Skip to end of banner
Go to start of banner

BRS - Beheerder Rollen en Schermen [Draft]

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Hier een samenvatting over de beheerder rollen en daarbij behorende schermen wat voortgekomen is uit de discussie met het testteam.

Met behulp van verschillende beheerschermen kan VZVZ een flexibele structuur definiëren voor een fijnmazig toegangs- en gebruiksbeheer van Koppeltaal. Één of meer systeembeheerders die tijdens het voorbereidingsproces van Koppeltaal zijn geconfigureerd, bevinden zich bovenaan in de (beheerders)hiërarchie. Deze systeembeheerders kunnen verantwoordelijkheden delegeren aan andere type beheerders, terwijl ze toch de algehele controle behouden.

De verschillende beheerdersrollen bieden Koppeltaal de volgende belangrijke voordelen:

  • Gecontroleerde decentralisatie van beheerdersverantwoordelijkheden
  • Snel overzicht van product toewijzingen, per gebruiker en per product


  1. We onderscheiden drie rollen voor beheerders:
    1. Systeembeheerder. Dit is de supergebruiker voor Koppeltaal en deze kan alle beheertaken alleen via beheerschermen uitvoeren. Een systeembeheerder is hier geen beheerder die toegang heeft tot servers of databases. Bovendien heeft de systeembeheerder machtigingen voor het delegeren van de volgende beheerfuncties aan andere gebruikers: domeinbeheerder en applicatiebeheerder.
    2. Domeinbeheerder. Deze beheerder beheert de domeinen die aan hem of haar zijn toegewezen en voert ook alle bijbehorende beheertaken uit.
    3. Applicatiebeheerder. Deze beheerder beheert applicaties die aan hem of haar zijn toegewezen en voert ook alle bijbehorende beheertaken uit.
  2. Volgende algemene regels/voorwaarden die gelden:
    1. Voor elke entiteit (record), die onder beheer valt, zoals rollen, domeinen, applicaties, instanties, etc., wordt door het (beheer) systeem een uniek logische id aangemaakt en uitgegeven, om de entiteit uniek te kunnen identificeren
    2. Een uitgegeven logische id is NOOIT en te nimmer wijzigbaar
    3. Een eenmalig toegewezen beheerdersrol aan een gebruikersaccount mag NOOIT gewijzigd worden
    4. Een gebruikersaccount KAN maar 1 rol hebben
    5. Autorisatie (toegewezen rechten op beheerdersfunctionaliteit) van gebruikersaccounts is gekoppeld via de beheerdersrol , NOOIT direct op gebruikersaccounts zelf.
    6. Andere systeemvelden, die nodig zijn voor werkende beheerschermen (te bepalen door Itzos), worden nooit beheerd (gemuteerd) door de 3 beheerdersrollen.
    7. Elke wijziging die via een (beheerder) scherm wordt doorgevoerd moet door het systeem gelogd worden (wie, wanneer, wat).
  3. Systeembeheerder moeten de volgende beheeractiviteiten kunnen uitvoeren
    1. Beheren (aanmaken, wijzigen en beëindigen) van applicatie rollen. Applicatie rollen kunnen NIET beëindigd worden als deze aan een applicatie zijn toegekend.
    2. Beheren (aanmaken, wijzigen en beëindigen) van de autorisatieregels behorende bij een applicatierol. Autorisatieregels behorende bij een applicatierol kunnen NIET beëindigd worden als deze aan een applicatie zijn toegekend.
    3. Aanmaken/Registreren van een nieuwe applicatie (software product bij Koppeltaal). De volgende items worden (minimaal) bij een applicatie geregistreerd: 
      1. applicatienaam
      2.  startdatum
      3.  selecteren van applicatie rollen bij de applicatie.
      4. het (beheer)systeem registreert en levert een
        1. logische id
        2. technische naam (wordt uit applicatienaam en logische id samengesteld) en
        3. status 'Aanmaken'
        4. aanmaakdatum
    4. Beheren en aanpassen van applicatie rollen bij de applicatie
    5. Aanmaken/Registreren van een nieuw domein. De volgende items worden (minimaal) bij een domein geregistreerd:
      1. domeinnaam
      2.  startdatum
      3. het (beheer)systeem registreert en levert een
        1. logische id
        2. technische naam (wordt uit domeinnaam en logische id samengesteld) en
        3. status 'Aanmaken'
        4. aanmaakdatum
    6. Aanmaken van een nieuw account voor beheerders. De volgende items worden (minimaal) bij een account geregistreerd:
      1. dit betreft het invullen (of selecteren[1]) van de gebruikersnaam van de beheerder
      2. het e-mailadres van de beheerder

      3. mobiele nummer
      4. startdatum
      5. selecteren van de beheerdersrol
        1. Als beheerdersrol een 'Applicatiebeheerder' is, dan MOETEN de applicaties geselecteerd en gekoppeld worden aan het beheerdersaccount
        2. Als beheerdersrol een 'Domeinbeheerder' is, dan MOETEN de domeinen geselecteerd en gekoppeld worden aan het beheerdersaccount
      6. het (beheer)systeem registreert en levert een
        1. status 'Actief'
        2. einddatum van het beheeraccount op precies 1 jaar in de toekomst (Security eisen).
        3. e-mail bericht naar het ingevulde e-mailadres van de (aangemaakte) beheerder om het wachtwoord aan te maken / te laten resetten.
        4. Optioneel: een SMS bericht naar het mobiele nummer om aan te geven dat een account is aangemaakt, maar dat de instructies in de e-mail opgevolgd moeten worden om het account te activeren
          1. Voorkeur heeft overigens een authenticator app zoals Microsoft Authenticator voor 2FA (2 Factor Authentication)
    7. Een beheerder mag NOOIT zijn eigen (beheerder) account beëindigen


[1] Als Itzos zelf al gebruikersnamen moet aanmaken voor de technische werking, dan verwachten we hier een lijst met aangemaakte gebruikersnamen die verder nog niet actief zijn.

  • No labels