Актори та ролі Платформи

1. Користувачі реєстру

1.1. Актори

Підкатегорія	Актор	Keycloak Realm	Системна роль	Системний атрибут	Опис
Неавторизовані користувачі	Анонімний користувач	-	-	-	Неавторизований користувач. Має доступ виключно до публічних даних та сторінки автентифікації.
Отримувачі послуг	Особа (Громадянин)	citizen	citizen unregistered-individual individual	SUBJECT_TYPE=INDIVIDUAL	Фізична особа що отримує послуги від Посадової Особи/Системи. Має доступ до даних про себе.
Фізична Особа Підприємець (ФОП)	citizen	citizen unregistered-entrepreneur entrepreneur	REPRESENTATIVE=false SUBJECT_TYPE=ENTREPRENEUR	Фізична особа підприємець що отримує послуги від Посадової Особи/Системи. Має доступ до даних про свій ФОП.
Представник Фізичної Особи Підприємця (ФОП)	citizen	citizen unregistered-entrepreneur entrepreneur	REPRESENTATIVE=true SUBJECT_TYPE=ENTREPRENEUR	Представник Фізична особа підприємець що отримує послуги від Посадової Особи/Системи. Має доступ до даних про свій ФОП.
Представник Юридичної Особи	citizen	citizen unregistered-legal legal	REPRESENTATIVE=true SUBJECT_TYPE=LEGAL	Представник юридичної особи що отримує послуги від Посадової Особи/Системи. Має доступ до даних про юридичну особу.
Надавачі послуг	Особа	officer	unregistered_officer	-	Особа, яка самостійно зареєструвалась як надавач послуг, якщо це передбачено конфігурацією реєстру.
Посадова Особа	officer	officer	-	Представник державного органу, що взаємодіє із Реєстром у рамках виконання своїх службових обов’язків та працює через інтерфейс Платформи.
Посадова Особа - кадровик	officer	officer Потребує реалізації окремої ролі	-	Керує користувачами через БП (спеціальні бізнес-процеси для створення/зміни користувачів та їх ролей). Налаштовує ролі в рамках свого підрозділу
Посадова Особа - керівник підрозділу	officer	officer Потребує реалізації окремої ролі	-	Переглядає дашборди ефективності виконання задач іншими посадовими особами

Підкатегорія

Актор

Keycloak Realm

Системна роль

Системний атрибут

Опис

Неавторизовані користувачі

Анонімний користувач

Неавторизований користувач. Має доступ виключно до публічних даних та сторінки автентифікації.

Отримувачі послуг

Особа (Громадянин)

citizen

citizen
unregistered-individual
individual

SUBJECT_TYPE=INDIVIDUAL

Фізична особа що отримує послуги від Посадової Особи/Системи. Має доступ до даних про себе.

Фізична Особа Підприємець (ФОП)

citizen

citizen
unregistered-entrepreneur
entrepreneur

REPRESENTATIVE=false
SUBJECT_TYPE=ENTREPRENEUR

Фізична особа підприємець що отримує послуги від Посадової Особи/Системи. Має доступ до даних про свій ФОП.

Представник Фізичної Особи Підприємця (ФОП)

citizen

citizen
unregistered-entrepreneur
entrepreneur

REPRESENTATIVE=true
SUBJECT_TYPE=ENTREPRENEUR

Представник Фізична особа підприємець що отримує послуги від Посадової Особи/Системи. Має доступ до даних про свій ФОП.

Представник Юридичної Особи

citizen

citizen
unregistered-legal
legal

REPRESENTATIVE=true
SUBJECT_TYPE=LEGAL

Представник юридичної особи що отримує послуги від Посадової Особи/Системи. Має доступ до даних про юридичну особу.

Надавачі послуг

Особа

officer

unregistered_officer

Особа, яка самостійно зареєструвалась як надавач послуг, якщо це передбачено конфігурацією реєстру.

Посадова Особа

officer

Представник державного органу, що взаємодіє із Реєстром у рамках виконання своїх службових обов’язків та працює через інтерфейс Платформи.

Посадова Особа - кадровик

officer

officer
Потребує реалізації окремої ролі

Керує користувачами через БП (спеціальні бізнес-процеси для створення/зміни користувачів та їх ролей). Налаштовує ролі в рамках свого підрозділу

Посадова Особа - керівник підрозділу

officer

officer
Потребує реалізації окремої ролі

Переглядає дашборди ефективності виконання задач іншими посадовими особами

1.2. Системні ролі

Усі системні ролі наведені нижче представлені в KeyCloak на рівні ролей рілма (Realm Roles)

Назва	Опис
Ролі отримувачів послуг(Citizen realm)
citizen	Роль за замовчуванням яка надається усім отримувачам послуг
unregistered-individual	Роль надається фізичній особі що зареєструвалася в системі проте ще не пройшла БП адаптації (онбордингу)
individual	Роль надається фізичній особі що зареєструвалася в системі та пройшла БП адаптації (онбордингу)
unregistered-entrepreneur	Роль надається фізичній особі підприємцю що зареєструвався в системі проте ще не пройшов БП адаптації (онбордингу)
entrepreneur	Роль надається фізичній особі підприємцю що зареєструвався в системі та пройшов БП адаптації (онбордингу)
unregistered-legal	Роль надається представнику юридичної особи що зареєструвався в системі проте ще не пройшов БП адаптації (онбордингу)
legal	Роль надається представнику юридичної особи що зареєструвався в системі та пройшов БП адаптації (онбордингу)
Ролі надавачів послуг(Officer realm)
unregistered_officer	Роль за замовчуванням яка надається усім надавачам послуг у випадко використання самореєстрації поки ті не пройдуть БП адаптації (онбординг)
officer	Роль за замовчуванням яка надається усім посадовим особам
auditor	Надає Посадовій Особі доступ до аудит логу в Redash

Назва

Опис

Ролі отримувачів послуг(Citizen realm)

citizen

Роль за замовчуванням яка надається усім отримувачам послуг

unregistered-individual

Роль надається фізичній особі що зареєструвалася в системі проте ще не пройшла БП адаптації (онбордингу)

individual

Роль надається фізичній особі що зареєструвалася в системі та пройшла БП адаптації (онбордингу)

unregistered-entrepreneur

Роль надається фізичній особі підприємцю що зареєструвався в системі проте ще не пройшов БП адаптації (онбордингу)

entrepreneur

Роль надається фізичній особі підприємцю що зареєструвався в системі та пройшов БП адаптації (онбордингу)

unregistered-legal

Роль надається представнику юридичної особи що зареєструвався в системі проте ще не пройшов БП адаптації (онбордингу)

legal

Роль надається представнику юридичної особи що зареєструвався в системі та пройшов БП адаптації (онбордингу)

Ролі надавачів послуг(Officer realm)

unregistered_officer

Роль за замовчуванням яка надається усім надавачам послуг у випадко використання самореєстрації поки ті не пройдуть БП адаптації (онбординг)

officer

Роль за замовчуванням яка надається усім посадовим особам

auditor

Надає Посадовій Особі доступ до аудит логу в Redash

2. Зовнішні системи

2.1. Актори

Актор	Keycloak Realm	Системна роль	Опис
Інша система, що взаємодіє через ШБО "Трембіта" з Реєстром	external	trembita-invoker	Автоматичні дії/запити із іншої системи через ШБО "Трембіта", що не були результатом дії певного чиновника у якомусь Процесі/Підпроцесі взаємодії із системою
Інша система що взаємодіє через REST API з Реєстром	external	-	Автоматичні дії/запити із іншої системи через зовнішнє REST API реєстру , що не були результатом дії певного чиновника у якомусь Процесі/Підпроцесі взаємодії із системою

Актор

Keycloak Realm

Системна роль

Опис

Інша система, що взаємодіє через ШБО "Трембіта" з Реєстром

external

trembita-invoker

Автоматичні дії/запити із іншої системи через ШБО "Трембіта", що не були результатом дії певного чиновника у якомусь Процесі/Підпроцесі взаємодії із системою

Інша система що взаємодіє через REST API з Реєстром

external

Автоматичні дії/запити із іншої системи через зовнішнє REST API реєстру , що не були результатом дії певного чиновника у якомусь Процесі/Підпроцесі взаємодії із системою

2.2. Системні ролі

Усі системні ролі наведені нижче представлені в KeyCloak на рівні ролей рілма (Realm Roles)

Назва	Опис
trembita-invoker	Роль, під якою bp-webservice-gateway ходить до bpms для виклику бізнес-процесів на вимогу зовнішніх систем через Трембіту. external system (call process) → trembita → bp-webservice-gateway (trembita-invoker initiates BP) → bpms

Назва

Опис

trembita-invoker

Роль, під якою bp-webservice-gateway ходить до bpms для виклику бізнес-процесів на вимогу зовнішніх систем через Трембіту.

external system (call process) → trembita → bp-webservice-gateway (trembita-invoker initiates BP) → bpms

3. Службові адміністратори

На цей час, варіативність акторів адміністраторів фізично не відображена на рівні Платформи (у вигляді композитних ролей тощо), як і правила призначення ролей відповідно до сумісності/вимог безпеки.

Фактично, використовується єдиний актор Адміністратор, якому призначено усі системні ролі з переліку.

У цьому переліку наведено логічну відповідність між службовими обов’язками окремих акторів та системними ролями, які підтримуються Платформою. Він може бути використаний у як відправна точка для призначення ролей в залежності від вимог окремого реєстру тощо.

3.1. Актори

Актор	Keycloak Realm	Системна роль	Опис
Розробник/моделювальник регламенту	admin	gerrit-administrators camunda-admin redash-admin jenkins-users (за запитом Адміністратор користувачів може надати jenkins-admin) nexus-user	Роль для налаштування регламенту роботи системи, а саме: Створення моделі даних Опис Сутностей Опис полів, типів даних, форматів даних Опис зв’язків (як внутрішніх в цьому реєстрі, так і зовнішніх з іншим реєстром) Створення та налаштовання бізнес-процесів та UI форм для кінцевих користувачів (BPMN) Створення взаємодії з іншими реєстрами/системами, тобто механізм побудови API (на базі SOAP) Створення ролей для БП (типи користувачів) та визначає їхніх права Робота із статистичними даними: дашборди, звіти
Адміністратор регламенту	admin	gerrit-administrators	Верифікує та підверджує зміни в регламент запропоновані розробником/моделювальником.
Технічний адміністратор реєстру	openshift admin	openshift/cp-registry-mgmt-view (потребує реалізації) openshift/grafana-viewer admin/realm-management client: view-users manage-users	Керування конфігурацією реєстру (кількість віртуальних машин, кількість інстансів мікросервісів, зміна системного ключа, конфігурування АПІ без Трембіти, рейт-ліміти) Створення резервних копій та відновлення реєстра. Перегляд дашбордів моніторингу для реєстру. Всі дії розпочинаються з Control Plane (зрозумілі для не технічних людей). Не може змінювати налаштування через Openshift напряму.
Адміністратор посадових осіб	admin	user-management admin/realm-management client: view-users manage-users (Після створення адміністративного порталу для керування користувачами-адміністраторами клієнтська роль в realm-management буде замінена на системну)	Надає доступ для інших користувачів Чиновників через CSV та по одному через портал адміністратора. Змінює атрибути та ролі користувачів. Деактивує користувачів при звільненні чи зміні повноважень.
Адміністратор доступу	admin	realm-management client/realm-admin	Роль для начальника-адміністратора, потрібна для призначення на ролі із класу Адміністраторів реєстру.
Адміністратор безпеки	admin openshift	openshift/cp-cluster-mgmt-view (потребує реалізації) openshift/grafana-viewer admin/redash-auditor (потребує реалізації) admin/realm-management client roles: view-users manage-users view-events manage-events	Має доступ до журналів транзакцій та аудиту, технічних логів, метрик, Переглядає дашборди для аналізу продуктивності і навантаження реєстру Блокування/розблокування користувачів в тому числі технічних користувачів інших систем (в Трембіті та АПІ без Трембіти) Доступ до дашборду з кількістю запитів посадових осіб до АПІ та бізнес-процесів реєстру (а також пошуку даних)
Адміністратор даних	admin	Потребує реалізації окремої ролі	Робить первинне завантаження даних в реєстр.

Актор

Keycloak Realm

Системна роль

Опис

Розробник/моделювальник регламенту

admin

gerrit-administrators
camunda-admin
redash-admin
jenkins-users (за запитом Адміністратор користувачів може надати jenkins-admin)
nexus-user

Роль для налаштування регламенту роботи системи, а саме:

Створення моделі даних
Опис Сутностей
Опис полів, типів даних, форматів даних
Опис зв’язків (як внутрішніх в цьому реєстрі, так і зовнішніх з іншим реєстром)
Створення та налаштовання бізнес-процесів та UI форм для кінцевих користувачів (BPMN)
Створення взаємодії з іншими реєстрами/системами, тобто механізм побудови API (на базі SOAP)
Створення ролей для БП (типи користувачів) та визначає їхніх права
Робота із статистичними даними: дашборди, звіти

Адміністратор регламенту

admin

gerrit-administrators

Верифікує та підверджує зміни в регламент запропоновані розробником/моделювальником.

Технічний адміністратор реєстру

openshift

admin

openshift/cp-registry-mgmt-view (потребує реалізації)

openshift/grafana-viewer

admin/realm-management client:

view-users
manage-users

Керування конфігурацією реєстру (кількість віртуальних машин, кількість інстансів мікросервісів, зміна системного ключа, конфігурування АПІ без Трембіти, рейт-ліміти)
Створення резервних копій та відновлення реєстра.
Перегляд дашбордів моніторингу для реєстру.

Всі дії розпочинаються з Control Plane (зрозумілі для не технічних людей). Не може змінювати налаштування через Openshift напряму.

Адміністратор посадових осіб

admin

user-management

admin/realm-management client:

view-users
manage-users

(Після створення адміністративного порталу для керування користувачами-адміністраторами клієнтська роль в realm-management буде замінена на системну)

Надає доступ для інших користувачів Чиновників через CSV та по одному через портал адміністратора.
Змінює атрибути та ролі користувачів.
Деактивує користувачів при звільненні чи зміні повноважень.

Адміністратор доступу

admin

realm-management client/realm-admin

Роль для начальника-адміністратора, потрібна для призначення на ролі із класу Адміністраторів реєстру.

Адміністратор безпеки

admin

openshift

openshift/cp-cluster-mgmt-view (потребує реалізації)

openshift/grafana-viewer

admin/redash-auditor (потребує реалізації)

admin/realm-management client roles:

view-users
manage-users
view-events
manage-events

Має доступ до журналів транзакцій та аудиту, технічних логів, метрик,
Переглядає дашборди для аналізу продуктивності і навантаження реєстру
Блокування/розблокування користувачів в тому числі технічних користувачів інших систем (в Трембіті та АПІ без Трембіти)
Доступ до дашборду з кількістю запитів посадових осіб до АПІ та бізнес-процесів реєстру (а також пошуку даних)

Адміністратор даних

admin

Потребує реалізації окремої ролі

Робить первинне завантаження даних в реєстр.

3.2. Системні ролі

Усі системні ролі наведені нижче представлені в KeyCloak на рівні ролей рілма (Admin Realm Roles). Системні ролі з префіксом "openshift/" описані нижче в розділі Адміністратори інфраструктури/Системні Ролі

Назва	Опис
administrator	Композитна роль, що складається з: gerrit-administrators jenkins-administrators
camunda-admin	Надає доступ до адміністративної консолі Camunda
gerrit-administrators	Надає адміністративний доступ до Gerrit репозиторія
gerrit-users	Надає обмежений користувацький доступ до Gerrit репозиторія
jenkins-administrators	Надає адміністративний доступ до Jenkins
jenkins-users	Надає обмежений користувацький доступ до Jenkins
nexus-admin	Надає адміністративний доступ до Nexus репозиторія
nexus-user	Надає обмежений користувацький доступ до Nexus репозиторія
realm-admin	Повний адміністративний доступ до управління рілмом
redash-admin	Надає доступ до адміністративного порталу Redash
user-management	Управління користувачами через адміністративний портал, в тому числі імпорт користувачів з файлу.

Назва

Опис

administrator

Композитна роль, що складається з:

gerrit-administrators
jenkins-administrators

camunda-admin

Надає доступ до адміністративної консолі Camunda

gerrit-administrators

Надає адміністративний доступ до Gerrit репозиторія

gerrit-users

Надає обмежений користувацький доступ до Gerrit репозиторія

jenkins-administrators

Надає адміністративний доступ до Jenkins

jenkins-users

Надає обмежений користувацький доступ до Jenkins

nexus-admin

Надає адміністративний доступ до Nexus репозиторія

nexus-user

Надає обмежений користувацький доступ до Nexus репозиторія

realm-admin

Повний адміністративний доступ до управління рілмом

redash-admin

Надає доступ до адміністративного порталу Redash

user-management

Управління користувачами через адміністративний портал, в тому числі імпорт користувачів з файлу.

4. Адміністратори інфраструктури

4.1. Актори

Актор	Keycloak Realm	Системна роль	Опис
Технічний адміністратор Платформи	openshift	cp-cluster-mgmt-admin + cluster-admins group (потребує створення більш обмеженої ролі)	Роль потрібна для виконання операцій розгортання платформи та окремих реєстрів, встановлення оновлень, взаємодії з Адміністратором обладнання для оцінки необхідних ресурсів для коректної взаємодії платформи. Роль передбачає: Первинну конфігурацію платформи реєстрiв Управління обсягом обчислювальних ресурсів в дата-центрі Додавання обчислювальних ресурсів до платформи Тестування працездатності платформи Створювати сценарії розгортання Роботу з централізованою агрегацією журналів, моніторингом та журналами попереджень: збирати журнали, зберігати журнали, будувати інформаційні панелі, налаштовувати попередження; Роботу з метриками та моніторингом продуктивності та попередженнями; Впровадження процесів автоматизації;
Служба підтримки платформи (L2)	openshift	cp-cluster-mgmt-view (потребує реалізації) grafana-viewer	Моніторинг технічних метрик системи, реакція на інциденти.
Рут адміністратор	openshift	cp-cluster-mgmt-admin + cluster-admins group	Повний доступ.
Адміністратор хостингу		-	Доступ до фізичної або/і віртуальної інфраструктури

Актор

Keycloak Realm

Системна роль

Опис

Технічний адміністратор Платформи

openshift

cp-cluster-mgmt-admin + cluster-admins group (потребує створення більш обмеженої ролі)

Роль потрібна для виконання операцій розгортання платформи та окремих реєстрів, встановлення оновлень, взаємодії з Адміністратором обладнання для оцінки необхідних ресурсів для коректної взаємодії платформи. Роль передбачає:

Первинну конфігурацію платформи реєстрiв
Управління обсягом обчислювальних ресурсів в дата-центрі
Додавання обчислювальних ресурсів до платформи
Тестування працездатності платформи
Створювати сценарії розгортання
Роботу з централізованою агрегацією журналів, моніторингом та журналами попереджень: збирати журнали, зберігати журнали, будувати інформаційні панелі, налаштовувати попередження;
Роботу з метриками та моніторингом продуктивності та попередженнями;
Впровадження процесів автоматизації;

Служба підтримки платформи (L2)

openshift

cp-cluster-mgmt-view (потребує реалізації)

grafana-viewer

Моніторинг технічних метрик системи, реакція на інциденти.

Рут адміністратор

openshift

cp-cluster-mgmt-admin + cluster-admins group

Повний доступ.

Адміністратор хостингу

Доступ до фізичної або/і віртуальної інфраструктури

4.2. Системні ролі

Усі системні ролі наведені нижче представлені в KeyCloak на рівні ролей рілма (Openshift Realm Roles)

Назва	Опис
cp-cluster-mgmt-admin	Адміністративний доступ до керування платформою та OKD
cp-registry-admin	Адміністративний доступ до керування реєстром через control-plane та OKD
cp-registry-reader	Read-only доступ до реєстру через control-plane та OKD
grafana-admin	Доступ до перегляду та налаштування метрик в Grafana
grafana-viewer	Доступ до перегляду метрик в Grafana

Назва

Опис

cp-cluster-mgmt-admin

Адміністративний доступ до керування платформою та OKD

cp-registry-admin

Адміністративний доступ до керування реєстром через control-plane та OKD

cp-registry-reader

Read-only доступ до реєстру через control-plane та OKD

grafana-admin

Доступ до перегляду та налаштування метрик в Grafana

grafana-viewer

Доступ до перегляду метрик в Grafana