Admin access

Dotyczy wersji: 2023 R1 i powyżej; autor: Konrad Keppert

Dokumentacja powiązana

Szczegółowy opis funkcjonalności wymienionych w niniejszym artykule oraz ich konfiguracji można znaleźć w następujących sekcjach Pomocy WEBCON BPS:

Wprowadzenie

Admin access jest dostawcą uwierzytelniania wprowadzonym w WEBCON BPS 2023. Changelog tej wersji informuje, że za jego pomocą można dokończyć konfigurację środowiska po instalacji lub zalogować do Designer Studio w przypadku awarii.

Celem tego artykułu jest bardziej szczegółowe omówienie funkcjonalności Admin access przez zaadresowanie następujących zagadnień:

Jakie daje możliwości?
Jakie są jego ograniczenia?
Jak aktywować Admin access na środowiskach migrowanych ze starszych wersji?
W jaki sposób zmienić hasło dla konta administracyjnego?

Ponadto w dalszej części dokumentu omówiono narzędzie WEBCON BPS System Administrators, które dostępne było też na starszych wersjach platformy, przy czym obecnie odgrywa rolę w zarządzaniu funkcjonalnością Admin access.

Informacje podstawowe

Admin access jest jedynym w WEBCON BPS wewnętrznym dostawcą uwierzytelniania, czyli dostępnym na każdym środowisku bez względu na infrastrukturę.

W trakcie instalacji WEBCON BPS, w kroku Konto administracyjne, należy ustalić hasło dla konta administracyjnego admin@system.bps, w kontekście którego zostanie uruchomione Designer Studio po uwierzytelnieniu za pomocą dostawcy Admin access. Jest to konto wbudowane w WEBCON BPS, przez co nie ma możliwości zmiany tego loginu.

Konfiguracja funkcjonalności Admin access podczas nowej instalacji WEBCON BPS.

Podczas tego kroku instalacji można dowiedzieć się, że po jej zakończeniu Admin access będzie jedynym dostępnym dostawcą uwierzytelniania i trzeba go wykorzystać, aby zalogować się w Designer Studio i dokończyć konfigurację:

synchronizacji użytkowników BPS;
dostawców uwierzytelniania;
globalnych uprawnień administratorów;

dzięki czemu będzie możliwa praca użytkowników na ich kontach domenowych (imiennych).

Jedną z wymienionych w tym kroku czynności konfiguracyjnych jest wyłączenie dostawcy Admin access. Jest to dobra praktyka ze względu na ograniczone funkcjonalności konta admin@system.bps.

Uwierzytelnianie

Jeśli dostawca Admin access jest aktywny, podczas uruchamiania Designer Studio będzie widoczny na liście dostępnych dostawców.

Wybór dostawcy uwierzytelniania.

Po jego wybraniu użytkownik zostanie poproszony o podanie hasła dla konta admin@system.bps zdefiniowanego podczas instalacji. Na nowych środowiskach, gdzie Admin access jest jedynym dostępnym domyślnie dostawcą, osoba uruchamiająca Designer Studio od razu zostanie poproszona o to hasło.

Podanie hasła konta administracyjnego po wybraniu dostawcy Admin access.

Admin access działa w schemacie BpsAdmin. Można się o tym przekonać, patrząc w logi serwera IIS, gdzie zapisywane są wydarzenia związane z tym uwierzytelnianiem.

Uwierzytelnianie Admin access w logach IIS.

Ograniczenia

Jak wspomniano powyżej, dobrą praktyką jest, aby po dokończeniu konfiguracji nowego środowiska (synchronizacja użytkowników domenowych → zewnętrzny dostawca uwierzytelniania → nadane uprawnienia globalne), wyłączyć dostawcę Admin access.

Jest to podyktowane tym, że admin@system.bps nie ma możliwości modyfikowania aplikacji i procesów. Może być to mylące dla osób, które nie wiedzą czym jest Admin access, jednak uruchamiają Designer Studio z zamiarem wdrażania aplikacji biznesowych. W rezultacie takie osoby mogą – zachęcone nazwą – wybrać tego dostawcę, by wkrótce otrzymać informację o braku możliwości zapisywania procesów. Może to rodzić niepotrzebną frustrację w zespole BPS.

Ostrzeżenie o braku możliwości edycji aplikacji lub procesu przez admin@system.bps.

Możliwości

Jakie funkcjonalności są zatem dostępne w ramach Admin access? Wcześniej już wymieniono konfigurację synchronizacji użytkowników, dostawców uwierzytelniania czy uprawnień globalnych, jednak zakres możliwości kontra administracyjnego obejmuje wszystkie opcje znajdujące się poza węzłem Aplikacje, czyli:

źródła danych;
konfigurację systemu (w tym konfigurację atrybutów i reguł globalnych, HotMailBoxów, HotFolderów itd.);
paczki dodatków SDK;
raporty.

Atutem Admin access jest to, że nie wymaga on działającego serwisu licencji. Umożliwia to dostęp do Designer Studio, w sytuacjach gdy inne metody uwierzytelniania zawodzą, przykładowo:

w trakcie trwania godzin serwisowych w celu ich przedwczesnego zakończenia;
gdy w wyniku migracji loginów, globalni administratorzy systemowi stracą uprawnienia;
gdy żaden pracownik organizacji nie ma przydzielonej licencji Designer Studio CAL i trzeba ją przypisać innemu użytkownikowi.

Aktywacja

Jeśli Admin access jest – zgodnie z najlepszymi praktykami – dezaktywowany na środowisku, ale zachodzi potrzeba skorzystania z niego, można go aktywować w następujące sposoby:

w oknie Narzędzia do zarządzania systemem instalatora WEBCON BPS w węźle Dostawcy autentykacji;
w narzędziu WEBCON BPS System Administrators (opis w dalszej części artykułu).

Każda zmiana konfiguracji dostawców uwierzytelniania wymaga restartu puli aplikacji w IIS.

Zarządzanie dostawcami uwierzytelniania za pomocą narzędzi administracyjnych instalatora.

Zmiana lub ustalenie hasła

Jeśli środowisko zostało zaktualizowane z wersji starszej niż 2023 i hasło dla Admin access nie zostało nigdy ustalone, to po aktywowaniu tego dostawcy w Designer Studio użytkownik zostanie poproszony o ustawienie nowego hasła.

Alternatywnie można w tym celu wykorzystać narzędzie WEBCON BPS System Administrators (opis niżej). Jest to też jedyne miejsce, gdzie można zmienić hasło dla Admin access na wypadek jego utraty.

WEBCON BPS System Administrators

Informacje podstawowe

WEBCON BPS System Administrators to program pozwalający zarządzać uprawnieniami globalnych administratorów systemu spoza Designer Studio. Wraz z wprowadzeniem Admin access narzędzie zyskało nowe zastosowanie, ale w WEBCON BPS było dostępne już od wersji 2019.

Lokalizacja

Narzędzie dostępne jest w katalogu, gdzie zainstalowane jest narzędzie WEBCON BPS Designer Studio. Od wersji 2024 jego domyślna ścieżka to:

„C:\Program Files\WEBCON\WEBCON BPS Designer Studio\WEBCON BPS System Administrators\WEBCON BPS System Administrators.exe”

W przypadku starszych wersji (do 2023 włącznie) plik EXE znajdował się w tym samym katalogu, co Designer Studio (nie w podfolderze).

Zastosowanie

Po uruchomieniu narzędzia, konieczne jest nawiązanie połączenia do bazy konfiguracyjnej środowiska. W tym celu należy wybrać rodzaj uwierzytelniania, nazwę lub adres SQL Servera, nazwę bazy konfiguracyjnej oraz poświadczenia zależne od wybranej metody uwierzytelniania.

Konto, w kontekście którego nawiązywane jest połączenie, powinno mieć uprawnienia min. odczytu i zapisu do baz BPS.

Po poprawnym nawiązaniu połączenia aktywowane zostanie pole wyboru Content database, w którym należy wybrać jedną z baz zawartości powiązanych ze środowiskiem. Każda baza zawartości ma swój własny zestaw administratorów.

Po wybraniu bazy w zakładce Users poniżej wyświetlona zostanie lista loginów użytkowników (w formacie BPS ID), którzy są obecnie administratorami w wybranej bazie zawartości. Za pomocą przycisków z prawej strony okna można dodawać nowe loginy, modyfikować lub usuwać istniejące.

Zakładka Users w WEBCON BPS System administrators po pomyślnym nawiązaniu połączenia do bazy konfiguracyjnej.

Zakładka Admin access daje możliwość aktywowania i dezaktywowania tego dostawcy uwierzytelniania, a także zmiany hasła dla konta administracyjnego admin@system.bps.

Z tej opcji można skorzystać w przypadku utraty hasła lub do aktywowania Admin access na środowiskach, które były migrowane ze starszych wersji platformy WEBCON BPS (sprzed momentu wprowadzenia tego dostawcy).

Konfiguracja Admin access jest globalna dla całego środowiska WEBCON BPS i nie jest powiązana z wybraną bazą zawartości.

Zakładka Admin access w WEBCON BPS System administrators.

Podsumowanie

W artykule przedstawiono rolę i sposoby zarządzania funkcjonalnością Admin acces, a także funkcjonalności narzędzia WEBCON BPS System Administrators.

Dostawca uwierzytelniania Admin access nie tylko ułatwia dokończenie konfiguracji nowych środowisk WEBCON BPS, ale dzięki temu, że nie wymaga licencji Designer Studio CAL, daje też możliwość stałego dostępu do środowiska w sytuacjach awaryjnych.

Narzędzię WEBCON BPS System Administrators nie tylko pozwala zarządzać funkcjonalnością Admin access, ale umożliwia też zarządzanie całą listą uprawnień globalnych administratorów systemu, również na starszych wersjach systemu.