Administration af AD sikkerhedsgrupper

Description

Baggrund
Mange it-systemer anvender sikkerhedsgrupper i AD til at styre hvad de enkelte brugere må og ikke må udføre af handlinger inde i it-systemet. Det betyder at man tildeler en bruger rettigheder ved at melde brugeren ind i bestemt AD-sikkerhedsgruppe, og på samme måde fratager en bruger samme rettighed ved at melde brugeren ud af AD-sikkerhedsgruppen.

Det at melde brugere ind/ud af AD-sikkerhedsgrupper tilsvarer det at tildele/fratage en bruger i rolle i OS2rollekatalog, og det giver mening at lade OS2rollekatalog styre gruppe-medlemsskaber i AD.

User Story 1 - administration af AD-styrede it-systemer
Som bruger af OS2rollekatalog,
skal jeg kunne oprette og vedligeholde AD-styrede it-systemer i OS2rollekatalog,
så jeg kan oprette Jobfunktionsroller indeholdende AD Sikkerhedsgrupper

Tekniske noter til User Story 1
OS2rollekatalog udfører ingen kald til Active Directory i forbindelse med oprettelse af it-systemet i OS2rollekalog. Der oprettes dermed ingen AD sikkerhedsgrupper på baggrund af de indtastede oplysninger, og det forventes at disse AD sikkerhedsgrupper er oprettet i forvejen. Dette er for at reducere mængden af rettigheder som OS2rollekatalog skal have i den enkelte kommunes Active Directory - det er muligt alene at give OS2rollekatalog lov til at ændre på gruppemedlemsskab for de AD sikkerhedsgrupper som man mener OS2rollekatalog skal have adgang til på denne måde, og dermed reducere trusselsbilledet mærkbart på den systembruger der skal oprettes til formålet.

User Story 2
Som bruger af OS2rollekatalog,
når jeg tildeler/fjerner en Jobfunktionsroller (indeholdende AD sikkerhedsgrupper) til en bruger,
så skal OS2rollekatalog udføre den tilsvarende indmelding/udmelding af brugeren i AD sikkerhedsgruppen

Tekniske noter til User Story 2
Det forudsættes at OS2rollekatalog udstyres med en systembruger, der har de fornødne rettigheder til at udføre disse opdateringer i kommunens Active Directory. Driftsmæssigt anbefales det at man alene åbner op netværksmæssigt for den IP adresse hvor OS2rollekatalog udfører kaldet fra, og at den systembruger der anvendes kun har netop de rettigheder som er nødvendige for at lave ændringer i gruppemedlemsskaber.

Der vil være en kort forsinkelse på 1-2 minutter fra ændringen af rettigheder er foretaget i OS2rollekatalog, til ændringen vil slå igennem i Active Directory, da kaldet til Active Directory udføres asynkront via en kø-mekanisme. Dette sikrer at evt opdateringer til Active Directory kan udføres på et senere tidspunkt, hvis forbindelsen til Active Directory midlertidig er utilgængelig.

Pris
Opgaven kan implementeres til 65.000 DKK

Acceptkriterier

None

Hvordan kan det testes?

None

Status

Assignee

Peter Binderup

Reporter

Brian Storm Graversen

Labels

None

Story point estimate

None

Priority

Critical
Configure