Definizione del processo

 

 

L'attribuzione dei diritti ai soggetti coinvolti nell'utilizzo della procedura U-Gov, avviene attraverso le funzioni gestite sotto "Amministrazione delle Utenze".

 

Definizione di diritti: accessi alle singole funzioni della procedura.

Definizione di profili: contenitori di un insieme di diritti, sono predefiniti da sistema.

Definizione di gruppi: vengono definiti dall'Ateneo in base alle esigenze di suddivisione delle competenze del personale. Un gruppo, contiene una serie di profili e di diritti che danno accesso ad un insieme di funzioni; si consiglia di definirli in maniera standard, perchè l'assegnazione o la privazione di eventuali diritti specifici è possibile sul singolo utente, così come la definizione dell'accesso ad un contesto (dipartimento x o y).

 

 

 

Con la presente guida si intende illustrare l’insieme delle possibili operazioni collegate all’amministrazione degli utenti abilitati all’utilizzo di U-GOV.

 

Le funzioni in esame permettono infatti di eseguire tutte le attività di:

 

- creazione, modifica, cancellazione ed importazione di utenti;

- definizione, modifica e cancellazione di gruppi non di sistema;

- attribuzione di diritti ad entità quali gli utenti, i gruppi ed i profili predefiniti;

- associazione tra utenti e gruppi/profili e tra gruppi e profili.

 

 

Contesto

All’interno delle tre gestioni relative ad utenti, gruppi e profili è possibile definire dei contesti ovvero delle porzioni di dominio applicativo in base alle quali operare delle restrizioni del raggio di applicazione di un diritto in base a

specifiche regole. Una regola di contesto è una espressione formata da attributi, operatori logici, operatori relazionali e valori che definiscono un vincolo aggiuntivo che deve essere applicato per limitare il dominio di azione di un certo diritto. Una regola di un contesto può essere definita solo su funzioni che supportano i contesti. Una regola di contesto può essere definita sui diritti assegnati direttamente all’entità corrente oppure può applicarsi alle associazioni tra entità.

 

Relazione tra u-gov e sistemi di autenticazione:

 

LDAP condiviso

LDAP dedicato

Web services

Shibboleth

 

Di seguito vengono brevemente illustrati gli scenari che descrivono la relazione tra U-GOV ed i possibili sistemi di autenticazione degli utenti

 

LDAP condiviso

Questa configurazione è solitamente utilizzata quando U-GOV deve integrarsi con un sistema di autenticazione già esistente e che utilizza il protocollo LDAP per autenticare gli utenti.

In questo caso U-GOV non deve prendersi in “carico” la gestione completa dell’utenza ma semplicemente integrarsi con la configurazione LDAP già presente presso l’Ateneo. A questo punto, U-GOV non può creare nuove coppie Nome Utente/Password su LDAP (infatti queste vengono amministrate centralmente), ma solo modificare gli utenti del proprio archivio interno e collegarli ad utenti LDAP attraverso il Distinguished Name (DN).

 

LDAP dedicato

Questa modalità viene configurata/attivata quando l’Ateneo non possiede un applicativo basato sul protocollo LDAP per la gestione degli utenti. In tal caso U-GOV tenderà a gestirsi in “esclusiva” il proprio database LDAP.

Le maschere dedicate all’amministrazione degli utenti vengono automaticamente configurate per richiedere all’utente tutte le informazioni necessarie per gestire autonomamente i dati delle utenze di U-GOV (nello specifico U-GOV può intervenire sul server LDAP per creare o modificare utenti e password).

In questo caso le informazioni riguardanti gli utenti sono ad uso esclusivo dell’applicativo U-GOV.

 

Web services

Un'altra configurazione prevista da U-GOV per l’autenticazione degli utenti si basa sull'uso di servizi web (Web services).

Se l'Ateneo fa uso di questa soluzione, U-GOV è in grado di integrarsi automaticamente ad essa sia per l’autenticazione vera e propria degli utenti sia, eventualmente, per l’acquisizione dinamica dei gruppi autorizzativi a cui l’utente autenticato appartiene.

Le credenziali dell’utente vengono verificate utilizzando un Web Service esterno che U-GOV invoca al momento del log-in. U-GOV non ha accesso diretto al database centralizzato degli utenti e non può creare nuove coppie Nome Utente/Password (che vengono amministrate centralmente), ma solo modificare gli utenti del proprio archivio interno.

 

Shibboleth

U-GOV fa parte di un dominio di Single Sign-On (Shibboleth o Oracle SSO) in cui gli utenti si autenticano rispetto ad un Identity Provider (IdP) che inoltra alle applicazioni un token di autenticazione. U-GOV non ha accesso diretto al database usato dall’IdP e non può creare nuove coppie Nome Utente/Password (che vengono amministrate centralmente), ma solo modificare gli utenti del proprio archivio interno.

 

N.B. La CREAZIONE di un nuovo utente è disponibile indipendentemente dal sistema di autenticazione utilizzato (LDAP stand-alone, LDAP shared, Servizio o SSO).

In funzione della modalità di autenticazione sarà possibile o meno interagire direttamente con il sistema di autenticazione.

Ad esempio nella la modalità "LDAP stand-alone" è possibile intervenire direttamente su alcune informazioni (password, descrizione, informazioni estese dell'utente) che nelle altre modalità sono generalmente non modificabili.

In ogni caso, le funzioni U-GOV dedicate all’amministrazione degli utenti si adattano automaticamente alla specifica modalità di autenticazione configurata e consentono di gestire solo le informazioni di pertinenza di tale modalità.

 

 

Definizione e amministrazione utenti

 

Descrizione del processo  

Il processo di amministrazione degli utenti U-GOV consiste nella configurazione delle informazioni relative all’accesso e all’utilizzo di U-GOV da parte del personale tecnico amministrativo o docente dell’ateneo o comunque di chiunque utilizzi U-GOV.

In generale il processo di amministrazione utenti prevede un'attività iniziale di caricamento massivo degli utenti U-GOV dopodiché ci sarà una periodica gestione per aggiungere nuovi utenti o per riconfigurarne di esistenti.

L’attività di amministrazione degli utenti è strettamente correlata con la gestione delle informazioni sulle persone fisiche del modulo U-GOV di ANAGRAFICHE E CONFIGURAZIONE (AC).

Il processo è articolato in sei funzioni:

 

Amministra Utenti

Importa Utenti da LDAP

Sincronizza utenti con LDAP

Amministra Gruppi

Amministra Profili

Consulta Login

 

Amministra utenti

Con questa funzione si definiscono e configurano gli utenti che possono collegarsi a U-GOV e quali sono i loro privilegi di accesso.

Questa funzione offre le seguenti sottofunzioni:

 

Sottofunzione >> Creare un nuovo utente

Sottofunzione >> Modificare un utente esistente

Sottofunzione >> Bloccare un utente esistente

Sottofunzione >> Cancellare un utente esistente

Sottofunzione >>  Associare un utente ad un profilo e/o a un gruppo

Sottofunzione >> Cache

 

 

Amministra gruppi

Con la funzione Gestione gruppi si definiscono dei gruppi di utenti che hanno determinate autorizzazioni.

 

Esempio!

Creando il gruppo contabilità è possibile associargli tutti gli utenti dell'ufficio di contabilità presso l'Ateneo.

Così facendo ogni utente di quell’ufficio eredita le autorizzazioni di accesso del gruppo e può così utilizzare tutte le funzioni U-GOV facenti parte dell'area contabilità.

 

Questa funzione offre le seguenti sottofunzioni:

 

Sottofunzione >> Creare un nuovo gruppo

Sottofunzione >> Modificare un gruppo esistente

Sottofunzione >> Cancellare un gruppo esistente

 

 

 

Amministra profili

 

Con questa funzione associare utenti e gruppi a qualsiasi tipologia di profilo nonché di gestire i diritti relativi ai soli profili di tipo ‘predefinito’.

 

Sottofunzione >> Modificare un profilo

 

 

 

Importazione utenti

Con questa funzione è possibile importare massivamente un numero di utenti già presenti nell'LDAP di Ateneo impostandone automaticamente alcuni attributi quali Username, Data di inizio/fine, ed altre informazioni.

È anche possibile associare gli utenti importati ad un gruppo autorizzativo già esistente, come pure abbinare gli utenti alle corrispondenti persone fisiche già registrate in U-GOV.

 

 

 

Sincronizza utenti con LDAP

 

Questa funzione è disponibile solo nei casi in cui u-gov sia in configurazione L-DAP (shared o stand alone) e consente di sincronizzare l’elenco delle utenze censite in U-GOV con l’elenco degli user id censiti nell’L-DAP