Версия для печати

Настройка модуля расширения "VetDesk Авторизация"

В этом материале рассказываем о настройке и эффективном использовании модуля "VetDesk Авторизация", а также рассмотрим основные принципы и дадим несколько советов по организации общей безопасности данных в компьютерной сети организации.

Назначение

Модуль "VetDesk Авторизация" выполняет три основные функции:

  • Идентификация пользователей
  • Авторизация пользователей
  • Разделение доступа пользователей к данным VetDesk

Используя модуль авторизации можно легко и быстро запретить или предоставить доступ к определенным функциям приложения определенным пользователям системы, полностью активировать или деактивировать любых пользователей, добавлять новых и удалять  ненужных пользователей. Администратору доступен простой интерфейс, который, помимо управления пользователями и ролями, включает в себя просмотр всех текущих изменений настраиваемых прав, для любого пользователя, не выходя из собственной учетной записи. Даже если за одним компьютером одновременно работают нескольк о врачей, они смогут быстро переключаться между своими учетными записями не перезапуская VetDesk. Дополнительно, с  началом использования модуля, в базе данных сохраняются реквизиты пользователей создавших и последний раз изменявших любой документ в приложении. Реализован поиск документов приложения по пользователю, создавшему и последний раз изменившему документ, а на формах подготвоки к печати и отправке по почте больше не придется вручную выбирать подпись сотрудника. В ближайшем будущем эти данные будут использованы другими модулями для аналитики использования приложения и других целей, например расчет заработной платы сотрудников и т.п.

Решение

Авторизация и идентификация

Для авторизации пользователей модуль использует Windows-авторизацию, встроенную в операционную систему. Это значит, что администратору достаточно сопоставить учетные записи пользователей операционной системы с пользователями приложения. Нет нужды беспокоится о паролях, восстановлении доступа и тому подобных вещах. Об этом позаботится операционная система. Модуль авторизации может активировать только пользователь, являющийся, администратором Windows. После активации модуля доступ к приложению блокируется для всех пользователей компьютера, до тех пор, пока пользователи не будут назначены администратором вручную. Если модуль активен, но по каким то причинам не может быть загружен приложением, доступ к приложению так же будет закрыт. При грамотной настройке безопасности операционной системы и сервера базы данных, данный подход обеспечивает легкий и прозрачный контроль доступа всех пользователей, имеющих доступ к компьютеру, без ведения отдельной базы данных пользователей в самом приложении.

Разделение прав доступа

Разделение прав доступа к той или иной функциональности приложения основано на подходе разделения по ролям. Модуль позволяет создавать произвольное количество ролей с наборами разрешений на те или иные действия в основном приложении и всех установленных модулях расширения. Роли, в свою очередь, назначаются пользователям. Таким образом, каждый пользователь или группа пользователей может иметь свой уровень доступа в приложении. Поддержка группировки и наследования ролей в настоящий момент не планируется. В качестве разрешений, в большинстве случаев, используются стандартные разрешения: создание, просмотр, изменение, удаление документов. Там, где в текущем контексте возможностей больше, присутствуют наборы специальных разрешений.

Почему модуль?

Описанная функциональность реализована в виде стандартного модуля расширения VetDesk. Это позволяет использовать данную функциональность только тогда и только там, где она действительно нужна. Практика показывает что, как правило, разделение прав доступа и авторизация необходимы в клиниках, где существует, как минимум, несколько рабочих мест с компьютерами или пользователи одного компьютера нуждаются в разделении прав доступа к данным. Частно практикующим врачам и небольшим кабинетами такие функции часто бывают не нужны. Это приносит ощутимую экономию средств. И даже тогда, когда в вашей организации много рабочих мест, можно сэкономить не устанавливая модуль на все компьютеры. Напрмер, если каким-то компьютером пользуется только руководитель с полным доступом, доступ к приложению в этом случае можно ограничить только средствами операционной системы, без использования модуля.

Термины и определения

ОС - операционная система

Учетная запись пользователя ОС - учетная запись в операционной системе Windows, с помощью которой сотрудник получает доступ к своему рабочему месту на компьютере. Учетная запись хранит логин и пароль для авторизации в Windows и определяет уровень доступа к ресурсам и функциям операционной системы.

Пользователь ОС - сотрудник, обладающий доступом (логин, пароль) к учетной записи пользователя ОС.

Учетная запись пользователя VetDesk - запись в базе данных VetDesk, сопоставляющая данные об учетной запись пользователя ОС с данными пользователя VetDesk

Пользователь VetDesk - сотрудник, обладающий доступом к VetDesk, посредством учетной записи пользователя VetDesk

Сопоставление учетных записей - процесс ассоциации учетной записи пользователя ОС с данными пользователя VetDesk. После сопоставления данный пользователь ОС получает доступ к VetDesk посредством авторизации в ОС.

Подготовка к настройке модуля Авторизации

Прежде чем приступить к настройке модуля, мы рекомендуем потратить несколько минут на подготовку, а именно четко определиться с ролями, разрешениями для каждой из ролей, количеством и идентификацией пользователей и какая роль будет назначена каким пользователям в конечном итоге.

Представьте или запишите всех сотрудников, которые будут работать на компьютере с VetDesk. Разделите их на группы по выполнению схожих задач в VetDesk. Подумайте, к какой информации и функциям в приложении должна иметь доступ каждая группа, а к какой не иметь. Должна ли быть какая то часть информации недоступна для каждой из групп вовсе, доступна только для просмотра, для изменения или удаления. В итоге эти группы пользователей и будут ролями пользователей в вашей системе. То, что можно и нельзя - разрешениями в ролях. Останется только присвоить каждому пользователю из одной и той же группы одну и ту же роль.

Настройки модуля

Добавление пользователя VetDesk заключается в нескольких простых шагах:

  • Создание учетной записи пользователя ОС
  • Установка VetDesk под учетной записью пользователя
  • Создание пользователя VetDesk
  • Назначение пользователю роли VetDesk

В случае, если вам не подходят встроенные роли, дополнительно можно настроить необходимое количество собственных ролей, позволяющих контролировать доступ к каждой форме, документу и функции приложения. 

В любой момент можно изменить роль для пользователя, набор разрешений, содержащихся в роли, деактивировать пользователя для приостановки доступа или удалить пользователя насовсем.

Включение модуля "Авторизация"

В первую очередь необходимо активировать модуль авторизации. Активация происходит стандартным образом в параметрах приложения. Меню "Сервис/Параметры/Компьютер/Модули расширения". Установите галочку напротив модуля "VetDesk Авторизация" и нажмите кнопку "Сохранить". После этого приложение загрузит модуль и перезапустится для применения изменений. В отличии от других модулей, которые активируются только для текущего пользователя операционной системы, модуль авторизации активируется для всех пользователей приложения на компьютере. Другими словами, если у вас уже есть несколько учетных записей операционой системы, под которыми установлен VetDesk, то модуль авторизации будет активирован у каждого из них.

После активации модуля, приложение автоматически создает пользователя VetDesk и сопоставляет его с текущим пользователем OC, назначая ему роль "Администратор VetDesk", с максимальными правами в приложении. Для успешного осуществления указанных действий необходимы права администратора ОС. Если прав текущего пользователя недостаточно, то приложение запросит пароль администратора для активации модуля. Так как другие учетные записи ОС еще не сопоставлены с пользователями VetDesk, то все других пользователи компьютера, использующие VetDesk, потеряют к нему доступ до момента назначения прав администратором VetDesk.

Создание учетных записей пользователей ОС

Если у вас уже есть другие учетные записи пользователей в операционой системе, под которыми используется VetDesk, то можно перейти к пункту настройки ролей пользователей. Если учетные записи есть, но VetDesk под ними не установлен, переходите к пункту установки VetDesk под учетной записью ОС.

Если учетных записей нет, то необходимо создать в операционной системе столько учетных записей, сколько пользователей данного компьютера планирует работать с VetDesk. Из соображений безопасности данных мы рекомендуем создавать обычных пользователей, без прав администратора, при этом обязательно назначая каждой учетной записи пароль.

Как создать учетную запись в Windows 10. Информацию о создании пользователей в других версиях Windows можно легко найти в Интренет.

Не забудьте проинформировать каждого пользователя об установленном для него пароле или настроить записи так, чтобы пользователь сам установил новый пароль при первом входе.

Установка VetDesk под учетной записью пользователя ОС

Следующим шагом необходимо под каждой созданной учетной записью установить VetDesk. Для этого необходимо авторизоваться под учетной записью пользователя и установить VetDesk c сайта обычным образом. VetDesk использует технологию ClickOnce, которая гарантирует изолированность экземпляра приложения для каждого пользователя системы, исключая влияние изменения файлов приложения одного пользователя на другие установленные экземпляры, поэтому необходима установка для каждого пользователя в отдельности. 

Если все сделано правильно, то после установки и запуска приложение сообщит о недостаточности прав и завершит работу. Далее, необходимо снова зайти под учетной записью, сопоставленной с ролью Администратора VetDesk, для сопоставления пользователей и назначения ролей.

Настройка ролей пользователей

Модуль авторизации содержит несколько встроенных ролей с различными правами доступа:

  • Администратор клиники
  • Врач
  • Лаборант
  • Продавец
  • Руководитель

Права ролей установлены по смыслу названия ролей. Например, роль "Продавец-консультант" имеет доступ к функциям модуля "Аптека и склад", но не имеет доступа к приемам и картам питомцев. Встроенные роли нелзя изменить, но можно использовать для назначения пользователям. Также эти роли можно использовать в качестве шаблонов для создания собственных ролей. Мы рекомендуем всегда использовать собственные роли, так как права встроенных ролей могут меняться в будущем при добавлении новых возможностей приложения. Это может быть чревато предоставлением несанкционированного доступа к новым функциям после какого-либо обновления VetDesk. В ролях, созданных администратором самостоятельно, доступ к новым функциям будет всегда запрещен по-умолчанию, с возможностью ее включения.

Для создания роли пользователя необходимо открыть соответствующие параметры приложения. Меню "Серавис/Параметры/Сервер/Пользователи". В нижней части правой части окна доступно контекстное меню, которе поможет создать новую "чистую" роль или скопировать роль из любой существующей, кроме "Администратор VetDesk", с сохранением всех назначенных прав. После создания роли ее содержимое можно изменить, открыв окно редактирования, дважды щелкнув по соответствующей строке.

В окне редактора роли можно изменть ее название, описание и права доступа. Права доступа отображаются в виде строк с описанием сути разрешения и четырех стандартных разрешений - Создание, Просмотр, Изменение, Удаление. При наличии дополнительных разрешений, в крайней правой колонке присутствует кнопка "Изменить", при нажатии на которую открывается список дополнительных разрешений. Все разрешения сгруппированы по функционяльным областям основного приложения и модулей расширения, используемых приложением. Переключение между областями осуществляется с помощью выпадающего списка "Область прав". Разрешение положительно при установке галочки и отрицательно при ее снятии.

После необходимого редактирования разрешений сохраните изменения. Тем же образом создайте столько ролей, сколько различных ролей "исполняют" все пользователи VetDesk вашей организации.

Добавление пользователей VetDesk

Для добавления пользователя VetDesk перейдите к верхней части правой части окна управления пользователями. С помощью контектсного меню добавьте нового пользователя. В открывшемся окне нажмите кнопку "Обзор..." и выберите учетную запись пользователя ОС, которую вы хотите сопоставить с создаваемым пользователем VetDesk. Это должен быть один из пользователей, созданных ранее на шаге "Создание учетных записей пользователей ОС".

После успешного сопоставления пользователя с учетной записью ОС можно назначить ему одну из доступных ролей, выбрав ее из списка "Роль пользователя". Опционально можно назначить пользователю имя, которое будет отображаться в документах приложения и при печати. Добавьте новое или выберите существующее в поле "Имя пользователя". Можно назначить одно и тоже имя пользователя нескольким пользователям, но делать это не рекомендуется.

По нажатию кнопки "Сохранить", новый пользователь VetDesk будет создан и появится в общем списке пользователей в верхней части окна. Добавьте таким же образом всех необходимых пользователей и назначьте необходимые им роли, затем закройте окно параметров приложения.

Проверка разрешений пользователей

VetDesk предоставляет удобную функцию просмотра приложения "глазами" любого пользователя системы не выходя из приложения. Эта функция доступна только пользователям с ролью "Администратор VetDesk". В нижней части основной формы приложения, в левой части строки состояния, при включенном модуле авторизации, отображается имя и роль текущего пользователя. В случае текущего пользователя с ролью "Администратор VetDesk" это поле является активной ссылкой, при нажатии на которую администратор может открыть окно переключения пользователей VetDesk. После выбора нужного пользователя, права которого необходимо протестировать, приложение применяет права назначенной  выбранному пользователю роли в текущем контексте, то есть все элементы приложения начинают отображаться в соответствии с настройками и правами выбранного пользователя, точно так же, как если бы он сам зашел под своей учетной записью и паролем.

Таким образом Адмнистратор VetDesk может быстро проверить предоставленные в настоящий момент разрешения для выбранного пользователя. Если требуется скорректировать разрешения для этого пользователя или посмотреть нстройки роли пользователя, то окно редактора роли пользователя можно открыть из меню "Авторизация", которое доступно только Администратору VetDesk. Если выбранному пользователю назначена не встроенная роль (только для чтения), то администратор может прямо в открытом редакторе изменять разрешения и видеть как меняется контекст приложения в зависимости от изменений.

Необходимо помнить, что любые изменения в документах и данных приложения сделанные Администратором VetDesk в режиме выбора другого пользователя будут восприниматься приложением точно так же, как если бы это действительно был тот пользователь, который был выбран в окне переключения пользователей.

Использование модуля 

После завершения настроек и их проверки, всем пользователям, зарегистрирванным в VetDesk можно приступать к работе с приложением. Важно понимать, что, потенциально, пользователь получает доступ к приложению с текущими назначенными ему правами, сразу же после того, как его учетная запись в операционой системе будет сопоставлена с записью пользователя в VetDesk и при условии, что эта запись активна.

Авторизация пользователя

Для авторизации пользователю достаточно войти в свою учетную запись на компьютере со своим системным логином и паролем. После запуска, VetDesk определяет текущего пользователя и работает в контексте этого пользователя в соответвии с разрешениями назначенной ему роли. Никаких дополнительных действий в виде дополнительныого ввода каких-либо данных для доступа не требуется.

Быстрое переключение между учетными записями

Если за одним компьютером одновременно работает несколько человек, например два врача в одну смену или ассистент и врач, то, благодаря модулю Авторизации и возможностям операционной системы, обеспечивается быстрое переключение между учетными записями пользователей. После однократной авторизации и запуска VetDesk каждым пользователем, для переключения, каждому пользователю достаточно сменить учетную запись Windows на свою, не выходя из нее. При этом нет необходимости повторно запускать VetDesk, так как приложение уже работает. Используя эти функции приложение будет хранить точные данные об авторстве и изменении документов в соответствии со сменой пользователей, тратя на это минимальное время.

Просмотр авторов документов и поиск по автору

С началом использования модуля авторизации приложение хранит информацию о пользователе, создавшем любой докумени приложения, а так же пользователе, сделавшем последние изменения в документе. Эту информацию можно просмотреть в каждом документе, наведя мышь на строку состяния документа в нижней части окна, на дату создания или последнего изменения, соответственно. Во всплывающей подсказке будет указано имя и роль соответствующего пользователя. Эта же информация указывается в двух крайних правых колонках списков документов в окнах поиска приемов, операций, анализов исследований и т.п. Так же, в фильтрах поиска документов отображаются выпадающие списки, используя которые можно указать пользователя создавшего или изменившего документ для уточнения поиска.

Общие рекомендации по безопасности

Даже при грамотной настройке приложения всегда необходимо помнить об общих принципах защиты информации и следовать им не только при работе с приложением, но и в настройках операционной системы. Несмотря на кажущуюся относительную простоту VetDesk и надежность Windows, весь труд по настройке модуля Авторизации может пойти на смарку в виду оставшихся "лазеек", и это может быть не только преднамеренное, но и случайное нарушение защиты.

Пароли

  • Любая учетная запись операционной системы должна быть защищена паролем.
  • Пароли никогда не должны передаваться другим лицам, должны храниться в тайне, быть достаточно сложными и периодически сменяемыми.
  • Необходимо, по-возможности, сократить круг пользователей с административными правами в системе и делегировать их только доверенным лицам.
  • В повседневной работе не следует использовать административную учетную запись, Лучше завести обычную, а административную использовать только при необходимости изменений настроек.

Встроенные роли и создание собственных ролей

Рекомендуем всегда создавать собственные роли под собственные нужды, не используя встроенные роли для назначения пользователям. Это легко можно сделать скопировав любую существующую роль и поменяв разрешения так, как необходимо. Разрешения встроенных ролей могут автоматически менятся при обновлениях приложения, тогда как в самостоятельно созданных ролях новые разрешения будут, по-умолчанию, отключены.

Роль "Администратор VetDesk"

Рекомендуем активировать и деактивировать модуль Авторизации только под учетной записью системного администратора и не присваивать эту роль другим пользователям, особенно пользователям без привелегий системного администратора.

Контроль учетных записей пользователей ОС

Рекомендуем для всех пользователей, кроме одного системного администратора создавать простые учетные записи, без административных привелегий, обязательно с установкой пароля.

Ограничение доступа к базе данных

Файлы базы данных и основной каталог приложения должен быть защищен от несанкционированного доступа. Доступ к папке "C:\ProgramData\Byte Masters LLC\VetDesk" должен быть настроен таким образом, что бы не допускать даже чтение для обычных пользователей. Доступ каталогу и файлам на чтение и запись должна иметь только система, учетная запись сервера баз данных и системного администратора.

Особенности сетевой конфигурации

При сетевой конфигурации, то есть когда несколько компьютеров обращаются к одной базе данных, для защиты, разделения прав доступа и корректной работы приложения, необходима установка модуля "VetDesk Авторизация" на каждом компьютере, участвующем в работе VetDesk. В противном случае, все компьютеры, подключенные к серверу баз данных VetDesk без активного модуля авторизации и все их пользователи будут иметь полный доступ к приложению и данным.

Модуль Авторизации воспринимает пользователей каждого компьютера, как отдельную группу, даже если у них совпадают логин и пароль, поэтому настройку пользователей и прав необходимо производить на каждом компьютере. Таким образом можно настроить доступ к приложению и таким образом, чтобы один и тот же отрудник имел разные права при доступе с разных рабочих мест или имел доступ только с определенного рабочего места.

Компьютер без модуля "Авторизация"

В сетевой конфигурации возможен доступ с компьютера, где не используется модуль авторизации. Это приемлемо в том случае, если пользователи этого компьютера должны получать доступ без ограничений. В этом случае строго рекомендуется защищать учетные записи таких пользователей ОС паролем.

Обновление лицензии

Схема лицензирования модуля авторизации полностью совпадает с остальными модулями. Доступны месячные, годовые и бессрочные лицензии. Мы рекомендуем к приобретению годовые и бессрочные лицензии. При месячном цикле обновления лицензии повышается риск пропустить дату продления лицензии. После окончания срока действия лицензии приложние сообщит об этом и отключит модуль Авторизации. В этом случае, до обновления лицензии модуля авторизации, доступ к приложению на компьютере с просроченной лицензией будет открыт точно так же, как если бы модуль не был установлен вовсе, то есть все пользователи данного компьютера получат полный доступ ко всем данным VetDesk. Учитывая, что выпуск лицензий может занимать какое-то время (особенно по выходным и праздникам =), это может существенно отразиться на работе вашей клиники. Пожалуйста, внимательно следите о сообщениях VetDesk о скором окончании срока действия текущей лицензии.

Перспективы использования

Функциональность идентификации пользователей VetdDsk - это большой шаг вперед, который, как мы надеемся, в скором времени позволит реализовать еще больше модулей расширения, использующих эти данные. Среди них модуль работы с персоналом (запись на прием, расписание, расчет заработной платы, активность и эффективность пользователей и т.п.), аудит всех действий и изменений данных в приложении с привязкой к пользователям. И многое другое.

Поддержка

Вероятно, не всем из наших пользователей удастся настроить авторизацию в VetDesk быстро и просто. Мы понимаем, что большинство из вас не IT-спецы, а врачи и не имеют в распоряжении специально обученного персонала. Поэтому мы, как всегда, готовы предложить свою помощь в настройках абсолютно бесплатно. Связывайтесь с нами обычными способами - email, чат или форма связи на сайте. Обязательно поможем! Пожалуйста, если вы хотите, что бы мы настроили доступ в VetDesk, предварительно выполните действия, описанные выше, в разделе "Подготовка к настройке модуля Авторизации". Это существенно сократит наше и ваше время и усилия для достижения желаемого результата.

 

Будем признательны за использование модуля Авторизации, пожелания по улучшению и отзывы о работе. Желаем продуктивных будней и лояльных клиентов!
Последнее изменение Понедельник, 28 июня 2021 20:12

Последнее от VetDesk

Авторизуйтесь, чтобы получить возможность оставлять комментарии