Mutatiekoppeling Solis-Ugids 1 MUTATIEKOPPELING SOLIS-UGIDS DIRECTORY 1.1
inleiding
Het muteren van bestaande medewerkers gegevens verloopt voor eindgebruikers en Ugids-beheerders via de Solis-Ugids website. Om onnodige administratieve inspanning te vermijden voor faculteiten met deze persoonsgegevens ook in een eigen personeelsregistratie worden onderhouden, is daarnaast ook een geautomatiseerde directe mutatie feature beschikbaar. Deze feature biedt aan geautoriseerde SolisUgids beheerders de mogelijkheid een LDAP-koppeling te maken om bepaalde attributen te laten wijzigen van eigen medewerkers buiten de Solis-Ugids website om.
1.2
Service functionaliteit
De Ugids directe mutatiekoppeling bestaat uit de volgende onderdelen: 1. Op aanvraag van de Ugids manager (UU-ICT) kunnen aangewezen Ugids beheeraccounts worden geactiveerd voor de mutatie koppeling naar de Ugids directory. 2. De mutatie koppeling stelt de lees- en schrijfpermissie, zoals bepaald in de Solis-Ugids webkoppeling beschikbaar voor mutatie over het LDAP protocol vanaf een speciaal daarvoor aangewezen host bij het onderdeel. 3. De directory rechten van de huidige Ugids-beheerders beheeraccounts gelden ook voor de Ugids mutatie koppeling. D.w.z. alleen die attributen, waar de Ugids-beheerder in het kader van de Ugids webkoppeling lees- en schrijfpermissie voor heeft, kunnen voor de eigen medewerkers via de Ugids mutatie koppeling worden aangepast. De volgende tabel geeft de betreffende attributen weer:
Versie 1.0
1 of
51
Mutatiekoppeling Solis-Ugids
Mutatiekoppeling Solis-Ugids Mutatiescherm Medewerker Niet Muteerbaar
Solis-Id Naam gegevens Organisatieonderdeel e-mailadres (Solismail) Afdeling
Muteerbaar door
Medewerkers Only
Muteerbaar door
Medewerkers en Accountbeheerders
Foto Wachtwoord Telefoonnummer Privé Inbelnummer Solis-Thuis Alternatief e-mailadres e-mail privé
Muteerbaar door
Medewerkers en Ugidsbeheerders
Comment
Telefoonnummer 2-de telefoonnummer Mobielnummer Faxnummer
Pager Bezoekadres Postadres Gebouw Kamernummer Homepage Rol organisatie Functie e-mailadres (Niet Solis-mail onderdelen)
4. De koppeling bestaat daaruit dat van specifiek aangewezen client systemen bij de Ugids-beheerder mutaties op de Ugids kunnen worden uitgevoerd over LDAP protocol. De schrijfpermissie is beschikbaar door middel van het uitvoeren van een LDAP bind met de zgn. Ugids-beheer account. De permissies worden ingesteld op het niveau van de Directory Software. 5. Het technisch Ugids beheer voert dagelijks een aantal integriteitcontroles uit op interne consistentie van de Ugids directory gegevens. Bijlage 1 geeft een beschrijving van de muteerbare attributen, met het interne formaat, attribuutnamen en de controles die worden dagelijks uitgevoerd. 6. De Ugids-beheerders worden per e-mail geïnformeerd over de resultaten van de dagelijks controle.
1.2.1
Randvoorwaarden
Voor de directe mutatieloppeling gelden de volgende randvoorwaarden: 1. De faculteit/dienst is verantwoordelijk voor de correctheid, compleetheid en actualiteit van de persoonsgegevens van het eigen onderdeel. Het Solis-Ugids directory beheer kan alleen enkele globale integriteitscontroles uitvoeren. De faculteit/dienst draagt zorg voor het mutatie programma en de goede werking daarvan. 2. In het geval van ernstige storingen en andersoortige problemen kan door de Solis-Ugids manager i.o.m. het technische directory beheerder (Capgemini) worden besloten tot het afsluiten van de mutatie service.
1.3
Werkwijze 1. Deelname procedure (eenmalig) Een organisatieonderdeel dat gebruik wil maken van deze mutatieprocedure dient een aanvraag
Versie 1.0
2 of
52
Mutatiekoppeling Solis-Ugids
Mutatiekoppeling Solis-Ugids in bij de Ugids-manager van de universiteit, UU-ICT. Bij goedkeuring stuurt deze de nodige informatie door naar Capgemini. 2. Verwerken nieuwe aanvragen Bij nieuwe aanvragen zorgt Capgemini voor registratie van de relevante gegevens van de afnemer, w.o. onderdeel, technisch contactpersoon, Ugids-account en afnemende server, technische inrichting waaronder toegangspermissies 3. Controles Controles op integriteit van de gegevens en rapportage naar de afnemers vinden achteraf 1 maal per dag plaats. De controle resultaten worden gerapporteerd naar de betreffende Ugidsbeheerder per e-mail. Zie bijlage 1.
Versie 1.0
3 of
53
Mutatiekoppeling Solis-Ugids
Mutatiekoppeling Solis-Ugids Bijlage 1 Ugids dagelijks controle Algemeen Elke nacht wordt de gegevens in de Solis-Ugids Directory gecontrolererd op een aantal punten. 1. De referential integrity van de medewerkers entries tegenover hun rollen wordt gecontroleerd. Dit betekent dat een medewerker mag niet werkzaam zijn bij een organisatieonderdeel dat niet bestaat. In concrete termen, het attribuut uuEmployer moet gevuld zijn met nul of meer dn’s van geldige oragnisatieonderdelen in de Solis-Ugids organisatiestructuur. Als een uuEmployer niet opgezocht kan worden in de Ugids, dan wordt het verwijderd uit de medewerkers entry. 2. De referential integrity van de rollen wordt gecontroleerd: een persoon kan geen rol vervullen bij een organisatieonderdeel als hij/zij geen actieve medewerker van de universiteit is, dwz dat hij geen actieve account heeft in de Ugids. Verder moet hij een attribuut: uuEmployer krijgen voor elke rol die hij vervult, met als waarde de dn van het organisatieonderdeel van de rol, b.v. medewerker van de afdeling Onderwijs- en studentenzaken van de Faculteit Biologie. Elke roleOccupant wordt opgezocht in de ou=medewerkers container. Als het userid niet voorkomt, of als de gevonden entry een inactieve status heeft (uuStatus <2), dan wordt het roleOccupant attribuut verwijderd uit de rollencontainer. 3. Ugids beheerders worden toegewezen aan medewerker-accounts op basis van de rollen van de medewerkers. Bijvoorbeeld, een Ugids beheerder van de Faculteit Biologie mag medewerker entries van alle medewerkers van de Faculteit Biologie beheren. Hij mag ook medewerkers van andere organisatieonderdelen beheren als die medewerkers gedetacheerd zijn (een rol vervullen) bij Biologie. Deze rechten worden ook door het controleprogramma gecontroleerd en desnoods gecorrigeerd. Het attribuut dat hier wordt gecontroleerd is uuAccessControl. 4. De syntax van een aantal attributen wordt gecontroleerd. Als een waarde niet aan de syntax voldoet, dan wordt waar mogelijk een correctie geprobeerd. Als een waarde niet aan de syntax voldoet, zelfs na correctie, dan wordt het attribuut verwijderd. 5. Picklistcontrole: Er zijn vaste lijsten van toegestane waarden voor bepaalde attributen, bijvoorbeeld bezoekadressen (=physicalDeliveryOfficeName) of gebouwnamen (=buildingName). Deze attributen worden gecontroleerd op hun waarden. Als een attribuut een waarde bevat die niet in de betreffende lijst voorkomt, dan wordt een correctie geprobeerd. Eerst wordt de waarde genormaliseerd en daarna weer opgezocht in de picklist. Als een near-match gevonden wordt, dan wordt het attribuut gevuld met de waarde uit de picklist. Als er geen near-match gevonden wordt, dan wordt het attribuut verwijderd uit de entry. De Mutatie koppeling verloopt via LDAP protocol. De controles worden niet meteen uitgevoerd bij het verwerken van de mutaties. De betrokken Ugids-beheerders worden geïnformeerd over eventuele problemen en fouten middels mutatierapporten per email aan de Ugids-beheerders.
1.3.1
Picklistcontroles
De volgende attributen worden gecontroleerd tegen vaste lijsten van toegestane waarden (picklists): • • •
Versie 1.0
physicalDeliveryOfficeName (=bezoekadres) postalAddress (=postadres) buildingName (=gebouwnaam)
4 of
54
Mutatiekoppeling Solis-Ugids
Mutatiekoppeling Solis-Ugids 1.3.2
Syntax controles
De volgende attributen worden gecontroleerd: Attribuut Syntax telephoneNumber +31 ?? ??????? uuOtherTelephoneNumber +31 ?? ??????? facsimileTelephoneNumber +31 ?? ??????? pager ??? Mail *@*.uu.nl uuAliasMail of *@sron.nl of *@azu.nl of *@umcutrecht.nl of *@roac.nl
Voorbeeld +31 30 2539999 +31 30 2530000 +31 30 2530001 999
[email protected] [email protected]
Attribuutwaarden die niet aan de syntax voldoen worden verwijderd door het controleprogramma.
1.3.3
Extra controles
Het attribuut uuPrivacyDirective moet bestaan voor elke medewerker en het moet de waarde “private” of “public” hebben. De waarde wordt gecontroleerd tegenover de waarde van attribuut uuStatus. Een medewerker met uuStatus = 0 of 1 (niet actief) moet niet zichtbaar zijn in de Solid-Ugids: zijn uuPrivacyDirective wordt op “private” gezet. Als een van deze twee attributen ontbreekt, dan wordt een foutmelding geschreven naar een log voor de DS Team voor handmatig actie. N.B. Medewerkers met uuStatus < 2 worden niet verder gecontroleerd, want ze mogen, als niet actieve medewerkers, geen rollen (meer) vervullen. Een herintreder (iemand die verandert van uuStatus van non-actief naar actief) wordt weer gecontroleerd.
__
Versie 1.0
5 of
55
Mutatiekoppeling Solis-Ugids
