Systém profilov v GLPI je vrstva riadenia prístupu pre celú aplikáciu. Každá akcia, ktorú používateľ môže vykonať — vytvorenie tiketu, zobrazenie aktíva, úprava obchodného pravidla, prístup do admin nastavení — je riadená sadou oprávnení definovanou v profile. Väčšina nasadení GLPI začne s predvolenými profilmi a nikdy sa k nim nevráti. To vedie k najčastejšiemu bezpečnostnému problému v GLPI: príliš veľa ľudí s príliš veľkým prístupom.
Ako fungujú profily
Profil je kolekcia oprávnení. Každé oprávnenie riadi prístup ku konkrétnemu typu objektu (tikety, počítače, zmeny, problémy, znalostná báza atď.) alebo ku konkrétnej funkcii (admin menu, pravidlá, slovníky, transfery, správa entít). Oprávnenia sú granulárne — môžete udeliť prístup na čítanie tiketov, ale zakázať ich mazanie, alebo povoliť vytváranie zmien, ale nie ich schvaľovanie.
Používateľ dostane profil priradený v rámci konkrétnej entity. Ten istý používateľ môže mať rôzne profily v rôznych entitách — napríklad profil Vedúci tímu vo svojej domovskej entite a profil Pozorovateľ s oprávnením len na čítanie v susednej entite, ktorú potrebuje monitorovať.
Návrh profilov pre 4-úrovňovú štruktúru podpory
Väčšina IT organizácií funguje s nejakou variáciou koncových používateľov, prvej línie podpory, špecialistov druhej línie, vedúcich tímov a administrátorov. Tu je praktický návrh profilov pre túto štruktúru.
Self-Service (koncoví používatelia)
Môžu vytvárať tikety. Vidia len svoje vlastné tikety. Majú prístup do znalostnej bázy (len na čítanie). Nevidia aktíva, zmeny, problémy ani žiadne admin menu. Nevidia tikety iných používateľov. Toto je predvolené nastavenie pre každého, kto zadáva požiadavky, ale nepracuje v IT.
L1 Agent
Vidí všetky tikety vo svojej pridelenej entite. Môže prevziať tikety, pridávať komentáre, pridávať úlohy a navrhovať riešenia. Môže prezerať aktíva (len na čítanie) na kontrolu vybavenia žiadateľa. Nemôže vytvárať ani schvaľovať zmeny. Nemá prístup do admin nastavení, obchodných pravidiel ani konfigurácie SLA. Nemôže mazať tikety.
L2 Špecialista
Rovnako ako L1, plus: môže vytvárať a spravovať zmeny (ale nie ich schvaľovať — to je na Vedúcom tímu). Môže prezerať a upravovať problémy. Má prístup do CMDB s právami na zápis v rámci svojho rozsahu aktív. Môže spravovať články znalostnej bázy vo svojej kategórii. Stále bez prístupu do admin menu, správy používateľov alebo obchodných pravidiel.
Vedúci tímu
Rovnako ako L2, plus: môže schvaľovať zmeny. Môže prezerať štatistiky a reporty. Môže priraďovať tikety technikom. Môže spravovať skupiny v rámci svojej entity. Môže prezerať (ale nie upravovať) konfigurácie SLA. Stále bez prístupu do globálnych admin nastavení, správy entít alebo správy profilov.
Administrátor
Plný prístup. Tento profil by mal mať jeden alebo dvaja ľudia na inštanciu GLPI. Spravujú entity, profily, obchodné pravidlá, definície SLA, pluginy a systémovú konfiguráciu. Toto nie je profil na každodenné používanie — administrátori by mali mať samostatný osobný účet s profilom nižšej úrovne oprávnení na bežnú prácu.
Časté chyby
Všetci sú Super-Admin
Toto sa deje v malých tímoch, kde "si všetci dôverujeme." Problém nie je dôvera — je to zodpovednosť. Keď môže každý zmeniť čokoľvek, nedá sa určiť, kto zmenil obchodné pravidlo, ktoré rozbilo smerovanie tiketov, alebo kto vymazal záznam aktíva. Auditné záznamy ukazujú akciu, ale nedokážu rozlíšiť zámerné zmeny od nehôd, keď majú všetci identické oprávnenia.
Profily sa nikdy nerevidujú
Používateľ je povýšený z L1 na L2 a dostane profil L2 — ale starý profil L1 sa nikdy neodstráni. Časom sa používateľom hromadia profily. Revidujte priradenia profilov pri zmene rolí a odstraňujte profily, ktoré už nezodpovedajú zodpovednostiam danej osoby.
Funkčné oprávnenia sa prehliadajú
Administrátori sa sústredia na objektové oprávnenia (kto vidí tikety, kto môže upravovať aktíva) a zabúdajú na funkčné oprávnenia. Obchodné pravidlá, slovníky, automatické akcie a nastavenia transferov sú silné funkcie, ktoré môžu potichu zmeniť správanie GLPI. Obmedzte ich len na administrátorov.
Testovanie návrhu profilov
GLPI umožňuje administrátorom napodobniť ľubovoľného používateľa cez tlačidlo "Test" v obrazovke správy profilov. Použite to na overenie, čo každý profil skutočne vidí a môže robiť. Prihláste sa ako testovací používateľ s každým profilom, skúste pristúpiť do menu, ktoré by mali byť skryté, skúste vykonať akcie, ktoré by mali byť zamietnuté. Urobte to pred nasadením zmien profilov do produkcie.
Návrh profilov nie je efektná práca, ale je to základ bezpečnosti GLPI. Urobte to správne raz, pravidelne revidujte a väčšina problémov s riadením prístupu zmizne.