Rollhantering

En roll, eller definition av en uppsättning rättigheter, är ett sätt att beskriva vad en person får göra i en applikation, eller i en grupp av applikationer. Ett exempel i AKKA är rollen katalogadministratör som ger lite grovt rättigheterna att arbeta med en institutions kataloginformation, hantera vilka som är verksamma vid institutionen samt söka och ta ut viss utdata om institution och dess verksamma. Rollen katalogadministratör har dessutom en organisatorisk begränsning till en institution eller motsvarande.

Det finns två extrema ståndpunkter när det gäller rollhantering, eller vad får en användare tillgång till, i applikationer:

  1. Organisatoriska roller, t.ex. Prefekt och Studierektor Grundutbildning, ger automatisk tillgång till olika delar av applikationer.
  2. Applikationsspecifika roller som är begränsade till en applikation och endast ger rättigheter i denna.

 

I en ideel värld är det organisatoriska roller som borde vara det bästa att använda med avseende på att dessa är generella och medför att en person med en viss organisatorisk roll, eller funktion, automatiskt får tillgång till de applikationer, med rätt rättigheter, denne behöver få tillgång till för att utföra sitt jobb. I verkligheten behöver dock mer explicita roller delas ut till olika användare beroende på deras explicita arbetsuppgifter som inte alltid definieras av deras organisatoriska roller. AKKAs rollhantering följer den inom samarbetsorganisationen SWAMI framtagna modellen General Model for Authorization Information (GMAI) där både organisatoriska roller och applikationsspecifika roller stöds.

Med rollhanteringen i AKKA finns det möjlighet att använda organisatoriska roller, eller funtioner som de heter för katalogadministratörer i AKKA. Dessa roller är automatiskt tillgängliga för alla applikationer som har rätt att läsa i AKKAs skyddade LDAP men även som grupper i det avancerade grupphanteringsverktyget Grouper. Organisatoriska roller begränsas alltid i LDAP till organisatoriska enheter i AKKA, t.ex. institutioner eller avdelningar vid institutioner. AKKAs organisationskoder används alltid för dessa begränsningar.

Om applikationen behöver använda applikationsspecifika roller, eller en kombination av både organisatoriska och applikationsspecifika roller, finns det möjlighet att använda applikationsspecifika roller med hjälp av AKKA. Applikationsspecifika roller hanteras i ett särskilt område i AKKAs administrativa gränssnitt som heter Rollhantering. Administrationen av dessa roller hanteras av särskilda rolladministratörer för respektive applikation, för mer information se fliken Rolladministratör. Även applikationsspecifika roller är tillgängliga via AKKAs skyddade LDAP men inte via Grouper. Applikationsspecifika roller kan vara utan organisatorisk begränsning eller begränsade till organisatoriska enheter. Vidare finns en utökad begränsning via fritext som kan ge ytterligare begränsningar, t.ex. kan handla IT-prylar upp till 10kkr. De organisatoriska begränsningarna är antingen kopplade till AKKAs organisationskoder på olika nivåer, ekonomisystemets resultatenheter på institutionsnivå eller Ladoks organisationskoder på institutionsnivå. Valet av typ av organisationskoder sker för hela applikationen.

I en effektiv rollhantering är det viktigt att roller automatiskt tas bort när de inte längre är aktuella för en viss användare. I AKKAs rollhantering kopplas innehavet av en roll till var användaren är verksam. Detta möjliggör att roller automatiskt rensas när en användaren inte längre är verksam vid den aktuella institutionen/motsv. För att inte roller ska tas bort i onödan rensas inte roller vid intern omorganisation inom institutionen/motsv. utan då flyttas roller med.

Om ni vill använda AKKAs rollhantering i er applikation ta kontakt med AKKAs tekniska applikationsförvaltning. Det finns ett kontaktformulär längst ner på sidan Teknisk information.