Jste zde

Uživatelské role a Permition groups na HWPortal.cz

Kvalitní systém řízení oprávnění a přístupu k datům je poslední dobou stále důležitějším požadavkem při nasazování jakéhokoliv systému, a to nejen kvůli ochranně dat, ale také pro přehlednější práci s portálem. V HWportal.cz k tomu slouží dva prvky. Uživatelské role, které určují, na jaké operace má daný uživatel právo a pak Permition groups, které určují, ke kterým datům má uživatel přístup.

Uživatelské role

Portál nabízí 4 uživatelské role:

  • Team admin – Hlavní správce týmu. Přidává a odebírá uživatele a nastavuje jim práva, vytváří lokace, podlokace, skupiny a všechny ostatní prvky portálu. Pochopitelně smí spravovat všechny zařízení, senzory, alarmy apod. Tedy neomezený vládce nad týmem a jeho daty. Každý tým musí mít alespoň jednoho uživatele s rolí Team admin.
  • Device admin – zpravidla instalační technik nebo správce dohledované technologie. Kromě prohlížení dat jeho práva slouží pro přidávání a editaci zařízení a senzorů, nastavování bezpečných rozsahů, alarmových zpráv nebo pro přidání zařízení do lokace či skupiny.
  • Report admin – obvykle energetik, technolog či administrátor dotací. Smí si prohlížet naměřené údaje a dále smí vytvářet dashboardy, grafy a reporty. Pracuje tedy s daty a náhledy pro prezentaci naměřených hodnot, aby byly v souladu s potřebami firmy.
  • Visitor – prostý návštěvník, který si smí naměřené údaje prohlížet, ale není oprávněn cokoliv měnit či přidávat. Toto právo se často poskytují malé a střední instalační firmy (systémoví integrátoři) svým klientům kteří nemají vlastní IT či jiné odborníky, aby viděli, jak vypadá jejich prostředí, ale nemají právo měnit kritické hodnoty, které mohou způsobit reálnou škodu. Vhodné jsou rovněž pro sekretářky a vrátné, kteří mohou udělat rychlou kontrolu postiženého místa v případě Alarmu.

Jednotlivé role (zejména tedy Device admin a Report admin) lze vzájemně kombinovat podle potřeby. V malých instalacích naopak stačí jen jeden či dva uživatelé Team Admin a není třeba se dále stresovat přidělováním rolí.

Omezení práv pomocí rolí slouží nejen pro větší zabezpečení funkce jako takové, ale rovněž zjednoduší náhled na data v portálu. Uživatelům

Permition groups

V rámci týmu platí že všichni vidí všechno a se vším mohou pracovat – pochopitelně jen podle oprávnění daných rolí či rolemi. Skupiny oprávnění (Permition groups) naopak umožňují zpřístupnit jednotlivým uživatelům jen konkrétní prostředky neboli jen konkrétní zařízení, senzory, skupiny apod.

Díky tomu je možné mít pod jedním týmem různá pracoviště (například server house v Praze, Brně a Ostravě) a současně omezit zobrazované údaje tak, aby příslušní pracovníci viděli jen „svoje“ hodnoty. Naopak uživatelé s právem Team Admin mohou stále vidět všechny údaje současně.

Obdobně lze nastavit práva až na úroveň senzorů tak, že například ajťáci mohou sledovat pouze prostředí ve svých racích i přesto, že na stejný Poseidon jsou též připojeny teploměry z chladniček kuchařů.  Obdobně pak ajťáci nemohou měnit nastavení reportů pro kuchaře, kteří je potřebují jako výkaz v rámci GAMP5 pro HACCAP.

Jedná se tedy o velmi mocný nástroj a jako obvykle platí, že čím mocnější nástroj, tím pečlivější musí být příprava a vlastní nasazení. Proto je práce s Permition group vyhrazena jen Team Adminům, kteří jediní smí tyto skupiny zakládat a spravovat. Ostatním uživatelům jsou pak vyhrazeny nižší role nebo jejich kombinace. Pochopitelně není problém omezit pomocí Permition group přístup i ostatním Team adminům, kteří si však díky své roli mohou náhledy opět měnit.

Permition groups umožňují zcela nezávisle povolovat přístupy k různým prostředkům (entitám) :

  • Zařízení (Devices)
  • Senzory (Sensors)
  • Nástěnky (Dashboards)
  • Multigrafy (Graphs)
  • Reporty (Reports)
  • Skupiny zařízení (Device groups
  • Lokace (Locations)

Jednotlivé prostředky se nastavují nezávisle, tedy pokud nastavíte přístup k lokaci, neznamená to, že uživatel automaticky získá přístup k zařízením a senzorům v dané kolaci. A naopak, umožníte-li uživateli zobrazení senzoru, nezíská automaticky přístup k zařízení.

Přidělením přístupu k zařízení získáváte jen náhled o stavu zařízení, nikoliv k jeho hodnotám. Obdobně oprávnění k práci se skupinou zařízení nebo s lokací Vás jen opravňuje k zobrazení údajů odpovídající dané úrovni. Tedy u lokace se např. dozvíte že 6 senzorů je OK a 1 v Alarmu, ale pokud nemáte právo pro práci s daným senzorem, nedozvíte se jaký to je.

Aby se stávající uživatelé, případně uživatelé, kteří nepotřebují tak mocný nástroj nemuseli Permition groups hned učit, platí, že prostředky nezařazené do ŽÁDNÉ skupiny zabezpečení vidí každý člen týmu. Tak se pro stávající zákazníky nic nemění, a naopak zákazníci kteří permition groups využití nebudou mít problém se založením nějaké „výchozí“ skupiny, kam se všechny stávající i nové prostředky přidají.

Postupně se pro Permition group přizpůsobí i exporty do XML, SNMP a další.

HWPortal.cz

Hodnocení článku: