LPS:IdM/midPoint/Magion
Z HelpDesk
Info
Personalistika - autorizovaný zdroj o zaměstnancích.
Pohledy (viz repozitář test-environment).
Deaktivace objektu:
- při deaktivaci objektu objekt "mizí" z pohledů
- v midPointu informace zůstávají
Objekty
V Magionu jsou "na jedné hromadě" uložena historická, aktuální i aktivní data a vždy je třeba vybírat správné záznamy podle nastavení platnosti a rozsahu datumů. Pohledy do Magionu pro IdM s tímto pracují.
Osoby
- primární klíč OS_CIS
- napojení OS_CIS, ROD_CIS
Pohledy:
- MAGION_EXT.V_PE_ZCU_ZAM_IDM
- lidé - aktivní zaměstnanci
- v datech se kontrolují aktuální i budoucí osoby (s limitem 20 dnů)
- z akuálních záznamů se bere nejnovější, z budoucích ten první "nejstarší"
- aktuální záznam má vždy přednost před naktivním budoucím (bylo opraveno 2019-05-13)
- MAGION_EXT.V_PE_ZCU_ZAM_ZMENA_IDM
- lidé - rychlý pohled na detekci změn
- poznává i začátky úvazků
Úvazky (PPV)
- primární klíč OS_CIS + CISLO_PP'
- napojení OS_CIS + CISLO_PP'
Pohledy:
- MAGION_EXT.V_PE_ZCU_PP_IDM
- pracovní úvazky
- MAGION_EXT.V_PE_ZCU_PP_ZMENA_IDM
- pracovní úvazky - rychlý pohled na detekci změn
Pracovní místa (PM)
Funkce spojené s pracovištěm.
- primární klíč ID (SY_MISTO_ID z MAGION.SY_MISTA)
- napojení ID (SY_MISTO_ID z MAGION.SY_MISTA)
Pohledy:
- MAGION_EXT.V_PE_ZCU_PMISTA_PP_IDM
- pracovní místa - vazby na pracovní úvazky
- v Magionu drobné nekonzistence - místa zůstávají i u skončených pracovních poměrů
- MAGION_EXT.V_PE_ZCU_PMISTA_SEZNAM_IDM
- pracovní místa - seznam (tj. "seznam funkcí")
Pracoviště
- primární klíč ID (SY_ORG_JED_ID z MAGION.SY_ORG_JED)
- napojení ID (SY_ORG_JED_ID z MAGION.SY_ORG_JED)
Pohledy:
- MAGION_EXT.V_PE_ZCU_ORGSTR_IDM
- organizační jednotky
- sporné platnosti datumů: https://rt.zcu.cz/rt/Ticket/Display.html?id=262135
Skupiny
Vesměs po pracovištích.
- primární klíč ID (SY_ORG_JED_ID z MAGION.SY_ORG_JED)
- napojení ID (SY_ORG_JED_ID z MAGION.SY_ORG_JED)
Pohledy: jako pracoviště
Co hlídat
- stub pracoviště - bez linku na resource
- pracoviště bez rodiče
- deaktivovaná pracoviště - vhodné zkontrolovat a smazat kvuli recyklacím kódů
- úvazek v seznamu u osoby, ale není přiřazený přes assignment
- už se hlídá
- stane se v případě pádu liveSync tasku pro PPV, kdu task pro osoby zůstane běžet
- TODO: prozkoumat možnosti rozšíření zde: https://wiki.evolveum.com/display/midPoint/Task+notifications, základní použití viz Re: [midPoint] livesync task error causes suspend
Záměna identit (!):
Dost nebezpečná věc je změna osobního čísla u osoby v Magionu, protože může dojít k záměně identity (na dané osobě s přiřazeným CRO ID se prostě změní jméno, příjmení, RČ, ...). Naštěstí se děje spíše jen u nově zadávaných záznamů.
Lze kontrolovat sledováním změny datumu narození (prefixu RČ). Potenciálně nebezpečné události lze získat např. z historie v emulovaném CRO (zde příklad s omezením na 6 měsíců):
SELECT
CRO_ID,
COUNT(DISTINCT SUBSTR(RODNE_CISLO, 0, 6)) RC_PREFIX_COUNT,
COUNT(DISTINCT OS_CISLO) OS_CISLO_COUNT
FROM IDM_OSOBY_LOG
WHERE LAST_ACTION_TSTAMP + 182 > SYSDATE
GROUP BY CRO_ID
HAVING
COUNT(DISTINCT SUBSTR(RODNE_CISLO, 0, 6)) > 1
OR COUNT(DISTINCT OS_CISLO) > 1;
A pak detaily:
DEFINE CRO_ID = ...; SELECT CRO_ID, RODNE_CISLO, OS_CISLO, LAST_ACTION_TSTAMP FROM IDM_OSOBY_LOG WHERE CRO_ID = &CRO_ID ORDER BY LAST_ACTION_TSTAMP;
Resource
| kind | objectClass | intent | strom |
|---|---|---|---|
| account | AccountObjectClass | zamestnanec | - |
| entitlement | GroupObjectClass | ppv | subtype='ppv' |
| generic (focus OrgType) | CustomOrganizationObjectClass | org-str | subtype='hr-org-str'/'deactivated-hr-org-str'/'hosted-org-str' |
| entitlement (focus RoleType) | CustomJobTitleObjectClass | pm | subtype='pm' |
| entitlement (focus RoleType) | CustomIdmRoleStaffObjectClass | global-group-staff | subtype='hr-global-group-staff' |
| entitlement (focus RoleType) | CustomIdmRoleDppDpcObjectClass | global-group-dppdpc | subtype='hr-global-group-dppdpc' |
| entitlement (focus RoleType) | CustomIdmRoleSecretariatObjectClass | global-group-secretariat | subtype='hr-global-group-secretariat' |
| entitlement (focus RoleType) | CustomIdmRoleSecretaryDptObjectClass | global-group-secretarydpt | subtype='hr-global-group-secretarydpt' |
| entitlement (focus RoleType) | CustomIdmRoleManagerDptObjectClass | global-group-managerdpt | subtype='hr-global-group-managerdpt' |
Role
ppv
- prefix: "PPV: "
- pracovně právní vztah ("zaměstnanecké pozice")
pm
- prefix: "PM: "
- pracovní místa ("funkce")
hr-global-group-staff
- prefix: "GLOBAL: Zaměstnanci "
- zaměstnanci na hlavní nebo vedlejší pracovní poměr (TODO: check!!)
- UROVEN = 4 OR UROVEN = 3 OR LOWER(NAZEV) LIKE '%katedra%'
- TODO: úroveň pracovišť asi neřešit
hr-global-group-dppdpc
- prefix: "GLOBAL: Dohodáři "
- zaměstnanci na dohodu
- UROVEN = 4 OR UROVEN = 3 OR LOWER(NAZEV) LIKE '%katedra%'
- TODO: úroveň pracovišť asi neřešit
hr-global-group-secretariat
- prefix: "GLOBAL: Sekretariát "
- sekretářky
- (UROVEN = 4 OR UROVEN = 3 OR UROVEN = 2 OR LOWER(NAZEV) LIKE '%fakulta%' OR LOWER(NAZEV) LIKE '%katedra%')
- TODO: úroveň pracovišť asi neřešit
hr-global-group-secretarydpt
- prefix: "GLOBAL: Tajemník "
- tajemníci
- (UROVEN = 4 OR UROVEN = 3 OR UROVEN = 2 OR LOWER(NAZEV) LIKE '%fakulta%' OR LOWER(NAZEV) LIKE '%katedra%')
- TODO: úroveň pracovišť asi neřešit
hr-global-group-managerdpt
- prefix: "GLOBAL: Vedoucí "
- vedoucí pracovišť (TODO: check!)
- (UROVEN = 4 OR UROVEN = 3 OR UROVEN = 2 OR LOWER(NAZEV) LIKE '%fakulta%' OR LOWER(NAZEV) LIKE '%katedra%')
- TODO: úroveň pracovišť asi neřešit
