Správa skupin a přístupů

Masarykova univerzita pořádá mnoho konferencí, kdy je nutné účastníkům setkání umožnit přístup k různým IT službám, například: vstup do místnosti, připojení k Wi-Fi, přihlášení ve studovně apod. Zároveň se jmena i množství účastníků často rychle mění v čase a po skončení konference je třeba tyto přístupy zase deaktivovat.

Řešení:

Pořadatel (zaměstnanec MUNI) vytvoří sponzorované účty pro externí účastníky a přidá je do skupiny, kterou si pro konferenci vytvořil (například s názvem konference). Následně skupině sám přidá, nebo o to požádá, příslušné přístupy, například přístup k Wi-Fi síti.

Přístupy se automaticky odeberou na základě expirace nastavené na konec dané konference. Skupinu po skončení konference stačí smazat, nebo nechat pro příští ročník.

Stejný způsob je možné uplatnit i pro vytvoření sponzorovaného účtu pro externího spolupracovníka.

Mnoho pracovišť i týmů univerzity se skládá ze zaměstnanců s různými typy úvazku i různorodými potřebami na IT zdroje a služby. Často je třeba konkrétním podskupinám umožnit přístup k určitým službám, nebo aplikacím (IT zdrojům) a jiným naopak ne.

Řešení:

Vedoucí týmu vytvoří skupinu, která reprezentuje daný tým (například Archeologický spolek). Samotná skupina je propojená na IT zdroje: Wi-Fi, týmová dokumentace o365.

Ve skupině pak vytvoří dvě podskupiny

• podskupinu „pracoviště archeologie“, kde si zažádá o automatickou synchronizaci z pracoviště (geologie na přírodovědecké fakultě). Podskupina pak obsahuje všechny jeho kolegy na daném pracovišti, bez potřeby ručního přidávání.
  • Podskupinu zároveň nechá propojit s dalšími IT zdroji určenými jenom zaměstnancům pracoviště (například databáze k využívání materiálů). přístup do místnosti.
• do podskupiny „studenti a jiná pracoviště“, ručně přidá kolegy z jiných pracovišť a studenty na praxi.

Někdy je třeba nově nastupujícímu zaměstnanci zpřístupnit některé přístupy ještě před oficiálním datem jeho nástupu. Tento nový kolega je už typicky zavedený v personalistice, má UČO, ale nemá žádné přístupy, protože ještě nezačal platit jeho zaměstnanecký poměr.

Řešení:

V tomto případě je možné požádat na it@muni.cz o aktivování takového účtu a stát se jeho sponzorem. Tím bude možné tomuto budoucímu kolegovi dát přístupy ke všem potřebným službám stejně jako jakémukoliv jinému aktivnímu účtu na MU.
Dnem oficiálního nástupu dostane nový kolega automaticky všechny přístupy, které mu náleží díky statusu zaměstnance a zůstanou mu zachované všechny přístupy, které měl přidělené doposud. Přechod bude naprosto přirozený a bezproblémový. Sponzorování jeho účtu přestane být podstatné a může být zrušeno.

Obdobně je možné sponzorovat odcházejícího kolegu a tím mu ponechat vybrané přístupy nějaký čas po oficiálním skončení pracovního poměru.

Každá osoba s aktivním závazkem k univerzitě má záznam v systému pro správu identit a řízení přístupu, který slouží pro autentizaci a autorizaci uživatelů k IT zdrojům. Standardně jde o zaměstnance a studenty, ale patří sem například i emeritní profesoři.

Sponzorované účty

V případě, že uživatel nemá aktivní závazek vůči univerzitě, ale přesto má mít možnost využívat IT zdroje univerzity, je možné vytvořit tzv. sponzorovaný účet, který je vázán na sponzora (uživatel, který sponzorovaný účet spravuje). Tuto osobu sponzor umí kontaktovat a ví, za jakým účelem sponzorství vydal (například ví, že jde o účastníka konference). Z tohoto titulu je možné definovat i dobu platnosti, po kterou daný účet zůstává aktivní. V kontextu řízení přístupu se sponzorovaný účet neliší od interních uživatelských účtů. Nový sponzorovaný účet vytvořený v Perunovi (UČO 9xxxxxx) se do IS nepropisuje do nelze ho v něm zobrazit ani použít.

Sponzor účtu s aktivním vztahem k MUNI: Sponzorovat je možné i účet s aktivním vztahem k univerzitě. Takový účet po skončení vztahu k univerzitě zůstane použitelný pro autentizaci nebo autorizaci k vybraným službám.

Účet pro osobu se vztahem k MUNI v minulosti: V případě nutnosti aktivovat účet absolventa Masarykovy univerzity, nebo jiné osoby, která již někdy měla jiný hostovský účet, nebo sponzorovaný účet, se obraťte na it@muni.cz.

Sponzor: Sponzorem může být jakýkoliv zaměstnanec Masarykovy Univerzity a účet může mít i několika sponzorů současně. Zánikem posledního sponzora přestává platit sponzorovaný účet. Přidání či odebrání dalších sponzorů je plně podporováno v rozhraní systému Perun.

TIP! Uživatelům, kteří celouniverzitní identity a přístupy využívají v systému INET (např. o365, personalistika), je nadále k dispozici aplikace Správa hostů a externích spolupracovníků, která pracuje nad daty Peruna.

Skupinu má právo zakládat jakýkoliv aktivní uživatel. Uživatel může vytvořit skupinu například pro svůj tým a tuto skupinu propojit, nebo nechat propojit s požadovanými IT zdroji. Skupinu pak spravuje a plní osobami (včetně externistů), nebo je nechá plnit automaticky pomocí daných pravidel (např.  pracoviště). Všechny osoby pak mají přístup k daným IT zdrojům bez nutnosti složité administrace.

Pozor! Skupina samotná nemá v systému pro řízení přístupů žádný význam – svoji funkci získává až v momentě přiřazení na IT zdroj, kde skupina reprezentuje přístup uživatelů k němu.

Synchronizované skupiny

Skupiny mohou být plněné také pomocí synchronizace ze skupin z externích systémů, například z IS MU nebo INET. Synchronizaci skupin nastavuje uživatelská podpora systému Perun – pro aktivaci je nezbytné požádat.  Další typy synchronizovaných skupin (například studenti konkrétního předmětu) jsou řešeny synchronizací z IS MU.

Skládání skupin

Skupinu lze vložit do jiné skupiny, čímž se členové vkládané skupiny stanou zároveň členy cílové skupiny. Tímto způsobem je možné vytvořit skupinu, jejíž členové skládají z jiných skupin bez zbytečného duplicitního definování skupin.

Správce skupiny

Každá skupina má správce, který tyto členy spravuje (přidává a odebírá členy skupiny). Správce je definován výčtem uživatelů nebo celou vybranou skupinou v systému Perun (například celé pracoviště).

Podskupiny

Samotné skupiny mohou obsahovat podskupiny. Toto členění je výhodně v případě reprezentace hierarchických organizačních struktur. Člen každé podskupiny je automaticky členem její nadskupiny.

Uživatel může mít přidělená práva na správu potřebných IT zdrojů. V takovém případě může rovnou svým skupinám přidělit přístup. Pokud práva nemá, může požádat správce o jejich přidělení, a to buď:

• přímo, pokud ví, kdo je správcem/vlastníkem daného zdroje,
• nebo zprostředkovaně přes formulář, nebo it@muni.cz.

Správce IT zdroje se může rozhodnout přidělit práva na IT zdroj, nebo jen autorizovat skupinu na daný zdroj (bez přidělení práva na správu), nebo může žádost zamítnout.