...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
Hier een samenvatting over de beheerder rollen en daarbij behorende schermen wat voortgekomen is uit de discussie met het testteam.
Met behulp van verschillende beheerschermen kan VZVZ een flexibele structuur definiëren voor een fijnmazig toegangs- en gebruiksbeheer van Koppeltaal. Één of meer systeembeheerders die tijdens het voorbereidingsproces van Koppeltaal zijn geconfigureerd, bevinden zich bovenaan in de (beheerders)hiërarchie. Deze systeembeheerders kunnen verantwoordelijkheden delegeren aan andere type beheerders, terwijl ze toch de algehele controle behouden.
...
- We onderscheiden drie rollen voor beheerders:
- Systeembeheerder. Dit is de supergebruiker voor Koppeltaal en deze kan alle beheertaken alleen via beheerschermen uitvoeren. Een systeembeheerder is hier geen beheerder die toegang heeft tot servers of databases. Bovendien heeft de systeembeheerder machtigingen voor het delegeren van de volgende beheerfuncties aan andere gebruikers: domeinbeheerder en applicatiebeheerder.
- Domeinbeheerder. Deze beheerder beheert de domeinen die aan hem of haar zijn toegewezen en voert ook alle bijbehorende beheertaken uit.
- Applicatiebeheerder. Deze beheerder beheert applicaties die aan hem of haar zijn toegewezen en voert ook alle bijbehorende beheertaken uit.
- Volgende algemene regels/voorwaarden die gelden:
- Voor elke entiteit (record), die onder beheer valt, zoals rollen, domeinen, applicaties, instanties, etc., wordt door het (beheer) systeem een uniek logische id aangemaakt en uitgegeven, om de entiteit uniek te kunnen identificeren
- Een uitgegeven logische id is NOOIT en te nimmer wijzigbaar
- Een eenmalig toegewezen beheerdersrol aan een gebruikersaccount mag NOOIT gewijzigd worden
- Een gebruikersaccount KAN maar 1 rol hebben
- Autorisatie (toegewezen rechten op beheerdersfunctionaliteit) van gebruikersaccounts is gekoppeld via de beheerdersrol , NOOIT direct op gebruikersaccounts zelf.
- Andere systeemvelden, die nodig zijn voor werkende beheerschermen (te bepalen door Itzos), worden nooit beheerd (gemuteerd) door de 3 beheerdersrollen.
- Elke wijziging die via een (beheerder) scherm wordt doorgevoerd moet door het systeem gelogd worden (wie, wanneer, wat).
- Systeembeheerder moeten de volgende beheeractiviteiten kunnen uitvoeren
- Beheren (aanmaken, wijzigen en beëindigen) van applicatie rollen. Applicatie rollen kunnen NIET beëindigd worden als deze aan een applicatie zijn toegekend.
- Beheren (aanmaken, wijzigen en beëindigen) van de autorisatieregels behorende bij een applicatierol. Autorisatieregels behorende bij een applicatierol kunnen NIET beëindigd worden als deze aan een applicatie zijn toegekend.
- Aanmaken/Registreren van een nieuwe applicatie (software product bij Koppeltaal). De volgende items worden (minimaal) bij een applicatie geregistreerd:
- applicatienaam
- startdatum
- selecteren van applicatie rollen bij de applicatie.
- het (beheer)systeem registreert en levert een
- logische id
- technische naam (wordt uit applicatienaam en logische id samengesteld) en
- status 'Aanmaken'
- aanmaakdatum
- Beheren en aanpassen van applicatie rollen bij de applicatie
- Aanmaken/Registreren van een nieuw domein. De volgende items worden (minimaal) bij een domein geregistreerd:
- domeinnaam
- startdatum
- het (beheer)systeem registreert en levert een
- logische id
- technische naam (wordt uit domeinnaam en logische id samengesteld) en
- status 'Aanmaken'
- aanmaakdatum
- Aanmaken van een nieuw account voor beheerders. De volgende items worden (minimaal) bij een account geregistreerd:
- dit betreft het invullen (of selecteren[1]) van de gebruikersnaam van de beheerder
het e-mailadres van de beheerder
- mobiele nummer
- startdatum
- selecteren van de beheerdersrol
- Als beheerdersrol een 'Applicatiebeheerder' is, dan MOETEN de applicaties geselecteerd en gekoppeld worden aan het beheerdersaccount
- Als beheerdersrol een 'Domeinbeheerder' is, dan MOETEN de domeinen geselecteerd en gekoppeld worden aan het beheerdersaccount
- het (beheer)systeem registreert en levert een
- status 'Actief'
- einddatum van het beheeraccount op precies 1 jaar in de toekomst (Security eisen).
- aanmaakdatum
- e-mail bericht naar het ingevulde e-mailadres van de (aangemaakte) beheerder om het wachtwoord aan te maken / te laten resetten.
- Optioneel: een SMS bericht naar het mobiele nummer om aan te geven dat een account is aangemaakt, maar dat de instructies in de e-mail opgevolgd moeten worden om het account te activeren
- Voorkeur heeft overigens een authenticator app zoals Microsoft Authenticator voor 2FA (2 Factor Authentication)
- Een beheerder mag NOOIT zijn eigen (beheerder) account beëindigen
- Optioneel: Mogelijkheid om te filteren of sorteren op veldnaam bijvoorbeeld op
- gebruikersnaam van de beheerder
- beheerdersrol
- startdatum/einddatum/aanmaakdatum
- e-mailadres
- Optioneel: Mogelijkheid om te selecteren/filteren om logregels te archiveren. Specificaties moeten hiervoor nog verder uitgewerkt worden
- Alle beheertaken van de domein- en applicatiebeheerders.
[1] Als Itzos zelf al gebruikersnamen moet aanmaken voor de technische werking, dan verwachten we hier een lijst met aangemaakte gebruikersnamen die verder nog niet actief zijn.
...