`

Změna logiky přidělování rolí na přidělování podle kompetencí

Primárním důvodem pro přechod z přiřazení na základě rolí k přiřazení na základě kompetencí v aplikaci Team assistant (TAS) je to, že role v TAS jsou často generovány automaticky. Ruční přidělování těchto rolí administrátorem, ať už v TAS nebo Microsoft Active Directory (MS AD), je neefektivní. Použití kompetencí výrazně snižuje zásahy administrátora do přiřazení viditelnosti rolí a standardizuje přidělování oprávnění pro uživatele na identických pracovních pozicích.

Zjistěte více o kompetencích

Kompetenční logika

Systém kompetencí je strukturován kolem „skupin rolí“, které jsou kategorizovány podle konkrétní kompetence. Skupinu rolí lze definovat staticky nebo dynamicky pomocí regulárních výrazů. V ideálním případě je každému standardnímu uživateli přidělena jediná kompetence, která konfiguruje veškerá viditelnost, přístup a další potřebná oprávnění.

Přiřazení na základě kompetencí neomezuje výjimky, kdy konkrétní uživatelé vyžadují další role. Systém uchovává záznamy o tom, jak byly role přidělovány, a zajišťuje, že ručně přiřazené role zůstanou i po odebrání rolí založených na kompetencích. Pokud je role přiřazena ručně a je také součástí skupiny kompetencí, zůstane zachována i po odebrání kompetence.

Synchronizace MS AD

TAS umožňuje synchronizaci s MS AD na základě "Pravidel způsobilosti." Tato funkce je užitečná zejména v holdingových strukturách, kde jednoduchá pravidla mohou automatizovat generování kompetencí z pravidel MS AD. Pokud je v MS AD nalezena kompetence se syntaxí odpovídajícími pravidly TAS, je vygenerována odpovídající sada kompetencí, která řídí přiřazení rolí.

Příklad použití

Scénář: Samantha Allen pracuje ve společnosti XXX jako vedoucí oddělení logistiky (Cost Center 001).

Přidělená kompetence v MS AD:

  • TAS Users - XXX - GC - Cost Center 001 (MG)
    • TAS Users - Standardní předpona pro skupiny oddělení v MS AD
    • XXX – zkratka společnosti (numerická nebo abecední, nemusí se nutně shodovat se zkratkami rolí TAS)
    • GC - Obecný identifikátor způsobilosti
    • Cost Center 001 - Identifikátor oddělení
    • (MG) - Označení manažera

Oprávnění udělená tímto jediným přidělením kompetence:

  • Schopnost vytvářet nákupní objednávky pro společnost XXX
  • Schopnost vytvářet veřejné/soukromé smlouvy pro společnost XXX
  • Viditelnost do všech přehledů pro společnost XXX
  • Viditelnost do všech případů objednávek pro společnost XXX a nákladové středisko 001
  • Viditelnost do všech případů faktur pro společnost XXX a nákladové středisko 001
  • Viditelnost do všech veřejných i soukromých zakázek pro společnost XXX a Nákladové středisko 001
  • Schvalovací oprávnění pro nákupní objednávky na úrovni 3 (nebo na úrovni 4, pokud se používají divizní ředitelé)
  • Schvalovací orgán pro smlouvy ve společnosti XXX a nákladovém středisku 001
  • Schopnost být smluvním garantem pro společnost XXX

Kroky pro přechod od rolí ke kompetencím

  1. Klient: Poskytněte Neitu seznam všech rolí používaných v MS AD.
  2. Neit: Analyzujte používání rolí a přeměňte je na kompetence.
  3. Neit: Vytvořte pravidla způsobilosti v TAS.
  4. Neit: Upravit aktuální synchronizaci produkce TAS tak, aby byly ignorovány skupiny za TAS Users - ??? - GC - * vzor.
  5. Klient: Vytvořte skupiny kompetencí v MS AD.
  6. Klient: Přiděluje kompetence jednotlivým uživatelům.
  7. Neit: Přesunout šablony schválení založené na kompetenci do TAS TEST.
  8. Neit/Client: Test synchronizace uživatele v prostředí TEST.
  9. Klient: Ověřte přiřazená oprávnění v prostředí TEST.
  10. Klient: Informujte uživatele o změnách v přiřazení oprávnění a pravděpodobnosti úprav jejich aktuálních oprávnění.
  11. Neit: Zálohování tabulek přiřazení a schválení uživatelských rolí v TAS PROD.
  12. Neit: Zakáže předchozí proces synchronizace uživatelů.
  13. Neit: Přesunout šablony schválení založené na kompetenci do TAS PROD.
  14. Klient: Odeberte staré skupiny od uživatelů v MS AD.
  15. Neit/Client: Proveďte synchronizaci v TAS PROD.
  16. Neit/Client: Ověření přiřazených rolí/kompetencí v TAS PROD.
  17. Neit/Client: Udržujte zvýšené monitorování po dobu 5-10 pracovních dnů pro případné úpravy kompetencí.

Předimplementační požadavky

Musí být použit skript CompetenceGeneratorCron.js

Filtrování regulárních výrazů pro kompetence

Filtrování kompetencí je možné prostřednictvím regulárního výrazu databáze. Příklady:

  • %% - Zobrazí všechny role
  • %a%a% - Přiřadí všechny role
  • %e%t%[0-9] – odpovídá rolím obsahujícím „e“ a „t“ a končícím číslicí

Kompetence definované prostřednictvím regulárního výrazu jsou generovány denně a uživatelům jsou automaticky přiřazeny odpovídající role po spuštění cronu.

Přístup správce

Role $Administrator má přístup ke všem kompetencím.

Anna Gernát Updated by Anna Gernát

Kompetence

Contact

Team assistant (opens in a new tab)

Powered by HelpDocs (opens in a new tab)