Skip to content. Skip to navigation
Sitemap   |   People and Departments   |   Edit   |   Site Search  
   english | česky
Logo CVUT

CZECH TECHNICAL UNIVERSITY
IN PRAGUE

Home Page Pracoviště IdM Identity Manager IdM
Document Actions

Identity Manager IdM

Správci subsystému: Jan Scherks, Zbyněk Souček
Připomínky a dotazy k funkčnosti subsystému posílejte na Helpdesk ČVUT.

IdM

Identity Manager (IdM) je software a sada nastavených pravidel určených k systematickému řízení uživatelů a jejich rolí v jednotlivých subsystémech IS ČVUT.  IdM v současné době obsahuje:

  • 26.000 rolí
  • 110.000 uživatelů, z toho je cca 25.000 aktivních


Subsystémy napojené na IdM:

  • SGS – Studentská grantová soutěž
  • USERMAP – Autentizace uživatelů ČVUT
  • KOS – Studijní informační systém
  • BOOK – Podpora ediční činnosti
  • CARD – Identifikační průkazy ČVUT
  • MOODLE – E-learning
  • Anketa – Anketa hodnocení výuky
  • KERBEROS – Autentizace uživatelů ČVUT
  • AD (Active Directory) – Autentizace uživatelů ČVUT


Plán a průběh napojování subsystémů na IdM:

  • NDS-FD - probíhá testování napojení - přechod je plánován na podzim 2013
  • FIS - probíhá testování napojení, nasazení je odloženo na období po účetních uzávěrkách - přechod je plánován na podzim 2013
  • Dále pak v průběhu roku 2013 subsystémy:
    Ezop, IdM, GTF, TINA, K4, TZS, Erasmus


Typy uživatelů v IdM

V IdM rozlišujeme z pohledu jednotlivých rolí následující dva typy uživatelů:

  • Běžný uživatel – každý uživatel ČVUT, kterému může být přidělena role. V IdM má možnost si zkontrolovat přidělené role.
  • Schvalovatel – většinou se jedná o vedoucího pracovníka (rektor, děkan, vedoucí, proděkan apod.), Uživatel, který přiděluje, schvaluje a odebírá nebo zamítá role pro ostatní uživatele dle svých kompetencí a má k tomu v IdM příslušná práva.


Typy rolí

  • Business role
    • jedná se o role, které zastávají jednotliví pracovníci v organizační struktuře (např. děkan, proděkan, vedoucí, tajemník atp.)
    • formát: B-81370-VEDOUCI, kde B je typ role, 81370 je číslo organizační jednotky, VEDOUCI je název pozice
  • Technické role
    • jedná se o role v připojených subsystémech (např. KOS, SGS atd.)
    • formát: T-KOS-16114-UCITEL, kde T je typ role, 16114 je číslo organizační jednotky nebo nákladového střediska, UCITEL je název role, tento název je odvozen od rolí v daném subsystému (viz. pověření k provozování)


Rychlý návod pro přidělení role uživateli

Vyberte záložku Žádosti, pokračujte přes odkaz Změna přidělení rolí uživateli, zde vyberte uživatele, kterému chcete přidat roli. U výběru jiného uživatele prosím věnujte pozornost rozbalovacím nabídkám. Vybraného uživatele zaškrtněte a pomocí tlačítka Další pokračujte na detaily uživatele. Tlačítkem Další se přesunete do formuláře pro nalezení požadované role. Do pole Technický název je třeba u business rolí vložit text B- a u technických rolí vložit text T-KOS (kde KOS je název subsystému, viz. seznam výše) a současně s tím vybrat volbu začíná na z rozbalovací nabídky, zobrazí se tak business role nebo příslušné technické role, které můžete uživateli přidat v rámci svých kompetencí. Po nalezení, danou roli zaškrtněte a stiskněte tlačítko Přidat vybrané role uživateli, role se přesune z levé tabulky do pravé a máte možnost vyhledat a přidat další role. Pokud jste přidali všechny role, stiskněte tlačítko Další. Dojde k zobrazení detailů uživatele a všech přidávaných rolí. Pokud vše souhlasí, tak kliknutí na tlačítko Požádat dojde k přidělení rolí v IdM a zároveň v dotčených subsystémech.

Uživatelský manuál
Rozšířený popis práce se subsystémem je popsán v uživatelském manuálu: Uživatelský manuál

Hlavní přínosy IdM

  • Pravidla pro získání rolí v IS jsou nastavována na základě Pověření k provozování subsystému v souladu s politikou stanovenou příkazem rektora č. 1/2012 Pravidla pro kompetence a odpovědnost při správě informačního systému ČVUT.
  • Ke schvalování rolí dochází elektronicky na základě schvalovacího workflow.
  • Je možné jednoduše provádět revize přidělených rolí.
  • Systematizací procesních rolí je možné při změně uživatele ve funkci automaticky přidat práva novému uživateli a hlavně odebrat práva uživateli bývalému.
  • IdM umožňuje během pár vteřin omezit práva uživatele v desítkách subsystémů v případě bezpečnostního problému.
  • Pro různé subsystémy lze nastavit tzv. karantény = systémově prodloužené období omezených přístupových práv pro řešení přechodných období.
  • Veškerá oprávnění jsou v rámci historie IdM auditovatelná, to znamená, že je možné zjisti, jaká práva uživatel měl a na základě čeho je obdržel.