Administrator
V administratorskem(rdečem) delu:
-
se popravi podatke o zavodu,
-
se doda programe, ki se izvajajo na zavodu, iz šifranta Ministrstva,
-
se vpiše podatke za LDAP/AD,
-
se določi uporabniška politika,
-
se določi urednike (varnostne vloge oz. pravice) za zavod in
-
se določi urednike (varnostne vloge oz. pravice) za zavod in
-
se določi aplikacije, skupine in podrobnejše atribute.
Popravljanje podatkov o zavodu
Ko se administrator prijavi v sistem (v rdeči del), se prikaže okno s podatki o zavodu. S klikom na Nastavitve zavoda se odpre okno, v katerem so na voljo trije zavihki:
-
Podatki zavoda - osnovni podatki zavoda, kot so naslov, matična številka, …
-
Konfiguracija LDAP - osnovne nastavitve LDAP imenika
-
Uporabniška imena - pravila za uporabniška imena, več o tem v poglavju Uporabniška politika
Urejanje zavihkov Podatki zavoda in Konfiguracija LDAP običajno ni potrebno, saj se ob podpisu AAI sporazuma, vsi potrebni podatki vpišejo samodejno. |
Dodajanje programov zavodu
Če uporabljamo za izdelavo razredov/oddelkov v OSNOVNI ŠOLI "čarovnik za urejanje razredov/letnikov" in potrdimo polje Uporabi avtomatično povezovanje s programi, sistem avtomatično izdela oddelke, prenese programe iz šifranta Ministrstva in poveže oddelke s programi. |
V zgornjem meniju Orodja izberemo VIZ Programi in kliknemo na Posodobi. S tem prenesemo programe s šifranta Ministrstva.
Uporabniška politika
Na zavihku Zavod kliknemo na gumb Nastavitve zavoda. Odpre se novo okno, kjer izberemo zavihek Uporabniška imena. Sistem omogoča samodejno generiranje up. imen. Administrator lahko določi dve politiki uporabniških imen: za učeče in za zaposlene.
Možnost izbire oblike uporabniških imen so sledeče:
Ročni vnos – uporaba formul:
Format | Opis | Primer |
---|---|---|
{ime}{priimek:1} |
Ime in prva črka priimka |
tomazn@… |
{ime}.{priimek} |
Ime in priimek |
tomaz.novak@… |
{ime}{priimek} |
Ime in priimek skupaj |
tomaznovak@… |
{priimek}.{ime} |
Priimek in ime |
novak.tomaz@ |
{ime:1}{priimek:1}[RND:4] |
Prva črka imena in priimka ter 4-mestno naključno število. |
tn4035@… |
V istem oknu lahko uporabnikom določite tudi poddomeno, kjer je potrebno vpisati le prvi del poddomene (npr. ucenec). V primeru vpisa "ucenec" kot poddomeno, bodo uporabniška imena novih učencev sledeča: ime.priimek@ucenec.moja-sola.si. Že ustvarjenim računom se uporabniška imena ne bodo spremenila, kar tudi odsvetujemo, saj sprememba uporabniškega imena, pomeni novega uporabnika. Če se odločite za uporabo poddomene za AAI prijavo, potem je potrebno to dodati tudi na povezavi aai.arnes.si.
Nastavitve LDAP-a
Na zavihku Zavod kliknemo na gumb Nastavitve zavoda. Odpre se novo okno, kjer izberemo zavihek Konfiguracija LDAP. Večino nastavitev tu ne spreminjamo, lahko pa določimo privzet datum poteka za vse račune organizacije. To storimo z vpisom želenega datum v polje SchacExpiryDate. Ta datum bodo imeli nastavljen vsi uporabniki, katerim tega niste določili ločeno v uredniškem delu, kot je to opisano v poglavju [Dodajanje datuma poteka AAI uporabniškega računa]. Če je to polje prazno, je privzeta vrednost za zaposlene 31. 12. 9999, za učeče pa 31. 8. oz. 31. 9.
V meniju LDAP se nahajajo nastavitve za sinhronizacijo SIO.MDM z imenikom LDAP in AD:
1. Strežniki
Nov strežnik dodamo s klikom na: LDAP → Strežniki → gumb Dodaj. Če želimo sinhronizacijo z več imeniki na različnih strežnikih, določimo več strežnikov.
2. Predloge
Novo predlogo dodamo s klikom na: LDAP → Predloge → gumb Dodaj. Če želimo sinhronizirati z imenikom LDAP, izberemo tip "LDAP", če pa želimo sinhronizacijo z imenikom AD, pa izberemo tip "AD". Če želimo bazo sinhronizirati z dvema različnima imenikoma, potem ustvarimo 2 predlogi.
Če želimo popraviti predlogo jo izberemo, in kliknemo na Uredi. Odpre se okno, v katerem lahko predlogo prenesemo. Po uspešnem prenosu na napravo in popravku predloge, jo lahko v istem oknu naložimo nazaj na SIO.MDM.
3. Pravila
Novo pravilo dodamo s klikom na: LDAP → Pravila → gumb Dodaj. Pravilo za prenos mora biti v skladu z nastavitvami oz. organizacijo imenika. Če imenik vsebuje organizacijsko enoto ("ou") poimenovano "zaposleni", potem morajo biti ti podatki tudi v polju "Base DN". Primer pravila prenosa učečih, ki je vezan na predlogo "LDAP poskusna 1":
Testiranje dosegljivosti in dostopa strežnika
Pred sinhronizacijo lahko skrbnik preveri dosegljivost strežnika in dostop: LDAP → Strežniki → gumba desno zgoraj:
Dodajanje skrbnikov (določitev vlog in pravic)
Dodajanje urednika:
-
v uredniškem(modrem) delu se doda uporabnika, npr. zaposleno osebo,
-
v admin(rdečem) delu se dodeli temu uporabniku varnostno vlogo urednika za določeni zavod: Varnost → Varnostne vloge – zaposleni.
Če imamo že določene vloge, se odpre zavihek s seznamom po skupinah. Pogled seznama lahko spremenimo, če kliknemo na gumb Grupiranje.
Novo vlogo/pravico uporabniku dodelimo tako, da kliknemo na gumb Dodaj. Iz prvega seznama izberemo zavod, iz drugega pa uporabnika, nato kliknemo na gumb Dodaj pravico. Odpre se novo okno, kjer določimo vrsto pravice.
Če dodajamo vlogo administratorja, potem dodatne nastavitve niso potrebne. V kolikor pa gre za dodajanje uredniške vloge, lahko za dodelitev dostopa do vseh uporabnikov označimo možnosti Dovoli dostop do oddelkov in Dovoli dostop do organizacijskih vlog. Če želimo uporabiku dostop omejiti le na določeno skupino uporabnikov, označite želeno polje (lahko tudi obe), in nato določite tudi šolsko leto, oddelke ali orgaizacijske vloge, v katere bo imel novi urednik vpogled.
Nastavitve - LDAP razširjeni atributi
V okviru sistema SIO.MDM je možno upravljati z LDAP atributi. 5 ključnih segmentov atributov se lahko poljubno nastavlja za vsako identiteto ("Entitlement", "Affiliation", "LoginTime", "ShacExpiryDate", "Skupina"). Postopek dodeljevanja novih atributov je razdeljen v dve fazi:
-
Vnos definicij - osnovne kategorije/tipe se nastavi v meniju LDAP → Atributi.
Kategorijo lahko prilagodimo s klikom na gumb Uredi. Novo kategorijo dodamo s klikom na gumb Dodaj in izbiro ustreznega:
-
Uporaba in vezava polj na identitete (ali celoten oddelek, šolsko leto, skupino …) v modrem/uredniškem delu. Dodeljeni atributi dedujejo po načelu od večje podatkovne strukture/skupine navzdol.
Nastavitve - uporabniški dostopi za aplikacije
Uporabniški dostopi aplikacij so dostopi API-ja prek sistema SIO.MDM. Gre za dostop zunanjih aplikacij, npr. Arnes predal-a, eAsistent-a, ipd. Dodajanje zunanje aplikacije: Varnost → Aplikacije. Določimo ime, up. ime, geslo in veljavnost dostopanja zunanje aplikacije.
Dodajanje varnostnih vlog aplikacije se nahaja v Varnost → Varnostne vloge - Aplikacije.
Dodajanje varnostnih vlog atributov se nahaja v Varnost → Varnostne vloge - Atributi: natančneje določimo pravice dostopa aplikacije (do katerih podatkov ima aplikacija dostop). Privzeta vrednost pomeni, da aplikacija lahko dostopa do podatkov, lahko pa posamezne atribute onemogočimo s klikom na ustrezni gumb Prepreči.
Pregled uporabnikov/iskalnik
Iskalnik med vsemi uporabniki organizacije se nahaja v Orodja → Iskalnik. Dobimo seznam vseh naših uporabnikov v sistemu SIO.MDM, kjer lahko na vrhu v želen stolpec vpišemo iskalni niz.
Rezultate iskanja lahko razvrstimo s klikom na puščico ob naslovu stolpca. Pokažejo se različne možnosti razvrščanja in vklop oziroma izklop določenih stolpcev.
V iskalniku lahko hitro nastavimo atribute LDAP/AD posameznemu uporabniku ali skupini: Orodja → Iskalnik → izbira uporabnika → gumb na desni LDAP/AD Atributi. Nastavitve lahko uredimo za izbranega uporabnika, ali na nivoju celotnega oddelka, za vse učeče v določenem šolskem letu, določeno skupino ali na nivoju zavoda.
Podatke iz določenega pogleda lahko izvozimo v excelovo datoteko. Primer izvoza treh stolpcev podatkov: Orodja → Iskalnik
-
Nastavimo želene stolpce. Npr. Ime, Priimek, Uporabniško ime.
-
Kliknemo na gumb Izvoz, ki je v spodnjem delu okna.
Prehod v novo šolsko leto – admin naloge
Če hočemo prenesti podatke učečih iz prejšnjega šolskega leta v novo šolsko leto, potem mora najprej administrator našega zavoda v sistem SIO.MDM za naš zavod določiti programe, ki se izvajajo na našem zavodu za novo šolsko leto. Po tem lahko urednik izdela oddelke za novo šolsko leto in prenese učeče iz prejšnjih oddelkov v nove oddelke.
Postopek prenosa novih programov za novo šolsko leto za skrbnika:
-
Prijava v admin(rdeči) del.
-
Izberemo želeni zavod v levem podoknu.
-
V zgornjem meniju na desni strani izberemo novo šolsko leto (npr. "Šolsko leto: 2020/21").
-
Kliknemo zgornji meni Orodja → VIZ Programi.
-
V osrednjem delu na zavihku VIZ – Programi kliknemo gumb Posodobi (s tem se prenesejo programi šole za tekoče šolsko leto iz šifranta Ministrstva).
Podatki skupine zaposlenih niso vezani na šolsko leto, na šolsko leto so vezani le podatki skupine učečih.
Nastavitve AD-ja
Tako kot je s SIO.MDM-jem običajno povezan LDAP imenik, ki omogoča prijavo v AAI storitve, se lahko s SIO.MDM-jem poveže tudi AD imenik. S tem lahko na primer uporabnikom omogočite prijavo z istimi podatki kot jih imajo za AAI prijavo, tudi prijavo v domenske računalnike. Postopek je sledeč:
-
Na Domain Controller-ju je potrebno omogočiti Secure LDAP, potreben je ustrezen certifikat na DC-ju, lahko je "self signed". Če še ne obstaja Certificate Authority v domeni, se lahko vloga namesti na DC ali drug strežnik in potem DC avtomatsko pridobi certifikat.
Postopek namestitve Certificate Authority-ja je opisan na povezavi https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority, in zadostuje za ureditev prvega koraka. Po urejeni konfiguraciji priporočamo ponovni zagon strežnika.
-
LDAPS lahko lokalno testiramo tako, kot je to opisano na povezavi: https://osirium.com/how-to/confirm-a-domain-controller-has-ldaps-enabled/.
-
Potrebno je imeti odprte ustrezne porte s smeri Arnesa proti šoli (LDAPS 636). Primer:
+ permit tcp host 194.249.18.26 gt 1023 host x.x.x.x eq 636 (x.x.x.x je IP naslov DC-ja).
Za odpiranje filtrov nam lahko pišete na filtri@arnes.si.
-
SIO.MDM → LDAP → STREŽNIKI → Dodaj. Primer nastavitev je viden spodaj:
-
SIO.MDM → LDAP → PRAVILA → Dodaj. Primer nastavitev je viden spodaj: