Skip to end of banner
Go to start of banner

BRL - Beheerdersrollen [draft]

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 11 Next »

Hier een samenvatting over de beheerdersrollen en daarbij behorende schermen wat voortgekomen is uit de discussie met het testteam.

Met behulp van verschillende beheerschermen kan VZVZ een flexibele structuur definiëren voor een fijnmazig toegangs- en gebruiksbeheer van Koppeltaal. Één of meer systeembeheerders die tijdens het voorbereidingsproces van Koppeltaal zijn geconfigureerd, bevinden zich bovenaan in de (beheerders)hiërarchie. Deze systeembeheerders kunnen verantwoordelijkheden delegeren aan andere type beheerders, terwijl ze toch de algehele controle behouden.

De verschillende beheerdersrollen bieden Koppeltaal de volgende belangrijke voordelen:

  • Gecontroleerde decentralisatie van beheerdersverantwoordelijkheden
  • Snel overzicht van product toewijzingen, per gebruiker en per product


001. We onderscheiden drie rollen voor beheerders:

    1. Systeembeheerder. Dit is de supergebruiker voor Koppeltaal en deze kan alle beheertaken alleen via beheerschermen uitvoeren. Een systeembeheerder is hier geen beheerder die toegang heeft tot servers of databases. 
    2. Domeinbeheerder. Deze beheerder beheert de domeinen die aan hem of haar zijn toegewezen en voert ook alle bijbehorende beheertaken uit.
    3. Applicatiebeheerder. Deze beheerder beheert applicaties die aan hem of haar zijn toegewezen en voert ook alle bijbehorende beheertaken uit.

002. Volgende algemene regels/voorwaarden die gelden:

    1. Voor elke entiteit (record), die onder beheer valt, zoals rollen, domeinen, applicaties, instanties, etc., wordt door het (beheer) systeem een uniek logische id aangemaakt en uitgegeven, om de entiteit uniek te kunnen identificeren
    2. Een uitgegeven logische id is NOOIT en te nimmer wijzigbaar
    3. Een eenmalig toegewezen beheerdersrol aan een gebruikersaccount mag NOOIT gewijzigd worden
    4. Een gebruikersaccount KAN maar 1 rol hebben
    5. Autorisatie (toegewezen rechten op beheerdersfunctionaliteit) van gebruikersaccounts is gekoppeld via de beheerdersrol , NOOIT direct op gebruikersaccounts zelf.
    6. Andere systeemvelden, die nodig zijn voor werkende beheerschermen (te bepalen door Itzos), worden nooit beheerd (gemuteerd) door de 3 beheerdersrollen.
    7. Elke wijziging die via een (beheerder) scherm wordt doorgevoerd moet door het systeem gelogd worden (wie, wanneer, wat).

003. Systeembeheerder moeten de volgende beheeractiviteiten kunnen uitvoeren:

    1. Beheren (aanmaken, wijzigen en beëindigen) van applicatie rollen. Applicatie rollen kunnen NIET beëindigd worden als deze aan een applicatie zijn toegekend.
    2. Beheren (aanmaken, wijzigen en beëindigen) van de autorisatieregels behorende bij een applicatierol. Autorisatieregels behorende bij een applicatierol kunnen NIET beëindigd worden als deze aan een applicatie zijn toegekend.
    3. Aanmaken/Registreren van een nieuwe applicatie (software product bij Koppeltaal). De volgende items worden (minimaal) bij een applicatie geregistreerd: 
      1. applicatienaam
      2.  startdatum
      3.  selecteren van applicatie rollen bij de applicatie.
      4. het (beheer)systeem registreert en levert een
        1. logische id
        2. technische naam (wordt uit applicatienaam en logische id samengesteld) en
        3. status 'Aanmaken'
        4. aanmaakdatum
    4. Beheren en aanpassen van applicatie rollen bij de applicatie
    5. Aanmaken/Registreren van een nieuw domein. De volgende items worden (minimaal) bij een domein geregistreerd:
      1. domeinnaam
      2.  startdatum
      3. het (beheer)systeem registreert en levert een
        1. logische id
        2. technische naam (wordt uit domeinnaam en logische id samengesteld) en
        3. status 'Aanmaken'
        4. aanmaakdatum
    6. Aanmaken van een nieuw account voor beheerders. De volgende items worden (minimaal) bij een account geregistreerd:
      1. dit betreft het invullen (of selecteren[1]) van de gebruikersnaam van de beheerder
      2. het e-mailadres van de beheerder

      3. mobiele nummer
      4. startdatum
      5. selecteren van de beheerdersrol
        1. Als beheerdersrol een 'Applicatiebeheerder' is, dan MOETEN de applicaties geselecteerd en gekoppeld worden aan het beheerdersaccount
        2. Als beheerdersrol een 'Domeinbeheerder' is, dan MOETEN de domeinen geselecteerd en gekoppeld worden aan het beheerdersaccount
      6. het (beheer)systeem registreert en levert een
        1. status 'Actief'
        2. einddatum van het beheeraccount op precies 1 jaar in de toekomst (Security eisen).
        3. aanmaakdatum
        4. e-mail bericht naar het ingevulde e-mailadres van de (aangemaakte) beheerder om het wachtwoord aan te maken / te laten resetten.
        5. Optioneel: een SMS bericht naar het mobiele nummer om aan te geven dat een account is aangemaakt, maar dat de instructies in de e-mail opgevolgd moeten worden om het account te activeren
          1. Voorkeur heeft overigens een authenticator app zoals Microsoft Authenticator voor 2FA (2 Factor Authentication)
    7. Een beheerder mag NOOIT zijn eigen (beheerder) account beëindigen
    8. Optioneel: Mogelijkheid om te filteren of sorteren op veldnaam bijvoorbeeld op
      1. gebruikersnaam van de beheerder
      2. beheerdersrol
      3. startdatum/einddatum/aanmaakdatum
      4. e-mailadres
    9. Optioneel: Mogelijkheid om te selecteren/filteren om logregels te archiveren. Specificaties moeten hiervoor nog verder uitgewerkt worden
    10. Alle beheertaken van de domein- en applicatiebeheerders.

003. Domeinbeheerder moeten de volgende beheeractiviteiten kunnen uitvoeren:

    1. Alle details beheren van zijn/haar domein.
      1. Hier bij kan de Domeinbeheerder NIET de logische id, technische naam, en aanmaakdatum wijzigen van een geregistreerd domein
    2. Inzien applicatie connectieaanvragen voor het domein, gegroepeerd op status ('Open' bovenaan, daaronder 'Geaccepteerd', daaronder 'Geweigerd') en gesorteerd op aflopende datum (nieuwste aanvraag boven) met per aanvraag 'Open' de gegevens van de contactpersoon van de applicatie en de gekozen applicatie rol van de applicatie instantie. Goed- of afkeuren van deze applicatie connectieaanvragen met status 'Open'.
    3. Inzien applicatie instanties die in het domein zitten inclusief details van die applicatie instanties, zoals (één) geselecteerde applicatierol uit de lijst van applicatie rollen van een applicatie, endpoints, etc.
    4. Beheren configuratie/instellingen applicatie instanties die in het domein zitten.
    5. Inzien subscriptions (applicatie instantie abonnementen) in het domein gegroepeerd op combinatie status ('Actief' bovenaan) met details zoals criteria (trigger condities)  en channel.endpoints.
      1. Op dit moments kan de domeinbeheerder NIET handmatig subscriptions toevoegen, wijzigen en/of beëindigen. Als domeinbeheerders wel subscriptions KUNNEN toevoegen en wijzigen MOET het (beheer) systeem controleren dat de URL van de channel.endpoints overeenkomt met een (notificatie) endpoint van een applicatie instantie in dat domein.
    6. Inzien van de logging m.b.t. op detail wijzigingen in een domein en domein beheerdersaccount.

004. Applicatiebeheerder moeten de volgende beheeractiviteiten kunnen uitvoeren:

    1. Alle details beheren van zijn/haar applicatie (software product bij Koppeltaal)
      1. Hier bij kan de Applicatiebeheerder NIET de logische id, technische naam, en aanmaakdatum wijzigen van een geregistreerde applicatie
    2. Doen van applicatieconnectie aanvraag voor een domein met daarin een geselecteerde applicatie rol voor de applicatie instantie.
      1. De applicatiebeheerder ziet hier een lijst met domeinen (alleen met status 'Actief 'en 'In onderhoud' en moet daar één van kiezen).
      2. Het (beheer) systeem geeft deze applicatieconnectie aanvraag status 'Open'.
    3. Inzien applicatie connectieaanvragen voor de applicatie, gegroepeerd op status ('Open' bovenaan, daaronder 'Goedgekeurd', daaronder 'Geweigerd') en gesorteerd op aflopende datum (nieuwste aanvraag boven) met per aanvraag 'Open' en 'Geaccepteerd' de gegevens van de contactpersoon van de applicatie.
    4. inzien applicatie instanties die in het domein zitten inclusief details van die applicatie instanties, zoals (één) geselecteerde applicatierol uit de lijst van applicatie rollen van een applicatie, endpoints, etc.
    5. Beheren configuratie/instellingen applicatie instanties die in het domein zitten.
    6. Inzien subscriptions (applicatie instantie abonnementen) in het domein gegroepeerd op status ('Actief' bovenaan) met details zoals criteria (trigger condities)  en channel.endpoints.
      1. Op dit moments kan de domeinbeheerder NIET handmatig subscriptions toevoegen, wijzigen en/of beëindigen. Als domeinbeheerders wel subscriptions KUNNEN toevoegen en wijzigen MOET het (beheer) systeem controleren dat de URL van de channel.endpoints overeenkomt met een (notificatie) endpoint van een applicatie instantie in dat domein.
    7. Inzien van de logging m.b.t. op detail wijzigingen van een applicatie (instantie) en applicatie beheerdersaccount.


[1] Als Itzos zelf al gebruikersnamen moet aanmaken voor de technische werking, dan verwachten we hier een lijst met aangemaakte gebruikersnamen die verder nog niet actief zijn.

  • No labels