2.3 Toimijat ja roolit
Sähköisten työpöytien kokonaisuuteen liittyvät käyttäjäroolit on esitetty kuvassa 2. Päärooleja tarkentavien roolien hallinta on rakennettava projektin aikana, jotta kokonaisuus saadaan toimimaan. Kuvassa näkyy kaikki IDM:n (Ammeen) roolit ja niiden kytkeytyminen Oman rooleihin. Oman roolit oikeuttavat pääsyyn vastaavalle työpöydälle kuvan 3 mukaisesti.
Kuva 2. Työpöytäkokonaisuuteen liittyvät roolit
3.2.2 Kertakirjautuminen ja käyttäjien provisiointi työpöydille
Kertakirjautuminen työpöydille on toteutettava Shibbolethin avulla, jotta ratkaisu on helposti hyödynnettävissä muuallakin korkeakoulusektorilla (HAKA-luottamusverkosto). Metropolialla on
olemassa oleva Shibboleth Identity Provider-palvelu, joka on myös integroitu käytössä olevaan CASkertakirjautumiseen. Kertakirjautumista varten on toteutettava Liferayhin moduuli, jonka avulla Shibboleth-autentikointi tunnistetaan. Tämän lisäksi moduulin on provisioitava tunnistettu käyttäjä kyseiseen Liferayinstanssiin hakemalla käyttäjän tiedot palvelukerroksesta. Tämä tarkoittaa sitä, että käyttäjiä ei viedä etukäteen erillisen integraation avulla Liferay-instansseille, vaan käyttäjät luodaan ja päivitetään joka kirjautumiskerran yhteydessä paikallisesti kussakin Liferay-instanssissa. Liferayn käyttäjähallinnassa ei siis saa syntyä riippuvuuksia ulkoisiin käyttäjätietolähteisiin (esim. LDAP/AD).
Kertakirjautumisen mahdollinen kulku:
1) Käyttäjä menee selaimella mihin tahansa oma.metropolia.fi -osoitteeseen v. 0.6 14 ( 103 )
2) Käyttäjä tunnistetaan Shibbolethin avulla, Shibboleth välittää Liferaylle käyttäjän tunnuksen, esim. tunnus@metropolia.fi
3) Liferayhin toteutettava kertakirjautumismoduuli hakee palvelukerroksesta käyttäjän tiedot tunnuksen perusteella ja joko luo käyttäjän tai päivittää käyttäjän tiedot Liferayssa
4) Moduuli aloittaa tavallisen Liferay-instunnon
Muita kertakirjautumiseen liittyviä vaatimuksia:
● Jos tunnusta ei ole Liferayssä, se tulee luoda kirjautumisen yhteydessä.
● Käyttäjän roolit haetaan roolipalvelusta. Joka kirjautumiskerralla on tarkistettava mihin rooleihin käyttäjä kuuluu ja päivitettävä jäsenyyden Liferayssa (eli käyttäjä pitää myös poistaa roolista, mikäli hän ei enää siihen kuulu roolipalvelun mukaan).
● Jos käyttäjällä ei ole sellaista roolia, joka tarvitaan työpöydän käyttöön, tulee käyttäjälle esittää virhesivu (tavallinen Liferay-sivu, jonka sisältö voidaan muokata halutunlaiseksi)
● Keskitetty uloskirjautuminen on toteutettava, eli uloskirjautuessa istuntoja ei saa jäädä toisille
työpöytäinstansseille.
3.2.3 Oikeuksienhallinta
Liferay-asennukset provisoidaan/asennetaan siten, että niissä on käytössä samannimiset roolit, joita hallitaan keskitetysti (ks. kohta 3.3). Pääsy työpöydille ja niillä oleviin sivuihin sekä yksittäisten
portlettien näkyvyys käyttäjälle hallitaan näiden roolien avulla. Yksittäisellä palvelulla voi olla oma oikeushallintansa palvelukerroksessa, mutta se voi myös hyödyntää näitä yleisiä rooleja silloin kuin se on järkevää.
3.2.4.2 Rooli- ja käyttöoikeuspalvelu
Roolipalvelu
Roolipalvelun avulla työpöydät selvittävät käyttäjien roolijäsenyydet. Kun kaikissa työpöydissä hyödynnetään samoja rooleja, pystytään työpöytien ja niiden sivujen sekä komponenttien käyttöoikeuksia ylläpitämään johdonmukaisesti.
Käyttöoikeuspalvelu
Käyttöoikeuspalvelun avulla pääkäyttäjät voivat määritellä eri kokonaisuuksiin (esim. tietty palvelu) liittyviä oikeuksia ja antaa näitä oikeuksia roolipalvelussa tallennetuille rooleille. Ideana on, että mikä tahansa palvelu millä tahansa työpöytäinstanssilla voi hyödyntää samaa käyttöoikeuspalvelua, jolloin esimerkiksi tiedottamiseen liittyvät oikeudet ovat yhdessä paikassa. Oikeuteen voi liittää rooleja ja/tai henkilöitä.
Tarkempi kuvaus rooleista on kohdassa 3.3.