Differenze tra le versioni di "Account U-Gov"

In questa pagina sono indicate le relgole generali per la creazione degli account, gli eventi che richiedono una variazione dei permessi su U-Gov e le specifiche delle verifiche da efettuare periodicamente sugli account.

Account, Profili, Gruppi: attribuzione dei ruoli utente

L'attibuzione delle autorizzazioni da associare ad un account deve essere fatta ricorrendo esclusivamente ai gruppi. Per permettere un maggiore controllo e facilitare la manutenzione degli account deve assolutamente essrere evitata l'attribuzione dei cosiddetti diritti liberi o dei diritti tramite profili. Normalmente all'utente sono associati uno o più gruppi. Ciascun gruppo agisce su una specifica area di U-Gov, l'area su cui agisce il gruppo è immediatamente individuabile dal prefisso che compone il nome del gruppo. Un gruppo normalmente eredita le autorizzazioni da uno o più profili. Alcune autorizzazioni ereditate dal profilo possono essere disattivate, inoltre il gruppo può includere i diritti liberi.

Prefissi dei nomi dei gruppi

Il nome del gruppo è costituito da un prefisso che indica l'area funzionale su cui esso agisce seguito opzionalmente da un termine che specifica la tipologia dei permessi.

Prefissi delle aree funzionali

• AC: anagrafiche comuni
• CO: contabilità
• DG: documenti gestionali
• RU: risorse umane (anagrafiche e organico)
• FW: framework applicativo (impersonificazione e altre fuznioni trasversali a più aree)
• GRP: gruppo generico che contiene diritti su più aree funzionali

Prefissi sulla tipologia dei permessi

I termini utilizzati per indicare la tipologia dei permessi sono:

• UTENTE: permessi a funzioni di lettura dati
• GESTORE: permessi a funzioni di scrittura dati
• AMMINISTRATORE: permessi a funzioni di modifica delle configurazioni

Il gruppo GRP_DEFAULT

Il gruppo GRP_DEFAULT determina l'accesso a tutte le informazioni di base che possono essere visualizzate da un utente, anche quando il suo rapporto di lavoro con il Politecnico è terminato.
Tutti gli utenti devono appartenere almeno al gruppo GRP_DEFAULT.

Account amministratore

L'attivazione del flag "Amministratore" nel pannello di amministrazione degli utenti, attribuisce all'utenza così contrassegnata l'accesso a tutte le funzioni di U-Gov. Per convenzione tutti gli account di tipo amministratore non devono essere inclusi nei gruppi, ad eccezione del gruppo GRP_DEFAULT. La creazione di query dalle viste di fronitera basate sull'appartenenza a un gruppo devono tenere conto di questa convenzione e quindi devono prevedere esplicitamente nella clausola where l'inclusione degli utenti amministratori.

Eventi che incidono sulle autorizzazioni

L'inclusione in un gruppo autorizativo di U-Gov può variare in base ad un evento di carriera.
Gli eventi che possono determinare una variazione del diritto o del contesto sono i seguenti:

• Assunzione nel ruolo
• Cessazione nel ruolo
• Variazione di attività (es. aspettativa)
• Variazione dell'afferenza organizzativa
• Attribuzione di funzione o posizione organizzativa
• Attribuzione di un compito

Verifiche periodiche sull'account

Periodicamente è necessario verificare l'allineamento dei diritti dell'account di U-Gov rispetto allo stato giuridico del dipendente.

Di seguito si elencano alcune verifiche che devono essere effettuate per rilevare eventuali disallineamenti.

• Vefiricare gli account amministratore: l'account amministratore deve riferirsi a personale in servizio attivo presso l'Ateneo.
• Verificare che gli account amministratore non abbiano diritti liberi o appartenenza a gruppi diversi da GRP_DEFAULT
• Verificare che non ci siano account con diritti liberi
• Verificare la consistenza del contesto utente rispetto all'afferenza organizzativa
• Verificare che l'account del personale cessato sia incluso nel solo gruppo GRP_DEFAULT