LDAP - Kamsoft

LDAP w wersji 2
W systemie dostępny jest już mechanizm logowania z wykorzystaniem protokołu LDAP. Aby
aktywować nową funkcjonalność w module Administrator, należy włączyć korzystanie z logowania
poprzez domenę na zakładce Bezpieczeństwo. Dodatkowo należy bezwzględnie wprowadzić nazwę
domeny, za pomocą której dokonywana będzie autoryzacja operatora. Niewypełnienie pola z nazwą
domeny jednoznacznie jest z rezygnacją z wykorzystania logowania domenowego.
Mechanizm logowania z wykorzystaniem domeny, zaimplementowany w systemie KS-SOMED,
działa w następujący sposób:
 Operator systemu operacyjnego loguje się do systemu KS-SOMED z wykorzystaniem loginu
takiego jak w domenie. Nie istnieje weryfikacja hasła, uznajemy bowiem, że operator został
już zweryfikowany podczas logowania się do domeny.
 Jeśli w systemie KS-SOMED nie odnaleziono operatora o takim loginie, nastąpi jego
automatyczne wprowadzenie do systemu z następującymi parametrami:
 Login zgodny z loginem w domenie.
 Imię i nazwisko zgodne z opisem operatora w domenie.
 Adres e-mail zgodny z ustawionym w domenie.
 Typ pracownika wynikający z przypisanych mu w domenie grup.
 Role w systemie zgodne z przypisanymi mu w domenie grupami.
 Podmiot, do którego przypisany zostaje operator wynikający albo z grupy przypisanej
w domenie, albo jest to jeden z podmiotów wewnętrznych.
 Hasło operatora w systemie KS-SOMED ustawione jest na hasło uszkodzone. Nie ma
to znaczenia, gdyż operator nie loguje się z wykorzystaniem tego hasła, jeśli jednak
wyłączone zostanie logowanie z wykorzystaniem domeny, operator musi skorzystać
z pomocy administratora, który wyczyści hasło, pozwalając na powtórne logowanie się
do systemu według hasła KS-SOMED.
 Podczas każdego logowania operatora, analizowane są jego grupy i w zależności od opcji
Sposób integracji grup LDAP – aktualizowane role w systemie.
 Jeśli operator nie korzysta z domeny (możliwe jest, że w jednej instalacji część operatorów
korzysta z domeny, część nie) loguje się z wykorzystaniem hasła systemu KS-SOMED.
 Jeśli nazwa domeny nie jest prawidłowa, logowanie do systemu KS-SOMED następuje
w standardowy sposób.
Kluczowe dla poprawnej integracji systemu KS-SOMED z domeną są grupy domenowe, do których
przynależy operator. Na tej podstawie określany jest typ operatora, może być określony podmiot, w
którym operator pracuje, jak i uprawnienia, które zyskuje operator. Integracja z grupami odbywa się na
poziomie nazw.
Zakładając nowego operatora, KS-SOMED może stworzyć operatora z ustawionym rodzajem albo
pracownik medyczny/operator albo pracownik/operator.
Pierwszy z wymienionych rodzajów pozwala operatorowi zalogować się do systemu KS-SOMED
i być wybieralnym np. do realizacji świadczeń. Drugi z rodzajów pozwala operatorowi zalogować się
do systemu, operator ten jednak nie może być wykonawcą zleceń, nie może być osobą wystawiającą
receptę itp. To, jaki rodzaj operatora zostanie wybrany, wynika z przypisanych grup oraz ustawienia
opcji Grupy określające pracownika medycznego. Jeśli operator posiada w domenie grupę
wymienioną w tej opcji (w opisywanym przypadku będzie to grupa lekarze lub grupa pielegniarki)
założony
zostanie
w
systemie
KS-SOMED
operator
z
ustawionym
rodzajem
pracownik
medyczny/operator. Jeśli żadna z przypisanych operatorowi w domenie grup nie występuje na liście
w omawianej opcji (poszczególne grupy rozdzielamy przecinkami), rodzaj operatora zostanie
ustawiony na pracownik/operator.
W przypadku instalacji wielopodmiotowej istnieje również problem przypisania operatorowi
właściwego podmiotu wewnętrznego (w przypadku instalacji jednopodmiotowej problem nie
występuje, wybrany zawsze zostanie ten jeden istniejący podmiot). W takim przypadku, aby nie być
skazanym na losowe przypisanie podmiotu, należy zsynchronizować grupy domenowe ze skrótami
podmiotów wewnętrznych. Jeśli zostanie odnaleziony podmiot o skrócie odpowiadającym jednej
z przypisanych operatorowi grup, ten podmiot stanie się podmiotem przypisanym operatorowi.
Dla przykładu mamy cztery podmioty wewnętrzne o skrótach wschod, zachod, polnoc, poludnie.
Chcąc przypisać operatora do podmiotu zachod, należy przypisać mu w definicji użytkownika
domenowego grupę zachod. W przypadku niemożności dopasowania grupy i skrótu podmiotu
wybrany zostanie losowy podmiot, wynikający z kolejności zwróconych przez serwer bazy danych
podmiotów w zapytaniu.
Opcja Sposób integracji grup LDAP ma zastosowanie w przypadku logowania się do systemu
operatora, który jest już wprowadzony do systemu KS-SOMED. W zależności od wartości opcji:
 Nie nastąpi żadna synchronizacja ról operatora (wartość opcji Wyłączona).
 Mogą zostać dodane operatorowi nowe role, istniejące jednak role nie zostaną usunięte
(wartość opcji domyślna Dodawanie).
 Nastąpi pełna synchronizacja ról operatora, czyli zostaną dodane nowe role wynikające
z przypisanych operatorowi grup, ale też usunięte zostaną role – oczywiście mowa tu
o usunięciu roli pracownikowi, a nie o usunięciu roli z systemu – które nie mają swoich
odpowiedników w grupach LDAP (wartość opcji Pełna).
Synchronizacja ról polega na porównaniu nazw ról z nazwami przypisanych operatorowi grup. Jeśli
w systemie KS-SOMED zdefiniowana jest np. rola Administratorzy rola ta zostanie przypisana
operatorowi jeśli ma przypisaną grupę o takiej samej nazwie.
Uwagi końcowe do opisywanej funkcjonalności:
1. Wszystkie porównania nazw grup LDAP z wartościami opcji, czy też z nazwami ról są
realizowane bez rozróżniania wielkości liter.
2. Logowanie
z
wykorzystaniem
protokołu
LDAP
nie
jest
aktywne
przy
poziomie
bezpieczeństwa 0. Jest to spowodowane tym, że na takim poziomie nie wykorzystuje się
loginów w systemie KS-SOMED (jest stare okienko logowania) co wyklucza możliwość
integracji po loginach.
3. Włączenie logowania z wykorzystaniem protokołu LDAP nie blokuje możliwość wyboru
poziomu bezpieczeństwa. W
przypadku nie możności zalogowania się operatora
z wykorzystaniem
domeny (np. aktualny operator systemu operacyjnego nie jest
użytkownikiem domeny), nastąpi natywne logowanie do systemu KS-SOMED z wszystkimi,
wynikającymi z danego poziomu bezpieczeństwa, ustawieniami.
4. Jeśli zalogowano się do systemu KS-SOMED z wykorzystaniem logowania domenowego nie
jest sprawdzana jakość hasła, nie jest weryfikowany czas użycia hasła, nie pojawia się
żądanie zmiany hasła. Wszelkie takie zabezpieczenia należy ustawić na poziomie domeny.
5. Jeśli zalogowano się do systemu KS-SOMED z wykorzystaniem logowania domenowego
system KS-SOMED nie zablokuje się automatycznie po upływie założonego czasu
bezczynności. Wynika to z tego, że system KS-SOMED nie zna hasła domenowego, nie
może więc samodzielnie się odblokować. Zabezpieczenie stanowiska należy zorganizować
na poziomie domeny, chociażby wskazując operatorom na możliwość blokady systemu
z poziomu klawiatury (klawisz Windows + L).
6. Aktualnie mechanizm logowania z wykorzystaniem protokołu LDAP nie współpracuje
z mechanizmem integracji.