Dodanie nowego użytkownika

Wstęp

Dokument opisuje mechanizm tworzenia nowych użytkowników w systemie i tłumaczy opcje i funkcje mechanizmów uwierzytelniania. Każdy użytkownik w systemie musi posiadać swoje konto. Do systemu logujemy się za pomocą identyfikatora logowania (login). Pozostałe dane w definicji użytkownika pozwalają na określenie mechanizmów dostępu i miejsc, do których użytkownik ma dostęp. W tym dokumencie tłumaczymy mechanizm autoryzacji, różne typy użytkowników oraz funkcje, które pozwalają określić poziom dostępu każdego z nich.

Lista użytkowników systemu dostępna jest w sekcji konfiguracyjnej systemu. Listę użytkowników można filtrować zgodnie z dostępnymi kryteriami wyszukiwania i eksportować do formatu typu XLS.

common create new user b2f9a
System posiada dwa miejsca, w których można przeglądać listę użytkowników. Jedna w sekcji konfiguracji, która udostępnia elementy związane z uprawnieniami, hasłami użytkownika. Natomiast dodatkowo w głównej części interfejsu dostępne są widoku pracowników. Przedstawiają one te same konta, ale w widoku, który jest potrzebny w codziennej pracy tj. obecności, kompetencje pracowników.

Typy użytkowników

W systemie każdy użytkownik aby mógł się zalogować musi posiadać swoje konto. Każde konto identyfikowane jest przez login. To identyfikator, który służy do tego aby jasno wskazać który użytkownik planuje się zalogować. Natomiast osobnym krokiem, który wymagany jest do poprawnej autoryzacji w systemie jest odpowiednia autentykacja użytkownika tj. wskazanie, że osoba logująca się jest rzeczywiście tą osobą.

W systemie rozróżniamy dwa typy użytkowników ze względu na ich sposób autoryzacji. Lokalni użytkownicy oraz Korporacyjni użytkownicy. Zwykle w przedsiębiorstwach istnieje globalny system autoryzacji tj. miejsce w którym w jednym miejscu definiuje się hasło danego użytkownika a następnie wszystkie systemy w przedsiębiorstwie wykorzystują odpowiednie kanały do autoryzacji. System AMAGE może też w taki sposób autentykować użytkowników. Tacy użytkownicy muszą być określeni jako użytkownicy Korporacyjny. Oznacza to, że mają wyłączoną flagę oznaczającą użytkownika lokalnego. W takim przypadku w momencie podania loginu użytkownika, system AMAGE wykorzystuje zewnętrzne systemy do autoryzacji (np. Azure Active Directory lub inne serwery LDAP) do tego aby uwierzytelnić użytkownika.

Użytkownik lokalny, to użytkownik, który autentykuje się za pomocą hasła/PIN’u który jest zdefiniowany lokalnie w bazie danych (odpowiednio zabezpieczony). Użytkownik taki po podaniu swojego loginu zostanie poproszony o podanie w/w sekretu i na tej podstawie zostanie zautentykowany.

Konfigurację mechanizmu logowania korporacyjnego definiuje się podczas wdrożenia. Wdrożeniowcy AMAGE wraz z działem IT Klienta konfigurują system logowania.

System AMAGE pozwala na posiadanie w jednej instancji użytkowników lokalnych i korporacyjnych równocześnie. Pozwala to na dodanie do systemu użytkowników z danego przedsiębiorstwa i autoryzowanych centralnie oraz dodatkowe konta lokalne np. podwykonawców, użytkowników innych firm tak aby mogli pracować na danych w systemie.

To jest główne rozróżnienie typów użytkowników i należy o tym pamiętać przy definicji nowego użytkownika w systemie. Od tego zależy sposób autoryzacji. System pozwala na zmianę typu użytkownika w trakcie działania systemu tj. utworzenia użytkownika lokalnego a następnie zmianę jego typu na korporacyjnego. Zmienia się wtedy tylko sposób autentykacji.

Dane podstawowe

Dodając nowego użytkownika określamy dane podstawowe. Główne to login/hasło/PIN oraz ogólne informacje o przydzieleniu do wydziału w organizacji.

common create new user d3e3d
Jak już określono wcześniej użytkownicy korporacyjni również powinni posiadać zdefiniowane hasło, tak aby można było na każdym etapie zmienić typ użytkownika. PIN użytkownika wykorzystywany jest w urządzeniach embedded (offline) do szybkiego logowania użytkownika.

Flagi dostępowe

Druga sekcja określa flagi dostępowe do systemu. Tutaj definiujemy ogólne flagi, które pozwalają określić do jakich obszarów systemu użytkownik ma dostęp. Pozwala to zgrubnie ograniczyć dostęp do systemu użytkownikowi tylko do miejsc/sekcji do których powinien mieć dostęp. Dalsze szczegółowe uprawnienia definiowane są za pomocą profili (wyjaśnione dalej).

common create new user f5a9a

Flagi, które można ustawić w systemie pozwalają na określenie następujących cech.

Globalne - flagi globalne

  • Aktywny - tylko aktywny użytkownik może się zalogować do systemu. Wyłączając tą flagę automatycznie blokujemy użytkownikowi dostęp. Nie oznacza to usunięcie użytkownika z systemu, jedynie blokadę logowania.

  • Super-administrator - flaga oznaczająca użytkownika z najwyższymi uprawnieniami. Flaga ta wyjaśniona jest na końcu dokumentu bardziej szczegółowo.

  • Musi zmienić hasło - użytkownik lokalny przy następnym logowaniu zostanie poproszony o ustawienie nowego hasła. Pozwala to wymusić zmianę hasła dla użytkowników w sposób ręczny (pomijając globalną politykę bezpieczeństwa) lub ustawienie hasła pierwszego logowania i wymuszenie przez użytkownika ustawienie swojego hasła przy pierwszym logowaniu.

  • Użytkownik lokalny - flaga włączająca użytkownika lokalnego w systemie. Jeśli wyłączona, to użytkownik traktowany jest jako korporacyjny.

Flaga użytkownika lokalnego ma zasadność tylko w instancjach AMAGE, które mają skonfigurowane logowanie w/w dwóch typów użytkownika. W systemach, które tego nie mają flaga nie ma znaczenia i zawsze wykorzystywane jest lokalne hasło do autentykacji.

WWW - dostęp do systemu AMAGE Web. Definiowanie dostępu do systemu dostępnego przez przeglądarkę (czyli tego, którego dotyczy aktualny dokument)

  • Desktop - dostęp do sekcji desktop systemu - główny interfejs systemu dostępny na urządzeniach typu laptop, komputer stacjonarny.

  • Mobile - dostęp do sekcji mobilnej systemu - dostęp do interfejsu uproszczonego dedykowanego głównie dla urządzeń mobilnych. Interfejs też jest wyświetlany na urządzeniach typu laptop, ale zawiera mniej informacji niż system typu desktop.

  • Administracja - dostęp do sekcji konfiguracyjnej systemu. Konfiguracja użytkowników opisana w tym dokumencie jest zlokalizowana właśnie w tej części systemu.

Za pomocą tych flag można określać też ogólny dostęp do systemu. Jest to o tyle ważne, że wersja Desktop systemu pozwala na dostęp do wszystkich danych systemu (jeśli użytkownik ma do nich dostęp). W sekcji mobilnej można (po konfiguracji) określać dostęp do wybranych zasobów systemu bazując na każdym rekordzie. Np. lista zleceń pracy w systemie desktop jeśli użytkownik ma do niej dostęp jest pokazywana zawsze cała. W wersji mobilnej tylko te zlecenia, do których dany użytkownik jest przypisany. Za pomocą takiej konfiguracji można udzielić dostępu np. podwykonawcom do realizacji czynności w systemie bez udostępniania wszystkich innych danych.

Aplikacja Fx (offline) - aplikacja dedykowana do pracy w trybie offline na urządzeniach typu rugged. Aplikacja pozwala na wykonywanie czynności bez dostępu do sieci (ale z dostępem też)

  • Użytkownik - zwykły użytkownik aplikacji mobilnej

  • Administrator - użytkownik, który posiada możliwość dostępu do niektórych sekcji konfiguracyjnych aplikacji mobilnej (definicja czytników, interfejsu, narzędzi itp.) wykonywanych lokalnie na danym urządzeniu

Do zalogowania do tej części systemu stosujemy parę Login + PIN. Wynika to z tego, że urządzenia te są przeważnie przeznaczone do pracy w trudnych warunkach i logowanie za pomocą pełnego hasła (pełnej klawiatury) mogą być utrudnione, stąd wykorzystanie logowania za pomocą 4-cyfrowego PIN’u użytkownika.

Desktop (z instalatorem) - stara wersja aplikacji AMAGE

Sekcja pozostawiona dla Klientów, którzy posiadają jeszcze wykorzystywane aplikacje AMAGE starego typu instalowane lokalnie na komputerach użytkowników. Dla nowych instancji pozostawione tylko w celach kompatybilności.

  • Użytkownik desktop - zwykły użytkownik z dostępem do tego interfejsu

Dane użytkownika

W sekcjach dotyczących danych możemy określić dane osobowe, identyfikatory, adresy email Możemy też dodać identyfikatory typu kody kreskowe/RFID które służą do identyfikacji użytkownika w niektórych częściach systemu.

Użytkownik systemu może też mieć dołączone zdjęcie oraz swój podpis. Podpis wykorzystywany jest w trakcie generacji dokumentów PDF z zamówieniami. Pozwala to wbudowanie tych podpisów.

common create new user a4632

Profile dostępu

Profile dostępu pozwalają na dostęp do wybranych sekcji systemu. Szczegółowo omówione są w instrukcji użytkownika i w innych samouczkach. Tutaj możemy przydzielić użytkownikowi listę profili dostępu.

common create new user 86a40

Super-Administrator

System AMAGE w przypadku poprawnej autentykacji użytkownika zaczyna sprawdzać profile dostępu aby określić dostęp do danej sekcji systemu lub wykonania akcji (np. dodanie/usunięcie rekordu). W przypadku użytkowników początkowych istnieje wtedy problem, gdyż nie są zdefiniowane żadne uprawnienia/profile. W takim przypadku użytkownik nie miałby dostępu do żadnej sekcji systemu.

Dlatego wprowadzono w systemie flagę super-administratora. Włączenie tej flagi pozwala na pominięcie mechanizmu profili dostępu. Użytkownik z taką flagą zawsze ma dostęp do wszystkich sekcji i funkcji systemu (system przy zapytaniu "czy użytkownik ma uprawnienie do funkcji X" zawsze odpowiada TAK). To pozwala na dostęp głównych użytkowników systemu do pełnej funkcjonalności a następnie określenie dostępu przez profile dla innych użytkowników.

common create new user ea409
Należy ostrożnie wykorzystywać tą flagę, gdyż jest to jawne obejście mechanizmu uprawnień i profili dostępu.
Howto powstało na bazie wersji systemu 1.17.0.2 (03.2022) oraz przedstawia funkcje, które mogą nie być dostępne w Twoim systemie. Zapytaj AMAGE o udostępnienie tej funkcjonalności.
Ze względu na ciągły rozwój systemu niektóre ekrany lub pliki konfiguracji mogą wyglądać nieznacznie inaczej, ale zachowają nadal pełną funkcjonalność tutaj opisaną. Nie wpływa to na zasadnicze funkcje opisywane w tym dokumencie.