Differenze tra le versioni di "AdminGuide:BasicConcepts:Users and roles"
m |
m |
||
| Riga 48: | Riga 48: | ||
<!--T:8--> | <!--T:8--> | ||
In fase di attivazione della licenza | In fase di attivazione della licenza multitenant, il PBX e le entità dei tenant, che erano prima raggruppate in una singola entità amministrativa, vengono separate, creando un nuovo utente predefinito '''pbxadmin''' (la cui password di default è "admin"). | ||
<!--T:9--> | <!--T:9--> | ||
Versione delle 08:22, 30 apr 2018
Torna a AdminGuide:BasicConcepts
Utenti
L'accesso all'interfaccia utenti di KalliopePBX (insieme ai servizi CTI, la rubrica LDAP, ecc.) è assegnato agli utenti. Esistono due tipi di utenti: predefiniti e custom. Gli utenti predefiniti includono utenti dedicati a funzioni amministrative o riguardati i servizi, i cui ruoli sono normalmente predefiniti e non modificabili, mentre gli utenti custom sono utenti aggiuntivi che possono essere creati e assegnati a ruoli personalizzati.
Ad ogni utente sono assegnati permessi riguardanti la GUI, i clienti CTI e le API.
- GUI: gli utenti con accesso GUI possono accedere all'interfaccia web di KalliopePBX; l'accesso GUI permette anche l'accesso al server LDAP integrato.
- CTI: gli utenti con accesso CTI possono usare le applicazioni di Kalliope (CTI, Logger, Supervisor Panel) che si connettono al PBX usando il socket e protocollo CTI.
- API: gli utenti con accesso API possono invocare le API REST di KalliopePBX disponibili su http[s]://<indirizzo IP del PBX>/rest/ (vedi API REST).
Utenti predefiniti
Il primo esempio di utente predefinito è l'admin (la cui password di default è "admin"). L'admin è la figura tecnica primaria, usata solitamente per la configurazione di sistema. Utenti aggiuntivi possono avere permessi di configurazione, ma possono essere limitati a specifici pannelli della GUI, secondo il loro Ruolo assegnato.
Nella tabella seguente sono descritti gli utenti predefiniti con i relativi permessi di accesso. (Nota: il simbolo (+) indica che il permesso è assegnato di default e non può essere revocato; il simbolo (-) indica che è e possibile scegliere se assegnare o meno i permessi.)
| Username | Permessi di accesso | Note |
|---|---|---|
| admin | GUI (+) CTI (+) API (+) |
L'utente tecnico primario. Ha permessi completi per la configurazione del PBX, sia del sistema (network, servizi network) che della telefonia (entità, servizi, ecc.). Ha pieno accesso ai log e registri, ma ha alcune limitazioni per quanto riguarda aspetti relativi alla privacy degli utenti. Prima di tutto, non può visualizzare in pieno i numeri di telefono esterni nel CDR, ma gli verranno mostrati solo con le ultime tre cifre oscurate da "xxx"; in più, l'utente admin non ha accesso alla configurazione e i file di registrazione di chiamata, a cui può solo accedere l'utente privacyadmin (e utenti da lui delegati). |
| privacyadmin | GUI (-) API (-) |
Questo utente ha pieno accesso ai numeri di telefono esterni nel CDR ed è l'unico a poter configurare l'autorizzazione alla registrazione di chiamata. Può anche accedere ai registri di registrazione chiamate, ascoltare e scaricare le chiamate registrate e delegare i suoi poteri ad altri utenti, assegnandogli l'accesso ai numeri completi nel CDR e alla lista delle chiamate registrate con i relativi file. |
| phonebook | GUI (-) API (-) |
Questo utente ha accesso in lettura alla rubrica del KalliopePBX. Deve essere attivato dal pannello "Impostazioni di sistema" -> "Gestione utenti", assegnandogli una password e i relativi permessi di accesso. NOTA: l'accesso GUI include l'accesso al server LDAP integrato, dove viene pubblicata la rubrica di KalliopePBX (secondo le impostazioni definite nel pannello "Rubrica" -> "Impostazioni LDAP". L'utente "phonebook" è utile per avere una singola identità (configurabile con provisioning) usata dai telefoni per accedere alla rubrica di KalliopePBX con LDAP. |
| click2call | GUI (-) API (-) |
Questo utente è utile se si vuole usare applicazioni third party per mandare comandi click-to-call (usando l'API REST /rest/phoneServices/c2c/{dest_exten}/{source_exten}) usando un singolo utente con permessi limitati. |
Multitenant
In fase di attivazione della licenza multitenant, il PBX e le entità dei tenant, che erano prima raggruppate in una singola entità amministrativa, vengono separate, creando un nuovo utente predefinito pbxadmin (la cui password di default è "admin").
La gestione del PBX come sistema viene assegnata al nuovo utente "pbxadmin", che ha sia accesso GUI che accesso CTI, mentre l'utente "admin" mantiene il controllo dei servizi telefonici del tenant. Dato che è possibile creare più di un tenant, ognuno con il proprio utente "admin", è necessario estendere lo username in modo da specificare il proprio dominio. Il dominio predefinito del tenant preesistente è "default", quindi gli utenti predefiniti predefiniti diventano admin@default, privacyadmin@default, ecc.
Per ogni nuovo tentant creato (con dominio "sampledomain") vengono generati i relativi utenti predefiniti, admin@sampledomain, privacyadmin@sampledomain, phonebook@sampledomain, ecc.
Gli utenti admin@default e admin@sampledomain sono completamente indipendenti tra loro e ciascuno può solo gestire il proprio tenant.
NOTA: se un utente non specifica il proprio dominio durante il login (per esempio, usando "admin" invece che "admin@somedomain"), viene preso come appartenente al dominio di default e autenticato di conseguenza.
Utenti custom
È possibile creare altri utenti. Per ora, gli utenti custom devono essere associati ad un Interno. Gli utenti custom possono essere creati nel pannello "Modifica Interno", definendo un username unico per il tenant e assegnando permessi di accesso GUI, CTI e/o API. Ogni utente viene creato con il ruolo di "Tenant User", ma è successivamente possibile selezionare un altro ruolo fra quelli disponibili. Come spiegato sotto, i ruoli sono gestiti attraverso il pannello "Impostazioni di sistema" -> "Gestione ruoli", dove si può assegnare permessi di accesso ad ogni pannello della GUI, permettendo all'admin di delegare specifiche mansioni di configurazione ad altri utenti.
Dopo la creazione, gli utenti custom non possono essere modificati dal pannello "Modifica interno", ma appariranno nel pannello "Impostazioni di sistema" -> "Gestione utenti" insieme agli utenti predefiniti.
Autenticazione
Gli utenti vengono autenticati con un controllo password, usando uno dei due metodi di autenticazione disponibili.
Il primo è "Local Authentication": la password viene gestita dal centralino, e la sua hash è salvato sul database interno per l'autenticazione. Questo è l'unico metodo disponibile per l'utente "admin".
KalliopePBX può anche autenticare gli utenti attraverso servizi esterni; i servizi supportati sono Microsoft Active Directory e server LDAP. I servizi esterni di autenticazione sono definiti a livello di tenant, quindi devono gestire username della forma "user@tenant_domain".
Ruoli
Ad ogni utente è assegnato un ruolo che determina i suoi permessi di accesso ai vari pannelli. Gli utenti predefiniti hanno ruoli predefiniti (che per ora non sono assegnabili a utenti custom), dato che i loro permessi sono fissi.
Gli utenti custom hanno come ruolo predefinito quello di "Tenant User" (e semplicemente "User"). Gli utenti con questo ruolo hanno accesso al proprio CDR e alle varie rubriche (locale, condivisa, personale).
È possibile creare altri ruoli (detti ruoli "Power User") e assegnarli agli utenti custom. Ogni ruolo ha un attributo di priorità (un valore intero da 1 a 99; gli utenti standard hanno priorità 0, mentre il tenant admin ha priorità 100) che viene usato per risolvere la contesa del lock della configurazione. Gli utenti possono acquisire il lock anche se è già stato acquisito da un altro utente, ammesso che il suo ruolo ha priorità più alta di quello dell'altro utente. Nota: acquisire il lock da un altro utente annullerà tutti i cambiamenti effettuati da quest'ultimo.
I ruoli personalizzati possono essere configurati selezionando il livello di accesso a ciascun pannello fra quelli disponibili:
- "nessuno": l'utente non può accedere al pannello e il link al pannello non sarà visualizzato nel menù di navigazione (è bloccato anche l'accesso diretto all'URL del pannello)
- "elenco": l'utente ha accesso in lettura al pannello con l'elenco delle relative entità (per esempio, la lista degli interni) ma non può accedere ai dettagli di ciascuna voce o eseguire azioni su di esse
- "lettura": l'utente può accedere sia al pannello di elenco che quelli delle singole voci, ma solo in lettura
- "scrittura": l'utente ha pieno accesso di lettura/scrittura alle relativa entità