Differenze tra le versioni di "Account U-Gov"
(Autorizzazioni minime degli operatori di U-Gov) |
|||
| Riga 48: | Riga 48: | ||
* PJ_AMMINISTRAZIONE_PROGETTI | * PJ_AMMINISTRAZIONE_PROGETTI | ||
* UWEB_REPORTING | * UWEB_REPORTING | ||
| + | <br> | ||
| + | La creazione di query dalle viste di fronitera basate sull'appartenenza a un gruppo devono tenere conto di questa convenzione e quindi se richiamano l'appartenznea ad uno dei gruppi sopra indicati prevedere esplicitamente nella clausola ''where'' l'esclusione degli utenti amministratori. | ||
| − | + | == Autorizzazioni minime degli operatori di U-Gov == | |
| − | + | Tutti gli operatori di U-Gov devono avere accesso almeno in sola lettura alle seguenti funzioni: | |
| + | * visualizzazione della struttura organizzativa (UO, sedi, spazi) | ||
| + | * visualizzazione anagrafiche della rubrica | ||
| + | * visualizzazione della scheda informativa delle risorse umane | ||
| + | * visualizzazione delle posizioni e coperture in organico | ||
| + | |||
== Eventi che incidono sulle autorizzazioni == | == Eventi che incidono sulle autorizzazioni == | ||
Versione delle 13:13, 22 feb 2020
In questa pagina sono indicate le relgole generali per la creazione degli account, gli eventi che richiedono una variazione dei permessi su U-Gov e le specifiche delle verifiche da efettuare periodicamente sugli account.
Account, Profili, Gruppi: attribuzione dei ruoli utente
L'attibuzione delle autorizzazioni da associare ad un account deve essere fatta ricorrendo esclusivamente ai gruppi. Per permettere un maggiore controllo e facilitare la manutenzione degli account deve assolutamente essrere evitata l'attribuzione dei cosiddetti diritti liberi o dei diritti tramite profili. Normalmente all'utente sono associati uno o più gruppi. Ciascun gruppo agisce su una specifica area di U-Gov, l'area su cui agisce il gruppo è immediatamente individuabile dal prefisso che compone il nome del gruppo. Un gruppo normalmente eredita le autorizzazioni da uno o più profili. Alcune autorizzazioni ereditate dal profilo possono essere disattivate, inoltre il gruppo può includere i diritti liberi.
Prefissi dei nomi dei gruppi
Il nome del gruppo è costituito da un prefisso che indica l'area funzionale su cui esso agisce seguito opzionalmente da un termine che specifica la tipologia dei permessi.
Prefissi delle aree funzionali
- AC: anagrafiche comuni
- CO: contabilità
- DG: documenti gestionali
- PJ: progetti
- RU: risorse umane (anagrafiche e organico)
- FW: framework applicativo (impersonificazione e altre fuznioni trasversali a più aree)
- GRP: gruppo generico che contiene diritti su più aree funzionali
- UWEB: gruppo funzioni U-Web
Prefissi sulla tipologia dei permessi
I termini utilizzati per indicare la tipologia dei permessi sono:
- UTENTE: permessi a funzioni di lettura dati
- GESTORE: permessi a funzioni di scrittura dati
- AMMINISTRATORE: permessi a funzioni di modifica delle configurazioni
Il gruppo GRP_DEFAULT
Il gruppo GRP_DEFAULT determina l'accesso a tutte le informazioni di base che possono essere visualizzate da un utente, anche quando il suo rapporto di lavoro con il Politecnico è terminato.
Tutti gli utenti devono appartenere almeno al gruppo GRP_DEFAULT.
Account amministratore
L'attivazione del flag "Amministratore" nel pannello di amministrazione degli utenti, attribuisce all'utenza così contrassegnata l'accesso a tutte le funzioni di U-Gov. Anche se il flag di Amministratore permette l'accesso indiscriminato ad U-Gov, alcune applicazioni esterne per poter funzionare correttamente richiedono l'appartenenza a specifici gruppi. É il caso, per esempio, di U-Web Reporting che richiede l'appartenenza al gruppo UWEB_REPORTING. Quindi per convenzione tutti gli account di tipo amministratore dovranno appartenere ai seguenti gruppi:
- GRP_DEFAULT
- AC_GESTORE_SO
- CO_GESTORE_BILANCIO
- CO_GESTORE_CONTAB
- DG_FONDO_ECONOMALE
- DG_GESTORE_CONTAB
- FW_IMPERSONIFICAZIONE
- RU_GESTORE_NORUOLO
- RU_ORG_GESTORE_ORGANICO
- PJ_CONFIGURATORE_PROGETTI
- PJ_AMMINISTRAZIONE_PROGETTI
- UWEB_REPORTING
La creazione di query dalle viste di fronitera basate sull'appartenenza a un gruppo devono tenere conto di questa convenzione e quindi se richiamano l'appartenznea ad uno dei gruppi sopra indicati prevedere esplicitamente nella clausola where l'esclusione degli utenti amministratori.
Autorizzazioni minime degli operatori di U-Gov
Tutti gli operatori di U-Gov devono avere accesso almeno in sola lettura alle seguenti funzioni:
- visualizzazione della struttura organizzativa (UO, sedi, spazi)
- visualizzazione anagrafiche della rubrica
- visualizzazione della scheda informativa delle risorse umane
- visualizzazione delle posizioni e coperture in organico
Eventi che incidono sulle autorizzazioni
L'inclusione in un gruppo autorizativo di U-Gov può variare in base ad un evento di carriera.
Gli eventi che possono determinare una variazione del diritto o del contesto sono i seguenti:
- Assunzione nel ruolo
- Cessazione nel ruolo
- Variazione di attività (es. aspettativa)
- Variazione dell'afferenza organizzativa
- Attribuzione di funzione o posizione organizzativa
- Attribuzione di un compito
Verifiche periodiche sull'account
Periodicamente è necessario verificare l'allineamento dei diritti dell'account di U-Gov rispetto allo stato giuridico del dipendente.
Di seguito si elencano alcune verifiche che devono essere effettuate per rilevare eventuali disallineamenti.
- Vefiricare gli account amministratore: l'account amministratore deve riferirsi a personale in servizio attivo presso l'Ateneo.
- Verificare che gli account amministratore non abbiano diritti liberi o appartenenza a gruppi diversi da GRP_DEFAULT
- Verificare che non ci siano account con diritti liberi
- Verificare la consistenza del contesto utente rispetto all'afferenza organizzativa
- Verificare che l'account del personale cessato sia incluso nel solo gruppo GRP_DEFAULT