Identity management na ČHMU
uživatelská příručka
BCV solutions s.r.o
Lucie Cirkvová
Roman Kučera
Edit Michal Steinhart
Obsah1 Identity management na ČHMU.................................................................................................................................................................22 Uživatelské rozhraní IDM............................................................................................................................................................................3
2.1 Přihlášení uživatele k CzechIdM.........................................................................................................................................................42.2 Zapomenuté heslo do IDM................................................................................................................................................................52.3 Nástěnka a profil................................................................................................................................................................................72.4 Menu změna mého hesla...................................................................................................................................................................82.5 Menu uživatelé...................................................................................................................................................................................92.6 Menu vzdálený přístup....................................................................................................................................................................142.7 Menu Úkoly......................................................................................................................................................................................16
1
1 Identity management na ČHMUInformace o identitách interních uživatelů jsou automaticky přebírány z databáze personálního systému
Vema do IdM. Po zpracování jsou, dle definovaných pravidel a procesů, propagovány do spravovaných
aplikací. Externí uživatelé jsou do systému zavedeni např. prostřednictvím žádosti o vzdálený přístup.
Uživatelé mají do Identity Manageru přístup přes webové rozhraní. Uživatelské rozhraní zajišťuje
samoobsluhu, kde si uživatelé mohou zkontrolovat správnost údajů o nich v Identity Manageru vedených a existenci uživatelskýchúčtů a oprávnění v koncových aplikacích a v přístupu k datům. Samoobslužné rozhraní
také umožňuje uživateli z jednoho místa provést změnu hesel do jednotlivých systému, případně požádat
o přístup do nové aplikace nebo o změnu oprávnění ke stávajícímu účtu.
Cílem tohoto dokumentu je provést uživatele rozhraním IdM a jeho dostupnými funkcionalitami a tím po-
moci se zorientovat v IT prostředcích ČHMÚ.
IdM prozatím nespravuje přístup do VEMY a přístupy na objednávání obědů a docházkového systému.
2
2 Uživatelské rozhraní IDMNový zaměstnanec získá heslo při nástupu od personálního oddělení na tzv. vstupním listu. V případě, že
se Vám přihlášení nedaří, obraťte se na [email protected] nebo na svého vedoucího, který může taktéž
prostřednictvím helpdesku požádat o nápravu.
Vstupní list
3
2.1 Přihlášení uživatele k CzechIdMPro přihlášení k systému CzechIdM zadáme v internetovém prohlížeči adresu https://idm.chmi.cz nebo po
přihlášení do portálu (www.chmi.cz) zvolíme v sekci interní >> změna hesla (IdM).
Do pole Uživatelské jméno zadáme naše uživatelské jméno (v našem případě je to ostatni2). Uživatelské
jméno je 8 znaků dlouhý řetězec. Jako uživatelské jméno se považuje 8 prvních písmen z vašeho příjmení
bez diakritiky. Pokud je vaše příjmení kratší než 8 písmen, je vaše uživatelské jméno vaše příjmení
doplněné písmeny z křestního jména bez diakritiky (tedy tvar "prijmenijmeno") a to až do délky
maximálně osmi znaků. Příklad: Uživatelské jméno uživatele Jan Novotný bude "novotnyj".
Pokud existuje dva a více stejnojmenných uživatelů, pak jsou uživatelé rozlišeni číslicí na konci.
Příklad: Pokud by existovalo dva a více uživatelů se jménem Jan Novotný, bude uživatelské jméno prvního uživatele "novotnyj“,druhého uživatele už "novotny2". Do pole Heslo zadáme přístupové heslo (ze vstupního listu od personálního odd., kde je i
přihlašovací jméno). Poté se přihlásíme kliknutím na tlačítko Přihlásit
4
2.2 Zapomenuté heslo do IDMPokud jste zapomněli heslo do IDM vůbec nic se neděje, identity management vám umožní ho jednoduše
změnit. Klikněte na odkaz zapomenuté heslo.
Automaticky budete přesměrováni na stránku, kde vyplníte své osobní číslo.
Vyplňte své osobní číslo a klikněte na Resetovat heslo.
V tuto chvíli Vám byl na Vaši pracovní emailovou adresu zaslán email, ve kterém je jednorázová URL
adresa. Na tu stačí kliknout a budete si moct nastavit nové heslo do IDM. Platnost tohoto odkazu je
časově omezená na jednotky hodin, pokud byste změnu hesla z jakéhokoliv důvodu nestihli, stačí postup
zopakovat.
5
Do vaší emailové schránky dorazí obdobný email.
6
2.3 Nástěnka a profilNyní jste se úspěšně přihlásili do IdM a hned první co se vám zobrazí nástěnka, na které jsou zobrazeny základní informace o Vás. Dále
zde vidíte Vaše čekající úkoly a agendu potvrzení pro změny na ISO webu.
Pro zobrazení osobních informací slouží položka Profil. Na tento stejný profil se dá také přejít pomocí kliknutí Na uživatelské jméno vhorním pravém rohu.
Pro zjištění jaké mám přiřazené role je karta Přiřazené role.
7
8
2.4 Menu změna mého heslaJednou ze základních funkcionalitou IDM je to, že umožňuje změnit si heslo na systémech, které spravuje.
Navíc si tak lze jednoduše nastavit heslo stejné do všech systémů a to měnit dle bezpečnostních pravidel. V menu jen vyplníte novéheslo, potvrdíte jej ještě jednou pro eliminaci chyb a
vyberete, ve kterých systémech chcete toto heslo nastavit. Pak jen stačí potvrdit tlačítkem Nastavit heslo
a IDM se postará o propagaci nového hesla do vybraných systémů. Nezapomeňte vždy vybrat systém (y),
do kterých chcete heslo změnit.
9
NEZAPOMEŇTE ZATRHNOUT, KDE CHCETE ZMĚNIT HESLO
2.5 Menu uživateléDalší záložkou v pořadí jsou uživatelé. Tato záložka umožňuje vyhledávat mezi dostupnými uživateli, na které máte Oprávnění
(například podřízení) a na detailu uživatele umožňuje změnit přístupová oprávnění podřízených. V případě akutní potřeby je možnéúčty zaměstnance zablokovat a znemožnit mu tak například zneužití citlivých údajů. Blokace se provede okamžitě na všech
spravovaných systémech s tím, že jí lze kdykoliv vrátit a účet zaměstnance povolit.
Blokace, či zpětné odblokování lze udělat pomocí manuální blokace nebo přes pracovní pozici. Nejdříve si ukážeme jednodušší způsobblokace, kterou lze využít i pro několik uživatelů současně.
Na záložce Uživatelé označíme požadované uživatele a následně z kontextového menu vybereme možnost manuální blokace nebomanuální odblokování.
Blokace pomocí pracovních pozic se provádí na detailu uživatele na záložce Pracovní pozice. V tabulce
Časové řezy pracovně právních vztahů je potřeba přejí na detail takového řezu, který je označen jako
aktuálně používaný.
10
11
Pro zablokování uživatele vyberte možnost Neaktivní v položce Stav na detailu časového řezu. Pro aktivaci
nechte položku Stav prázdnou.
12
Dále můžete svému podřízenému požádat o roli. Role reprezentuje přístupová práva v systémech a vy
jako nadřízený, tak můžete jednoduše rozhodnout, kam váš podřízený ještě potřebuje přistupovat nebo
do kterých aplikací již vzhledem k personálním změnám nemusím mít přístup. Identity management pak
role přiřadí automaticky. V systému vidíte, které role uživatel má.
Správa rolí je k dispozici na záložce Přiřazení role na detailu uživatele. Pomocí tlačítka Změnit oprávnění
můžete přidat/odebrat uživateli role.
13
Odebrání/přidání nebo změna rolí se provádí v sekci Aktuálně přiřazené role.
Pro přidání slouží tlačítko Přidat po jehož stisknutí se zobrazí modální okno, kde je možné vyhledávat mezi
dostupnými rolemi, nastavit úvazek ke kterému má být role přiřazena a datum platnosti role.
Pro odebrání nebo změnu již přiřazených rolí slouží červené tlačítko s košem respektive oranžové s tužkou.
14
Po provedení potřebných změn jsou veškeré akce přehledně zobrazeny jak v tabulce Aktuálně přiřazené role
kde jsou jednotlivé role podbarveny barvou dle typu operace, tak v tabulce Požadované změny oprávnění, kde jsou vypsány pouzerole, u kterých dochází ke změně.
Pro potvrzení těchto změn slouží tlačítko Podat žádost.
15
2.6 Menu vzdálený přístupPokud potřebujete zajistit vzdálený přístup do prostředí CHMI využijte záložku VPN/SSH přístup, která se
nachází na detailu uživatele.
Pokud chcete žádat pro sebe, dostanete se na tuto kartu ze svého profilu. V případě, kdy chcete žádat pro svého podřízeného musítepřejít na detail požadovaného uživatele.
V případě žádosti VPN/SSH přístupu pro externistu kontaktujte administrátora IdM pro přidělení příslušné role.
Na této kartě je také přehled již zřízených přístupů pokud uživatel již nějaké má.
16
Žádost o nový přístup se provádí pomocí tlačítka Přidat. Po jeho stisknutí budete přesměrování na formulář. Na tomto formulářivyplňte všechny povinné položky. A potvrďte tlačítkem Schválit následně dojde k odeslání žádosti.
Pokud z nějakého důvodu žádost podat nechcete, můžete jí zrušit tlačítkem Zamítnout.
17
2.7 Menu ÚkolyDalší menu, které je v uživatelském rozhraní k dispozici, řeší schvalovací úlohy v IDM (například schválení
přidělení VPN či změn na ISOwebu). Menu úkoly samozřejmě nemusíte složitě hlídat, kdykoliv od Vás IDM potřebuje něco
schválit, pošle vám email - ve kterém vás k tomu vyzve.
Pokud se podíváme do menu úkoly, vidíme všechny úlohy, které čekají na naše schválení
18
A takto vypadá úkol po „rozkliknutí“. Vidíte podrobnosti, které vám pomohou se schvalováním. Samozřejmě
máte i možnost žádost zamítnout a informovat žadatele o důvodech zamítnutí a schválení.
19