Kasutajate administreerimine

Selles juhendis selgitatakse, kuidas hallata CCM kasutajaid Keycloaki kaudu ning mis roll on GovSSO Mockil.
Kasutajahaldust teevad ainult eraldi määratud CCM administraatorid. Nende kasutajate arvu hoiame minimaalse.

1. CCM administraatori määramine

CCM administraator ei ole Keycloaki täisadmin, vaid kasutaja, kellele antakse kasutajahalduri õigused (kuulub gruppi sso-admin).
Screenshot Administraatori õigused määrab SSO serveri administraator.

Administraatori rollid tuleb lisada realm-management kliendi alt:

  • view-users
  • query-groups
  • manage-users
  • view-identity-providers

Rollide lisamine

  1. Ava kasutaja Keycloakis
  2. Vali Role mappings
  3. Klõpsa Assign role → Client roles
  4. Vali klient realm-management
  5. Lisa rollid

Pärast seda saab kasutaja hallata CCM kasutajaid (ainult olemasolevaid). Screenshot

2. Admin-liidesesse sisselogimine

Testkeskkond

Keycloak admin:
https://testsso.helex.dev/admin/ccm/console

Testimisel kasutatakse GovSSO Mock identiteete.

Tootmiskeskkond

Keycloak admin:
https://ccm.askend.com/sso/admin/ccm/console

3. Kasutajate loomine vs haldamine

Väga oluline:

CCM administraator Keycloakis EI SAA luua uusi GovSSO Mocki kasutajaid.

GovSSO Mockis olevad identiteedid (nt EE38001085718, 49105186017 jne) on
SSO taseme identiteedid, mida Keycloak ei loo ega halda.

Keycloak saab töötada ainult nendega, kes:

  • on GovSSO Mockis juba olemas, ja
  • on vähemalt korra autentinud → Keycloak loob neile kasutaja kirje.

Seega: CCM admin saab hallata õigusi, mitte uusi kasutajaid juurde luua.

4. Kuidas administraator saab kasutajaid hallata?

Kasutajatele õigusi antakse gruppide kaudu. Grupis määratud rollid määravad ligipääsud.

Variant A: kasutaja → grupp

  1. Ava Users
  2. Vali kasutaja
  3. Ava Groups
  4. Lisa kasutaja vajalikku gruppi

Variant B: grupp → Kasutaja

  1. Ava Groups
  2. Vali grupp
  3. Ava Members
  4. Lisa grupile kasutajaid

Mõlemad viisid annavad sama tulemuse.

5. Kasutajate linkimine

Kui kasutaja on lisatud korrektsesse õiguste gruppi, aga tegemata on ‘Link account’, siis kasutaja ei saa süsteemi sisse logida. Selle ühenduse tegemiseks tuleb minna Users -> valida kasutaja -> Identity provider links -> Link account -> Sisestada EE+isikukood mõlemale väljale (suurte tähtedega) Screenshot Screenshot

6. E-maili kinnitamine

Kui kasutaja on lisatud ja ühendatud, tuleb eraldi kinnitada kasutaja e-mail. Muuljuhul näeb kasutaja e-maili nimekirjas punase hüüumärgiga Screenshot Tuleb valida kasutaja ning märkida “Email verified” -> Salvestada Screenshot

Lühikokkuvõte

  • CCM administraator määratakse SSO admini poolt.
  • Admin logib sisse Keycloaki adminliidesesse (test/prod URL-id).
  • Adminile antakse rollid: view-users, query-groups, manage-users, view-identity-providers.
  • Admin saab hallata ainult olemasolevaid kasutajaid, mitte luua GovSSO Mocki uusi identiteete.
  • Kasutajate õigusi hallatakse gruppide kaudu.
  • Kasutajate identity tuleb ühendada ning e-mail manuaalselt kinnitada.