====== Uživatelé ====== Tato sekce umožňuje správu uživatelských účtů v rámci vaší domény. Z hlavního přehledu je možné uživatele vyhledávat, vytvářet, upravovat, mazat a spravovat jejich oprávnění a autentizační metody. ===== 1. Přehled uživatelů ===== V horní části tabulky je k dispozici pole **Filtr** pro fulltextové vyhledávání uživatelů. Pod ním je seznam všech uživatelských účtů v doméně s následujícími údaji: ^ Sloupec ^ Popis ^ | **Login** | Přihlašovací jméno uživatele | | **First Name** | Křestní jméno uživatele | | **Surname** | Příjmení uživatele | | **Email** | Kontaktní e-mailová adresa uživatele | | **Phone** | Kontaktní telefonní číslo uživatele | | **Actions** | Tlačítka pro úpravu {{:cs:mervis-scada:30-portal:portal_edit_proj_icon.png?20|}} nebo smazání {{:cs:mervis-scada:30-portal:portal_delete_proj_icon.png?20|}} uživatele | {{:cs:mervis-scada:30-portal:portal_users_main_view.png?direct|}} **Barevné zvýraznění řádků**: * Žlutá – účet je ve stavu **Blocked** * Tyrkysová – aktuálně vybraný uživatel ===== 2. Detail uživatele ===== Po označení konkrétního uživatele se v pravé části obrazovky zobrazí panel rozdělený na sekce **Properties** a **Authentication**. Ty obsahují kontaktní údaje uživatele, informace o stavu účtu a podrobnosti k nastavení přihlašování. **Properties:** * **Login** – přihlašovací jméno * **Fullname** – úplné označení uživatele v rámci systému ve formátu "doména\přihlašovací jméno uživatele" * **First Name / Surname** - křestní jméno a příjmení uživatele * **Description** – doplňující informace o uživateli * **Email** – e-mailová adresa * **Phone** – telefonní číslo * **State** – aktuální stav účtu (např. Ok, Blocked) * **Valid From / Valid To** – období platnosti účtu **Authentication:** * **Last Login** – datum a čas posledního přihlášení do systému * **Last Access** – datum a čas posledního přístupu uživatele do Mervis SCADA * **Valid From / Valid To** – časové rozmezí platnosti hesla * **Last Password Change at** – datum a čas poslední změny hesla * **Change Password After Login** – příznak pro vynucení změny hesla po dalším přihlášení * **Change Password Before** – datum a čas, do kterého musí být heslo změněno * **Notify Nearing Password Expiration in** – doba před vypršením platnosti hesla, od které se má začít zobrazovat upozornění o bližícím se konci platnosti hesla * **Multifactor Enabled** – povolení vícefaktorové autentizace * **TOTP Enabled** – povolení TOTP autentizace, tj. autentizace pomocí jednorázového hesla s časově omezenou platností * **TOTP Secret Key** – příznak existence tajného klíče pro TOTP autentizaci * **SMS Enabled** – povolení autentizace pomocí SMS ===== 3. Panel akcí ===== V horní části detailu uživatele se nachází panel s dostupnými akcemi: * **Create User** – otevře formulář pro založení nového účtu * **Group Membership** – nastavení členství uživatele ve skupinách * **Change password** – manuální změna hesla uživatele * **Generate new password** – vytvoření a odeslání náhodného jednorázového hesla uživateli, které si uživatel při prvním přihlašování musí změnit * **Block user** – deaktivace účtu * **Unblock user** – aktivace účtu * **Multifactor settings** – nastavení vícefaktorového ověření uživatele * **Change Scada permissions** – správa Scada práv pro vybraného uživatele {{:cs:mervis-scada:30-portal:portal_users_detail_view_1.png?direct|}} ==== 3.1 Create User ==== Formulář pro vytvoření nového uživatelského účtu se otevře po kliknutí na tlačítko **Create User** v panelu akcí. V dialogovém okně je možné nastavit následující položky: ^ Pole ^ Popis ^ | **Login** | Přihlašovací jméno uživatele (povinné pole) | | **Generate and send password** | Možnost automatického vygenerování a zaslání hesla uživateli | | **New password** | Ruční zadání nového hesla (povinný údaj pokud není nastaveno **Generate and send password**) | | **Confirm password** | Potvrzení hesla (musí být shodné s polem **New password**) | | **First Name** | Křestní jméno uživatele | | **Surname** | Příjmení uživatele | | **Description** | Doplňující popis nebo poznámka k účtu | | **Email** | E-mailová adresa uživatele | | **Phone** | Telefonní číslo uživatele | | **Valid From** | Datum a čas začátku platnosti účtu | | **Valid To** | Datum a čas ukončení platnosti účtu | | **Authentication – Valid From** | Datum a čas začátku platnosti přihlašovacích údajů | | **Authentication – Valid To** | Datum a čas ukončení platnosti přihlašovacích údajů | | **Change Password After Login** | Přepínač pro vynucení změny hesla při prvním přihlášení | {{:cs:mervis-scada:30-portal:portal_users_create_view.png?direct|}} === 3.1.1 Postup vytvoření nového uživatele === 1. Otevřete sekci **Users** v levém menu portálu. \\ 2. V pravé části obrazovky klikněte na tlačítko **Create User**. \\ 3. Ve formuláři vyplňte povinné údaje: \\ * **Login** – přihlašovací jméno uživatele \\ * **New password** a **Confirm password** – zadejte a potvrďte heslo (alternativně lze použít volbu *Generate and send password*) \\ 4. Doplňte volitelné údaje podle potřeby: \\ * **First Name**, **Surname** * **Description** (např. role uživatele, oddělení) * **Email** a **Phone** 5. Nastavte platnost účtu: \\ * **Valid From / Valid To** – období, po které bude účet aktivní 6. Nastavte platnost přihlašovacích údajů v části **Authentication**: \\ * **Valid From / Valid To** 7. (Volitelné) Aktivujte přepínač **Change Password After Login**, pokud chcete vynutit změnu hesla při prvním přihlášení. \\ 8. Klikněte na tlačítko **Confirm** pro vytvoření účtu. \\ 9. Nový uživatel se objeví v seznamu uživatelů a může se přihlásit podle nastavených parametrů. \\ ==== 3.2 Bulk Data Import ==== Tlačítko **Bulk Data Import** otevře modální okno pro hromadný import uživatelských účtů do vybrané domény. Import umožňuje nahrát soubor ve formátu **XLSX** nebo **CSV**, přiřadit jeho sloupce k atributům uživatele a nastavit pravidla importu – například automatické generování hesel nebo způsob řešení konfliktních záznamů. Okno se skládá z těchto částí: * **Import Settings** – nastavení parametrů importu * **Columns Mapping** – mapování sloupců souboru na atributy uživatele * **Preview** – náhled načtených dat * **Ovládací tlačítka** (viz tabulka) ^ Název ^ Popis ^ | **Select file** | Výběr souboru k importu (lze i pomocí **Drag & Drop** funkce). | | **Import** | Spuštění procesu importu dat na server. | | **Remove selected file** | Odebrání aktuálně načteného souboru. | | **Download sample file** | Stažení vzorového souboru. | ^ ^ ^ === 3.2.1 Doporučený postup importu dat === 1. Klikněte na **Download sample file** a stáhněte si vzorový soubor. \\ 2. Otevřete soubor, smažte ukázková data a vložte vlastní údaje o uživatelích. \\ 3. Pokud první řádek obsahuje názvy sloupců, zapněte volbu **File contains headers**. \\ 4. Nastavte pravidla pro konfliktní záznamy a případné generování hesel. \\ 5. Po načtení se sloupce objeví v části **Preview** jako hlavičky tabulky. \\ 6. V případě potřeby upravte mapování v části **Columns mapping** (např. pokud nechcete importovat všechny sloupce dat). \\ 7. Zkontrolujte náhled dat – chyby se zvýrazní červeně, detailní popis chyby se zobrazí po najetí myší. \\ 8. Klikněte na **Import** pro dokončení procesu. \\ {{:cs:mervis-scada:30-portal:portal_users_import_empty.png?direct|}} === 3.2.2 Vzorový soubor === Při prvním otevření modálního okna je obsah jeho jednotlivých částí omezený. Pro zobrazení všech možností nastavení je třeba nejprve vložit data. Aplikace proto umožňuje stáhnout **ukázkový XLSX soubor**, který: * obsahuje správně pojmenované hlavičky sloupců, * má všechny buňky nastavené na datový typ **Textové pole**, * zajišťuje bezproblémový import bez ručních úprav formátů. Abychom uživateli přípravu souboru s těmito daty usnadnili a pomohli mu vyhnout se případným chybám, aplikace umožňuje stáhnout **ukázkový XLSX soubor**. Výhodou použití této šablony je správné uvedení hlaviček sloupců a spolehlivé nastavení datového typu všech buněk tabulky. Při vytváření vlastního souboru je třeba správné typování ohlídat. **Podoba souboru:** * Formát: XLSX tabulka * První řádek: hlavičky sloupců - názvy vlastností uživatelského účtu. * Další řádky: jednotlivé uživatelské záznamy (jeden řádek = jeden uživatel). **Zkrácená ukázka:** ^ Login ^ Firstname ^ Surname ^ Email ^ Phone ^ Language ^ Valid From ^ Valid To ^ Password ^ MFA Enabled ^ MFA - TOTP Enabled ^ MFA - TOTP Key ^ | jnovak | Jan | Novák | jan.novak@test.com | +420123456789 | cs | 2021-03-04T09:19:58Z | 2033-04-20T04:14:51Z | abcABC123 | true | false | | | psmith | Peter | Smith | peter.smith@test.com | +441234567890 | en | 2024-07-26T22:51:58Z | 2028-09-18T11:16:20Z | I6sMC4rlzr | false | true | I5Q7ZVMBKH3CAYT6PWXJO2DNLEUMGQRY | ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ === 3.2.3 Časté chyby při přípravě souboru === Pokud je místo vzorového souboru vytvořen nový dokument (např. v LibreOffice Calc), mohou nastat následující chyby: * **Chybné názvy sloupců** – např. hlavička E-mail nebude rozpoznána, správně má být Email. * **Ztráta znaménka „+“ u telefonních čísel** – pokud má buňka formát čísla místo textu, symbol „+“ zmizí. Řešením je přenastavit buňku na typ **Textové pole**. * **Neplatné hodnoty Boolean** – některé sloupce vyžadují hodnoty **true**/**false** (malými písmeny). Formulář alternativně akceptuje také hodnoty **=TRUE()**/**=FALSE()**. Formáty jako TRUE, ANO/NE nebo 0/1 nejsou povoleny. {{:cs:mervis-scada:30-portal:portal_users_import_fail_example_file.png?direct|}} Na tyto chyby aplikace upozorní barevným zvýrazněním ještě před samotným importem. {{:cs:mervis-scada:30-portal:portal_users_import_fail_example_result.png?direct|}} Popišme ještě detailněji jednotlivé části modálního okna: === 3.2.4 Import Settings === V horní části okna je umístěn ukazatel dostupné a celkové kapacity uživatelů ve vybrané doméně. Pod ním lze nastavit tyto parametry: ^ Název ^ Popis ^ | **File contains headers** | Informace, zda první řádek importovaného souboru obsahuje názvy sloupců. | | **Conflict record resolution** | Způsob řešení konfliktů (vynechání, přepsání, vrácení chyby). | | **Generate password and send** | Automatické vygenerování hesla a jeho zaslání uživateli. | ^ ^ ^ === 3.2.5 Columns Mapping === V pravé části okna je seznam všech nastavitelných atributů uživatele (viz následující tabulka). Pokud soubor obsahuje hlavičky sloupců a je zaškrtnuta volba **File contains headers**, aplikace je automaticky spáruje. Mapování lze kdykoli ručně upravit. Tato možnost je tu i pro případ, že soubor hlavičky neobsahuje. Sloupce, které nejsou přiřazeny, se neimportují. ^ Název ^ Popis ^ Validace ^ | **Login** | Přihlašovací jméno | **Povinný údaj.** Min. délka: 1, max. délka: 50. Povolené znaky A-Z, a-z, 0-9, _ - + %%^%% . ' @. | | **Firstname / Surname** | Křestní jméno a příjmení uživatele | Min. délka: 0, max. délka: 50. | | **E-mail** | E-mailová adresa | Min. délka: 6, max. délka: 100. | | **Phone** | Telefonní číslo | Min. délka: 5, max. délka: 21. Povolené znaky: +0123456789. První znak musí být „+“. | | **Language** | Preferovaný jazyk uživatele | Min. délka: 2, max. délka: 5. Povolené znaky: a-z, A-Z, „-“. | | **Description** | Doplňující informace o uživateli | Min. délka: 0, max. délka: 50. | | **Valid From/To** | Období platnosti účtu | Formát: YYYY-MM-DDTHH:mm:ssZ (např. 2023-06-15T08:30:45Z). | | **Password** | Uživatelské heslo | Min. délka: 0, max. délka: 100. | | **Password - Valid From/To** | Období platnosti hesla | Řetězec "true"/"false" nebo boolean. | | **ChangePwdFirst** | Příznak pro vynucení změny hesla při prvním přihlášení uživatele | Řetězec "true"/"false" nebo boolean. | | **MFA - Enabled** | Povolení vícefaktorové autentizace | Řetězec "true"/"false" nebo boolean. | | **MFA - SMS Enabled** | Povolení autentizace pomocí SMS | Řetězec "true"/"false" nebo boolean. | | **MFA - TOTP Enabled** | Povolení TOTP autentizace (jednorázové heslo s časovým omezením) | Řetězec "true"/"false" nebo boolean. | | **MFA - TOTP Key** | Tajný klíč pro TOTP autentizaci | Base32 řetězec s přesnou délkou 32 znaků (RFC 4648). Povolené znaky A-Z, 2-7. | ^ ^ ^ ^ === 3.2.6 Preview === Největší část okna tvoří tabulka s náhledem dat. Slouží pro závěrečnou kontrolu před odesláním na server: * Hlavičky sloupců odpovídají atributům uživatelského účtu. * V řádcích jsou zobrazeny jednotlivé záznamy. * Chybné buňky se zvýrazní červeně, detailní popis chyby se zobrazí při najetí myší. Stejným způsobem se zobrazí i výsledky neúspěšného importu – chybné řádky se podbarví a při najetí myší je k dispozici chybová hláška. {{:cs:mervis-scada:30-portal:portal_users_import.png?direct|}} ==== 3.3 Group Membership ==== Tato funkce umožňuje přiřazovat uživatele do skupin a odebírat je. Členství ve skupinách určuje, jaká oprávnění a přístupové možnosti bude uživatel mít. Po otevření správy členství se zobrazí modální okno **Manage user relations**, které je rozděleno na dvě části: - **Levý panel** – seznam všech skupin v doméně \\ - **Pravý panel** – seznam skupin, jejichž je uživatel aktuálně členem \\ Mezi panely se nacházejí tlačítka se šipkami pro přiřazení nebo odebrání skupin uživateli. Nad každým ze seznamů je vyhledávací pole **Filter** a přepínač **Show all**. Ten slouží k zobrazení nebo skrytí skupin, které mají speciální „systémový“ význam. Patří sem: * **Starší skupiny** ve tvaru **GuidProjektu_READ / GuidProjektu_WRITE** – navázané na původní práva k projektům, které nebyly vytvořeny přes Portál, ale přes Simple Project Management. U nových projektů jejich použití nemusí vést k požadovanému výsledku. * **Doménová skupina** obsahující všechny uživatele. Ve spodní části okna je pole **Add external group**, kam lze zadat název skupiny mimo doménu ve formátu „doména\jméno skupiny“ a přidat ji tlačítkem **Add**. Změny se ukládají tlačítkem **Confirm**. {{:cs:mervis-scada:30-portal:portal_users_group_membership_2.png?direct|}} ==== 3.4 Change Password ==== Funkce umožňuje správci manuálně změnit heslo vybraného uživatele. Tato akce se používá například v případě, kdy uživatel zapomene heslo nebo z bezpečnostních důvodů je nutné provést okamžitou změnu přihlašovacích údajů. Po kliknutí na tlačítko **Change password** v panelu akcí se otevře modální okno s formulářem pro zadání nového hesla. ^ Pole ^ Popis ^ | **New password** | Pole pro zadání nového hesla uživatele (povinné pole) | | **Confirm password** | Kontrolní pole pro potvrzení hesla - musí být shodné s polem **New password** | {{:cs:mervis-scada:30-portal:portal_users_change_password.png?direct|}} === 3.4.1 Ovládací prvky dialogu === V pravé části polí pro zadání hesla se nacházejí následující ikony: * **Ikona informace** {{:cs:mervis-scada:30-portal:portal_info_icon.png?20|}} – zobrazí nápovědu k požadavkům na heslo * **Ikona oka** {{:cs:mervis-scada:30-portal:portal_eye_icon.png?20|}} – umožňuje dočasně zobrazit zadané heslo místo teček * **Ikona generátoru** {{:cs:mervis-scada:30-portal:portal_generate_icon.png?20|}} – automaticky vygeneruje silné náhodné heslo * **Ikona kopírování** {{:cs:mervis-scada:30-portal:portal_copy_icon.png?20|}} – zkopíruje heslo do schránky === 3.4.2 Postup změny hesla === 1. V seznamu uživatelů vyberte požadovaného uživatele kliknutím na jeho řádek. \\ 2. V panelu akcí klikněte na tlačítko **Change password**. \\ 3. V otevřeném modálním okně vyplňte pole **New password**: \\ * Zadejte nové heslo ručně nebo \\ * Použijte ikonu generátoru {{:cs:mervis-scada:30-portal:portal_generate_icon.png?20|}} pro automatické vytvoření silného hesla \\ 4. Do pole **Confirm password** zadejte stejné heslo jako v předchozím kroku. \\ 5. (Volitelné) Použijte ikonu oka {{:cs:mervis-scada:30-portal:portal_eye_icon.png?20|}} pro kontrolu správnosti zadání. \\ 6. (Volitelné) Použijte ikonu kopírování {{:cs:mervis-scada:30-portal:portal_copy_icon.png?20|}} pro zkopírování hesla a jeho předání uživateli. \\ 7. Klikněte na tlačítko **Change password** pro potvrzení změny. \\ 8. Dialog se zavře a heslo uživatele bude okamžitě změněno. \\ \\ ⚠️ **Upozornění:** Po změně hesla bude uživatel odhlášen ze všech aktivních relací a bude se muset přihlásit s novým heslem. \\ ==== 3.5 Generate new password ==== Funkce umožňuje vygenerovat uživateli nové heslo a zvolit způsob jeho doručení– buď **e-mailem**, nebo **SMS zprávou**. Pro odeslání je nutné, aby měl uživatel vyplněny odpovídající kontaktní údaje. {{:cs:mervis-scada:30-portal:portal_users_generate_password.png?direct|}} ==== 3.6 Block user / Unblock user ==== Tlačítko **Block user** umožňuje změnit stav uživatele na hodnotu **Blocked**. Tím dojde k deaktivaci účtu uživatele – uživatel se nebude moci přihlásit do systému a nebude moci vykonávat žádné akce. Blokace účtu neodstraní uživatelská data ani historii aktivit. Analogicky tlačítko **Unblock user** změní stav uživatele na hodnotu **Ok** a tím dojde k opětovné aktivaci účtu. ==== 3.7 Multifactor settings ==== Tlačítko **Multifactor settings** otevře dialog pro konfiguraci vícefaktorového ověřování (2FA) s podporou TOTP a SMS. === 3.7.1 Co je 2FA? === Vícefaktorové ověřování (2FA) přidává k běžnému přihlášení ještě druhý bezpečnostní prvek – například SMS nebo vygenerované jednorázové heslo s časově omezenou platností (TOTP). To výrazně zvyšuje bezpečnost vašeho účtu. V dialogovém okně je možné nastavit následující položky: ^ Pole ^ Popis ^ | **Multifactor login** | Hlavní přepínač, který zapíná nebo vypíná celý systém 2FA. | | **TOTP** | Nastavení autentizace pomocí TOTP | | **SMS** | Nastavení autentizace pomocí SMS (podmínkou je telefonní kontakt v účtu uživatele) | | **Generate new secret key** | Tlačítko pro vygenerování QR kódu a tajného klíče | {{:cs:mervis-scada:30-portal:portal_users_mfa.png?direct|}} === 3.7.2 Nastavení TOTP nebo SMS === * **TOTP** a **SMS** mají volbu "According to domain" – nastavení podle konfigurace vaší domény. * Můžete používat jeden z těchto způsobů, nebo oba současně. === 3.7.3 Postup nastavení 2FA s možností TOTP === 1. V poli **Multifactor login** nastavte **Enabled**. \\ 2. V poli **TOTP** nastavte **Enabled**. \\ 3. Vygenerování tajného klíče (pro TOTP): \\ * Klikněte na tlačítko **Generate new secret key**. * Zobrazí se **QR kód** a **textový klíč**. * QR kód naskenujte v autentifikační aplikaci. Pokud nelze skenovat, zadejte ručně klíč z pole pod QR kódem. * Klikněte na tlačítko **Save new secret key**. 4. Potvrďte své volby tlačítkem **Save settings**. ⚠️ **Upozornění:** Jakmile 2FA zapnete, bez správného kódu se do účtu nelze přihlásit. Pokud ztratíte přístup k telefonu a nemáte zálohu, může být nutný zásah administrátora. ==== 3.8 Change Scada permissions ==== Toto tlačítko otevírá modální okno pro nastavení SCADA práv vybraného uživatele. Více v sekci [[cs:mervis-scada:30-portal:100-permissions|Práva]]. {{:cs:mervis-scada:30-portal:portal_users_scada_permissions.png?direct|}}