Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
instalacni_balicek [2020/03/04 15:16]
kubicar [Implementované procesy] 		instalacni_balicek [2024/03/26 05:38] (current)
kopro [Struktura synchronizovaných dat]
Line 1: Line 1:
 ====== Instalační balíčky CzechIdM ====== ====== Instalační balíčky CzechIdM ======
- 
  
 ===== Implementované procesy ===== ===== Implementované procesy =====
  
   * Řízení životního cyklu identit.   * Řízení životního cyklu identit.
-    * Synchronizace osob + synchronizace vztahů (úvazků, kontraktů). +      * Synchronizace osob + synchronizace vztahů (kontraktů). 
-    * Standardní proces předání hesla - zaslání emailem uživateli při vytvoření účtu v AD/LDAP/DB. +      * Standardní proces předání hesla - zaslání emailem uživateli při vytvoření účtu v AD/LDAP/DB. 
-    * Standardní procesy životního cyklu identity: Nový úvazek, Konec úvazku, Vynětí z evidenčního počtu, Změna organizačního zařazení. +      * Standardní procesy životního cyklu identity: Nový kontrakt, Konec kontraktu, Vynětí z evidenčního počtu, Změna organizačního zařazení. 
-      * Pro použití standardních procesů je třeba plnit atributy úvazků uživatelů (synchronizací ze zdroje dat nebo manuálně v CzechIdM)+        * Pro použití standardních procesů je třeba plnit atributy kontraktů uživatelů (synchronizací ze zdroje dat nebo manuálně v CzechIdM)
   * Synchronizace organizační struktury.   * Synchronizace organizační struktury.
   * Schvalovací proces žádosti o změnu přidělených rolí.   * Schvalovací proces žádosti o změnu přidělených rolí.
-    * Konfigurace standardního schvalovacího procesu pro role: +      * Konfigurace standardního schvalovacího procesu pro role: 
-      * helpdesk může doplnit/schválit žádost, +        * helpdesk může doplnit/schválit žádost, 
-      * vedoucím uživatele, +        * vedoucím uživatele, 
-      * správci uživatelů, +        * správci uživatelů, 
-      * případně finální schválení //bezpečností//+        * případně finální schválení //bezpečností//
-    * Definice úrovně schvalování (kritičností role): +      * Definice úrovně schvalování (kritičností role): 
-      * 0 - neschvalovat, +        * 0 - neschvalovat, 
-      * 1 - schvaluje garant role.+        * 1 - schvaluje garant role.
  
 ===== Definice oprávnění v identity manageru ===== ===== Definice oprávnění v identity manageru =====
Line 30: Line 29:
  
   * Podporované zdroje dat:   * Podporované zdroje dat:
-    * Databáze - Připojení do databáze pomocí JDBC, pro každý typ objektu samostatná tabulka nebo pohled +      * Databáze - Připojení do databáze pomocí JDBC, pro každý typ objektu samostatná tabulka nebo pohled 
-    * Soubory CSV - pro každý typ zpracovávaného objektu samostatný soubor+      * Soubory CSV - pro každý typ zpracovávaného objektu samostatný soubor
   * Podpora synchronizace: pokud zdrojová data neobsahují pro každý záznam "timestamp", není možné spustit synchronizaci změn a je vždy zpracováván celý balík dat. Synchronizace organizační struktury neumožňuje zpracovávat jen změny a vždy se zpracují všechna data.   * Podpora synchronizace: pokud zdrojová data neobsahují pro každý záznam "timestamp", není možné spustit synchronizaci změn a je vždy zpracováván celý balík dat. Synchronizace organizační struktury neumožňuje zpracovávat jen změny a vždy se zpracují všechna data.
  
Line 38: Line 37:
 Pro implementaci identity manageru formou balíčku je třeba součinnost v podobě zpřístupnění zdrojových dat odpovídajících následující struktuře. Zpřístupnění může být formou databázové tabulky, pohledu nebo CSV souborů. Názvy sloupců mohou být libovolné. Pro implementaci identity manageru formou balíčku je třeba součinnost v podobě zpřístupnění zdrojových dat odpovídajících následující struktuře. Zpřístupnění může být formou databázové tabulky, pohledu nebo CSV souborů. Názvy sloupců mohou být libovolné.
  
-Struktura View nebo CSV odpovídá objektům Identita (Identity),Vztah(Contracts),Organizace (Department, Position) znázorněné na následujícím obrázku https://wiki.czechidm.com/_media/devel/adm/idm_entities.png+Struktura View nebo CSV odpovídá objektům Identita (Identity),Vztah(Contracts),Organizace (Department, Position) znázorněné na následujícím obrázku: [[https://wiki.czechidm.com/_media/devel/adm/idm_entities.png|https://wiki.czechidm.com/_media/devel/adm/idm_entities.png]]
  
-=== Osoby ===+{{ :hr-entities.png |}}
  
-Tabulka osob, slouží jako základní zdroj informací pro založení identity uživatele v CzechIdM.+=== Identity ===
  
-^ atribut ^  unikátní  ^  povinný  ^ poznámka ^ +Tabulka identitslouží jako základní zdroj informací pro založení identity uživatele CzechIdM.
-| id |  *  |  *  | často osobní čísloideálně v čase neměnný identifikátor, který není po ukončení vztahu s osobou "recyklován"+
-| login |  *  |    | minimální délka 2 znaky, pokud není dostupný, generuje login identity manager | +
-| jméno |        |  | +
-| příjmení |    |    |  | +
-| titul před |         +
-| titul za |         +
-| email |         | standardně je použit pro předávání hesla | +
-| mobilní telefon |    |    | případě napojení identity manageru na SMS bránu může být na mobil zasíláno heslo SMSkou | +
-| timestamp |    |    | časová značka změny, ideálně tzv"unix timestamp" |+
  
-=== Vztahy ===+^atribut^  unikátní  ^  povinný  ^poznámka| 
 +|id|  *  |  *  |často osobní číslo, ideálně v čase neměnný identifikátor, který není po ukončení vztahu s osobou "recyklován"
 +|login|  *  |   |minimální délka 2 znaky, pokud není dostupný, generuje login identity manager| 
 +|jméno|       | 
 +|příjmení|       | 
 +|titul před|       | 
 +|titul za|       | 
 +|email|     |standardně je použit pro předávání hesla| 
 +|mobilní telefon|     |v případě napojení identity manageru na SMS bránu může být na mobil zasíláno heslo SMSkou| 
 +|timestamp|     |časová značka změny, ideálně tzv. "unix timestamp"|
  
-Běžně může mít identita v identity manageru evidováno více pracovně právních vztahů, pro tyto případy je možné vztahy synchronizovat z externího zdroje stejně jako tomu je u identit. Pokud nejsou vztahy v organizaci využívány, není tato synchronizace nutná - identity manager si "sám" založí výchozí vztah na který navazuje veškerou funkčnost.+=== Kontrakty ===
  
-Vztahy (Contracts) si lze představit jako PPV, DPP, DPČ zaměstnance nebo kontrakt externího dodavatelestážista na oddělenístudium na fakultě, účastník na neplaceném projektu a další. U vztahu je nejdůležitější vlastník a mají-li být řízeny automatické procesy jako nástup zaměstnance nebo ukončení zaměstnance, pak i platnosti úvazků od/do +Běžně může mít identita v identity manageru evidováno více kontraktůpro tyto případy je možné kontrakty synchronizovat z externího zdroje stejně jako tomu je u identit. Pokud nejsou kontrakty v organizaci využíványnení tato synchronizace nutná - identity manager si "sám" založí výchozí kontrakt na který navazuje veškerou funkčnost.
  
-^ atribut ^  unikátní  ^  povinný  ^ poznámka ^ +Kontrakty (Contracts) si lze představit jako PPV, DPPDPČ zaměstnance nebo kontrakt externího dodavatelestážista na oddělení, studium na fakultě, účastník na neplaceném projektu a dalšíU kontraktu je nejdůležitější vlastník a mají-li být řízeny automatické procesy jako nástup zaměstnance nebo ukončení zaměstnancepak i platnosti kontraktů od/do.
-| id |  *  |  *  | klíč pro zpracování | +
-| název úvazku |    |    | např. "Vrchní sestra"nepovinné |  +
-| vlastník |    |  *  | reference na id osoby | +
-| platnost od |    |    | sql timestamp - Platnost pracovní smlouvy nebo úvazku |  +
-| platnost do |    |    | sql timestamp  - Platnost pracovní smlouvy nebo úvazku | +
-| vyřazení z ev. počtu |    |    | booleanpříznak vyřazení z evidenčního počtu | +
-| hlavní úvazek |    |    | boolean, příznak hlavního úvazkuPokud není uveden, je využit automatický výpočet | +
-| nadřízený |    |    | reference na id osoby, lze využít i bez organizační struktury | +
-| organizace |    |    | reference na id z organizační struktury | +
-| timestamp |    |    | časová značka změnyideálně tzv"unix timestamp" |+
  
 +^atribut^  unikátní  ^  povinný  ^poznámka|
 +|id|  *  |  *  |klíč pro zpracování|
 +|název pracovní pozice|     |např. "Vrchní sestra", nepovinné|
 +|vlastník|    *  |reference na id osoby|
 +|platnost od|     |sql timestamp - Platnost pracovní smlouvy nebo kontraktu|
 +|platnost do|     |sql timestamp - Platnost pracovní smlouvy nebo kontraktu|
 +|vyřazení z ev. počtu|     |boolean, příznak vyřazení z evidenčního počtu|
 +|hlavní kontrakt|     |boolean, příznak hlavního kontraktu. Pokud není uveden, je využit automatický výpočet|
 +|nadřízený|     |reference na id osoby, lze využít i bez organizační struktury|
 +|organizace|     |reference na id z organizační struktury|
 +|timestamp|     |časová značka změny, ideálně tzv. "unix timestamp"|
  
 === Organizační struktura === === Organizační struktura ===
  
-V případě požadavku na synchronizaci organizační struktury do identity manageru je třeba dodržet následující strukturu dat. Do takto synchronizované organizační struktury mohou být přiřazeny úvazky identity. I když identity manager podporuje více organizačních struktur, v rámci instalačních balíčků je synchronizována pouze jedna. Při odstranění prvku organizační struktury ze zdroje dat je odpovídající část org. struktury v identity manageru smazána pouze pokud je prázdná.+V případě požadavku na synchronizaci organizační struktury do identity manageru je třeba dodržet následující strukturu dat. Do takto synchronizované organizační struktury mohou být přiřazeny kontrakty identity. I když identity manager podporuje více organizačních struktur, v rámci instalačních balíčků je synchronizována pouze jedna. Při odstranění prvku organizační struktury ze zdroje dat je odpovídající část org. struktury v identity manageru smazána pouze pokud je prázdná.
  
-^ atribut  ^  unikátní  ^  povinný  ^ poznámka                                                 ^ +^atribut  ^  unikátní  ^  povinný  ^poznámka  | 
-| id       |  *         |  *        | neměnný klíč pro zpracování                              +|id  |  *  |  *  |neměnný klíč pro zpracování  
-| název    |  *         |  *        | unikátní název organizační jednotky nebo pozice          +|název  |  *  |  *  |unikátní název organizační jednotky nebo pozice  
-| rodič                         | reference na id nadřízeného prvku organizační struktury  |+|rodič      |reference na id nadřízeného prvku organizační struktury  |
  
-Všechny sloupce jsou datového typu varchar s limitem 254 znaků až na časové razítko, které je typu timestamp. +Všechny sloupce jsou datového typu varchar s limitem 254 znaků až na časové razítko, které je typu timestamp.
  
 ==== Formát CSV souborů ==== ==== Formát CSV souborů ====
Line 96: Line 96:
   * Hlavička: 1. řádek volitelně   * Hlavička: 1. řádek volitelně
   * Kódování: UTF-8 (bez BOM znaků)   * Kódování: UTF-8 (bez BOM znaků)
-  * Sloupec/text může být obalen uvozovkami ''"'' (//"sloupec1", "sloupec 2", sloupec 3//)+  * Sloupec/text může být obalen uvozovkami ''"''  (//"sloupec1", "sloupec 2", sloupec 3//)
   * Uvozovky v textu musí být zdvojeny (//"sloupec1", "sloupec"" 2", sloupec 3//)   * Uvozovky v textu musí být zdvojeny (//"sloupec1", "sloupec"" 2", sloupec 3//)
   * Nový řádek v textu je podporován jen ve sloupcích obalených uvozovkami   * Nový řádek v textu je podporován jen ve sloupcích obalených uvozovkami
  
 ===== Cíl dat ===== ===== Cíl dat =====
 +
 Podporované cíle dat: Podporované cíle dat:
 +
   * LDAPv3 - provisioning identity a jejích rolí   * LDAPv3 - provisioning identity a jejích rolí
   * MS AD - jedna doména, provisioning identity a jejích rolí   * MS AD - jedna doména, provisioning identity a jejích rolí
   * Databáze - Připojení do databáze pomocí JDBC, jedna tabulka pro identity (users)   * Databáze - Připojení do databáze pomocí JDBC, jedna tabulka pro identity (users)
  
-==== MS AD - struktura synchronizovaných dat ==== +==== MS AD - struktura propagovaných dat ==== 
-^ atribut  ^  povinný  ^ poznámka ^ + 
-| DN |  *  | distinguished name | +^atribut  ^  povinný  ^poznámka| 
-| sAMAccountName |    | login uživatele | +|DN|  *  |distinguished name| 
-| cn |    | common name - často používané jako RDN | +|sAMAccountName|   |login uživatele| 
-| displayName |  | název účtu uživatele, často se zobrazuje v aplikacích používajících AD| +|cn|   |common name - často používané jako RDN| 
-| description| | | +|displayName|   |název účtu uživatele, často se zobrazuje v aplikacích používajících AD| 
-| password|   +|description| | | 
-| sn | | přijmení | +|password|     
-| givenName| | křestní jméno | +|sn| |přijmení| 
-| mail |  | email uživatele | +|givenName| |křestní jméno| 
-| userPrincipalName| | login + doména |+|mail|   |email uživatele| 
 +|userPrincipalName| |login + doména|
  
 Není li definováno níže jinak, jsou výše uvedené atributy předávány z identity uživatele bez transformace. Není li definováno níže jinak, jsou výše uvedené atributy předávány z identity uživatele bez transformace.
  
-Má-li se spravovat heslo z IdM (password), musí zákazník nakonfigurovat SSL spojení k AD přes port 636 (LDAP protokol). +Má-li se spravovat heslo z IdM (password), musí zákazník nakonfigurovat SSL spojení k AD přes port 636 (LDAP protokol).
  
 Význačné atributy s transformací: Význačné atributy s transformací:
-  * DN je generováno na základě organizačního zařazení uživatele, nebo složením nejvýše 2 atributů identity. Neexistuje-li nějaká část DN v AD, pak ji CzechIdM vytvoří.  + 
-  * cn je generováno kombinací nejvýše 3 atributů identity. Je doporučeno jej použít jako RDN. +  * DN je generováno na základě organizačního zařazení uživatele, nebo složením nejvýše 2 atributů identity. Neexistuje-li nějaká část DN v AD, pak ji CzechIdM vytvoří. 
 +  * cn je generováno kombinací nejvýše 3 atributů identity. Je doporučeno jej použít jako RDN.
   * RDN (ať už je použito cn či nikoli) je doporučeno používat ve formátu zajišťujícím unikátnost v rámci daného OU (lépe celého AD). Například <jméno příjmení (ID)>. Není-li zajištěna unikátnost RDN v rámci OU, zůstane při kolizi požadavek pro vytvoření účtu ve frontě provisioningu na manuální vyřešení administrátorem.   * RDN (ať už je použito cn či nikoli) je doporučeno používat ve formátu zajišťujícím unikátnost v rámci daného OU (lépe celého AD). Například <jméno příjmení (ID)>. Není-li zajištěna unikátnost RDN v rámci OU, zůstane při kolizi požadavek pro vytvoření účtu ve frontě provisioningu na manuální vyřešení administrátorem.
   * displayName je generováno kombinací nejvýše 3 atributů identity.   * displayName je generováno kombinací nejvýše 3 atributů identity.
Line 132: Line 136:
 ====== Požadavky na HW/SW prostředí ====== ====== Požadavky na HW/SW prostředí ======
  
-  * [[faq:prerequisites_and_system_requirements|Požadavky na hw/sw serveru]]+  * [[:faq:prerequisites_and_system_requirements|Požadavky na hw/sw serveru]]
   * Pro instalaci a konfiguraci je potřeba fungující přístup ze serveru do Internetu za účelem stažení potřebného software.   * Pro instalaci a konfiguraci je potřeba fungující přístup ze serveru do Internetu za účelem stažení potřebného software.
  
Line 149: Line 153:
  
 ~~NOTOC~~ ~~NOTOC~~
 +
 +
  • by kubicar