Differenze tra le versioni di "AdminGuide:BasicConcepts:Users and roles"

Da Kalliope Wiki.
Jump to navigation Jump to search
(Versione segnata per la traduzione)
 
(25 versioni intermedie di 2 utenti non mostrate)
Riga 4: Riga 4:
[[en:AdminGuide:BasicConcepts:Users and roles]]
[[en:AdminGuide:BasicConcepts:Users and roles]]
<div style="float: right">__TOC__</div>
<div style="float: right">__TOC__</div>
Return to [[AdminGuide:BasicConcepts]]
Torna a [[AdminGuide:BasicConcepts]]


= Users = <!--T:2-->
= Utenti = <!--T:2-->
Access to KalliopePBX GUI (as well as CTI services, LDAP phonebook, etc.) is granted to '''users'''. There are two kinds of users: '''builtin''' and '''custom''' users. '''Builtin users''' include administrative and service users, whose roles are usually predefined and not modifiable, whereas '''custom users''' are additional users that can be created and assigned to custom roles.
L'accesso all'interfaccia utenti di KalliopePBX (insieme ai servizi CTI, la rubrica LDAP, ecc.) è assegnato agli '''utenti'''. Esistono due tipi di utenti: '''predefiniti''' e '''custom'''. Gli '''utenti predefiniti''' includono utenti dedicati a funzioni amministrative o riguardati i servizi, i cui ruoli sono normalmente predefiniti e non modificabili, mentre gli '''utenti custom''' sono utenti aggiuntivi  che possono essere creati e assegnati a ruoli personalizzati.


<!--T:3-->
<!--T:3-->
Each user has one or more associated access permissions among GUI, CTI, and API.
Ad ogni utente sono assegnati permessi riguardanti la GUI, i clienti CTI e le API.
* '''GUI''': GUI access means that the user can log into the KalliopePBX web interface; GUI access also grants the user permission to access the integrated LDAP server.
* '''GUI''': gli utenti con accesso GUI possono accedere all'interfaccia web di KalliopePBX; l'accesso GUI permette anche l'accesso al server LDAP integrato.
* '''CTI''': CTI access allows the users to use Kalliope applications (CTI, Logger, Supervisor Panel) which connect to the PBX using the CTI socket and protocol.
* '''CTI''': gli utenti con accesso CTI possono usare le applicazioni di Kalliope (CTI, Logger, Supervisor Panel) che si connettono al PBX usando il socket e protocollo CTI.
* '''API''': API access allows the users to invoke the KalliopePBX REST APIs available at http[s]://<PBX IP>/rest/ (see [[AdminGuide:REST API|REST API]]).
* '''API''': gli utenti con accesso API possono invocare le API REST di KalliopePBX disponibili su http[s]://<indirizzo IP del PBX>/rest/ (vedi [[AdminGuide:RestAPI|API REST]]).


== Builtin users == <!--T:4-->
== Utenti predefiniti == <!--T:4-->
The first example of builtin user is '''admin''' (whose default password is "admin"), used to access the GUI after the first firmware installation. This is the primary technical figure, and is commonly used to perform the system configuration. Additional users may have the rights to perform configuration tasks, but they can be limited to specific GUI panels only, according to their granted '''Role'''.
Il primo esempio di utente predefinito è l''''admin''' (la cui password di default è "admin"). L'admin è la figura tecnica primaria, usata solitamente per la configurazione di sistema. Utenti aggiuntivi possono avere permessi di configurazione, ma possono essere limitati a specifici pannelli della GUI, secondo il loro '''Ruolo''' assegnato.


<!--T:5-->
<!--T:5-->
The following table lists the builtin users along with their access permissions. (Note: (+) means that this access permission is assigned and cannot be revoked; (-) means that the permission can be granted or not.)
Nella tabella seguente sono descritti gli utenti predefiniti con i relativi permessi di accesso. (Nota: il simbolo (+) indica che il permesso è assegnato di default e non può essere revocato; il simbolo (-) indica che è e possibile scegliere se assegnare o meno i permessi.)


<!--T:6-->
<!--T:6-->
Riga 25: Riga 25:
|-
|-
! Username
! Username
! Access permissions
! Permessi di accesso
! Notes
! Note
|-
|-
! admin  
! admin  
| style="text-align:center;" |GUI (+)<br />CTI (+)<br />API (+)
| style="text-align:center;" |GUI (+)<br />CTI (+)<br />API (+)
| This is the main technical user. They have full privileges on PBX configuration both for system (network, network services) and telephony (entities, services, etc.). They have full access to logs and registers, but they have some limitations regarding aspects related to the privacy of the users. Firstly, they cannot see the external telephone numbers in the CDR in full, but are only able to view them with last three digits replaced by "xxx"; secondly, the "admin" user does not have access to Call Recording configuration and files, which is limited to "privacyadmin" user (and delegated users).
| L'utente tecnico primario. Ha permessi completi per la configurazione del PBX, sia del sistema (network, servizi network) che della telefonia (entità, servizi, ecc.). Ha pieno accesso ai log e registri, ma ha alcune limitazioni per quanto riguarda aspetti relativi alla privacy degli utenti. Prima di tutto, non può visualizzare in pieno i numeri di telefono esterni nel CDR, ma gli verranno mostrati solo con le ultime tre cifre oscurate da "xxx"; in più, l'utente admin non ha accesso alla configurazione e i file di registrazione di chiamata, a cui può solo accedere l'utente privacyadmin (e utenti da lui delegati).
|-
|-
! [[UserGuides:PrivacyAdmin|privacyadmin]]
! [[UserGuides:PrivacyAdmin|privacyadmin]]
| style="text-align:center;" | GUI (-)<br />API (-)
| style="text-align:center;" | GUI (-)<br />API (-)
| This user has full access to the external telephone numbers of the CDR, and is the only one who can configure call recording authorization. They can also access call recording records, download and listen the recorded calls, as well as grant other users with the "privacy" permission, which grants another user access to full numbers in CDR and to list of recorded calls (and files).
| Questo utente ha pieno accesso ai numeri di telefono esterni nel CDR ed è l'unico a poter configurare l'autorizzazione alla registrazione di chiamata. Può anche accedere ai registri di registrazione chiamate, ascoltare e scaricare le chiamate registrate e delegare i suoi poteri ad altri utenti, assegnandogli l'accesso ai numeri completi nel CDR e alla lista delle chiamate registrate con i relativi file.
|-
|-
! phonebook  
! phonebook  
| style="text-align:center;" | GUI (-)<br />API (-)
| style="text-align:center;" | GUI (-)<br />API (-)
| This user has read access to the KalliopePBX phonebook. It has to be explicitly enabled from the "System Settings" -> [[AdminGuide:GUI:UsersManagement|"Users Management"]] panel, assigning it a password and the related access permissions. NOTE: GUI permission also grants the right to access the integrated LDAP server, where the KalliopePBX phonebook is published (according to the settings in "Phonebook"->[[AdminGuide:GUI:LDAP Settings|"LDAP Settings"]] panel). The "phonebook" user is mainly useful to have a single identity (configurable through provisioning) used by telephones to access the KalliopePBX phonebook using LDAP.
| Questo utente ha accesso in lettura alla rubrica del KalliopePBX. Deve essere attivato dal pannello "Impostazioni di sistema" -> [[AdminGuide:BasicConcepts:Users_and_roles#Utenti|"Gestione utenti"]], assegnandogli una password e i relativi permessi di accesso. NOTA: l'accesso GUI include l'accesso al server LDAP integrato, dove viene pubblicata la rubrica di KalliopePBX (secondo le impostazioni definite nel pannello "Rubrica" -> "Impostazioni LDAP". L'utente "phonebook" è utile per avere una singola identità (configurabile con provisioning) usata dai telefoni per accedere alla rubrica di KalliopePBX con LDAP.
|-
|-
! click2call  
! click2call  
| style="text-align:center;" | GUI (-)<br />API (-)
| style="text-align:center;" | GUI (-)<br />API (-)
| This user is useful when using third party applications to send click-to-call commands (using the REST API /rest/phoneServices/c2c/{dest_exten}/{source_exten}) to KalliopePBX using a single authentication user with limited privileges
| Questo utente è utile se si vuole usare applicazioni third party per mandare comandi click-to-call (usando l'API REST /rest/phoneServices/c2c/{dest_exten}/{source_exten}) usando un singolo utente con permessi limitati.
|}
|}


Riga 48: Riga 48:


<!--T:8-->
<!--T:8-->
During Multitenant license activation, the PBX and the tenant entities, which were bundled under a single administration entity, are separated and a new builtin user '''pbxadmin''' is created (with default password "admin").
In fase di attivazione della licenza multitenant, il PBX e le entità dei tenant, che erano prima raggruppate in una singola entità amministrativa, vengono separate, creando un nuovo utente predefinito '''pbxadmin''' (la cui password di default è "admin").


<!--T:9-->
<!--T:9-->
Management of the PBX as a system is granted to the new "pbxadmin" user, who has both GUI and CTI permissions, whereas the "admin" user retains control of the telephony service configuration for the tenant. Since multiple tenants can be created, each with its own "admin", it is necessary to extend the username to specify the relevant tenant domain. The predefined existing tenant domain is "default", so the predefined builtin users become admin@default, privacyadmin@default, etc.
La gestione del PBX come sistema viene assegnata al nuovo utente "pbxadmin", che ha sia accesso GUI che accesso CTI, mentre l'utente "admin" mantiene il controllo dei servizi telefonici del tenant. Dato che è possibile creare più di un tenant, ognuno con il proprio utente "admin", è necessario estendere lo username in modo da specificare il proprio dominio. Il dominio predefinito del tenant preesistente è "default", quindi gli utenti predefiniti predefiniti diventano admin@default, privacyadmin@default, ecc.


<!--T:10-->
<!--T:10-->
For each new tenant that gets created (e.g. with domain "sampledomain"), a number of new users are generated, namely admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, and so on.
Per ogni nuovo tentant creato (con dominio "sampledomain") vengono generati i relativi utenti predefiniti, admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, ecc.


<!--T:11-->
<!--T:11-->
The admin@default and admin@sampledomain users are completely independent and each one can only manage their own tenant.  
Gli utenti admin@default e admin@sampledomain sono completamente indipendenti tra loro e ciascuno può solo gestire il proprio tenant.


<!--T:12-->
<!--T:12-->
'''N.B.''': if a user does not specify the domain when logging in (e.g. uses "admin" instead of "admin@somedomain"), then it is assumed to belong to the default domain and authentication is performed accordingly.
'''NOTA''': se un utente non specifica il proprio dominio durante il login (per esempio, usando "admin" invece che "admin@somedomain"), viene preso come appartenente al dominio di default e autenticato di conseguenza.


== Custom users == <!--T:13-->
== Utenti custom == <!--T:13-->


<!--T:14-->
<!--T:14-->
Additional users can be created. Currently, custom users have to be associated to an '''Extension'''. Custom user can be created in the "Edit Extension" panel, defining a unique (within the tenant) username and assigning GUI, CTI and/or API access permissions. By default all custom users are created with the standard "Tenant User" role, but a different one can be selected among those available. As detailed below, roles are managed in the "System Settings" -> "[[AdminGuide:GUI:RolesManagement|Roles Management]]" panel, where different access permissions (none/list/read/write) can be assigned for each panel of the GUI, allowing the admin to delegate some configuration tasks to selected users.
È possibile creare altri utenti. Per ora, gli utenti custom devono essere associati ad un '''Interno'''. Gli utenti custom possono essere creati nel pannello "Modifica Interno", definendo un username unico per il tenant e assegnando permessi di accesso GUI, CTI e/o API. Ogni utente viene creato con il ruolo di "Tenant User", ma è successivamente possibile selezionare un altro ruolo fra quelli disponibili. Come spiegato sotto, i ruoli sono gestiti attraverso il pannello "Impostazioni di sistema" -> "[[AdminGuide:BasicConcepts:Users_and_roles#Ruoli|Gestione ruoli]]", dove si può assegnare permessi di accesso ad ogni pannello della GUI, permettendo all'admin di delegare specifiche mansioni di configurazione ad altri utenti.
 
== Configurazione utenti == <!--T:30-->
[[File:Utenti GUI.png|miniatura]]
Quando, durante la creazione di un [[AdminGuide:BasicConcepts:Extensions and SIP accounts|interno]], viene selezionata la casella ''Crea utente locale'', viene automaticamente generato un [[AdminGuide:BasicConcepts:Users and roles|utente]] GUI con le credenziali impostate in fase di creazione.
 
<!--T:31-->
Per la modifica e la gestione di tali [[AdminGuide:BasicConcepts:Users and roles|utenti]] è necessario accedere alla sezione ''Gestione utenti e ruoli'' nel menu ''Impostazioni di sistema''.
 
<!--T:32-->
Accedendo alla configurazione degli [[AdminGuide:BasicConcepts:Users and roles|utenti]] è possibile:
* Modificare le credenziali (nome utente e password) di accesso alla GUI e ai client
* Assegnare un [[Gestione Ruoli|ruolo]] ed i relativi permessi di lettura / scrittura della configurazione
* Abilitare / Disabilitare l'accesso alla GUI e ai client
* Assegnare le seguenti licenze: KalliopeCTI Pro, KalliopeCTI Phone, Kalliope Attendant Console CTI, Kalliope Attendant Console Phone
 


<!--T:15-->
<!--T:15-->
Once created, custom users cannot be edited from the "Edit extension" panel, but they appear in the "System Settings" -> [[AdminGuide:GUI:UsersManagement|"Users Management"]] panel, along with the builtin ones.
Una volta creati, gli utenti custom non possono essere modificati dal pannello "Modifica interno" ma appariranno nel pannello "Impostazioni di sistema" -> [[AdminGuide:GUI:OperatingMenu:UsersManagement|"Gestione utenti"]] insieme agli utenti predefiniti.


== User authentication == <!--T:16-->
== Autenticazione == <!--T:16-->


<!--T:17-->
<!--T:17-->
User authentication is performed with a password check, using one of the two available authentication methods.
Gli utenti vengono autenticati con un controllo password, usando uno dei due metodi di autenticazione disponibili.


<!--T:18-->
<!--T:18-->
The first method is "Local Authentication": the user password is handled by the PBX, and its hash is stored in the internal database for authentication. This is the only available authentication method for the "admin" user.
Il primo è "Local Authentication": la password viene gestita dal centralino, e la sua hash è salvato sul database interno per l'autenticazione. Questo è l'unico metodo disponibile per l'utente "admin".


<!--T:19-->
<!--T:19-->
KalliopePBX can also authenticate users with external services; the supported external authentication services are Microsoft Active Directory and LDAP servers. External authentication services are defined on a per-tenant basis, so they need to handle authentication usernames in the form "user@tenant_domain".
KalliopePBX può anche autenticare gli utenti attraverso servizi esterni; i servizi supportati sono Microsoft Active Directory e server LDAP. I servizi esterni di autenticazione sono definiti a livello di tenant, quindi devono gestire username della forma "user@tenant_domain".


= Roles = <!--T:20-->
= Ruoli = <!--T:20-->


<!--T:21-->
<!--T:21-->
Each user is assigned a role, which determines their permissions in terms of access to the various panels. Builtin users have builtin roles (currently not assignable to custom users) since their permissions are fixed.
Ad ogni utente è assegnato un ruolo che determina i suoi permessi di accesso ai vari pannelli. Gli utenti predefiniti hanno ruoli predefiniti (che per ora non sono assegnabili a utenti custom), dato che i loro permessi sono fissi.


<!--T:22-->
<!--T:22-->
Custom users by default have the "Tenant User" (or simply "User") role, which is builtin and not modifiable. This role grants the user the right to access their own CDR and the extensions (or local), the shared, and personal phonebooks.
Gli utenti custom hanno come ruolo predefinito quello di "Tenant User" (o semplicemente "User"). Gli utenti con questo ruolo hanno accesso al proprio CDR e alle varie rubriche (locale, condivisa, personale).


<!--T:23-->
<!--T:23-->
Additional roles ("Power User" roles) can be created and assigned to the custom users. Each role has a priority attribute (an integer value between 1 and 99; standard users have priority 0, whereas tenant admin has 100) which is used to resolve contention of the Configuration Lock when multiple users need to perform configuration operations on the PBX. Users can acquire the Configuration Lock even if it is currently held by another user, provided that their role priority is higher than the one of the user currently holding the lock. Note that the action of acquiring the lock currently held by another user drops all the pending changes made by the first user.
È possibile creare altri ruoli (detti ruoli "Power User") e assegnarli agli utenti custom. Ogni ruolo ha un attributo di priorità (un valore intero da 1 a 99; gli utenti standard hanno priorità 0, mentre il tenant admin ha priorità 100) che viene usato per risolvere la contesa del lock della configurazione. Gli utenti possono acquisire il lock anche se è già stato acquisito da un altro utente, ammesso che il suo ruolo abbia priorità più alta di quello dell'altro utente. Nota: acquisire il lock da un altro utente annullerà tutti i cambiamenti effettuati da quest'ultimo.
 
== Configurazione ruoli == <!--T:24-->
 
<!--T:33-->
[[File:Pagina Ruoli.png|miniatura]]
 
<!--T:25-->
La prima configurazione consiste nell'assegnare al ruolo una priorità, le priorità possono avere un valore compreso tra 0 e 99. Gli utenti con priorità più alta possono togliere il lock agli utenti con priorità più bassa e le modifiche non salvate verranno perse.
Il campo ''Descrizione'' richiede un identificativo in modo da poter riconoscere ed assegnare velocemente il ruolo agli utenti desiderati.
 
<!--T:26-->
I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:
 
<!--T:27-->
I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:
* "nessuno": l'utente non può accedere al pannello e il link al pannello non sarà visualizzato nel menù di navigazione (è bloccato anche l'accesso diretto all'URL del pannello)
* "elenco": l'utente ha accesso in lettura al pannello con l'elenco delle relative entità (per esempio, la lista degli interni) ma non può accedere ai dettagli di ciascuna voce o eseguire azioni su di esse
* "lettura": l'utente può accedere sia al pannello di elenco che a quelli delle singole voci, ma solo in lettura
* "scrittura": l'utente ha pieno accesso di lettura/scrittura alle relative entità
 
<!--T:28-->
Nella tabella seguente sono illustrati i parametri che è possibile definire per ogni ruolo.
 
<!--T:29-->
{| class="wikitable"
|-
! <div style = 'text-align: left> '''Parametro''' !! <div style = 'text-align: left> '''Descrizione''' !! <div style = 'text-align: left> '''Valore'''
|-
|colspan="3"| <div style = 'text-align: center; color: transparent> -
|-
| Priorità || Abilitare o disabilitare un interno senza perderne la configurazione || Numerico (tra 0 e 99)
|-
| Descrizione|| Scegliere quale template utilizzare per quell’interno || Alfa-numerico
|-
!colspan="3"| <div style = 'text-align: left> '''''Permessi'''''
|-
| [[AdminGuide:BasicConcepts:Extensions_and_SIP_accounts#Configurazione_Interni|Gestione degli interni]] || Abilita gli utenti a gestire gli interni in base al permesso configurato || rowspan="34"| Nessuno / Elenco / Lettura / Scrittura
|-
| Gestione dei template degli interni || Abilita gli utenti a gestire i template degli interni in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Extensions_and_SIP_accounts#Configurazione_Account|Gestione degli account]] || Abilita gli utenti a gestire gli account in base al permesso configurato
|-
| Gestione dei template degli account || Abilita gli utenti a gestire i template degli account in base al permesso configurato
|-
| [[AdminGuide:Service:ACD|Gestione delle code]]|| Abilita gli utenti a gestire le code in base al permesso configurato
|-
| [[AdminGuide:Service:RingGroups|Gestione dei gruppi]] || Abilita gli utenti a gestire i gruppi in base al permesso configurato
|-
| [[AdminGuide:Service:AudioFile#Configurazione_Classi_di_musica_di_attesa|Gestione delle classi di musica di attesa]]|| Abilita gli utenti a gestire le classi di musica di attesa in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Outbound lines:Dominio VoIP|Gestione dei domini VoIP]] || Abilita gli utenti a gestire i domini VoIP in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Outbound_lines#Configurazione_del_servizio|Gestione delle linee di uscita]] || Abilita gli utenti a gestire le linee di uscita in base al permesso configurato
|-
| [[AdminGuide:Service:AudioFile|Gestione dei file audio]] || Abilita gli utenti a gestire i file audio in base al permesso configurato
|-
| [[Classi Regole LCR|Gestione delle regole LCR]] || Abilita gli utenti a gestire le regole LCR in base al permesso configurato
|-
| [[Classi Regole LCR|Gestione delle classi LCR]] || Abilita gli utenti a gestire le classi LCR in base al permesso configurato
|-
| [[AdminGuide:Service:ChecktimeAndSwitches#Configurazione_dei_controlli_orari|Gestione dei controlli orari]] || Abilita gli utenti a gestire i controlli orari in base al permesso configurato
|-
| [[AdminGuide:Service:NumberingPlan|Gestione del piano di numerazione]] || Abilita gli utenti a gestire il piano di numerazione in base al permesso configurato
|-
| Gestione delle selezioni personalizzate nel piano di numerazione || Abilita gli utenti a gestire le selezioni personalizzate in base al permesso configurato
|-
| Gestione della configurazione di rete || Abilita gli utenti a gestire la configurazione di rete in base al permesso configurato
|-
| [[AdminGuide:Service:SIPSettings|Gestione delle impostazioni SIP]] || Abilita gli utenti a gestire le impostazioni SIP in base al permesso configurato
|-
| [[AdminGuide:Service:IVR|Gestione dei menu IVR]] || Abilita gli utenti a gestire i menu IVR in base al permesso configurato
|-
| [[AdminGuide:Service:MeetMe|Gestione delle stanze di audioconferenza]] || Abilita gli utenti a gestire le stanze di audioconferenza in base al permesso configurato
|-
| [[AdminGuide:Service:MeetMe|Gestione operativa delle stanze di audioconferenza]]|| Abilita gli utenti a gestire le oprazioni delle stanze di audioconferenza in base al permesso configurato
|-
| Gestione dei ruoli|| Abilita gli utenti a gestire i ruoli in base al permesso configurato
|-
| [[AdminGuide:Service:OnCallServices|Servizi in chiamata]] || Abilita gli utenti a gestire i servizi in chiamata in base al permesso configurato
|-
| [[AdminGuide:GUI:OperatingMenu:GeneralSettings|Gestione delle impostazioni generali]] || Abilita gli utenti a gestire le impostazioni generali in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Users_and_roles/it#Configurazione_utenti|Gestione degli utenti GUI]] || Abilita gli utenti a gestire gli utenti GUI in base al permesso configurato
|-
| [[AdminGuide:BasicConcepts:Licenses|Gestione delle licenze]] || Abilita gli utenti a gestire le licenze in base al permesso configurato
|-
| Gestione impostazioni audio || Abilita gli utenti a gestire le impostazioni audio in base al permesso configurato
|-
| [[AdminGuide:Service:ChecktimeAndSwitches|Gestione degli interruttori]] || Abilita gli utenti a gestire gli interruttori in base al permesso configurato
|-
| Gestione dei template di provisioning|| Abilita gli utenti a gestire i template di provisioning in base al permesso configurato
|-
| Gestione dei device di provisioning|| Abilita gli utenti a gestire i device di provisioning in base al permesso configurato
|-
| [[AdminGuide:Service:PacketCapture|Strumenti di diagnostica]] || Abilita gli utenti a gestire gli strumenti di diagnostica in base al permesso configurato
|-
| [[AdminGuide:Service:Phonebook#Rubrica_condivisa|Gestione della rubrica condivisa]] || Abilita gli utenti a gestire la rubrica condivisa in base al permesso configurato
|-
| Visualizzazione del registro delle chiamate|| Abilita gli utenti a visualizzare il registro delle chiamate
|-
| [[AdminGuide:Service:SSLSettings|Impostazioni SSL]] || Abilita gli utenti a gestire le impostazioni SSL in base al permesso configurato
|-
| [[AdminGuide:Service:Phonebook#Impostazioni_LDAP|Gestione delle impostazioni LDAP]] || Abilita gli utenti a gestire le impostazioni LDAP in base al permesso configurato
|}
 
 


<!--T:24-->
Custom roles are configured by selecting the access level of each panel, among the values:
* "none": the user cannot access this panel and the navigation menu will not include the link to that panel (direct access to the panel URL is blocked too);
* "list": the user has read-only access to the panel which lists the related entities (e.g. the Extensions list) but cannot see the details of the single Extensions entries nor execute any action on those;
* "read": the user can access the list panel as well as the single entity entries, but in read-only mode;
* "write": user has full read-write access to the related entities.
</translate>
</translate>

Versione attuale delle 15:42, 19 set 2022

Altre lingue:

Torna a AdminGuide:BasicConcepts

Utenti

L'accesso all'interfaccia utenti di KalliopePBX (insieme ai servizi CTI, la rubrica LDAP, ecc.) è assegnato agli utenti. Esistono due tipi di utenti: predefiniti e custom. Gli utenti predefiniti includono utenti dedicati a funzioni amministrative o riguardati i servizi, i cui ruoli sono normalmente predefiniti e non modificabili, mentre gli utenti custom sono utenti aggiuntivi che possono essere creati e assegnati a ruoli personalizzati.

Ad ogni utente sono assegnati permessi riguardanti la GUI, i clienti CTI e le API.

  • GUI: gli utenti con accesso GUI possono accedere all'interfaccia web di KalliopePBX; l'accesso GUI permette anche l'accesso al server LDAP integrato.
  • CTI: gli utenti con accesso CTI possono usare le applicazioni di Kalliope (CTI, Logger, Supervisor Panel) che si connettono al PBX usando il socket e protocollo CTI.
  • API: gli utenti con accesso API possono invocare le API REST di KalliopePBX disponibili su http[s]://<indirizzo IP del PBX>/rest/ (vedi API REST).

Utenti predefiniti

Il primo esempio di utente predefinito è l'admin (la cui password di default è "admin"). L'admin è la figura tecnica primaria, usata solitamente per la configurazione di sistema. Utenti aggiuntivi possono avere permessi di configurazione, ma possono essere limitati a specifici pannelli della GUI, secondo il loro Ruolo assegnato.

Nella tabella seguente sono descritti gli utenti predefiniti con i relativi permessi di accesso. (Nota: il simbolo (+) indica che il permesso è assegnato di default e non può essere revocato; il simbolo (-) indica che è e possibile scegliere se assegnare o meno i permessi.)

Username Permessi di accesso Note
admin GUI (+)
CTI (+)
API (+) 		L'utente tecnico primario. Ha permessi completi per la configurazione del PBX, sia del sistema (network, servizi network) che della telefonia (entità, servizi, ecc.). Ha pieno accesso ai log e registri, ma ha alcune limitazioni per quanto riguarda aspetti relativi alla privacy degli utenti. Prima di tutto, non può visualizzare in pieno i numeri di telefono esterni nel CDR, ma gli verranno mostrati solo con le ultime tre cifre oscurate da "xxx"; in più, l'utente admin non ha accesso alla configurazione e i file di registrazione di chiamata, a cui può solo accedere l'utente privacyadmin (e utenti da lui delegati).
privacyadmin GUI (-)
API (-) 		Questo utente ha pieno accesso ai numeri di telefono esterni nel CDR ed è l'unico a poter configurare l'autorizzazione alla registrazione di chiamata. Può anche accedere ai registri di registrazione chiamate, ascoltare e scaricare le chiamate registrate e delegare i suoi poteri ad altri utenti, assegnandogli l'accesso ai numeri completi nel CDR e alla lista delle chiamate registrate con i relativi file.
phonebook GUI (-)
API (-) 		Questo utente ha accesso in lettura alla rubrica del KalliopePBX. Deve essere attivato dal pannello "Impostazioni di sistema" -> "Gestione utenti", assegnandogli una password e i relativi permessi di accesso. NOTA: l'accesso GUI include l'accesso al server LDAP integrato, dove viene pubblicata la rubrica di KalliopePBX (secondo le impostazioni definite nel pannello "Rubrica" -> "Impostazioni LDAP". L'utente "phonebook" è utile per avere una singola identità (configurabile con provisioning) usata dai telefoni per accedere alla rubrica di KalliopePBX con LDAP.
click2call GUI (-)
API (-) 		Questo utente è utile se si vuole usare applicazioni third party per mandare comandi click-to-call (usando l'API REST /rest/phoneServices/c2c/{dest_exten}/{source_exten}) usando un singolo utente con permessi limitati.

Multitenant

In fase di attivazione della licenza multitenant, il PBX e le entità dei tenant, che erano prima raggruppate in una singola entità amministrativa, vengono separate, creando un nuovo utente predefinito pbxadmin (la cui password di default è "admin").

La gestione del PBX come sistema viene assegnata al nuovo utente "pbxadmin", che ha sia accesso GUI che accesso CTI, mentre l'utente "admin" mantiene il controllo dei servizi telefonici del tenant. Dato che è possibile creare più di un tenant, ognuno con il proprio utente "admin", è necessario estendere lo username in modo da specificare il proprio dominio. Il dominio predefinito del tenant preesistente è "default", quindi gli utenti predefiniti predefiniti diventano admin@default, privacyadmin@default, ecc.

Per ogni nuovo tentant creato (con dominio "sampledomain") vengono generati i relativi utenti predefiniti, admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, ecc.

Gli utenti admin@default e admin@sampledomain sono completamente indipendenti tra loro e ciascuno può solo gestire il proprio tenant.

NOTA: se un utente non specifica il proprio dominio durante il login (per esempio, usando "admin" invece che "admin@somedomain"), viene preso come appartenente al dominio di default e autenticato di conseguenza.

Utenti custom

È possibile creare altri utenti. Per ora, gli utenti custom devono essere associati ad un Interno. Gli utenti custom possono essere creati nel pannello "Modifica Interno", definendo un username unico per il tenant e assegnando permessi di accesso GUI, CTI e/o API. Ogni utente viene creato con il ruolo di "Tenant User", ma è successivamente possibile selezionare un altro ruolo fra quelli disponibili. Come spiegato sotto, i ruoli sono gestiti attraverso il pannello "Impostazioni di sistema" -> "Gestione ruoli", dove si può assegnare permessi di accesso ad ogni pannello della GUI, permettendo all'admin di delegare specifiche mansioni di configurazione ad altri utenti.

Configurazione utenti

Utenti GUI.png

Quando, durante la creazione di un interno, viene selezionata la casella Crea utente locale, viene automaticamente generato un utente GUI con le credenziali impostate in fase di creazione.

Per la modifica e la gestione di tali utenti è necessario accedere alla sezione Gestione utenti e ruoli nel menu Impostazioni di sistema.

Accedendo alla configurazione degli utenti è possibile:

  • Modificare le credenziali (nome utente e password) di accesso alla GUI e ai client
  • Assegnare un ruolo ed i relativi permessi di lettura / scrittura della configurazione
  • Abilitare / Disabilitare l'accesso alla GUI e ai client
  • Assegnare le seguenti licenze: KalliopeCTI Pro, KalliopeCTI Phone, Kalliope Attendant Console CTI, Kalliope Attendant Console Phone


Una volta creati, gli utenti custom non possono essere modificati dal pannello "Modifica interno" ma appariranno nel pannello "Impostazioni di sistema" -> "Gestione utenti" insieme agli utenti predefiniti.

Autenticazione

Gli utenti vengono autenticati con un controllo password, usando uno dei due metodi di autenticazione disponibili.

Il primo è "Local Authentication": la password viene gestita dal centralino, e la sua hash è salvato sul database interno per l'autenticazione. Questo è l'unico metodo disponibile per l'utente "admin".

KalliopePBX può anche autenticare gli utenti attraverso servizi esterni; i servizi supportati sono Microsoft Active Directory e server LDAP. I servizi esterni di autenticazione sono definiti a livello di tenant, quindi devono gestire username della forma "user@tenant_domain".

Ruoli

Ad ogni utente è assegnato un ruolo che determina i suoi permessi di accesso ai vari pannelli. Gli utenti predefiniti hanno ruoli predefiniti (che per ora non sono assegnabili a utenti custom), dato che i loro permessi sono fissi.

Gli utenti custom hanno come ruolo predefinito quello di "Tenant User" (o semplicemente "User"). Gli utenti con questo ruolo hanno accesso al proprio CDR e alle varie rubriche (locale, condivisa, personale).

È possibile creare altri ruoli (detti ruoli "Power User") e assegnarli agli utenti custom. Ogni ruolo ha un attributo di priorità (un valore intero da 1 a 99; gli utenti standard hanno priorità 0, mentre il tenant admin ha priorità 100) che viene usato per risolvere la contesa del lock della configurazione. Gli utenti possono acquisire il lock anche se è già stato acquisito da un altro utente, ammesso che il suo ruolo abbia priorità più alta di quello dell'altro utente. Nota: acquisire il lock da un altro utente annullerà tutti i cambiamenti effettuati da quest'ultimo.

Configurazione ruoli

Pagina Ruoli.png

La prima configurazione consiste nell'assegnare al ruolo una priorità, le priorità possono avere un valore compreso tra 0 e 99. Gli utenti con priorità più alta possono togliere il lock agli utenti con priorità più bassa e le modifiche non salvate verranno perse. Il campo Descrizione richiede un identificativo in modo da poter riconoscere ed assegnare velocemente il ruolo agli utenti desiderati.

I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:

I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:

  • "nessuno": l'utente non può accedere al pannello e il link al pannello non sarà visualizzato nel menù di navigazione (è bloccato anche l'accesso diretto all'URL del pannello)
  • "elenco": l'utente ha accesso in lettura al pannello con l'elenco delle relative entità (per esempio, la lista degli interni) ma non può accedere ai dettagli di ciascuna voce o eseguire azioni su di esse
  • "lettura": l'utente può accedere sia al pannello di elenco che a quelli delle singole voci, ma solo in lettura
  • "scrittura": l'utente ha pieno accesso di lettura/scrittura alle relative entità

Nella tabella seguente sono illustrati i parametri che è possibile definire per ogni ruolo.

Parametro
Descrizione
Valore
-
Priorità Abilitare o disabilitare un interno senza perderne la configurazione Numerico (tra 0 e 99)
Descrizione Scegliere quale template utilizzare per quell’interno Alfa-numerico
Permessi
Gestione degli interni Abilita gli utenti a gestire gli interni in base al permesso configurato Nessuno / Elenco / Lettura / Scrittura
Gestione dei template degli interni Abilita gli utenti a gestire i template degli interni in base al permesso configurato
Gestione degli account Abilita gli utenti a gestire gli account in base al permesso configurato
Gestione dei template degli account Abilita gli utenti a gestire i template degli account in base al permesso configurato
Gestione delle code Abilita gli utenti a gestire le code in base al permesso configurato
Gestione dei gruppi Abilita gli utenti a gestire i gruppi in base al permesso configurato
Gestione delle classi di musica di attesa Abilita gli utenti a gestire le classi di musica di attesa in base al permesso configurato
Gestione dei domini VoIP Abilita gli utenti a gestire i domini VoIP in base al permesso configurato
Gestione delle linee di uscita Abilita gli utenti a gestire le linee di uscita in base al permesso configurato
Gestione dei file audio Abilita gli utenti a gestire i file audio in base al permesso configurato
Gestione delle regole LCR Abilita gli utenti a gestire le regole LCR in base al permesso configurato
Gestione delle classi LCR Abilita gli utenti a gestire le classi LCR in base al permesso configurato
Gestione dei controlli orari Abilita gli utenti a gestire i controlli orari in base al permesso configurato
Gestione del piano di numerazione Abilita gli utenti a gestire il piano di numerazione in base al permesso configurato
Gestione delle selezioni personalizzate nel piano di numerazione Abilita gli utenti a gestire le selezioni personalizzate in base al permesso configurato
Gestione della configurazione di rete Abilita gli utenti a gestire la configurazione di rete in base al permesso configurato
Gestione delle impostazioni SIP Abilita gli utenti a gestire le impostazioni SIP in base al permesso configurato
Gestione dei menu IVR Abilita gli utenti a gestire i menu IVR in base al permesso configurato
Gestione delle stanze di audioconferenza Abilita gli utenti a gestire le stanze di audioconferenza in base al permesso configurato
Gestione operativa delle stanze di audioconferenza Abilita gli utenti a gestire le oprazioni delle stanze di audioconferenza in base al permesso configurato
Gestione dei ruoli Abilita gli utenti a gestire i ruoli in base al permesso configurato
Servizi in chiamata Abilita gli utenti a gestire i servizi in chiamata in base al permesso configurato
Gestione delle impostazioni generali Abilita gli utenti a gestire le impostazioni generali in base al permesso configurato
Gestione degli utenti GUI Abilita gli utenti a gestire gli utenti GUI in base al permesso configurato
Gestione delle licenze Abilita gli utenti a gestire le licenze in base al permesso configurato
Gestione impostazioni audio Abilita gli utenti a gestire le impostazioni audio in base al permesso configurato
Gestione degli interruttori Abilita gli utenti a gestire gli interruttori in base al permesso configurato
Gestione dei template di provisioning Abilita gli utenti a gestire i template di provisioning in base al permesso configurato
Gestione dei device di provisioning Abilita gli utenti a gestire i device di provisioning in base al permesso configurato
Strumenti di diagnostica Abilita gli utenti a gestire gli strumenti di diagnostica in base al permesso configurato
Gestione della rubrica condivisa Abilita gli utenti a gestire la rubrica condivisa in base al permesso configurato
Visualizzazione del registro delle chiamate Abilita gli utenti a visualizzare il registro delle chiamate
Impostazioni SSL Abilita gli utenti a gestire le impostazioni SSL in base al permesso configurato
Gestione delle impostazioni LDAP Abilita gli utenti a gestire le impostazioni LDAP in base al permesso configurato


Estratto da "https://www.kalliope.com/wiki/index.php?title=AdminGuide:BasicConcepts:Users_and_roles&oldid=17631"