Organizácia (Identity & Access Management)

Modul IAM tvorí základ celého systému. Je to multi-mandantná databáza používateľov. Okrem spoločných nastavení všetkých mandantov obsahuje pre každého mandanta/doménu možnosti:

• organizačná štruktúra - stromové grafické znázornenie oddelení s údajmi používateľov a rýchlym (autocomplete) vyhľadávaním (každý mandant môže mať viac štruktúr - organizačná, projektová,...)
• používatelia - zoznam používateľov filtrovaný podľa stavu (aktívny, neaktívny, blokovaný, odstránený)
• oddelenia - časť pre administráciu oddelení (definovanie štruktúry, pracovníkov, vedúcich)
• skupiny - časť pre administráciu skupín (definovanie štruktúry, členov)
• profily - časť pre administráciu profilov (prpofil definuje vzťah medzi oprávneniami a oddeleniami/skupinami/používateľmi)
• číselník funkcií

Pomocou tejto štruktúry je možné zadefinovať aj tie najzložitejšie kombinácie oprávnení. Pritom je možné do profilov priraďovať aj používateľov z iných domén. Vďaka tomu je možné jednoducho prideliť oprávnenie menežérovi zo zriaďovateľskej organizácie k aplikáciám vo všetkych podriadených organizáciách.

Bežní používatelia majú k dispozícii organizačnú štruktúru, v ktorej si môžu prezerať zoznam oddelení a kontaktné informácie svojich kolegov.

Každý používateľ má prístup k svojmu profilu, kde môže meniť časť informácií o svojej osobe. Niektoré informácie môže meniť len personalista - každá doména má svojich personalistov. Osobný profil obsahuje:

• meno a tituly v štruktúre dátových štandardov pre ISVS
• fotografiu
• funkciu, osobné číslo
• rodinný stav, pohlavie
• dátum a miesto narodenia, štátnu príslušnosť
• prihlasovacie údaje
• zastupovanie
• telefónne a e-mailové kontakty
• adresu trvalého a prechodného pobytu, korešpondenčnú adresu
• adresu pracoviska

Používateľ okrem svojich kontaktných informácií, môže meniť aj zastupovanie svojej osoby. Zastupovanie je možné definovať na dobu určitú (dovolenka) alebo na dobu neurčitú, pričom definuje osobu zastupujúceho a zoznam aplikácií a oprávnení v ktorých ho bude zastupovať. Oprávnenia aplikácií obsahujú informáciu o tom, či je možné pri nich nastaviť zastupovanie. Všade v systéme sa následne využíva informácia, či úkon vykonal sám používateľ, alebo či ho v jeho mene vykonal zastupujúci používateľ.
Okrem toho si v profile môže používateľ pozrieť zoznam svojich oprávnení, skupín, oddelení (používateľ môže byť zaradený vo viacerých oddeleniach a skupinách a to aj v rôznych mandantoch), podriadených a nadriadených.

Používatelia sa zo systému nikdy nemažú, kvôli uchovaniu histórie ich činnosti.
V prípade dlhodobej neprítomnosti (materská dovolenka) je možné používateľovi nastaviť status "neaktívny". Neaktívny používateľ môže naďalej systém používať (homeworking), ale všade sa pri jeho mene uvádza dôvod dlhodobej neprítomnosti. Jeho údaje sa nezverehjňujú v organizačnej štruktúre na internete.
V prípade odchodu zamestanca sa po presune jeho registratúrnych záznamov, úloh a oprávnení na iného pracovníka, označí ako "odstránený". Takýto používateľ už vystupuje len v histórii objektov.

IAM poskytuje služby SSO (single-sign-on) pre všetky aplikácie Crystal Office. Prostredníctvom webových služieb ich dokáže poskytovať aj webovým aplikáciám tretej strany. Používateľa je možné zablokovať v plánovanom termíne alebo okamžite. Pri okamžitej blokácii je používateľ bezprostredne odhlásený zo všetkých aplikácií.

Okrem toho pri prihlasovaní podporuje 

• 2-faktorové overovanie pomocou SMS kódu,
• 2-faktorové overovanie pomocou TOTP aplikácie (Time-based One-time Password),
• overovanie voči Active Directory
• overovanie voči slovensko.sk pomocou eID (SAML)
• overovanie voči kontu Microsoft 365.

Organizačnú štruktúru vrátane verejných kontaktných údajov je možné exportovať vo formáte XML pre potreby zverejňovania.