Differenze tra le versioni di "AdminGuide:BasicConcepts:Users and roles"

Da Kalliope Wiki.
Jump to navigation Jump to search
 
(33 versioni intermedie di 5 utenti non mostrate)
Riga 1: Riga 1:
<languages />
<translate>
<!--T:1-->
[[en:AdminGuide:BasicConcepts:Users and roles]]
[[en:AdminGuide:BasicConcepts:Users and roles]]
<div style="float: right">__TOC__</div>
<div style="float: right">__TOC__</div>
Torna a [[AdminGuide:BasicConcepts]]


= Users =
= Utenti = <!--T:2-->
Access to KalliopePBX GUI (as well as CTI services, LDAP phonebook, etc.) is granted to '''Users'''. There are two kind of users: '''builtin''' and '''custom''' users.
L'accesso all'interfaccia utenti di KalliopePBX (insieme ai servizi CTI, la rubrica LDAP, ecc.) è assegnato agli '''utenti'''. Esistono due tipi di utenti: '''predefiniti''' e '''custom'''. Gli '''utenti predefiniti''' includono utenti dedicati a funzioni amministrative o riguardati i servizi, i cui ruoli sono normalmente predefiniti e non modificabili, mentre gli '''utenti custom''' sono utenti aggiuntivi  che possono essere creati e assegnati a ruoli personalizzati.
'''Builtin users''' include administrative and service users, whose role are usually predefined and not modifiable, whereas '''custom users''' are additional users that can be created and assigned to custom roles.


Each user has one or more associated access permissions among GUI, CTI and API.  
<!--T:3-->
* '''GUI''': GUI access means that the user can login to the KalliopePBX web interface; GUI access also grants the user the permission to access the integrated LDAP server.
Ad ogni utente sono assegnati permessi riguardanti la GUI, i clienti CTI e le API.
* '''CTI''': CTI access allows the users to use Kalliope softwares (CTI, Logger, Supervisor Panel) which connects to the PBX using the CTI socket and protocol
* '''GUI''': gli utenti con accesso GUI possono accedere all'interfaccia web di KalliopePBX; l'accesso GUI permette anche l'accesso al server LDAP integrato.
* '''API''': API access allows the users to invoke the KalliopePBX REST APIs available at http[s]://<PBX IP>/rest/ (see [[AdminGuide:REST API|REST API]])
* '''CTI''': gli utenti con accesso CTI possono usare le applicazioni di Kalliope (CTI, Logger, Supervisor Panel) che si connettono al PBX usando il socket e protocollo CTI.
* '''API''': gli utenti con accesso API possono invocare le API REST di KalliopePBX disponibili su http[s]://<indirizzo IP del PBX>/rest/ (vedi [[AdminGuide:RestAPI|API REST]]).


== Builtin users ==
== Utenti predefiniti == <!--T:4-->
The first example of builtin user is '''admin''' (whose factory password is "admin"), which is used to access the GUI after first firmware installation. This is the primary technical figure, and is commonly used to perform all the system configuration. Additional users may have the rights to perform configuration tasks, but they can be limited to specific GUI panels only, according to their granted '''Role'''.
Il primo esempio di utente predefinito è l''''admin''' (la cui password di default è "admin"). L'admin è la figura tecnica primaria, usata solitamente per la configurazione di sistema. Utenti aggiuntivi possono avere permessi di configurazione, ma possono essere limitati a specifici pannelli della GUI, secondo il loro '''Ruolo''' assegnato.


The list of builtin users follows, along with their access permissions (Note: (+) means that this access permission is assigned and cannot be revoked; (-) means that the permission can be granted or not):
<!--T:5-->
Nella tabella seguente sono descritti gli utenti predefiniti con i relativi permessi di accesso. (Nota: il simbolo (+) indica che il permesso è assegnato di default e non può essere revocato; il simbolo (-) indica che è e possibile scegliere se assegnare o meno i permessi.)


<!--T:6-->
{| class="wikitable"
{| class="wikitable"
|-
|-
! Username
! Username
! Access permissions
! Permessi di accesso
! Notes
! Note
|-
|-
! admin  
! admin  
| style="text-align:center;" |GUI (+)<br />CTI (+)<br />API (+)
| style="text-align:center;" |GUI (+)<br />CTI (+)<br />API (+)
| this is the main technical user. It has all the privileges on the configuration of the PBX, in terms of system (network, network services) and telephony (entites, services, etc.). It has full access to logs and registers, but it has some limitations regarding the aspects related to the privacy of the users. Firstly, it cannot see the full external telephone numbers in the CDR, but it has the last three digits masked by "xxx"; secondly, "admin" user does not have access to Call Recording configuration and files, which is limited to "privacyadmin" user (and delegated users).  
| L'utente tecnico primario. Ha permessi completi per la configurazione del PBX, sia del sistema (network, servizi network) che della telefonia (entità, servizi, ecc.). Ha pieno accesso ai log e registri, ma ha alcune limitazioni per quanto riguarda aspetti relativi alla privacy degli utenti. Prima di tutto, non può visualizzare in pieno i numeri di telefono esterni nel CDR, ma gli verranno mostrati solo con le ultime tre cifre oscurate da "xxx"; in più, l'utente admin non ha accesso alla configurazione e i file di registrazione di chiamata, a cui può solo accedere l'utente privacyadmin (e utenti da lui delegati).
|-
|-
! privacyadmin  
! [[UserGuides:PrivacyAdmin|privacyadmin]]
| style="text-align:center;" | GUI (-)<br />API (-)
| style="text-align:center;" | GUI (-)<br />API (-)
| this user has full access to the external telephone numbers of the CDR, and is the only one who can configure call recording authorizations. It can also access call recording records, download and listen the recorded calls, as well as grant other users with the "privacy" permission, which permits the target user to have access to full numbers in CDR and to recorded calls list panel (and files).  
| Questo utente ha pieno accesso ai numeri di telefono esterni nel CDR ed è l'unico a poter configurare l'autorizzazione alla registrazione di chiamata. Può anche accedere ai registri di registrazione chiamate, ascoltare e scaricare le chiamate registrate e delegare i suoi poteri ad altri utenti, assegnandogli l'accesso ai numeri completi nel CDR e alla lista delle chiamate registrate con i relativi file.
|-
|-
! phonebook  
! phonebook  
| style="text-align:center;" | GUI (-)<br />API (-)
| style="text-align:center;" | GUI (-)<br />API (-)
| this user has read access to the KalliopePBX phonebook. It has to be explicitly enabled from the "System Settings"->[[AdminGuide:GUI:UsersManagement|"Users Management"]] panel, assigning it a password and the related access permissions. NOTE: GUI permission also grants the right to access the integrated LDAP server, where the KalliopePBX phonebook is published (according to the settings in "Phonebook"->[[AdminGuide:GUI:LDAP Settings|"LDAP Settings"]] panel). The "phonebook" user is mainly useful to have a single identity (configurable through provisioning) used by the telephones to access the KalliopePBX phonebook using LDAP.
| Questo utente ha accesso in lettura alla rubrica del KalliopePBX. Deve essere attivato dal pannello "Impostazioni di sistema" -> [[AdminGuide:BasicConcepts:Users_and_roles#Utenti|"Gestione utenti"]], assegnandogli una password e i relativi permessi di accesso. NOTA: l'accesso GUI include l'accesso al server LDAP integrato, dove viene pubblicata la rubrica di KalliopePBX (secondo le impostazioni definite nel pannello "Rubrica" -> "Impostazioni LDAP". L'utente "phonebook" è utile per avere una singola identità (configurabile con provisioning) usata dai telefoni per accedere alla rubrica di KalliopePBX con LDAP.
|-
|-
! click2call  
! click2call  
| style="text-align:center;" | GUI (-)<br />API (-)
| style="text-align:center;" | GUI (-)<br />API (-)
| this user is useful to have third party applications to send click-to-call commands (using REST API /rest/phoneServices/c2c/{dest_exten}/{source_exten}) KalliopePBX using a single privilege-limited authentication user
| Questo utente è utile se si vuole usare applicazioni third party per mandare comandi click-to-call (usando l'API REST /rest/phoneServices/c2c/{dest_exten}/{source_exten}) usando un singolo utente con permessi limitati.
|}
|}


=== Multitenant ===
=== Multitenant === <!--T:7-->
 
<!--T:8-->
In fase di attivazione della licenza multitenant, il PBX e le entità dei tenant, che erano prima raggruppate in una singola entità amministrativa, vengono separate, creando un nuovo utente predefinito '''pbxadmin''' (la cui password di default è "admin").
 
<!--T:9-->
La gestione del PBX come sistema viene assegnata al nuovo utente "pbxadmin", che ha sia accesso GUI che accesso CTI, mentre l'utente "admin" mantiene il controllo dei servizi telefonici del tenant. Dato che è possibile creare più di un tenant, ognuno con il proprio utente "admin", è necessario estendere lo username in modo da specificare il proprio dominio. Il dominio predefinito del tenant preesistente è "default", quindi gli utenti predefiniti predefiniti diventano admin@default, privacyadmin@default, ecc.
 
<!--T:10-->
Per ogni nuovo tentant creato (con dominio "sampledomain") vengono generati i relativi utenti predefiniti, admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, ecc.
 
<!--T:11-->
Gli utenti admin@default e admin@sampledomain sono completamente indipendenti tra loro e ciascuno può solo gestire il proprio tenant.
 
<!--T:12-->
'''NOTA''': se un utente non specifica il proprio dominio durante il login (per esempio, usando "admin" invece che "admin@somedomain"), viene preso come appartenente al dominio di default e autenticato di conseguenza.
 
== Utenti custom == <!--T:13-->
 
<!--T:14-->
È possibile creare altri utenti. Per ora, gli utenti custom devono essere associati ad un '''Interno'''. Gli utenti custom possono essere creati nel pannello "Modifica Interno", definendo un username unico per il tenant e assegnando permessi di accesso GUI, CTI e/o API. Ogni utente viene creato con il ruolo di "Tenant User", ma è successivamente possibile selezionare un altro ruolo fra quelli disponibili. Come spiegato sotto, i ruoli sono gestiti attraverso il pannello "Impostazioni di sistema" -> "[[AdminGuide:BasicConcepts:Users_and_roles#Ruoli|Gestione ruoli]]", dove si può assegnare permessi di accesso ad ogni pannello della GUI, permettendo all'admin di delegare specifiche mansioni di configurazione ad altri utenti.
 
== Configurazione utenti == <!--T:30-->
[[File:Utenti GUI.png|miniatura]]
Quando, durante la creazione di un [[AdminGuide:BasicConcepts:Extensions and SIP accounts|interno]], viene selezionata la casella ''Crea utente locale'', viene automaticamente generato un [[AdminGuide:BasicConcepts:Users and roles|utente]] GUI con le credenziali impostate in fase di creazione.
 
<!--T:31-->
Per la modifica e la gestione di tali [[AdminGuide:BasicConcepts:Users and roles|utenti]] è necessario accedere alla sezione ''Gestione utenti e ruoli'' nel menu ''Impostazioni di sistema''.
 
<!--T:32-->
Accedendo alla configurazione degli [[AdminGuide:BasicConcepts:Users and roles|utenti]] è possibile:
* Modificare le credenziali (nome utente e password) di accesso alla GUI e ai client
* Assegnare un [[Gestione Ruoli|ruolo]] ed i relativi permessi di lettura / scrittura della configurazione
* Abilitare / Disabilitare l'accesso alla GUI e ai client
* Assegnare le seguenti licenze: KalliopeCTI Pro, KalliopeCTI Phone, Kalliope Attendant Console CTI, Kalliope Attendant Console Phone
 
 
<!--T:15-->
Una volta creati, gli utenti custom non possono essere modificati dal pannello "Modifica interno" ma appariranno nel pannello "Impostazioni di sistema" -> [[AdminGuide:GUI:OperatingMenu:UsersManagement|"Gestione utenti"]] insieme agli utenti predefiniti.
 
== Autenticazione == <!--T:16-->


During Multitenant license activation the PBX and (default) tenant entities, which were bundled under a single administration entity, are separated and a new builtin user '''pbxadmin''' is created (with factory password "admin").
<!--T:17-->
Gli utenti vengono autenticati con un controllo password, usando uno dei due metodi di autenticazione disponibili.


Management of the PBX as a system is granted to this new "pbxadmin" user, which has bot GUI and CTI permissions, whereas telephony services configuration of the tenant remains to the "admin" user. Since multiple tenants can be created, each with its own "admin" user, it is necessary to extend the authentication username to specify the relevant tenant domain. The predefined existing tenant domain is "default", so the predefined builtin users become admin@default, privacyadmin@default, ...  
<!--T:18-->
Il primo è "Local Authentication": la password viene gestita dal centralino, e la sua hash è salvato sul database interno per l'autenticazione. Questo è l'unico metodo disponibile per l'utente "admin".


For each new tenant which gets created (e.g. with domain "sampledomain"), a number of new users are generated, namely admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, and so on.
<!--T:19-->
KalliopePBX può anche autenticare gli utenti attraverso servizi esterni; i servizi supportati sono Microsoft Active Directory e server LDAP. I servizi esterni di autenticazione sono definiti a livello di tenant, quindi devono gestire username della forma "user@tenant_domain".


Users admin@default and admin@sampledomain are completely independent and each one can only manage its own tenant.
= Ruoli = <!--T:20-->


NOTE: if a user does not specify the domain when logging in (e.g. uses "admin" instead of "admin@somedomain"), then it is assumed to belong to the default domain and authentication is performed accordingly.
<!--T:21-->
Ad ogni utente è assegnato un ruolo che determina i suoi permessi di accesso ai vari pannelli. Gli utenti predefiniti hanno ruoli predefiniti (che per ora non sono assegnabili a utenti custom), dato che i loro permessi sono fissi.


== Custom users ==
<!--T:22-->
Gli utenti custom hanno come ruolo predefinito quello di "Tenant User" (o semplicemente "User"). Gli utenti con questo ruolo hanno accesso al proprio CDR e alle varie rubriche (locale, condivisa, personale).


Additional users can be created. Currently, custom users have to be associated to an '''Extension'''. Creation of a custom user is performed in the "Edit Extension" panel, defining a unique (within the tenant) username and assigning GUI, CTI and/or API access permissions. By default all custom users are created with the standard "Tenant User" role, but a different one can be selected among the available ones. As detailed below, roles are managed in the "System Settings" -> "[[AdminGuide:GUI:RolesManagement|Roles Management]]" panel, where different access permissions (none/list/read/write) can be assigned for each panel of the GUI, allowing the admin to delegate some configuration tasks to selected users.
<!--T:23-->
È possibile creare altri ruoli (detti ruoli "Power User") e assegnarli agli utenti custom. Ogni ruolo ha un attributo di priorità (un valore intero da 1 a 99; gli utenti standard hanno priorità 0, mentre il tenant admin ha priorità 100) che viene usato per risolvere la contesa del lock della configurazione. Gli utenti possono acquisire il lock anche se è già stato acquisito da un altro utente, ammesso che il suo ruolo abbia priorità più alta di quello dell'altro utente. Nota: acquisire il lock da un altro utente annullerà tutti i cambiamenti effettuati da quest'ultimo.


Once created, custom users cannot be modified any more from the "Edit extension" panel, but they appear in the "System Settings"->[[AdminGuide:GUI:UsersManagement|"Users Management"]] panel, along with the builtin ones.
== Configurazione ruoli == <!--T:24-->


== User authentication ==
<!--T:33-->
[[File:Pagina Ruoli.png|miniatura]]


User authentication is performed by a password check, using one of the two available authentication methods.
<!--T:25-->
La prima configurazione consiste nell'assegnare al ruolo una priorità, le priorità possono avere un valore compreso tra 0 e 99. Gli utenti con priorità più alta possono togliere il lock agli utenti con priorità più bassa e le modifiche non salvate verranno perse.
Il campo ''Descrizione'' richiede un identificativo in modo da poter riconoscere ed assegnare velocemente il ruolo agli utenti desiderati.


The first method is "Local Authentication": the user password is handled by the PBX, and its hash is stored in the internal database for authentication. This is the only available authentication method for the "admin" user.
<!--T:26-->
I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:


KalliopePBX can also authenticate users toward an external service; the supported external authentication services are Microsoft Active Directory and LDAP servers. External authentication services are defined on a per-tenant basis, so they need to handle authentication usernames in the form "user@tenant_domain".
<!--T:27-->
I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:
* "nessuno": l'utente non può accedere al pannello e il link al pannello non sarà visualizzato nel menù di navigazione (è bloccato anche l'accesso diretto all'URL del pannello)
* "elenco": l'utente ha accesso in lettura al pannello con l'elenco delle relative entità (per esempio, la lista degli interni) ma non può accedere ai dettagli di ciascuna voce o eseguire azioni su di esse
* "lettura": l'utente può accedere sia al pannello di elenco che a quelli delle singole voci, ma solo in lettura
* "scrittura": l'utente ha pieno accesso di lettura/scrittura alle relative entità


= Roles =
<!--T:28-->
Nella tabella seguente sono illustrati i parametri che è possibile definire per ogni ruolo.


Roles are assigned to the users, and determine their permissions in terms of access to the various panels. Builtin users have builtin roles (currently not assignable to custom users) since their permissions are fixed.
<!--T:29-->
{| class="wikitable"
|-
! <div style = 'text-align: left> '''Parametro''' !! <div style = 'text-align: left> '''Descrizione''' !! <div style = 'text-align: left> '''Valore'''
|-
|colspan="3"| <div style = 'text-align: center; color: transparent> -
|-
| Priorità || Abilitare o disabilitare un interno senza perderne la configurazione || Numerico (tra 0 e 99)
|-
| Descrizione|| Scegliere quale template utilizzare per quell’interno || Alfa-numerico
|-
!colspan="3"| <div style = 'text-align: left> '''''Permessi'''''
|-
| [[AdminGuide:BasicConcepts:Extensions_and_SIP_accounts#Configurazione_Interni|Gestione degli interni]] || Abilita gli utenti a gestire gli interni in base al permesso configurato || rowspan="34"| Nessuno / Elenco / Lettura / Scrittura
|-
| Gestione dei template degli interni || Abilita gli utenti a gestire i template degli interni in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Extensions_and_SIP_accounts#Configurazione_Account|Gestione degli account]] || Abilita gli utenti a gestire gli account in base al permesso configurato
|-
| Gestione dei template degli account || Abilita gli utenti a gestire i template degli account in base al permesso configurato
|-
| [[AdminGuide:Service:ACD|Gestione delle code]]|| Abilita gli utenti a gestire le code in base al permesso configurato
|-
| [[AdminGuide:Service:RingGroups|Gestione dei gruppi]] || Abilita gli utenti a gestire i gruppi in base al permesso configurato
|-
| [[AdminGuide:Service:AudioFile#Configurazione_Classi_di_musica_di_attesa|Gestione delle classi di musica di attesa]]|| Abilita gli utenti a gestire le classi di musica di attesa in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Outbound lines:Dominio VoIP|Gestione dei domini VoIP]] || Abilita gli utenti a gestire i domini VoIP in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Outbound_lines#Configurazione_del_servizio|Gestione delle linee di uscita]] || Abilita gli utenti a gestire le linee di uscita in base al permesso configurato
|-
| [[AdminGuide:Service:AudioFile|Gestione dei file audio]] || Abilita gli utenti a gestire i file audio in base al permesso configurato
|-
| [[Classi Regole LCR|Gestione delle regole LCR]] || Abilita gli utenti a gestire le regole LCR in base al permesso configurato
|-
| [[Classi Regole LCR|Gestione delle classi LCR]] || Abilita gli utenti a gestire le classi LCR in base al permesso configurato
|-
| [[AdminGuide:Service:ChecktimeAndSwitches#Configurazione_dei_controlli_orari|Gestione dei controlli orari]] || Abilita gli utenti a gestire i controlli orari in base al permesso configurato
|-
| [[AdminGuide:Service:NumberingPlan|Gestione del piano di numerazione]] || Abilita gli utenti a gestire il piano di numerazione in base al permesso configurato
|-
| Gestione delle selezioni personalizzate nel piano di numerazione || Abilita gli utenti a gestire le selezioni personalizzate in base al permesso configurato
|-
| Gestione della configurazione di rete || Abilita gli utenti a gestire la configurazione di rete in base al permesso configurato
|-
| [[AdminGuide:Service:SIPSettings|Gestione delle impostazioni SIP]] || Abilita gli utenti a gestire le impostazioni SIP in base al permesso configurato
|-
| [[AdminGuide:Service:IVR|Gestione dei menu IVR]] || Abilita gli utenti a gestire i menu IVR in base al permesso configurato
|-
| [[AdminGuide:Service:MeetMe|Gestione delle stanze di audioconferenza]] || Abilita gli utenti a gestire le stanze di audioconferenza in base al permesso configurato
|-
| [[AdminGuide:Service:MeetMe|Gestione operativa delle stanze di audioconferenza]]|| Abilita gli utenti a gestire le oprazioni delle stanze di audioconferenza in base al permesso configurato
|-
| Gestione dei ruoli|| Abilita gli utenti a gestire i ruoli in base al permesso configurato
|-
| [[AdminGuide:Service:OnCallServices|Servizi in chiamata]] || Abilita gli utenti a gestire i servizi in chiamata in base al permesso configurato
|-
| [[AdminGuide:GUI:OperatingMenu:GeneralSettings|Gestione delle impostazioni generali]] || Abilita gli utenti a gestire le impostazioni generali in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Users_and_roles/it#Configurazione_utenti|Gestione degli utenti GUI]] || Abilita gli utenti a gestire gli utenti GUI in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Licenses|Gestione delle licenze]] || Abilita gli utenti a gestire le licenze in base al permesso configurato
|-
| Gestione impostazioni audio || Abilita gli utenti a gestire le impostazioni audio in base al permesso configurato
|-
| [[AdminGuide:Service:ChecktimeAndSwitches|Gestione degli interruttori]] || Abilita gli utenti a gestire gli interruttori in base al permesso configurato
|-
| Gestione dei template di provisioning|| Abilita gli utenti a gestire i template di provisioning in base al permesso configurato
|-
| Gestione dei device di provisioning|| Abilita gli utenti a gestire i device di provisioning in base al permesso configurato
|-
| [[AdminGuide:Service:PacketCapture|Strumenti di diagnostica]] || Abilita gli utenti a gestire gli strumenti di diagnostica in base al permesso configurato
|-
| [[AdminGuide:Service:Phonebook#Rubrica_condivisa|Gestione della rubrica condivisa]] || Abilita gli utenti a gestire la rubrica condivisa in base al permesso configurato
|-
| Visualizzazione del registro delle chiamate|| Abilita gli utenti a visualizzare il registro delle chiamate
|-
| [[AdminGuide:Service:SSLSettings|Impostazioni SSL]] || Abilita gli utenti a gestire le impostazioni SSL in base al permesso configurato
|-
| [[AdminGuide:Service:Phonebook#Impostazioni_LDAP|Gestione delle impostazioni LDAP]] || Abilita gli utenti a gestire le impostazioni LDAP in base al permesso configurato
|}


Custom users by default have the "Tenant User" (or simply "User") role, which is builtin and not modifiable.  This role grants the user the right to access its own CDR and the PBX phonebooks: the extensions (or local), the shared and personal one.


Additional roles (indicated as "Power User" roles) can be created and assigned to the custom users. Each Role has a priority attribute (an integer value between 1 and 99; standard users have priority 0 whereas tenant admin has 100) which is used to resolve contention on the Configuration Lock, in case multiple users need to perform configuration operations on the PBX. Indeed, users can acquire the Configuration Lock even if it is currently acquired by another user, provided that their role priority is higher than the one of the user currently holding the lock acquisition. Note that the action of acquiring the lock currently held by another user drops all the pending changes performed by the first user.


Custom roles are configured selecting the access level of each panel, among the values:
</translate>
* "none" : user cannot access to this panel and the navigation menu will not include the link to that panel (direct access to the panel URL is blocked too)
* "list" : user has read-only access to the panel which lists the related entities (e.g. the Extensions list) but cannot see the details of the single Extensions entries nor execute any action on those
* "read" : user can access the list panel as well as the single entitiy entries, but in read-only mode
* "write" : user has full read-write access to the related entities

Versione attuale delle 15:42, 19 set 2022

Altre lingue:

Torna a AdminGuide:BasicConcepts

Utenti

L'accesso all'interfaccia utenti di KalliopePBX (insieme ai servizi CTI, la rubrica LDAP, ecc.) è assegnato agli utenti. Esistono due tipi di utenti: predefiniti e custom. Gli utenti predefiniti includono utenti dedicati a funzioni amministrative o riguardati i servizi, i cui ruoli sono normalmente predefiniti e non modificabili, mentre gli utenti custom sono utenti aggiuntivi che possono essere creati e assegnati a ruoli personalizzati.

Ad ogni utente sono assegnati permessi riguardanti la GUI, i clienti CTI e le API.

  • GUI: gli utenti con accesso GUI possono accedere all'interfaccia web di KalliopePBX; l'accesso GUI permette anche l'accesso al server LDAP integrato.
  • CTI: gli utenti con accesso CTI possono usare le applicazioni di Kalliope (CTI, Logger, Supervisor Panel) che si connettono al PBX usando il socket e protocollo CTI.
  • API: gli utenti con accesso API possono invocare le API REST di KalliopePBX disponibili su http[s]://<indirizzo IP del PBX>/rest/ (vedi API REST).

Utenti predefiniti

Il primo esempio di utente predefinito è l'admin (la cui password di default è "admin"). L'admin è la figura tecnica primaria, usata solitamente per la configurazione di sistema. Utenti aggiuntivi possono avere permessi di configurazione, ma possono essere limitati a specifici pannelli della GUI, secondo il loro Ruolo assegnato.

Nella tabella seguente sono descritti gli utenti predefiniti con i relativi permessi di accesso. (Nota: il simbolo (+) indica che il permesso è assegnato di default e non può essere revocato; il simbolo (-) indica che è e possibile scegliere se assegnare o meno i permessi.)

Username Permessi di accesso Note
admin GUI (+)
CTI (+)
API (+) 		L'utente tecnico primario. Ha permessi completi per la configurazione del PBX, sia del sistema (network, servizi network) che della telefonia (entità, servizi, ecc.). Ha pieno accesso ai log e registri, ma ha alcune limitazioni per quanto riguarda aspetti relativi alla privacy degli utenti. Prima di tutto, non può visualizzare in pieno i numeri di telefono esterni nel CDR, ma gli verranno mostrati solo con le ultime tre cifre oscurate da "xxx"; in più, l'utente admin non ha accesso alla configurazione e i file di registrazione di chiamata, a cui può solo accedere l'utente privacyadmin (e utenti da lui delegati).
privacyadmin GUI (-)
API (-) 		Questo utente ha pieno accesso ai numeri di telefono esterni nel CDR ed è l'unico a poter configurare l'autorizzazione alla registrazione di chiamata. Può anche accedere ai registri di registrazione chiamate, ascoltare e scaricare le chiamate registrate e delegare i suoi poteri ad altri utenti, assegnandogli l'accesso ai numeri completi nel CDR e alla lista delle chiamate registrate con i relativi file.
phonebook GUI (-)
API (-) 		Questo utente ha accesso in lettura alla rubrica del KalliopePBX. Deve essere attivato dal pannello "Impostazioni di sistema" -> "Gestione utenti", assegnandogli una password e i relativi permessi di accesso. NOTA: l'accesso GUI include l'accesso al server LDAP integrato, dove viene pubblicata la rubrica di KalliopePBX (secondo le impostazioni definite nel pannello "Rubrica" -> "Impostazioni LDAP". L'utente "phonebook" è utile per avere una singola identità (configurabile con provisioning) usata dai telefoni per accedere alla rubrica di KalliopePBX con LDAP.
click2call GUI (-)
API (-) 		Questo utente è utile se si vuole usare applicazioni third party per mandare comandi click-to-call (usando l'API REST /rest/phoneServices/c2c/{dest_exten}/{source_exten}) usando un singolo utente con permessi limitati.

Multitenant

In fase di attivazione della licenza multitenant, il PBX e le entità dei tenant, che erano prima raggruppate in una singola entità amministrativa, vengono separate, creando un nuovo utente predefinito pbxadmin (la cui password di default è "admin").

La gestione del PBX come sistema viene assegnata al nuovo utente "pbxadmin", che ha sia accesso GUI che accesso CTI, mentre l'utente "admin" mantiene il controllo dei servizi telefonici del tenant. Dato che è possibile creare più di un tenant, ognuno con il proprio utente "admin", è necessario estendere lo username in modo da specificare il proprio dominio. Il dominio predefinito del tenant preesistente è "default", quindi gli utenti predefiniti predefiniti diventano admin@default, privacyadmin@default, ecc.

Per ogni nuovo tentant creato (con dominio "sampledomain") vengono generati i relativi utenti predefiniti, admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, ecc.

Gli utenti admin@default e admin@sampledomain sono completamente indipendenti tra loro e ciascuno può solo gestire il proprio tenant.

NOTA: se un utente non specifica il proprio dominio durante il login (per esempio, usando "admin" invece che "admin@somedomain"), viene preso come appartenente al dominio di default e autenticato di conseguenza.

Utenti custom

È possibile creare altri utenti. Per ora, gli utenti custom devono essere associati ad un Interno. Gli utenti custom possono essere creati nel pannello "Modifica Interno", definendo un username unico per il tenant e assegnando permessi di accesso GUI, CTI e/o API. Ogni utente viene creato con il ruolo di "Tenant User", ma è successivamente possibile selezionare un altro ruolo fra quelli disponibili. Come spiegato sotto, i ruoli sono gestiti attraverso il pannello "Impostazioni di sistema" -> "Gestione ruoli", dove si può assegnare permessi di accesso ad ogni pannello della GUI, permettendo all'admin di delegare specifiche mansioni di configurazione ad altri utenti.

Configurazione utenti

Utenti GUI.png

Quando, durante la creazione di un interno, viene selezionata la casella Crea utente locale, viene automaticamente generato un utente GUI con le credenziali impostate in fase di creazione.

Per la modifica e la gestione di tali utenti è necessario accedere alla sezione Gestione utenti e ruoli nel menu Impostazioni di sistema.

Accedendo alla configurazione degli utenti è possibile:

  • Modificare le credenziali (nome utente e password) di accesso alla GUI e ai client
  • Assegnare un ruolo ed i relativi permessi di lettura / scrittura della configurazione
  • Abilitare / Disabilitare l'accesso alla GUI e ai client
  • Assegnare le seguenti licenze: KalliopeCTI Pro, KalliopeCTI Phone, Kalliope Attendant Console CTI, Kalliope Attendant Console Phone


Una volta creati, gli utenti custom non possono essere modificati dal pannello "Modifica interno" ma appariranno nel pannello "Impostazioni di sistema" -> "Gestione utenti" insieme agli utenti predefiniti.

Autenticazione

Gli utenti vengono autenticati con un controllo password, usando uno dei due metodi di autenticazione disponibili.

Il primo è "Local Authentication": la password viene gestita dal centralino, e la sua hash è salvato sul database interno per l'autenticazione. Questo è l'unico metodo disponibile per l'utente "admin".

KalliopePBX può anche autenticare gli utenti attraverso servizi esterni; i servizi supportati sono Microsoft Active Directory e server LDAP. I servizi esterni di autenticazione sono definiti a livello di tenant, quindi devono gestire username della forma "user@tenant_domain".

Ruoli

Ad ogni utente è assegnato un ruolo che determina i suoi permessi di accesso ai vari pannelli. Gli utenti predefiniti hanno ruoli predefiniti (che per ora non sono assegnabili a utenti custom), dato che i loro permessi sono fissi.

Gli utenti custom hanno come ruolo predefinito quello di "Tenant User" (o semplicemente "User"). Gli utenti con questo ruolo hanno accesso al proprio CDR e alle varie rubriche (locale, condivisa, personale).

È possibile creare altri ruoli (detti ruoli "Power User") e assegnarli agli utenti custom. Ogni ruolo ha un attributo di priorità (un valore intero da 1 a 99; gli utenti standard hanno priorità 0, mentre il tenant admin ha priorità 100) che viene usato per risolvere la contesa del lock della configurazione. Gli utenti possono acquisire il lock anche se è già stato acquisito da un altro utente, ammesso che il suo ruolo abbia priorità più alta di quello dell'altro utente. Nota: acquisire il lock da un altro utente annullerà tutti i cambiamenti effettuati da quest'ultimo.

Configurazione ruoli

Pagina Ruoli.png

La prima configurazione consiste nell'assegnare al ruolo una priorità, le priorità possono avere un valore compreso tra 0 e 99. Gli utenti con priorità più alta possono togliere il lock agli utenti con priorità più bassa e le modifiche non salvate verranno perse. Il campo Descrizione richiede un identificativo in modo da poter riconoscere ed assegnare velocemente il ruolo agli utenti desiderati.

I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:

I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:

  • "nessuno": l'utente non può accedere al pannello e il link al pannello non sarà visualizzato nel menù di navigazione (è bloccato anche l'accesso diretto all'URL del pannello)
  • "elenco": l'utente ha accesso in lettura al pannello con l'elenco delle relative entità (per esempio, la lista degli interni) ma non può accedere ai dettagli di ciascuna voce o eseguire azioni su di esse
  • "lettura": l'utente può accedere sia al pannello di elenco che a quelli delle singole voci, ma solo in lettura
  • "scrittura": l'utente ha pieno accesso di lettura/scrittura alle relative entità

Nella tabella seguente sono illustrati i parametri che è possibile definire per ogni ruolo.

Parametro
Descrizione
Valore
-
Priorità Abilitare o disabilitare un interno senza perderne la configurazione Numerico (tra 0 e 99)
Descrizione Scegliere quale template utilizzare per quell’interno Alfa-numerico
Permessi
Gestione degli interni Abilita gli utenti a gestire gli interni in base al permesso configurato Nessuno / Elenco / Lettura / Scrittura
Gestione dei template degli interni Abilita gli utenti a gestire i template degli interni in base al permesso configurato
Gestione degli account Abilita gli utenti a gestire gli account in base al permesso configurato
Gestione dei template degli account Abilita gli utenti a gestire i template degli account in base al permesso configurato
Gestione delle code Abilita gli utenti a gestire le code in base al permesso configurato
Gestione dei gruppi Abilita gli utenti a gestire i gruppi in base al permesso configurato
Gestione delle classi di musica di attesa Abilita gli utenti a gestire le classi di musica di attesa in base al permesso configurato
Gestione dei domini VoIP Abilita gli utenti a gestire i domini VoIP in base al permesso configurato
Gestione delle linee di uscita Abilita gli utenti a gestire le linee di uscita in base al permesso configurato
Gestione dei file audio Abilita gli utenti a gestire i file audio in base al permesso configurato
Gestione delle regole LCR Abilita gli utenti a gestire le regole LCR in base al permesso configurato
Gestione delle classi LCR Abilita gli utenti a gestire le classi LCR in base al permesso configurato
Gestione dei controlli orari Abilita gli utenti a gestire i controlli orari in base al permesso configurato
Gestione del piano di numerazione Abilita gli utenti a gestire il piano di numerazione in base al permesso configurato
Gestione delle selezioni personalizzate nel piano di numerazione Abilita gli utenti a gestire le selezioni personalizzate in base al permesso configurato
Gestione della configurazione di rete Abilita gli utenti a gestire la configurazione di rete in base al permesso configurato
Gestione delle impostazioni SIP Abilita gli utenti a gestire le impostazioni SIP in base al permesso configurato
Gestione dei menu IVR Abilita gli utenti a gestire i menu IVR in base al permesso configurato
Gestione delle stanze di audioconferenza Abilita gli utenti a gestire le stanze di audioconferenza in base al permesso configurato
Gestione operativa delle stanze di audioconferenza Abilita gli utenti a gestire le oprazioni delle stanze di audioconferenza in base al permesso configurato
Gestione dei ruoli Abilita gli utenti a gestire i ruoli in base al permesso configurato
Servizi in chiamata Abilita gli utenti a gestire i servizi in chiamata in base al permesso configurato
Gestione delle impostazioni generali Abilita gli utenti a gestire le impostazioni generali in base al permesso configurato
Gestione degli utenti GUI Abilita gli utenti a gestire gli utenti GUI in base al permesso configurato
Gestione delle licenze Abilita gli utenti a gestire le licenze in base al permesso configurato
Gestione impostazioni audio Abilita gli utenti a gestire le impostazioni audio in base al permesso configurato
Gestione degli interruttori Abilita gli utenti a gestire gli interruttori in base al permesso configurato
Gestione dei template di provisioning Abilita gli utenti a gestire i template di provisioning in base al permesso configurato
Gestione dei device di provisioning Abilita gli utenti a gestire i device di provisioning in base al permesso configurato
Strumenti di diagnostica Abilita gli utenti a gestire gli strumenti di diagnostica in base al permesso configurato
Gestione della rubrica condivisa Abilita gli utenti a gestire la rubrica condivisa in base al permesso configurato
Visualizzazione del registro delle chiamate Abilita gli utenti a visualizzare il registro delle chiamate
Impostazioni SSL Abilita gli utenti a gestire le impostazioni SSL in base al permesso configurato
Gestione delle impostazioni LDAP Abilita gli utenti a gestire le impostazioni LDAP in base al permesso configurato


Estratto da "https://www.kalliope.com/wiki/index.php?title=AdminGuide:BasicConcepts:Users_and_roles&oldid=17631"