identity uživatele bez transformace. | Není li definováno níže jinak, jsou výše uvedené atributy předávány z identity uživatele bez transformace. | ||
- | Má-li se spravovat heslo z IdM (password), musí zákazník nakonfigurovat SSL spojení k AD přes port 636 (LDAP protokol). | + | Má-li se spravovat heslo z IdM (password), musí zákazník nakonfigurovat SSL spojení k AD přes port 636 (LDAP protokol). |
Význačné atributy s transformací: | Význačné atributy s transformací: | ||
- | | + | |
- | * cn je generováno kombinací nejvýše 3 atributů identity. Je doporučeno jej použít jako RDN. | + | |
+ | * cn je generováno kombinací nejvýše 3 atributů identity. Je doporučeno jej použít jako RDN. | ||
* RDN (ať už je použito cn či nikoli) je doporučeno používat ve formátu zajišťujícím unikátnost v rámci daného OU (lépe celého AD). Například <jméno příjmení (ID)>. Není-li zajištěna unikátnost RDN v rámci OU, zůstane při kolizi požadavek pro vytvoření účtu ve frontě provisioningu na manuální vyřešení administrátorem. | * RDN (ať už je použito cn či nikoli) je doporučeno používat ve formátu zajišťujícím unikátnost v rámci daného OU (lépe celého AD). Například <jméno příjmení (ID)>. Není-li zajištěna unikátnost RDN v rámci OU, zůstane při kolizi požadavek pro vytvoření účtu ve frontě provisioningu na manuální vyřešení administrátorem. | ||
* displayName je generováno kombinací nejvýše 3 atributů identity. | * displayName je generováno kombinací nejvýše 3 atributů identity. | ||
Line 132: | Line 136: | ||
====== Požadavky na HW/SW prostředí ====== | ====== Požadavky na HW/SW prostředí ====== | ||
- | * [[faq: | + | * [[:faq: |
* Pro instalaci a konfiguraci je potřeba fungující přístup ze serveru do Internetu za účelem stažení potřebného software. | * Pro instalaci a konfiguraci je potřeba fungující přístup ze serveru do Internetu za účelem stažení potřebného software. | ||
Line 149: | Line 153: | ||
~~NOTOC~~ | ~~NOTOC~~ | ||
+ | |||
+ |