Żądania dostępu

Wysłanie żądania na potrzeby dostępu do zasobów jest podstawą funkcjonalności Just In Time. Użytkownik wysyłający ma do wyboru dwa typy żądania: natychmiastowy lub zaplanowany.


W przypadku wybrania natychmiastowego typu żądania, użytkownik może ustalić okres dostępu od zaraz do maksymalnie 24 godzin. Okres dostępu użytkownika zaczyna się w momencie zatwierdzenia żądania przez administratora - wtedy ma on 24 godziny na rozpoczęcie sesji. Kiedy użytkownik rozpoczyna sesję, system odlicza czas dostępu i przerywa połączenie, kiedy czas ten się skończy. Natomiast, jeśli użytkownik nie łączy się w ciągu bliższych 24 godzin, jego dostęp zostaje cofnięty.


Zaplanowany typ żądania polega na wyborze daty rozpoczęcia oraz daty zakończenia trwania dostępu.


Żądania są wysyłane użytkownikiem przez Portal Użytkownika, a osoby uprawnione do udzielenia dostępu, mogą zaakceptować bądź odrzucić żądanie w zakładce Żądania dostępu pod sekcją Zarządzanie.


Aby włączyć tę funkcjonalność, postępuj zgodnie z instrukcją:

  1. Wybierz Zarządzanie > Sejfy i znajdź żądany sejf, bądź stwórz nowy.
  2. W sekcji Ogólne ustawień sejfu zaznacz opcję Głosy wymagane do uzyskania dostępu. Razem z włączonym checkboxem pojawi się pole do wprowadzenia ilości tak zwanych głosów, które będą się liczyć do akceptacji bądź odrzucenia żądania użytkownika.
../../_images/5-2-pl-jit-wlacz.png

Informacja

Użytkownicy o rolach Admin oraz użytkownicy dodani do sejfu jako Uprawnieni użytkownicy mogą głosować o udzielenie dostępu.

Użytkownik, który wysłał żądanie o dostęp nie może udzielać dostępu na swoje własne żądanie, więc wysłane przez niego żądania nie są dla niego widoczne.

W przypadku ustawienia liczby osób głosujących większej niż 1, żądanie będzie musiało być zaakceptowane przez zdefiniowaną liczbę osób. Natomiast, jeśli jeden z głosujących zagłosuje na odrzucenie, całe żądanie zostanie odrzucone.

  1. Teraz przejdź do pod-zakładki Uprawnieni użytkownicy i dodaj typ notyfikacji Wysłano żądanie dostępu dla użytkowników, którzy będą dostawać powiadomienia o wysłanych żądaniach.

Informacja

Notyfikacje są ustawiane per węzeł - zgodnie z ustawieniami w zakładce Powiadomienia. W przypadku wybrania notyfikacji typu Wysłano żądanie dostępu, powiadomienie mailowe zostanie wysłane z tego węzła, z którego zostało wysłane żądanie. Więcej na temat wysłania notyfikacji znajdziesz pod linkiem Powiadomienia.

../../_images/5-2-pl-jit-notifications.png
  1. Kliknij Zapisz.

Żądania oczekujące


Żądania oczekujące decyzji uprawnionych osób są widoczne w zakładce Żądania dostępu pod sekcją Zarządzanie.

../../_images/5-1-zadania-oczekujace.png

Żeby zagłosować, wciśnij przycisk ODPOWIEDŹ. W modalu będzie widoczna szczegółowa informacja o wysłanym żądaniu. Wprowadź Powód odpowiedzi oraz wybierz opcję akceptacji albo odrzucenia.

../../_images/5-1-jit-response.png

Informacja

  • Użytkownicy, którzy wysłali żądanie o dostęp oraz mają skonfigurowane adresy mailowe w Panelu Admina, dostaną powiadomienie, kiedy ich żądanie zostanie zaakceptowane bądź odrzucone.
  • Jeśli użytkownik próbuje się połączyć do serwera (przykładowo, o protokole SSH) korzystając z opcji klient natywny, ale nie wysłał żądania o dostęp, stosowny komunikat o błędzie uwierzytelnienia będzie zapisany w Dzienniku zdarzeń: Unable to authenticate user: safe requires acceptance.

Żądania aktywne

Pod zakładką Aktywne są widoczne dwa typy żądań: 1) te, które zostały zaakceptowane, i je sesje obecnie trwają, oraz 2) te, które dalej oczekują na część głosów. W kolumnie Głosy można sprawdzić aktualny stan żądania oraz ile głosów konkretne żądanie potrzebuje.

../../_images/5-1-jit-aktywne.png

Stąd też można odwołać dostęp użytkownikowi poprzez wciśnięcie przycisku Anuluj, dostępnego dla żądań z już uznanym dostępem. Ta opcja też jest przydatna w sytuacji, kiedy użytkownik skończył pracę wcześniej - administrator może odwołać dostęp w celu uniknięcia nadużycia zasobów.


Archiwum żądań

Historia skompletowanych żądań jest widoczna w zakładce Archiwum.

../../_images/5-1-jit-archiwum.png

Informacja o dokonanych głosach na konkretne żądanie jest dostępna po najechaniu na rekord kolumny Głosy.

../../_images/jit-glosy.png

Funkcjonalność Just In Time działa też w obrębie klastra połączonych instancji Fudo. Żądania oraz głosy są replikowane na poszczególnych węzłach klastra.

Informacja

W przypadku, gdy użytkownik zagłosował na kilku maszynach w obrębie klastra, i jego głosy były sprzeczne, system potraktuje żądanie jako odrzucone.

Tematy pokrewne: