GLPI podporuje multi-entitné nasadenia, kde jedna inštancia obsluhuje viacero dcérskych spoločností, oddelení alebo klientskych organizácií. Je to praktická funkcia pre administráciu, ale zároveň bezpečnostná funkcia. Hranice entít v GLPI riadia, kto môže vidieť ktoré tikety, aktíva, články znalostnej bázy a konfiguračné položky. Ak je to nastavené správne, izolácia entít vynucuje princíp minimálnych oprávnení na úrovni dát. Ak nie, dochádza k úniku citlivých informácií naprieč organizačnými hranicami.
Ako entity vytvárajú dátové hranice
Každý objekt v GLPI patrí do entity. Tiket vytvorený v Entite A je neviditeľný pre používateľov, ktorí majú profily priradené len k Entite B. To isté platí pre počítače, softvérové licencie, zmluvy, články znalostnej bázy a prakticky každý iný typ objektu. Nejde len o UI filter — databázové dotazy vynucujú hranice entít, takže ich nemožno obísť priamou manipuláciou URL alebo API volaniami.
Vďaka tomu sú entity primárnym mechanizmom izolácie dát v multi-tenantných alebo multi-oddeleniach GLPI nasadeniach.
Rekurzívna vs. nerekurzívna viditeľnosť
Entity v GLPI sú hierarchické. Rodičovská entita môže mať podriadené entity. Keď používateľovi priradíte profil na rodičovskej entite s rekurzívnymi právami, vidí dáta vo všetkých podriadených entitách pod ňou. Keď profil priradíte bez rekurzie, vidí len dáta v danej konkrétnej entite.
Tento rozdiel je dôležitejší, než si väčšina administrátorov uvedomuje.
Kedy má rekurzia zmysel
Centrálny IT tím, ktorý riadi dodávku služieb naprieč všetkými dcérskymi spoločnosťami, potrebuje rekurzívny prístup na koreňovej entite. Manažér skupiny, ktorý dohliada na viaceré regionálne tímy, potrebuje rekurzívny prístup na rodičovskej entite svojho regiónu. Toto sú oprávnené prípady použitia.
Kedy rekurzia spôsobuje problémy
Ak technikovi prvej línie dáte rekurzívny prístup na koreňovej entite, vidí každý tiket v systéme — vrátane HR-citlivých požiadaviek, IT záležitostí vedenia alebo klientskych dát z iných dcérskych spoločností. Ide o bežnú chybnú konfiguráciu, zvyčajne spôsobenú pohodlnosťou počas počiatočného nastavenia, ktorá sa nikdy neopraví.
Audit prístupu: kto čo vidí
GLPI poskytuje nástroje na audit prístupu k entitám, len treba vedieť, kde hľadať.
- Choďte do Administrácia > Používatelia, vyberte používateľa a skontrolujte záložku "Autorizácie". Zobrazí sa každý pár profil-entita priradený danému používateľovi, vrátane toho, či je každé priradenie rekurzívne.
- Pre širší pohľad choďte do Administrácia > Profily, vyberte profil a pozrite záložku "Používatelia", kde vidíte každého, kto má daný profil a v ktorých entitách.
- GLPI REST API vie tieto dáta extrahovať aj programaticky:
GET /apirest.php/User/{id}/Profile_Uservráti všetky priradenia profilov pre daného používateľa.
Tento audit robte štvrťročne. Hľadajte konkrétne používateľov s profilmi Super-Admin alebo admin-úrovne priradenými rekurzívne na koreňovej entite. Vo väčšine nasadení by tento zoznam mal byť veľmi krátky — dvaja-traja ľudia maximálne.
Časté chyby a ako ich opraviť
Všetci dostanú rovnaký profil
Niektoré nasadenia vytvoria jeden profil "Technik" a priradia ho všade. To znamená, že každý technik môže robiť všetko — vytvárať zmeny, mazať aktíva, upravovať pravidlá. Namiesto toho vytvorte odstupňované profily (L1 Agent, L2 Špecialista, Vedúci tímu) s rôznymi sadami oprávnení a priraďte ich len do entít, kde daná osoba pracuje.
Self-service používatelia vidia priveľa
Koncoví používatelia, ktorí zadávajú tikety, by mali vidieť len svoje vlastné tikety a články znalostnej bázy publikované pre ich entitu. Skontrolujte profil Self-Service a overte, že "Vidieť všetky tikety" je nastavené na Nie a že priradenie entity je nerekurzívne.
Žiadna pravidelná revízia prístupu
Ľudia menia roly. Dodávatelia odchádzajú. Dcérske spoločnosti sa reorganizujú. Bez periodickej revízie sa priradenia profilov hromadia a odchyľujú od skutočnej organizačnej štruktúry. Nastavte si pripomienku v kalendári alebo — ešte lepšie — vytvorte opakujúci sa tiket v GLPI priradený admin tímu na štvrťročnú kontrolu prístupových práv.
Izolácia entít ako požiadavka na compliance
Pre organizácie, ktoré podliehajú ISO 27001, NIS2 alebo GDPR, nie je izolácia dát voliteľná. Ak vaša inštancia GLPI obsahuje tiketové dáta zahŕňajúce osobné údaje (mená zamestnancov, kontaktné údaje, popisy incidentov), hranice entít sú súčasťou vášho rámca riadenia prístupu. Schopnosť preukázať, že dáta z Entity A nemôžu byť prístupné používateľom v Entite B, je niečo, na čo sa audítori budú pýtať.
Model entít v GLPI vám dáva mechanizmus. Konfigurácia rozhoduje o tom, či skutočne funguje.