Projekt

Všeobecné

Profil

Wiki » Administrácia »

Bezpečnosť a prístupy

Informačný systém PREVIS, čo sa týka zabezpečenia, umožňuje viaceré prístupy, ktoré je možné používať aj súčasne:

  • Databázové role,
  • užívateľské práva pre jednotlivé činnosti,
  • aplikačné role pre jednotlivé činnosti,
  • práva pre typy programov,
  • práva pre kritické položky,
  • prístupové práva pre jednotlivé ČOV,
  • práva pre vyhlášku 605 a modul MPEVO,
  • prístupy na prevádzky (resp. v prípade BVS, a.s. sú to divízie),
  • prístupy na laboratóriá.

Databázové role

Umožňujú zamedziť jednotlivým užívateľom prístup do niektorých modulov programu (Labden, Savom, Odbery, Labod, Manager...) a to odstránením daného modulu z hlavného menu programu alebo dávajú užívateľovi nejaké práva navyše (admin, labadmin, gr, lab...). Zaradenie užívateľa do databázovej role sa robí cez MENU/Administrácia/Bezpečnosť/Databázové role, alebo v prípade, že Vaša spoločnosť využíva systém Single Sign-on zaradením do príslušných skupín v rámci Active Directory (ďalej len AD). Detailný popis jednotlivých rolí je súčasťou dokumentácie, ktorá bola dodaná v rámci prvej implementácie IS Previs vo Vašej spoločnosti. V prípade, že Vaša spoločnosť využíva systém Single Sign-on treba nastaviť spárovanie databázových rolí s Active Directory, priradením názvu AD skupiny ku každej databázovej roli cez MENU/Administrácia/Bezpečnosť/Databázové role - AD sync.

Prístupové práva na užívateľa

Tieto prístupy umožňujú zakazovať (resp. povoľovať, toto nastavenie sa mení v MENU/Administrácia/Organizácia/Údaje o organizácii a nastavenia) jednotlivým užívateľom prístup na činnosti (formuláre). Toto je veľmi podrobné nastavovanie prístupov k jednotlivým činnostiam, preto bolo dorobené hromadné zadávanie: MENU/Administrácia/Bezpečnosť/Práva na činnosti. Upozorňujeme, že tento systém prideľovania prístupov je zastaralý a odporúčame ho nepoužívať, efektívne sa dá nahradiť využívaním aplikačných rolí.

Prístupové práva pre aplikačné role

Aplikačné role umožňujú vytvorenie zoznamu pomenovaných rolí cez MENU/Administrácia /Bezpečnosť/Aplikačné role, ku ktorým sú pridelené prístupové práva (MENU/Administrácia /Bezpečnosť/Práva na činnosti/Práva pre aplikačné role). Nasledne zaradením užívateľov do aplikačných rolí (tiež cez MENU/Administrácia/Bezpečnosť/Aplikačné role) pridelíme celý súbor prístupov. Táto funkcionalita sa dá kombinovať s prístupovými právami, popísanými v predchádzajúcom odseku avšak v záujme prehľadnosti odporúčame v prípade využívania práv definovaných cez aplikačné role nepoužívať súčasne práva definované na užívateľa. Umožňuje nám vytvoriť skupiny činností, ktoré sú využívané často spolu, a tak zrýchliť a sprehľadniť prideľovanie práv. V prípade, že chcete používať výhradne aplikačné role, je možné zablokovať priraďovanie práv jednotlivým užívateľom v časti MENU/Administrácia/Nastavenia/Všeobecné nastavenia. V prípade, že Vaša spoločnosť využíva systém Single Sign-on treba nastaviť spárovanie aplikačných rolí s Active Directory, priradením názvu AD skupiny ku každej aplikačnej roli cez MENU/Administrácia/Bezpečnosť/Aplikačné role.

Práva pre typy programov

Možnosť používať prístupové práva pre jednotlivé typy programov. Používanie týchto práv treba najskôr zapnúť vo voľbe MENU/Administrácia/Nastavenia/Všeobecné nastavenia, zaškrtnutím políčka používať prístupové práva pre typy programov (TMR). Prideľovanie práv sa robí cez MENU/Administrácia/Bezpečnosť/Práva pre prístup k typom plánov. Kontrola prístupu sa vykonáva zatiaľ v 3 formulároch:
  • MENU / Vodárenské objekty / Odberné miesta pitných vôd / V správe VaK,
  • MENU / Laboratórny denník / Evidencia vzoriek / Registrácia a odber vzoriek / Pitná voda (VaK),
  • MENU / Laboratórny denník / Evidencia vzoriek / Protokoly / Pitná voda (VaK).

Kritické položky

Niektoré položky v programe potrebujú zvýšenú ochranu. Takéto údaje patria medzi tzv. kritické položky. Tieto potom môžu meniť len definovaní užívatelia a všetky zmeny kritických položiek systém zaznamenáva. Kritické položky sú napr.:

  • Názov ukazovateľa,
  • názov odberného objektu,
  • dátum odberu vzorky,
  • merná jednotka ukazovateľa,
  • ukončenie vzorky (pozor, toto už nie je viazané na členstvo v roli ADMIN),
  • ČMO,
  • príznak odberného miesta VaK/cudzie.

Definovanie prístupov pre kritické položky sa robí cez MENU/Administrácia/Bezpečnosť/Práva pre zmeny kritických položiek. Zobraziť zmenový zoznam je možné priamo na tomto formulári stlačením tlačidla Zobraziť zmenový list. V prípade, že je potrebné vložiť medzi kritické položky nejaké ďalšie údaje z databázy, treba o to požiadať dodávateľa IS Previs.

Práva pre ČOV

V praxi sa ukázalo, že v prípade nahrávania prevádzkových údajov ČOV je taktiež niekedy potrebné definovať rozdielne prístupy pre rôzne čistiarne odpadových vôd. V činnosti MENU/Administrácia/Bezpečnosť/Práva nahrávať prevádzkové údaje ČOV je možné zadefinovať, ktorí užívatelia budú môcť zadávať údaje pre ktoré ČOV. Tieto definície môže editovať iba člen role ADMIN. Pokiaľ nechcete tieto práva používať, nechajte ich nepriradené. Ak systém nenájde žiadne zadefinované právo pre ČOV, považuje tieto práva za vypnuté.

Práva pre V605 a MPEVO

V poslednom rade ešte existujú špeciálne práva na prácu s modulom MPEVO a exportom V605. Tieto nájdeme vo voľbe MENU/Administrácia/Bezpečnosť/Práva pre export a vypĺňanie MPEVO. Tu treba povoliť alebo zakázať vykonávanie exportu xml súborov pre plnenie vyhlášky č.605, ako aj práva na jednotlivé formuláre modulu MPEVO. Pri nastavovaní práv pre modul MPEVO si všimnite, že zaškrtávacie políčka majú tri stavy: zaškrtnuté, nezaškrtnuté a plné. Zaškrtnuté políčko znamená všetky práva, plné políčko znamená právo len na čítanie a nezaškrtnuté znamená žiadne práva.

Prístup na prevádzky (resp. divízie)

Všetky objekty v databáze ako odberné miesta, producenti, vod. zdroje a pod. sú zaradené do prevádzok (divízií). Členovia databázovej role GR vidia v databáze objekty všetkých divízií. Ostatní užívatelia vidia len objekty (odberné miesta, ich vzorky a pod.) svojej prevádzky (divízie), ktorú si musia vybrať pri prvom prihlásení sa do systému. Viditeľnosť objektov je realizovaná na základe naplnenia filtračného comba prevádzkami (divíziami), teda každý užívateľ má zobrazené len prevádzky (divízie), na ktoré má pridelený prístup. Rozšírením tejto funkcionality sú tzv. skupiny divízií MENU / Administrácia / Ostatné / Skupiny divízií, kde je možné zadefinovať ľubovoľné zoskupenie prevádzok (divízií), teda 1 a viac. Následne je možné v číselníku pracovníkov MENU / Spoločné číselníky / Ostatné / Pracovníci prideliť niektorému pracovníkovi takúto skupinu divízií, čo mu (napriek tomu, že nie je členom role GR) umožní vidieť v databáze objekty viacerých divízií. Pokiaľ užívateľ nie je členom role GR ani nemá pridelenú žiadnu skupinu prevádzok (divízií), má prístup len na jednu prevádzku (divíziu), ktorá je preddefinovaná v MENU / Spoločné číselníky / Ostatné / Pracovníci.

Prístup na laboratóriá

Niektoré objekty v databáze ako napr. rozbory sú zaradené do laboratórií. Členovia role LAB vidia v databáze objekty všetkých laboratórií. Ostatní užívatelia vidia len objekty svojho laboratória, ktoré si musia vybrať pri prvom prihlásení sa do systému. Viditeľnosť objektov je realizovaná na základe naplnenia filtračného comba laboratóriami, teda každý užívateľ má zobrazené len laboratóriá, na ktoré má pridelený prístup. Rozšírením tejto funkcionality sú tzv. skupiny laboratórií MENU / Administrácia / Ostatné / Skupiny laboratórií, kde je možné zadefinovať ľubovoľné zoskupenie laboratórií (1 a viac). Následne je možné v číselníku pracovníkov MENU / Spoločné číselníky / Ostatné / Pracovníci prideliť niektorému pracovníkovi takúto skupinu laboratórií, čo mu (napriek tomu, že nie je členom role LAB) umožní vidieť v databáze objekty viacerých laboratórií. Pokiaľ užívateľ nie je členom role LAB ani nemá pridelenú žiadnu skupinu laboratórií, má prístup len na jedno laboratórium, ktoré je preddefinované v MENU / Nastavenia / Nastavenia programu.

Poznámka: v dôsledku predchádzajúcich dvoch odsekov je napr. viditeľnosť konkrétnej vzorky garantovaná vtedy, ak má užívateľ pridelený prístup na laboratórium, pod ktoré je vzorka zaradená a zároveň musí mať pridelený prístup na prevádzku (resp. divíziu), do ktorej patrí odberné miesto, na ktorom je vzorka robená.

uzamknutý