Správa skupin a přístupů


Upozornění

Služba od 1.11. nahradila původní Guest Manager (guest.ucn.muni.cz) funkcí sponzorovaných účtů. Více informací naleznete v sekci „uživatelské účty“.

Služba nabízí primárně zaměstnancům MUNI možnost samostatně a efektivním způsobem řídit přístup pro svůj tým či pracoviště k různým službám a dalším IT zdrojům, jako je například nastavení vstupů do místností, připojení na Wi-Fi, přístup do databáze, role administrátora v konkrétní aplikaci a jiné. Řízení přístupu ke službám je možné řešit pro jednotlivce i hromadně pro skupiny. Kromě zaměstnanců a studentů je možné k službám zřídit přístup i pro externisty za pomoci tzv. sponzorovaných účtů.

Mezi funkce tohoto řešení patří:

  • Správa vlastního týmu, pracoviště v přístupu k IT zdrojům bez nutnosti vždy kontaktovat IT podporu nebo IT správce.
  • Jednotné prostředí pro řízení přístupu k potřebným IT zdrojům pro celý tým včetně externích spolupracovníků.
  • Snadná správa členů týmů, účastníků konference, pracoviště apod. – přidávání i odebírání.
  • Možnost snadného rozšíření poskytnutí IT zdroje pro tým.
  • Snadné přidání externího kolegy do týmu, pracoviště aj.

Příklady použití

Pořádání konference, externí spolupracovník

Masarykova univerzita pořádá mnoho konferencí, kdy je nutné účastníkům setkání umožnit přístup k různým IT službám, například: vstup do místnosti, připojení k Wi-Fi, přihlášení ve studovně apod. Zároveň se jmena i množství účastníků často rychle mění v čase a po skončení konference je třeba tyto přístupy zase deaktivovat.

Řešení:

Pořadatel (zaměstnanec MUNI) vytvoří sponzorované účty pro externí účastníky a přidá je do skupiny, kterou si pro konferenci vytvořil (například s názvem konference). Následně skupině sám přidá, nebo o to požádá, příslušné přístupy, například přístup k Wi-Fi síti.

Přístupy se automaticky odeberou na základě expirace nastavené na konec dané konference. Skupinu po skončení konference stačí smazat, nebo nechat pro příští ročník.

Stejný způsob je možné uplatnit i pro vytvoření sponzorovaného účtu pro externího spolupracovníka.

Řízení přístupu pro celý tým, pracoviště, dočasné pracovníky

Mnoho pracovišť i týmů univerzity se skládá ze zaměstnanců s různými typy úvazku i různorodými potřebami na IT zdroje a služby. Často je třeba konkrétním podskupinám umožnit přístup k určitým službám, nebo aplikacím (IT zdrojům) a jiným naopak ne.

Řešení:

Vedoucí týmu vytvoří skupinu, která reprezentuje daný tým (například Archeologický spolek). Samotná skupina je propojená na IT zdroje: Wi-Fi, týmová dokumentace o365.

Ve skupině pak vytvoří dvě podskupiny

  • podskupinu „pracoviště archeologie“, kde si zažádá o automatickou synchronizaci z pracoviště (geologie na přírodovědecké fakultě). Podskupina pak obsahuje všechny jeho kolegy na daném pracovišti, bez potřeby ručního přidávání.
    • Podskupinu zároveň nechá propojit s dalšími IT zdroji určenými jenom zaměstnancům pracoviště (například databáze k využívání materiálů). přístup do místnosti.
  • do podskupiny „studenti a jiná pracoviště“, ručně přidá kolegy z jiných pracovišť a studenty na praxi.
Nově přicházející kolega

Někdy je třeba nově nastupujícímu zaměstnanci zpřístupnit některé přístupy ještě před oficiálním datem jeho nástupu. Tento nový kolega je už typicky zavedený v personalistice, má UČO, ale nemá žádné přístupy, protože ještě nezačal platit jeho zaměstnanecký poměr.

Řešení:

V tomto případě je možné požádat na it@muni.cz o aktivování takového účtu a stát se jeho sponzorem. Tím bude možné tomuto budoucímu kolegovi dát přístupy ke všem potřebným službám stejně jako jakémukoliv jinému aktivnímu účtu na MU.
Dnem oficiálního nástupu dostane nový kolega automaticky všechny přístupy, které mu náleží díky statusu zaměstnance a zůstanou mu zachované všechny přístupy, které měl přidělené doposud. Přechod bude naprosto přirozený a bezproblémový. Sponzorování jeho účtu přestane být podstatné a může být zrušeno.

Obdobně je možné sponzorovat odcházejícího kolegu a tím mu ponechat vybrané přístupy nějaký čas po oficiálním skončení pracovního poměru.

Stručný popis řešení

Masarykova univerzita využívá Systém pro správu identit a řízení přístupu (Perun). Uživatel vidí pouze to, k čemu má práva (editovat, nahlížet). Systém obsahuje:

Účet Jedná se o konkrétní uživatelé. Každý člen může být veden v nekonečném množství skupin a podskupin. Účty jsou rozděleny podle vztahu k univerzitě – interní uživatelé a sponzorované účty.
Skupiny a podskupiny (Group and subgroup) Seskupení účtů, které mají přístup ke stejným resourcům.
IT zdroje (Resource) Označení konkrétního zdroje, například:
  • IT služba, nebo její část
  • role uživatele na konkrétní službě: editor, admin aj.
  • oprávnění na konkrétní službě: read, write aj.

Skupiny a účty v nich jsou propojeny na IT zdroje. Bez propojení s IT zdrojem nemá skupina žádná práva ani význam.

Uživatelské účty

Každá osoba s aktivním závazkem k univerzitě má záznam v systému pro správu identit a řízení přístupu, který slouží pro autentizaci a autorizaci uživatelů k IT zdrojům. Standardně jde o zaměstnance a studenty, ale patří sem například i emeritní profesoři.

Sponzorované účty

V případě, že uživatel nemá aktivní závazek vůči univerzitě, ale přesto má mít možnost využívat IT zdroje univerzity, je možné vytvořit tzv. sponzorovaný účet, který je vázán na sponzora (uživatel, který sponzorovaný účet spravuje). Tuto osobu sponzor umí kontaktovat a ví, za jakým účelem sponzorství vydal (například ví, že jde o účastníka konference). Z tohoto titulu je možné definovat i dobu platnosti, po kterou daný účet zůstává aktivní. V kontextu řízení přístupu se sponzorovaný účet neliší od interních uživatelských účtů.

Sponzor účtu s aktivním vztahem k MUNI: Sponzorovat je možné i účet s aktivním vztahem k univerzitě. Takový účet po skončení vztahu k univerzitě zůstane použitelný pro autentizaci nebo autorizaci k vybraným službám.

Účet pro osobu se vztahem k MUNI v minulosti: V případě nutnosti aktivovat účet absolventa Masarykovy univerzity, nebo jiné osoby, která již někdy měla jiný hostovský účet, nebo sponzorovaný účet, se obraťte na it@muni.cz.

Sponzor: Sponzorem může být jakýkoliv zaměstnanec Masarykovy Univerzity a účet může mít i několika sponzorů současně. Zánikem posledního sponzora přestává platit sponzorovaný účet. Přidání či odebrání dalších sponzorů je aktuálně zajišťováno přes e-mail it@muni.cz.

TIP! Uživatelům, kteří celouniverzitní identity a přístupy využívají v systému INET (např. o365, personalistika), je nadále k dispozici aplikace Správa hostů a externích spolupracovníků, která pracuje nad daty Peruna.

Správa skupin

Skupinu má právo zakládat jakýkoliv aktivní uživatel. Uživatel může vytvořit skupinu například pro svůj tým a tuto skupinu propojit, nebo nechat propojit s požadovanými IT zdroji. Skupinu pak spravuje a plní osobami (včetně externistů), nebo je nechá plnit automaticky pomocí daných pravidel (např.  pracoviště). Všechny osoby pak mají přístup k daným IT zdrojům bez nutnosti složité administrace.

Pozor! Skupina samotná nemá v systému pro řízení přístupů žádný význam – svoji funkci získává až v momentě přiřazení na IT zdroj, kde skupina reprezentuje přístup uživatelů k němu.

Synchronizované skupiny

Skupiny mohou být plněné také pomocí synchronizace ze skupin z externích systémů, například z IS MU nebo INET. Synchronizaci skupin nastavuje uživatelská podpora systému Perun – pro aktivaci je nezbytné požádat.  Další typy synchronizovaných skupin (například studenti konkrétního předmětu) jsou řešeny synchronizací z IS MU.

Skládání skupin

Skupinu lze vložit do jiné skupiny, čímž se členové vkládané skupiny stanou zároveň členy cílové skupiny. Tímto způsobem je možné vytvořit skupinu, jejíž členové skládají z jiných skupin bez zbytečného duplicitního definování skupin.

Správce skupiny

Každá skupina má správce, který tyto členy spravuje (přidává a odebírá členy skupiny). Správce je definován výčtem uživatelů nebo celou vybranou skupinou v systému Perun (například celé pracoviště).

Podskupiny

Samotné skupiny mohou obsahovat podskupiny. Toto členění je výhodně v případě reprezentace hierarchických organizačních struktur. Člen každé podskupiny je automaticky členem její nadskupiny.

Propojení skupiny s IT zdroji

Uživatel může mít přidělená práva na správu potřebných IT zdrojů. V takovém případě může rovnou svým skupinám přidělit přístup. Pokud práva nemá, může požádat správce o jejich přidělení, a to buď:

  • přímo, pokud ví, kdo je správcem/vlastníkem daného zdroje,
  • nebo zprostředkovaně přes formulář, nebo it@muni.cz.

Správce IT zdroje se může rozhodnout přidělit práva na IT zdroj, nebo jen autorizovat skupinu na daný zdroj (bez přidělení práva na správu), nebo může žádost zamítnout.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.