AdminGuide:BasicConcepts:Users and roles
Torna a AdminGuide:BasicConcepts
Utenti
L'accesso all'interfaccia utenti di KalliopePBX (insieme ai servizi CTI, la rubrica LDAP, ecc.) è assegnato agli utenti. Esistono due tipi di utenti: predefiniti e custom. Gli utenti predefiniti includono utenti dedicati a funzioni amministrative o riguardati i servizi, i cui ruoli sono normalmente predefiniti e non modificabili, mentre gli utenti custom sono utenti aggiuntivi che possono essere creati e assegnati a ruoli personalizzati.
Ad ogni utente sono assegnati permessi riguardanti la GUI, i clienti CTI e le API.
- GUI: gli utenti con accesso GUI possono accedere all'interfaccia web di KalliopePBX; l'accesso GUI permette anche l'accesso al server LDAP integrato.
- CTI: gli utenti con accesso CTI possono usare le applicazioni di Kalliope (CTI, Logger, Supervisor Panel) che si connettono al PBX usando il socket e protocollo CTI.
- API: gli utenti con accesso API possono invocare le API REST di KalliopePBX disponibili su http[s]://<indirizzo IP del PBX>/rest/ (vedi API REST).
Utenti predefiniti
Il primo esempio di utente predefinito è l'admin (la cui password di default è "admin"). L'admin è la figura tecnica primaria, usata solitamente per la configurazione di sistema. Utenti aggiuntivi possono avere permessi di configurazione, ma possono essere limitati a specifici pannelli della GUI, secondo il loro Ruolo assegnato.
Nella tabella seguente sono descritti gli utenti predefiniti con i relativi permessi di accesso. (Nota: il simbolo (+) indica che il permesso è assegnato di default e non può essere revocato; il simbolo (-) indica che è e possibile scegliere se assegnare o meno i permessi.)
| Username | Permessi di accesso | Note |
|---|---|---|
| admin | GUI (+) CTI (+) API (+) |
L'utente tecnico primario. Ha permessi completi per la configurazione del PBX, sia del sistema (network, servizi network) che della telefonia (entità, servizi, ecc.). Ha pieno accesso ai log e registri, ma ha alcune limitazioni per quanto riguarda aspetti relativi alla privacy degli utenti. Prima di tutto, non può visualizzare in pieno i numeri di telefono esterni nel CDR, ma gli verranno mostrati solo con le ultime tre cifre oscurate da "xxx"; in più, l'utente admin non ha accesso alla configurazione e i file di registrazione di chiamata, a cui può solo accedere l'utente privacyadmin (e utenti da lui delegati). |
| privacyadmin | GUI (-) API (-) |
Questo utente ha pieno accesso ai numeri di telefono esterni nel CDR ed è l'unico a poter configurare l'autorizzazione alla registrazione di chiamata. Può anche accedere ai registri di registrazione chiamate, ascoltare e scaricare le chiamate registrate e delegare i suoi poteri ad altri utenti, assegnandogli l'accesso ai numeri completi nel CDR e alla lista delle chiamate registrate con i relativi file. |
| phonebook | GUI (-) API (-) |
Questo utente ha accesso in lettura alla rubrica del KalliopePBX. Deve essere attivato dal pannello "Impostazioni di sistema" -> "Gestione utenti", assegnandogli una password e i relativi permessi di accesso. NOTA: l'accesso GUI include l'accesso al server LDAP integrato, dove viene pubblicata la rubrica di KalliopePBX (secondo le impostazioni definite nel pannello "Rubrica" -> "Impostazioni LDAP". L'utente "phonebook" è utile per avere una singola identità (configurabile con provisioning) usata dai telefoni per accedere alla rubrica di KalliopePBX con LDAP. |
| click2call | GUI (-) API (-) |
Questo utente è utile se si vuole usare applicazioni third party per mandare comandi click-to-call (usando l'API REST /rest/phoneServices/c2c/{dest_exten}/{source_exten}) usando un singolo utente con permessi limitati. |
Multitenant
In fase di attivazione della licenza multitenant, il PBX e le entità dei tenant, che erano prima raggruppate in una singola entità amministrativa, vengono separate, creando un nuovo utente predefinito pbxadmin (la cui password di default è "admin").
La gestione del PBX come sistema viene assegnata al nuovo utente "pbxadmin", che ha sia accesso GUI che accesso CTI, mentre l'utente "admin" mantiene il controllo dei servizi telefonici del tenant. Dato che è possibile creare più di un tenant, ognuno con il proprio utente "admin", è necessario estendere lo username in modo da specificare il proprio dominio. Il dominio predefinito del tenant preesistente è "default", quindi gli utenti predefiniti predefiniti diventano admin@default, privacyadmin@default, ecc.
Per ogni nuovo tentant creato (con dominio "sampledomain") vengono generati i relativi utenti predefiniti, admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, ecc.
Gli utenti admin@default e admin@sampledomain sono completamente indipendenti tra loro e ciascuno può solo gestire il proprio tenant.
NOTA: se un utente non specifica il proprio dominio durante il login (per esempio, usando "admin" invece che "admin@somedomain"), viene preso come appartenente al dominio di default e autenticato di conseguenza.
Utenti custom
È possibile creare altri utenti. Per ora, gli utenti custom devono essere associati ad un Interno. Gli utenti custom possono essere creati nel pannello "Modifica Interno", definendo un username unico per il tenant e assegnando permessi di accesso GUI, CTI e/o API. Ogni utente viene creato con il ruolo di "Tenant User", ma è successivamente possibile selezionare un altro ruolo fra quelli disponibili. Come spiegato sotto, i ruoli sono gestiti attraverso il pannello "Impostazioni di sistema" -> "Gestione ruoli", dove si può assegnare permessi di accesso ad ogni pannello della GUI, permettendo all'admin di delegare specifiche mansioni di configurazione ad altri utenti.
Configurazione utenti
Quando, durante la creazione di un interno, viene selezionata la casella Crea utente locale, viene automaticamente generato un utente GUI con le credenziali impostate in fase di creazione.
Per la modifica e la gestione di tali utenti è necessario accedere alla sezione Gestione utenti e ruoli nel menu Impostazioni di sistema.
Accedendo alla configurazione degli utenti è possibile:
- Modificare le credenziali (nome utente e password) di accesso alla GUI e ai client
- Assegnare un ruolo ed i relativi permessi di lettura / scrittura della configurazione
- Abilitare / Disabilitare l'accesso alla GUI e ai client
- Assegnare le seguenti licenze: KalliopeCTI Pro, KalliopeCTI Phone, Kalliope Attendant Console CTI, Kalliope Attendant Console Phone
Una volta creati, gli utenti custom non possono essere modificati dal pannello "Modifica interno" ma appariranno nel pannello "Impostazioni di sistema" -> "Gestione utenti" insieme agli utenti predefiniti.
Autenticazione
Gli utenti vengono autenticati con un controllo password, usando uno dei due metodi di autenticazione disponibili.
Il primo è "Local Authentication": la password viene gestita dal centralino, e la sua hash è salvato sul database interno per l'autenticazione. Questo è l'unico metodo disponibile per l'utente "admin".
KalliopePBX può anche autenticare gli utenti attraverso servizi esterni; i servizi supportati sono Microsoft Active Directory e server LDAP. I servizi esterni di autenticazione sono definiti a livello di tenant, quindi devono gestire username della forma "user@tenant_domain".
Ruoli
Ad ogni utente è assegnato un ruolo che determina i suoi permessi di accesso ai vari pannelli. Gli utenti predefiniti hanno ruoli predefiniti (che per ora non sono assegnabili a utenti custom), dato che i loro permessi sono fissi.
Gli utenti custom hanno come ruolo predefinito quello di "Tenant User" (o semplicemente "User"). Gli utenti con questo ruolo hanno accesso al proprio CDR e alle varie rubriche (locale, condivisa, personale).
È possibile creare altri ruoli (detti ruoli "Power User") e assegnarli agli utenti custom. Ogni ruolo ha un attributo di priorità (un valore intero da 1 a 99; gli utenti standard hanno priorità 0, mentre il tenant admin ha priorità 100) che viene usato per risolvere la contesa del lock della configurazione. Gli utenti possono acquisire il lock anche se è già stato acquisito da un altro utente, ammesso che il suo ruolo abbia priorità più alta di quello dell'altro utente. Nota: acquisire il lock da un altro utente annullerà tutti i cambiamenti effettuati da quest'ultimo.
Configurazione ruoli
La prima configurazione consiste nell'assegnare al ruolo una priorità, le priorità possono avere un valore compreso tra 0 e 99. Gli utenti con priorità più alta possono togliere il lock agli utenti con priorità più bassa e le modifiche non salvate verranno perse. Il campo Descrizione richiede un identificativo in modo da poter riconoscere ed assegnare velocemente il ruolo agli utenti desiderati.
I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:
I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:
- "nessuno": l'utente non può accedere al pannello e il link al pannello non sarà visualizzato nel menù di navigazione (è bloccato anche l'accesso diretto all'URL del pannello)
- "elenco": l'utente ha accesso in lettura al pannello con l'elenco delle relative entità (per esempio, la lista degli interni) ma non può accedere ai dettagli di ciascuna voce o eseguire azioni su di esse
- "lettura": l'utente può accedere sia al pannello di elenco che a quelli delle singole voci, ma solo in lettura
- "scrittura": l'utente ha pieno accesso di lettura/scrittura alle relative entità
Nella tabella seguente sono illustrati i parametri che è possibile definire per ogni ruolo.
Parametro |
Descrizione |
Valore
|
|---|---|---|
-
| ||
| Priorità | Abilitare o disabilitare un interno senza perderne la configurazione | Numerico (tra 0 e 99) |
| Descrizione | Scegliere quale template utilizzare per quell’interno | Alfa-numerico |
Permessi
| ||
| Gestione degli interni | Abilita gli utenti a gestire gli interni in base al permesso configurato | Nessuno / Elenco / Lettura / Scrittura |
| Gestione dei template degli interni | Abilita gli utenti a gestire i template degli interni in base al permesso configurato | |
| Gestione degli account | Abilita gli utenti a gestire gli account in base al permesso configurato | |
| Gestione dei template degli account | Abilita gli utenti a gestire i template degli account in base al permesso configurato | |
| Gestione delle code | Abilita gli utenti a gestire le code in base al permesso configurato | |
| Gestione dei gruppi | Abilita gli utenti a gestire i gruppi in base al permesso configurato | |
| Gestione delle classi di musica di attesa | Abilita gli utenti a gestire le classi di musica di attesa in base al permesso configurato | |
| Gestione dei domini VoIP | Abilita gli utenti a gestire i domini VoIP in base al permesso configurato | |
| Gestione delle linee di uscita | Abilita gli utenti a gestire le linee di uscita in base al permesso configurato | |
| Gestione dei file audio | Abilita gli utenti a gestire i file audio in base al permesso configurato | |
| Gestione delle regole LCR | Abilita gli utenti a gestire le regole LCR in base al permesso configurato | |
| Gestione delle classi LCR | Abilita gli utenti a gestire le classi LCR in base al permesso configurato | |
| Gestione dei controlli orari | Abilita gli utenti a gestire i controlli orari in base al permesso configurato | |
| Gestione del piano di numerazione | Abilita gli utenti a gestire il piano di numerazione in base al permesso configurato | |
| Gestione delle selezioni personalizzate nel piano di numerazione | Abilita gli utenti a gestire le selezioni personalizzate in base al permesso configurato | |
| Gestione della configurazione di rete | Abilita gli utenti a gestire la configurazione di rete in base al permesso configurato | |
| Gestione delle impostazioni SIP | Abilita gli utenti a gestire le impostazioni SIP in base al permesso configurato | |
| Gestione dei menu IVR | Abilita gli utenti a gestire i menu IVR in base al permesso configurato | |
| Gestione delle stanze di audioconferenza | Abilita gli utenti a gestire le stanze di audioconferenza in base al permesso configurato | |
| Gestione operativa delle stanze di audioconferenza | Abilita gli utenti a gestire le oprazioni delle stanze di audioconferenza in base al permesso configurato | |
| Gestione dei ruoli | Abilita gli utenti a gestire i ruoli in base al permesso configurato | |
| Servizi in chiamata | Abilita gli utenti a gestire i servizi in chiamata in base al permesso configurato | |
| Gestione delle impostazioni generali | Abilita gli utenti a gestire le impostazioni generali in base al permesso configurato | |
| Gestione degli utenti GUI | Abilita gli utenti a gestire gli utenti GUI in base al permesso configurato | |
| Gestione delle licenze | Abilita gli utenti a gestire le licenze in base al permesso configurato | |
| Gestione impostazioni audio | Abilita gli utenti a gestire le impostazioni audio in base al permesso configurato | |
| Gestione degli interruttori | Abilita gli utenti a gestire gli interruttori in base al permesso configurato | |
| Gestione dei template di provisioning | Abilita gli utenti a gestire i template di provisioning in base al permesso configurato | |
| Gestione dei device di provisioning | Abilita gli utenti a gestire i device di provisioning in base al permesso configurato | |
| Strumenti di diagnostica | Abilita gli utenti a gestire gli strumenti di diagnostica in base al permesso configurato | |
| Gestione della rubrica condivisa | Abilita gli utenti a gestire la rubrica condivisa in base al permesso configurato | |
| Visualizzazione del registro delle chiamate | Abilita gli utenti a visualizzare il registro delle chiamate | |
| Impostazioni SSL | Abilita gli utenti a gestire le impostazioni SSL in base al permesso configurato | |
| Gestione delle impostazioni LDAP | Abilita gli utenti a gestire le impostazioni LDAP in base al permesso configurato | |