Autoryzacja dostępu do pól formularza

Facebooktwitterpinterestlinkedinmail
Dotyczy wersji: 2025 R1 i powyżej; autor: Grzegorz Straś

Dokumentacja powiązana

Ustawienia pozwalają włączyć opisywaną fukcję znajdują się w zakładce Widocznośc oraz w węźle Bezpieczeństwo parametrów globalnych. Artykuł odnosi się tylko do wymaganych elementów, pełny opis znajduje się następujacych sekcjach pomocy:

Wprowadzenie

W wersji 2025 R1 WEBCON BPS wprowadzono funkcjonalność, która stanowi dodatkową warstwę zabezpieczenia poufnych lub wrażliwych danych. Użytkownik, chcąc uzyskać dostęp do pola, będzie musiał potwierdzić swoją tożsamość na podstawie dodatkowej operacji autoryzacyjnej.

Niniejszy artykuł stanowi opis funkcjonalności Autoryzacji dostępu do pól na formularzu. Konfiguracja samych metod autoryzacji jest wspólna z funkcjonalnością wprowadzoną w wersji 2023 R3 – Autoryzacja przejścia ścieżką. Autoryzacja dostępu jest pod wieloma względami kontynuacją tej funkcjonalności. Terminologia i podstawowe założenia są analogiczne w obu rozwiązaniach.

 

Konfiguracja i zasady działania

Funkcjonalność autoryzacji dostępu do atrybutu jest formą dodatkowego uwierzytelnienia, która zabezpiecza wskazane dane na formularzu. Otwierając formularz, użytkownik będzie mógł wejść w interakcje z zabezpieczonymi danymi dopiero po potwierdzeniu swojej tożsamości.

Może to zmniejszyć ryzyko sytuacji, w której wgląd do danych będzie miała osoba nieupoważniona, ale także docelowy odbiorca będzie bardziej świadomy znajdujących się na formularzu poufnych danych.

Autoryzacja może być wymagana czasowo (jedna autoryzacja co pewien okres czasu) lub każdorazowo i będzie wymagała od użytkownika operacji uwierzytelnienia przy każdym wglądzie do atrybutu.

Na potrzeby obsługi funkcjonalności w konfiguracji Widoczności atrybutu dodano opcję Autoryzacja dostępu, dla której dostępne są następujące ustawienia:

  • Brak – autoryzacja nie jest wymagana. Jest to opcja domyślna dla każdego atrybutu.
  • Wymagana okresowo – wymagana jest jedna autoryzacja na cały czas trwania sesji autoryzacyjnej. Długość sesji autoryzacyjnej określona jest globalnie dla środowiska, domyślnie jest to wartość 5 minut. W trakcie trwania sesji autoryzacyjnej użytkownik może wyświetlić dowolną liczbę pól formularza (na dowolnym elemencie) z autoryzacją ustawioną w trybie Wymagana okresowo. Po wygaśnięciu sesji autoryzacyjnej konieczna będzie kolejna autoryzacja.
  • Zawsze wymagana – każdy dostęp do pola formularza wymaga autoryzacji. W tym trybie sesja autoryzacyjna związana jest z określonym elementem prezentowanym użytkownikowi w momencie wykonywania procesu autoryzacji i konkretnymi polami. Wykonanie autoryzacji w trybie Zawsze wymagana powoduje też odświeżenie sesji autoryzacyjnej dla trybu Wymagana okresowo. Oznacza to, że przez cały czas trwania odświeżonej sesji autoryzacyjnej użytkownik może wyświetlić dowolną liczbę pól formularza, które mają skonfigurowany tryb autoryzacji jako Wymagana okresowo.

 

Ta opcja może być ustawiona nie tylko dla atrybutów, ale także grup i zakładek. Dopuszczalne jest, aby na formularzu znajdywały się pola o różnych ustawieniach autoryzacji dostępu – chociaż scenariusz wymagający obecności na formularzu jednocześnie atrybutów z autoryzacją okresową i każdorazową wydaje się mało prawdopodobny.

Warto też wspomnieć, że sesje okresowe są współdzielone między autoryzacją dostępu i autoryzacją przejścia ścieżką. Użytkownik który potwierdził tożsamość aby odkryć atrybut, będzie upoważniony do przejścia ścieżką wymagającą autoryzacji, i vice versa. Oczywiście w 5-minutowym okienku czasowym.

Rys. 1. Konfiguracja autoryzacji dostępu

 

Metody autoryzacji, z których będzie mógł skorzystać użytkownik w trakcie wykonywania procesu autoryzacji, określane są przez administratora systemu w Konfiguracji systemu w zakładce Parametry globalneBezpieczeństwoMetody dodatkowej autoryzacji.

Rys. 2. Wybór metod autoryzacji dostępnych dla użytkownika

 

W przypadku gdy atrybut jest skonfigurowany z uwzględnieniem opcji Wymagana okresowo lub Zawsze wymagana i administrator dopuszcza więcej niż jedną metodę autoryzacji, przy próbie autoryzacji wyświetli się okno umożliwiające wybór metody (jeżeli możliwa jest tylko jedna metoda, będzie ona użyta zawsze).

Warto pamiętać, że w przypadku opcji SMS, użytkownik musi posiadać zdefiniowany numer telefonu w profilu użytkownika (pobierany z Active Directory), a z kolei w przypadku Aplikacji mobilnej, użytkownik musi mieć urządzenie z aplikacją dodane jako zaufane.
Opcja E-mail jest dostępna zawsze, wychodząc z założenia że każdy zsynchronizowany użytkownik posiada ważny adres e-mail. W przypadku tej ostatniej metody, w Portalu wyświetlone zostanie okno na kod. W tym oknie, użytkownik musi wprowadzić otrzymany za pośrednictwem e-maila kod autoryzacyjny:

Rys.3. Okno formularza do wprowadzania kodu autoryzacyjnego

 

Rys.4. E-mail zawierający kod oraz listę atrybutów, do których dostęp będzie autoryzowany po jego wprowadzeniu

 

Wprowadzenie poprawnego kodu jest jednoznaczne z potwierdzeniem tożsamości przez użytkownika, a po przeprowadzeniu autoryzacji będzie on mógł kontynuować swoją pracę z formularzem. Jeżeli wybrano opcję autoryzacji Wymagana okresowo, autoryzacja formularza jest ważna przez określony czas (domyślnie 5 minut).

Jeżeli atrybut został skonfigurowany z uwzględnieniem opcji Zawsze wymagana, to dodatkowa autoryzacja dostępu będzie konieczna, nawet jeśli użytkownik w danym momencie posiada już aktywną sesję autoryzacyjną. Natomiast wykonanie takiej operacji autoryzacyjnej, automatycznie zautoryzuje dostęp do innych atrybutów skonfigurowanych jako Wymagana okresowo – o ile oczywiście znajdują się takie na formularzu.

 

Formularz w trybie do odczytu i edycji

W przypadku formularza w trybie do poglądu/odczytu (View), atrybuty, grupy i zakładki wymagające autoryzacji będą ukryte pod przyciskiem:

Rys.5. zakryty atrybut/grupa/zakładka

 

Kliknięcie w przycisk odkryje atrybut, pod warunkiem że sesja autoryzacyjna jest wciąż aktywna (Wymagana okresowo), lub będzie wymagać każdorazowej autoryzacji (Zawsze wymagana).

 

Autoryzacja będzie konieczna natychmiast, jeżeli formularz zostanie otwarty w trybie edycji lub użytkownik włączy tryb edycji na formularzu. Taka autoryzacja „wstępna” jest wymagana, aby zapewnić poprawne działanie reguł biznesowych i reguł formularza, które mogą działać w oparciu o atrybuty wymagające autoryzacji.

 

Ograniczenia na Dashboardach, Raportach i w konfiguracji Procesu

W czasie powstawania artykułu, nie ma jeszcze możliwości łatwej autoryzacji dostępu poza formularzem. Z tego względu, umieszczenie atrybutów ze skonfigurowaną autoryzacją w niektórych miejscach nie jest możliwe.

Te miejsca to:

  • Raporty – atrybuty nie są dostępne w konfiguracji kolumn,
  • Dashboardy – atrybuty nie są dostępne w konfiguracji źródeł danych (ani w miejscach korzystających z tych źródeł, takich jak filtry czy kafelki),
  • Wyróżniki w kompaktowym widoku zadań (Widok kompaktowy w konfiguracji procesu).

 

Atrybuty z autoryzacją dostępu nie mogą być wyświetlone na raportach, ani nie są dostępne w ich konfiguracji (np. zakładka Akcje masowe).

Jeżeli spróbujemy skonfigurować autoryzacje dostępu na atrybucie użytym w niedozwolonym miejscu, otrzymamy błąd. Tak samo, jeżeli spróbujemy umieścić taki atrybut w grupie lub zakładce ze skonfigurowaną autoryzacją, również otrzymamy komunikat błędu.

 

Widok historii oraz tryb administracyjny

W historii elementów nie są uwzględnione atrybuty z autoryzacją dostępu. Nie są wyświetlane ani w regularnym trybie, ani w trybie administracyjnym. Wartość tych atrybutów możemy zobaczyć dopiero po przejściu do historycznej wersji elementu (klikając lupę nad numerem wersji elementu) i po dokonaniu odpowiedniej operacji autoryzacji.

Ponieważ tryb administracyjny pozwala nam wyświetlić wszystkie atrybuty w trybie edycji, konieczna będzie autoryzacja, taka jak przy otwieraniu formularza w trybie edycji.

 

Ograniczenia SDK i na elementach udostępnionych

W dodatku do ograniczeń w obszarze prezentacji i na formularzu, istnieją jeszcze dwa ograniczenia dla autoryzacji dostępu:

  • Nie można skonfigurować autoryzacji dostępu dla atrybutów korzystających z kastomizacji kontrolki (SDK),
  • autoryzacja nie działa na elementach udostępnionych (przycisk zakrywający atrybut jest wtedy nieaktywny oraz zawiera informacje, że autoryzacja jest niemożliwa.

 

Archiwizacja

Po zarchiwizowaniu elementu, konfiguracja autoryzacji dostępu przestaje obowiązywać. Atrybuty wymagające autoryzacji są prezentowane, tak samo jak te niewymagające.

 

Podsumowanie

Funkcjonalność Autoryzacji dostępu, tak samo jak Autoryzacji przejścia ścieżką stanowi dodatkowe zabezpieczenie przed dostępem do obiegu przez nieupoważnione do tego osoby. Dzięki niej, administrator może mieć pewność, że wrażliwe dane są wyświetlane selektywnie – tylko kiedy są niezbędne.
Oczywiście funkcjonalność może służyć jako tarcza, fizycznie zasłaniając pola, ale również pomaga użytkownikom przestrzegać higieny dostępu do poufnych danych. Tak jak autoryzacja przejścia ścieżką, nie należy jednak traktować jej jako ograniczenia, lecz metodę, dzięki której wzrasta poziom bezpieczeństwa informacji wprowadzanych przez użytkowników do systemu.