Il presente documento serve a spiegare come vengono gestite le autorizzazioni in IRIS.
Vengono presi in considerazione gli elementi principali coinvolti e le interazioni che avvengono tra di essi.
Viene inoltre descritto come IRIS, attraverso i profili, metta a disposizione del personale amministrativo di Ateneo un valido supporto agli utenti nella gestione delle risorse del sistema.
Profilo e Comitato di Dipartimento - quali sono le logiche autorizzative dei due team? Il team "Profilo di dipartimento" è il team di riferimento per la visione dipartimentale dei moduli RM e AP e della reportistica di BI relativa a RM e AP. |
Il sistema di autorizzazione di IRIS si basa sull'associazione tra azioni e oggetti e persone (o gruppi di persone) che posso eseguirle.
Le entità principali che compongono questo aspetto di IRIS sono gli utenti (o team) le risorse (o gruppi di risorse) e i permessi.
RISORSE
La Risorsa è qualsiasi «oggetto» di IRIS: prodotti, url, bottoni, campi di una scheda, eccetera.
Una persona può avere da 1 a N utenti (esempio: uno studente che diventa ricercatore avrà una nuova mail, quindi sarà un nuovo utente, ma l'utente vecchio non può essere cancellato per via di eventuali associazioni ad esso correlate esistenti in IRIS), anche se si tende a privilegiare la relazione 1 a 1.
I Team sono gruppi di Utenti. Per rendere più semplice ed efficace il sistema di autorizzazioni in IRIS le risorse vengono associate ai Team e non ai singoli Utenti.
Un Permesso è l'associazione tra una Risorsa e un'azione che un Utente/Team può eseguire su di essa.
Esempio: al Team Help desk viene data la possibilità di visualizzare l'item con handle 1234/5678.
I permessi vengono influenzati dalle Visioni (tipo e contesto).
Le Visioni danno la possibilità di circoscrivere cosa possa fare l'utente e su quali dati possa agire. Ad esempio, se ho accesso sia alla Visione Completa sia alla Visione Dipartimentale, in Visione Completa potrò modificare i dati di tutte le persone, in Visione Dipartimentale potrò visualizzare i dati delle persone del dipartimento.
Il termine contesto deriva da UGOV e indica un contenitore in cui viene inserito il prodotto. In questo modo viene determinato il livello di sicurezza (chi può fare cosa) e il livello di workflow (validazione dei metadati).
I contesti sul catalogo sono basati sui metadati e sulle caratteristiche dell'item. Ad oggi gli aspetti dell'item che vengono utilizzati per determinare un contesto sono gli autori interni (authority.people) e la tipologia, cioè la collezione di appartenenza dell'item.
In IRIS tutti gli aspetti visti precedentemente possono essere gestiti da membri del team "Help desk". Per farlo occorre loggarsi, passare in Visione Completa e poi andare in Configurazione > Sicurezza
Per facilitare la gestione dei permessi sono stati predisposti dei profili per la gestione di determinati compiti o determinate risorse. Come vedremo in seguito, quando si gestiscono i permessi di un singolo utente o di un singolo Team lo si fa attraverso dei profili predisposti.
Di seguito, vengono spiegati significato e utilizzo delle varie voci di menu che compongono questa sezione.
Attraverso questa sezione è possibile gestire le autorizzazioni dei singoli utenti. È bene sottolineare che solitamente i permessi in IRIS vengono gestiti attraverso i team (gruppi di persone con determinati permessi, ad esempio i validatori di un certo step del workflow). Questo è fatto per semplificare la gestione dei permessi. In questa sezione si può controllare a quali gruppi appartiene un utente, di quali permessi dispone e, ove necessario, attribuirgli permessi speciali.
La pagina presenta una form di ricerca in cui è possibile cercare un utente attraverso la funzionalità di autocomplete (completamento automatico) sullo username, oppure attraverso la funzionalità di autocomplete sul cognome della persona associata all'utente. Ricordiamo che ad una persona possono essere associati n utenti.
Una volta trovato l'utente interessato, è possibile modificarlo attraverso il tasto di modifica, oppure visualizzare e eventualmente modificare i team a cui è associato l'utente o, infine, visualizzare o modificare la lista dei permessi associati all'utente.
Attraverso la scheda di modifica dell'utente è possibile cambiare i dati principali che lo riguardano, come ad esempio modificare la persona a cui è associato lo username.
Cliccando sull'icona dei team viene visualizzata una pagina che mostra i team a cui appartiene l'utente. È possibile rimuovere un team attraverso l'icona "cestino" e aggiungere team all'utente attraverso l'icona "+".
Per aggiungere un team all'utente occorre effettuare una ricerca del team attraverso il relativo autocomplete e poi cliccare sull'icona aggiungi ("+").
Per gestire i permessi dell'utente occorre cliccare sull'icona fatta a forma di chiave. Viene visualizzata una scheda che elenca i permessi dell'utente.
I permessi dell'utente sono raggruppati per risorse accessibili in una determinata visione o in un determinato contesto. È possibile eliminare gruppi di permessi (risorse) cliccando sul tasto rimuovi (icona a forma di cestino).
Con il tasto "aggiungi nuovo" (icona "+") è possibile dare un nuovo permesso all'utente. Nella scheda successiva occorre prima specificare in quale visione tale permesso sarà fruibile dall'utente e poi scegliere la tipologia di risorsa, ovvero il profilo associato a un determinato permesso per gestire un raggruppamento di risorse.
Attraverso questa sezione è possibile gestire i team modificandone membri e autorizzazioni. La pagina visualizza la lista dei team presenti nel sistema. Attraverso la scheda di ricerca tramite la funzionalità dell'autocomplete sul nome del team è possibile cercare uno specifico team.
Con il tasto modifica è possibile modificare il nome del team.
Con il tasto "Utenti del team" è possibile gestire i membri del team. Viene visualizzata una pagina che mostra l'elenco dei membri del team. È possibile rimuovere un utente dal team cliccando sul tasto a forma di cestino; per aggiungerne uno nuovo, occorre ricercarlo attraverso la scheda di ricerca tramite la funzione di autocomplete del nome dell'utente e quindi cliccare sul tasto "aggiungi nuovo" ("+").
Attraverso il tasto "Permessi del team" (icona fatta a forma di chiave) è possibile gestire i permessi del team. La scheda di ricerca permette di cercare un singolo permesso associato al team (questa opzione viene utilizzata per verificare che un permesso sia associato o meno a un team).
Come per gli utenti, i permessi sono visualizzati come raggruppamenti (risorse) accessibili in una determinata visione o in un determinato contesto. È possibile eliminare risorse cliccando sul tasto rimuovi (icona a forma di cestino).
Tramite la lente di ingrandimento posta a fianco della risorsa è possibile visualizzare il dettaglio dei permessi contenuti in essa.
Con il tasto "aggiungi nuovo" (icona "+") è possibile dare un nuovo permesso al team. Nella scheda successiva occorre prima specificare in quale visione tale permesso sarà fruibile agli utenti del team e poi scegliere la risorsa.
Con il tasto "Aggiungi nuovo" (icona "+") posto in fondo alla lista dei team presenti nel sistema è possibile creare un nuovo team. Occorre solo specificare il nome del team che si vuole creare e salvare. Per aggiungere utenti e permessi al team occorre procedere come descritto in precedenza.
ESEMPIO: uso di ODS Dando ad un team l'accesso al PROFILO "Help desk BI/AP-IR-RM", le persone aggiunte a questo team potranno visualizzare tutto il modulo di reportistica in visione completa. |
In questa sezione vengono elencati tutti i permessi presenti nel sistema. Come già visto per gli utenti e per i team, i permessi sono visualizzati in raggruppamenti chiamati risorse. In questa pagina vengono mostrati le risorse presenti, i gruppi a cui sono associate e le visioni e i contesti in cui sono fruibili.
È possibile che la medesima risorsa sia associata al medesimo team con visioni o contesti differenti e viceversa.
Attraverso il tasto "Dettaglio" (lente di ingrandimento a fianco della risorsa) è possibile visualizzare l'elenco dei permessi che compongono la risorsa. Attraverso lo "stato del link" è possibile gestire il singolo permesso, inibendolo o meno.
Con il tasto "Elimina" (cestino posto a fianco del contesto) è possibile togliere la risorsa dal contesto.
Con il tasto "Rimuovi" (cestino posto nella colonna Operazioni) è possibile rimuovere il permesso da IRIS.
Con il tasto "Aggiungi nuovo" (icona "+" posta in fondo all'elenco) è possibile aggiungere un nuovo permesso. Attraverso la scheda successiva occorre scegliere la visione in cui il permesso sarà fruibile, la risorsa e poi il singolo utente o il team a cui associarla.
Per verificare che le operazioni svolte siano andate a buon fine si può utilizzare la funzionalità "Login as". Questa funzione permette all'amministratore di impersonare un utente. In questo modo è possibile verificare quali permessi siamo associati all'utente o al team di cui un utente fa parte.
Per utilizzare il Login as occorre collegarsi come amministratore e passare in visione completa. Quindi cliccare su Login as e nella scheda successiva ricercare l'utente desiderato.
Una volta effettuate le verifiche del caso, è possibile tornare a lavorare con il proprio profilo cliccando sul bottone "Termina Login as".
REV 1.1 - 29/04/2015