- 16 Nov 2023
- 7 Minutes to read
- DarkLight
Yetki Setleri
- Updated on 16 Nov 2023
- 7 Minutes to read
- DarkLight
Yetki Setleri
İçeriklere erişim kontrolü pek çok kurum için PaperWork’ün en önemli özelliklerden biridir. Bir PaperWork sistem yöneticisi için en zor görevlerden biri de içeriğe erişim için uygun erişim kontrol modelini tasarlayabilmektir.
PaperWork platformu nesnelerden oluşmaktadır. Kabinet, dosya kartı, rapor gibi birimlerin hepsi birer nesnedir ve her nesnenin bir yetkiye bağlı kullanım durumu vardır.
Erişim kontrol modelinde ortaya çıkan ihtiyaçlar kurumdan kuruma büyük ölçüde farklılık göstermekle birlikte, aynı kurum içerisinde farklı departmanlar arasında da farklılıklar göstermektedir. Paperwork sistem yöneticisinin görevi erişim yetkilerini sistemin üzerinde olumsuz bir etki yaratmadan kurumun güvenlik hassasiyetlerine göre tasarlayabilmektir.
Bu yazımızda erişim yetki modeli tasarımında sıkça kullanılan yöntemler ile bir erişim yetki modelinin “iyilik derecesini” anlayabilmek için nasıl değerlendirilmesi gerektiğine değineceğiz.
Yetki setlerinde varsayılan değer olarak üç grup vardır.
Nesne Sahibi
Kaydı oluşturan kullanıcı o kaydın sahibidir. Eğer kaydı oluşturan kullanıcı, söz konusu yetki setine eklenmemişse veya daha üst bir yetki setine atanmamışsa, nesne sahibine tahsis edilmiş yetki dahilinde yetki setinin tanımlanmış olduğu kayıtlar üzerinde yetkileri olacaktır.
Tüm Kullanıcılar
Tüm Paperwork kullanıcıları bu gruptadır. Tüm kullanıcılar verilen yetkiler dahilinde kayıtları görebilirler ve düzenleyebilirler.
Bilet Kullanıcısı
Bu kullanıcı, bir elektronik posta aracılığıyla bir kaydın veya bir belgenin gönderildiği bir kullanıcıdır. Fakat PaperWork kullanıcısı değildir. Bir elektronik posta bir kişiye gönderildiğinde, elektronik posta içinde bir de bağlantı adresi gönderilir. Bu bağlantı adresi sayesinde, o kullanıcı yalnızca o kayda veya belgeye erişebilir. Bilet kullanıcısı bağlantı adresinde tanımlanmış olan belgeye yalnızca kendisine verilen izinlere göre erişebilecektir. Yetki seti oluştururken, tüm kullanıcılar sistemde tanımlanmış olan Default ACL (Varsayılan Yetki Seti) yetki setine eklenmelidir. Varsayılan yetki seti PaperWork ara yüzü altındaki menüleri görmek ile ilgili bir yetki setidir. Bu yetki seti ile tüm kullanıcılara menü görme yetkisi verilmelidir.
Eğer kullanıcının sistem yöneticisi olarak tanımlanması gerekiyorsa kullanıcı Tools ACL (Araçlar Yetki Seti) yetki setine eklenmelidir. Böylece, bu yetkinin kullanıcıları menüdeki araçları sistem yöneticisi yetkisiyle görebilirler. Yalnızca sistem yöneticisi olarak tanımlanmış kullanıcılar bu gruba eklenmelidir.
Default ACL ve Tools ACL diğer yetki setleri gibi bir yetki seti olup kurulumdan sonra yetkilendirme ihtiyaçlarına göre değiştirilebilir. Kullanıcılar yetki seti isminden bağımsız olarak tanımlanan yetki seti ile verilen yetkilere göre işlem yapabilirler.
Bilet kullanıcısı, Manuel adımın elektronik formunu yetkiden bağımsız, görebilir ve işlem yapabilir.
Eklentili bir akış ise belgenin yetkisi yukarıda anlatıldığı şekilde olur.
Yetkilendirmeler
Yetki seti tanımlama ekranı şu şekildedir :
Kullanıcılara PaperWork platformunda verilen izinlerin tanımlanmasıdır. Aşağıdaki gibi detaylandırılabilir.
Adı
Yetki setine verilecek isimdir. Yetki setini kullanacağınız her yerde bu isimle görüntülenecektir. Yetki setinin adının, işlevine uygun verilmesi, kullanım kolaylığı açısından tavsiye edilir.
Kullanım şekli
Özel veya Genel olabilir. Özel olarak tanımlanan yetki setlerine kodla erişilebilir ancak ara yüzde görüntülenmez. Genel olarak tanımlanan yetki setleri ara yüzde görüntülenir.
Tipi
Genel veya Tasarım olabilir. Genel yetki seti standart yetki setidir. Tasarım yetki seti, uygulama içerisinde yapılacak tasarımlarda kullanılır.
PaperWork, erişim kontrol listesi ile beş (5) temel yetkilendirme yapılamasına olanak sağlamaktadır:
Temel Yetkiler
✔ Görme : Bir dosya kartı, kabinet ya da klasörün içindeki kayıtlar listelenir fakat dokümanlar görüntülenemez.
✔ Okuma : Bir dosya kartı, kabinet ya da klasörün içindeki kayıtlar listelenir, doküman görüntülenir fakat değişiklik yapılamaz.
✔ Versiyonlama : Bir dosya kartı, kabinet ya da klasörün içindeki dokümanların yeni versiyonu oluşturabilir fakat var olan dokümanda yeni versiyon oluşturulmadan değişiklik yapılamaz. Yani kullanıcılar var olan dokümanı değiştiremez ancak yeni versiyonunu oluşturabilirler.
✔ Yazma : Bir dosya kartı, kabinet ya da klasörün içinde yeni doküman oluşturabilir, mevcut dokümanlarda ve indeks alanlarında değişiklik yapılabilir.
✔ Silme : Bir dosya kartı, kabinet ya da klasör ve içindeki dokümanlar silinebilir. Nesne bir dosya kartı ise, kayıtla birlikte tüm ekli belgeler de silinebilir.
PaperWork temel yetkilerin yanı sıra dokümanlar üzerinde altı (6) farklı yetkilendirme yapılmasına izin verir:
Belgeler
✔ Diske Kaydedebilir : PaperWork içerisindeki her doküman PaperWork sunucuları üzerinde saklanır. Kullanıcılar PaperWork sunucularına bağlı olmadan dokümanlara erişemez. Ancak istendiğinde bu dokümanların bir kopyası kullanıcı bilgisayarlarına kaydedilebilir. Yetki verilen kullanıcılar Diske Kaydet ile dokümanları kendi bilgisayarlarına kopyalayabilirler.
✔ Yetkilendirme Yapabilir : Her dokümanın yetkisi, sistem tarafından otomatik olarak ya da o dokümanı sisteme ekleyen kişi tarafından verilir. Dokümanlar sisteme eklenirken hangi yetki seti ile sisteme kazandırılacağı o anda belirlenir. “Yetkilendirme Yapabilir” yetkisi olan kullanıcılar ise dokümanın sahip olduğu yetki setini bir başka yetki seti ile değiştirebilirler.
✔ İmzalayabilir : Elektronik imza veya e-imza, Türkiye'de yasal olarak kabul edilen bir elektronik kimlik doğrulama mekanizmasıdır. E-imza, elektronik belgelerin kimlik doğrulaması ve bütünlüğünün sağlanması için kullanılır. Bu yetkinin verildiği kullanıcılar, PaperWork e-imza modülü varsa, bu yetkiye sahip kullanıcılar dokümanları e-imza ile imzalayabilirler. E-imza ile sadece PDF dosyalarının imzalanabileceği unutulmamalıdır.
✔ Elektronik Posta ile Gönderebilir : Dosya Kartları ya da dokümanlar yine PaperWork aracılığı ara yüzünden e-posta ile gönderilebilir. Yetki verilen kullanıcılar Dosya Kartları ve içerisindeki dokümanlar ile diğer dokümanları indeks bilgileri ile birlikte e-posta ile gönderebilir.
✔ Yazıcıya Gönderebilir : Yetki verilen kullanıcı dosya içerisinde yer alan dokümanların yazıcıdan çıktısını Yazıcıya Gönder ile alabilir. Bu yetkilendirmenin geçerli olabilmesi için kullanıcının Okuma yetkisine sahip olması gerektiği unutulmamalıdır.
✔ Kişisel Verileri Görebilir : Yetki verilen kullanıcılar dokümanlarda ya da kayıtlardaki kişisel ve hassas nitelikli kişisel verileri görebilir. Bu yetkinin kullanılabilir olması için ISDD lisansı gereklidir.
Erişim ve İşlem Yetkileri bölümündeki Ekle butonu ile yetki setine grup ya da kullanıcı eklebilir. Eklenen grup veya kullanıcıya yukarıdaki yetkilerden biri veya birden fazlası işaretlenerek verilebilir.
Kısayol olarak paylaşım yetkileri bölümü kullanılabilir. Bu bölüm şablon niteliğindedir. Seçilen şablonun içeriği otomatik tanımlanmış olur. Şablon tanımlandıktan sonra da detaylarda değişiklik yapılabilir. Bu durumda şablon bölümü "Özel" şeklinde görünür.
Burada seçilen şablon paylaşım yetki türü belirli özellikleri kapsar ve otomatik olarak yetki seti penceresinde bulunan kutucukları işaretler. Şablonlar seçildiğinde, temel yetkiler ve belgeler bölümünden hangilerinin işaretlendiğini aşağıdaki tablodan görebilirsiniz.
Yetki Setlerini Makroda Kullanma
Yetki setlerini makroda eklemek istediğimizde aşağıdaki kodları kullanarak kişi veya gruba yetki seti şablonu ataması yapabiliriz.
Kullanım Bilgisi
Bu özellik, Paperwork tanımlama ekranlarında kullanılan yetki setlerinin kullanım bilgilerini görmenize olanak tanır.
1. İlk olarak, tanımlama ekranında var olan bir yetki setini seçmelisiniz.
2. Yetki setini seçtikten sonra, "Kullanım Bilgisi" ikonuna basın.
3. Karşınıza çıkan pencerede yetki setinin kullanım bilgileri yer alır.
4. Kullanım bilgileri penceresinde, yetki setinin "Kullanım Tipi" ve "Kullanım Yeri" bilgileri vardır.
- "Kullanım Yeri", yetki setinin Paperwork programında hangi tanımlama ekranlarında kullanıldığını gösterir.
- "Kullanım Tipi", kullanım şekline göre tanımlanan nesnenin ismini verir.
Yani, yetki setinin hangi nesne veya öğe üzerinde etkin olduğunu gösterir.
Mesela, bir yetki seti bir sürecin kimler tarafından başlatılabileceğini belirlemek için kullanılmışsa, kullanım tipi Yetki Seti olarak gözükecektir.
Kullanım yeri ise bu sürecin ismini gösterir.
Bu bilgiler, yetki setlerinin nasıl ve nerede kullanıldığını ve hangi öğeleri etkilediğini öğrenmenize yardımcı olur.
Yetki seti eğer klasör yetkileri etkin olmayan kabinetlerin "Yetkiler" bölümünde "Sabit Değer" veya "Listeden seçim" bölümlerinden birinde kullanılmış ise Kullanım Tipi olarak "Filtreli Tip Tanımı" şeklinde listelenir. "Hiçbiri " seçilmesi halinde "Tip Tanımı" olarak listelenecektir.
Tavsiyeler
- Yetki setleri isimlendirmesi önemlidir. Son kullanıcı ismin ne çağrıştırdığına bakarak seçim yapabilmekte, karar veremiyor ise listedeki ilk seçeneği seçerek devam etmektedir. Yetki seti açıklayıcı, yapılan işlem ile ilişki kurulabilir olmalıdır.
- Yetki seti tanımında «Açıklama» bölümü bulunmaktadır. Bu bölümde yetki setinin hangi amaç için tasarlandığı mutlaka belirtilmesi tavsiye edilmektedir. Yetki seti açıklamaları son kullanıcı ekranlarında seçimlerde gösterilmektedir. Kısa ve amacı açıklayan notlar girilmesi tavsiye edilir.
- Bazı durumlarda iş akışlarında veya metodlarda dinamik yetki seti oluşturulmaktadır. Dinamik yetki setleri için mutlaka şablon kullanılmalı. İlk önce şablon oluşturulup daha sonra bu şablon için dinamik oluşturulma yapısı kurulmalıdır. Her işlem için yeni bir yetki seti oluşturmak yerine daha önce bu amaçla bir yetki seti oluşturulup oluşturulmadığı kontrol edilmeli ve yetki seti buna göre oluşturulmalıdır.
- Özel yetki setlerinin listelere gelmediğini unutulmamalıdır. Sadece işlemler için yetki seti kullanılıyor ise bunlar özel tanımlanabilir.
- Yetki setlerinde Default ACL, sisteme ilk girişi sağlamak amacı ile, Tools ACL de ilk menü yetkileri için tasarlanmıştır. Bu amaçlar için kurum kendi yetki setlerini tasarlamalı sistemdeki bu 2 yetki setini kullanmaktan kaçınmalıdır.
- Yetki seti tanımı analizin bir parçasıdır. Analiz sonucunda mevcut yetki setleri incelenmeli, aynı amaç için yeni bir yetki seti oluşturmaktan kaçınılmalıdır.
- Belge ve Dosya Kartı Tip Tanımlamalarında ‘Kullanılabilecek Yetki setleri’ ni seçmek mümkündür. Bu yöntem ile kullanıcının önüne sınırlı sayıda yetki seti getirilebilir. Yapılan tanıma göre kullanıcı hiçbir şey seçmeden belge arşivleyebilir.
- Yetki setlerinde Kullanıcı Grubu kullanımı yönetim açısından büyük kolaylık sağlar. Tüm mimarinin yetkileri belirlendikten sonra uygun kullanıcı grupları tanımlanarak yetki onlara verilir. Gruba yeni kullanıcı eklendiğinde ve çıkartıldığında herhangi bir değişiklik yapma ihtiyacı olmaz.