Technologicky sa skladá z SQL databázy, staníc používateľa a prípadne aplikačného servera, resp. servera pre EGJEWeb2. Systém je vytvorený pomocou programovacieho jazyka Java, iba veľmi malé časti sú programované priamo v SQL databáze v jej natívnom jazyku, resp. časti EGJEWeb2 v javascriptu.

Aplikačný server používa java prostredie. Je možné použiť aj OpenJDK javu i javu z Oracle SE subscription.

EGJEWeb2 používa servlet kontajner Tomcat.

Distribúcia aplikácie sa vykonáva pomocou jej uloženia na internom web serveri organizácie (resp. v inom prípade na súborovom serveri) a následným sprístupnením pre stanice pomocou EGJE Web Start. Pre spätnú kompatibilitu je podporované aj dávkové spúšťanie, resp. distribúcia pomocou Java Web Start (JWS), ktorý je súčasťou java 8 a v java 11 už nie je.

Mobilný prístup je riešený pomocou webovských technológií (EGJEWeb 2). Aplikácia je postavená v duchu "Responsive web design" a prispôsobuje sa prostrediu, v ktorom je spustená.

K dispozícii je tiež možnosť špeciálne autentizácie pre mobilné zariadenia, resp. možnosť zadania určitých reštrikcií pre mobilný prístup.

2.1 Nasadenie aplikačného servera

Otázka nasadenia, resp. nenasadenia aplikačného servera závisí predovšetkým na sieťových a pamäťových požiadavkách a na distribúcii zaťaženia. Aplikačný server komunikuje s aplikáciou pomocou technológie RMI.

2.1.1 Aplikačný server

aplikačný server(AS) je voliteľný komponent
od e201905 môže ako AS slúžiť aj EGJEWeb (inštalovaný na Tomcat)
všetka klientska komunikácia prebieha cez AS pomocou RMI (implicitne šifrované)
komunikácia je komprimovaná, čo umožňuje výrazné zníženie sieťovej prevádzky
oproti prevádzke bez aplikačného servera sa líši v týchto aspektoch:

stanica klienta nemusí mať nakonfigurované pripojenie k databáze, nemusí mať ani prístup k databázovému serveru
stanica klienta nikdy nie je vlastníkom sprostredkovaného ani priameho databázového pripojenia (zabezpečenia)
autentizácia používateľa prebieha na aplikačnom serveri
všetka komunikácia je šifrovaná (šifrovanie ssl / tls)
klientská aplikácia je pamäťovo úspornejšia a pre množstvo akcií rýchlejšia (záleží na konkrétnej konfigurácii). Na druhej strane je potrebné mať dostatočne dimenzovaný server
server poskytne aplikácii množstvo údajov rýchlejšie, pretože používa „kešovanie“ informácií
správca má možnosť monitorovať a spravovať úlohy a klientov (Adm51)

2.2 Nasadenie servera pre modul EGJEWeb2, HR Portál

Modul EGJEWeb2 slúži ako používateľské rozhranie pre zamestnancov, resp. manažérov. Je však otázkou implementácie, či manažér (prípadne, ktorý manažér) bude používať jednoduchého web klienta HR Portál alebo funkčne „bohatšieho“, ale zložitejšieho "referentského" klienta EGJEWeb2, alebo jemu analogického štandardného klienta. Aplikácia poskytuje aj väčšinu referentské funkčnosti. Rozhranie HR Portál je samostatnou obchodnou položkou.

Aplikácia EGJEWeb2 je Java Servlet aplikácia, ktorá používa frameworky GWT a komponenty Ext. Táto aplikácia používa a sprístupňuje okrem zostáv aj formuláre zo štandardného EGJE java klienta.
Aplikácia používa rovnakú technológiu pre prácu s databázou (Elanor datasource resp. JDBC) a rovnakú technológiu tvorby zostáv (Jasper Reports) ako štandardný EGJE, pričom zostavy zo štandardnej aplikácie sú plne prenositeľné do web riešenia, prenositeľnosť formulárov je asi 90%.

2.3 Prevádzka cez terminálové servery

Obecne je možné aplikáciu prevádzkovať cez terminálové servery (Citrix). Je však treba server dostatočne výkonovo a pamäťovo dimenzovať. Tiež integrácia s prostredím používateľa je o niečo zložitejšia (hromadná korešpondencia, exporty XLS, e-mailová komunikácia) pretože SW, ktorý výstupy z EGJE preberá a ďalej spracováva je obvykle na stanici používateľa.

Odporúča sa v tejto konfigurácii umiestiť pracovný adresár (Nastavenia / Používateľské nastavenia / Adresár pre export) na citrixový diskový zväzok (prípadné kopírovanie na stanici používateľa vykonávať pomocou kopírovania súboru na sprístupnený lokálny disk alebo analogicky Adobe Reader / Súbor / Uložiť kópiu). Pre prácu s html položkami vyplňovanými cez schránku (napr. Zpu01 / Obsah kurzu) je potrebné sprístupniť v Citrix html schránku - pozri:

http://support.citrix.com/article/CTX112063

Pre spustenie EGJE na Citrix inštalácii sú tieto možnosti:

· priame spúšťanie cez javaw resp. spúšťanie dávkou zo súborového serveru
– doporučený variant!
(obzvlášť, ak je viacej Citrix serverov)
pozri Príloha B: Inštalácia - alternatívne dávkové spúšťanie EGJE

· spustenie cez EWS/JWS - nevýhodou je cache aplikácie zvyšujúca veľkosť domovského adresára používateľa, je však možné využiť tzv. systémovú cache.

3 HW a SW požiadavky

3.1 Zhrnutie

Databázy:

· Oracle

· Oracle 12c R2, 18c, 19c

· Microsoft SQL Server

· Microsoft SQL Server 2014

· Microsoft SQL Server 2016

· Microsoft SQL Server 2017

· Microsoft SQL Server 2019

· Microsoft SQL Server 2022

Stanica používateľa:

· Obecne ľubovoľná dostatočne dimenzovaná stanica - na ktorej je podporovaná Java 11, Java 17 alebo Java 21 (iba LTS verzie, iné nie sú zo strany Elanor podporované), s prehliadačom PDF a prístupom na sieťovú tlačiareň, resp. lokálnu tlačiareň

· Doporučené rozlíšenie monitora od: 1366 x 768

· Doporučuje sa tiež inštalácia SW pre prácu s exportnými súbormi typu XLSX, CSV, XLS
(Microsoft Office, resp. Microsoft Excel viewer, resp. OpenOffice/LibreOffice)

Aplikačný server:

· Obecne ľubovoľný server na ktorom je podporovaná Java 11, Java 17 alebo Java 21 (iba LTS verzie, iné nie sú zo strany Elanor podporované).

Nemusí to nutne byť samostatný server, pre menšie inštalácie je možné spoločné umiestnenie s databázovým serverom.

· Aplikačný server nie je povinný komponent, resp. môže bežať aj na EGJEWeb2 serveri

· Úloha aplikačného servera spočíva v optimalizácii prevádzky po prenosových linkách a poskytuje tiež ďaleko väčšie zabezpečenie ako prevádzka bez neho.

· Inštalácia AS používa wrapper Tanuki
upozornenie - jeho verzia pre 64-bitové Windows je platená, pre ostatné postačí neplatená verzia.
Nastavenie parametrov je stručne zmienené v Prílohe D.

Server EGJEWeb2:

· Server, na ktorom je podporovaná Java 11, Java 17 alebo Java 21 so servlet kontajnerom Apache Tomcat verzia 9.0.x alebo 10.1.x (testované na OS Windows a Linux).

· Pre verziu Tomcat 9.0.x odporúčame použiť minimálnu verziu 9.0.102, pro verziu 10.1.x minimálnu verziu 10.1.39.Z dôvodu bezpečnostných zraniteľností sa neodporúča používať staršie verzie.

· bezpečnostních zranitelností se nedoporučuje používat starší verze.

· Podpora radu Apache Tomcat 7.x a 8.x bola UKONČENÁ. (https://endoflife.date/tomcat)

· Inštalácia je popísaná v Prílohe C1.

Stanica používateľa EGJEWeb2:

· Web browser (Google Chrome, EDGE, Firefox). Browsery IE a Safari nie sú podporované.

· Doporučené rozlíšenie od 1366 x 768

· Stanica by mala disponovať prehliadačom PDF a prístupom na tlačiareň resp. lokálnou tlačiarní

· Odporúčame tiež inštaláciu SW na prácu s exportnými súbormi XLSX, CSV, XLS
(Microsoft Office, resp. Microsoft Excel viewer, resp. OpenOffice/LibreOffice),
resp. DOCX, RTF, ODT (Microsoft Word resp. OpenOffice/LibreOffice)

Web server (resp. súborový server) s EWS / JWS predlohou:

· Obecne ľubovoľný intranetový web server (horšie súborový server) prístupný koncovým používateľom.

· Na serveri je umiestená aplikačná predloha formou aplikačného balíka EGJE Web Start, resp. Java Web Start

· Nemusí to byť samostatný server - ide o zdieľanie jedného adresára.

Autentizačný server

· Aplikácia nevyžaduje vyhradený autentizačný server. Je možné použitie už existujúce v organizácii používaný.

· Typickým autentifikačným serverom je doménový server Windows Active directory resp. nejaký LDAP server.

Poštový server:

· Niektoré časti systému (typicky workflow) používajú e-mailovú komunikáciu. Tá je realizovaná pomocou pripojenia na SMTP server pre odosielanie pošty.

· V oblasti uchádzačov môže byť použité aj POP3 rozhranie pre príjem pošty. Je vhodné, ak je poštový server vybavený nejakým antispamovým a antivírusovým riešením, nie je to však nevyhnutnou podmienkou. Aplikácia rozozná "svoje" e-maily a odpovede na ne a spracováva prednostne tieto.

· Konfigurácia pripojenia k poštovému serveru - viď ďalej

3.2 Databázový server

Podporované databázy:

· Oracle 12c R2 (Standard Edition, Enterprise Edition) verzia >=12.1.0.1

· Oracle 18c (Standard Edition, Enterprise Edition)

· Oracle 19c (Standard Edition, Enterprise Edition)

· Microsoft SQL Server 2014

· Microsoft SQL Server 2016

· Microsoft SQL Server 2017

· Microsoft SQL Server 2019

· Microsoft SQL Server 2022

Databáza - môže byť prevádzkovaná na HW s rôznymi OS (Unix, Linux, Windows).

Charakter aplikácie - prevažne transakčné spracovanie (OLTP).

Databázová inštancia oracle – vytvára sa s unicode charset a musí byť nainštalovaná s XML DB.

Inštalácie s Oracle podporujú plné využitie znakov unicode, kým inštalácia s SQL Serverom sú smerované pre dáta v znakovej sade 1250. (unicode znaky sú dovolené len u niektorých textov a sú k dispozícii len vo vybraných zobrazeniach).

Náročnosť na výkon a veľkosť databázy je približne rovnaká ako u Elanor Global.

U zvlášť rozsiahlych inštalácií ( viac ako 5000 zamestnancov) je možné tiež nasadenie Oracle RAC.

3.3 Stanica používateľa pre štandardného klienta

· Obecne ľubovoľná dostatočne dimenzovaná stanica so Oracle Java JRE 11 alebo 17, s prehliadačom PDF, a prístupom na sieťovú tlačiareň, resp. lokálnu tlačiareň.

· Testovaná je prevádzka pod Windows 10 Enterprise a Windows 11 Enterprise.

· Doporučené rozlíšenie monitora od: 1366 x 768

· Ako prehliadač PDF sa odporúča Adobe Reader verzia 7 a vyššia (ak je systém prevádzkovaný na Citrix je potrebná kompatibilita PDF prehliadača s príslušnou Citrix verziou).

· Odporúča sa tiež inštalácia SW na prácu s exportnými súbormi typu CSV, XLS, XLSX (Microsoft Office, resp. Microsoft Excel viewer, resp. OpenOffice / LibreOffice)

· U staníc Windows sa odporúča >= 4 GB pamäti.

· Nároky na diskový priestor nie sú veľké. Programové vybavenie do 500 MB (%USERPROFILE%\Data aplikace\Sun\Java\Deployment).

· Požadovaný priestor pre pracovné súbory, protokoly a tlačové zostavy (%USERPROFILE%\Dokumenty\EMAN) je závislý na type práce používateľa a rádovo sa pohybuje okolo 100 MB.

· Textová tlač (Vyp12, Vyp32 i.). Textová tlač je realizovaná tak, že používateľ si v dialógu volí textový port LPT1 / LPT2 / LPT3. V operačnom systéme používateľa teda musí byť tlačiareň pripojená na jeden z týchto portov.

prístup na internet I. (pozri aj nasledujúcu kapitolu Prístup EGJE na internet)

Zostava Kon04 - Kontrola konkurzného konania osôb [CZ] používa volanie webovej služby
Získava dáta z webovej služby poskytovanej serverom justice.cz

(viď popis https://isir.justice.cz/isir/common/stat.do?kodStranky=SLEDOVANIWS)

Prevádzka zostavy vyžaduje:

· nastavenie http, https (proxy)

Je nutné nastaviť správnu konfiguráciu pripojenia k proxy serveru, ak daný zákazník používa proxy server vo svojej firemnej sieťovej infraštruktúre, prípadne povoliť volanie adries začínajúcich https://isir.justice.cz:8443/.
Zo samotného nastavenia spojenia k proxy serveru je nutná korektná konfigurácia pripojenia pre protokoly HTTP a HTTPS.
Testovanie môžete tiež vykonávať priamo v prehliadači - môžete skúšať, či sa načíta xml popis webovej služby z adresy https://isir.justice.cz:8443/isir_cuzk_ws/IsirWsCuzkService?wsdl

Pri spúšťaní EGJE cez dávkové súbory *. bat a u konfigurácii webového servera nesmie administrátor zabudnúť nastaviť / použiť nasledujúce premenné prostredia:

Pre protokol http i HTTPS:

· do premennej proxyHost zadať konkrétnu (doménovú) adresu proxy serveru.

· v premennej proxyPort nastaviť port, na ktorom proxy server na danom serveri poskytuje svoje služby.

Teda -DproxyHost=proxy.firma.cz -DproxyPort=nnnn

· pokiaľ daný proxy server vyžaduje autentizáciu, je potrebné nastaviť tiež premenné:

- proxyUser používateľské meno pre autentizáciu na proxy serveri.

- proxyPassword heslo pre autentizáciu na proxy serveri.

Pozn .: ak chcete mať inak nastavené http a https, je možné použiť pred uvádzané

premenné prefixy:

http.

https.

Pr.: http.proxyHost, https.proxyHost …

Pri spúšťaní cez EWS si správca vyskúša či je proxy nastavenie potreba a ak to v danom prostredí je nutné, doplní predlohový .egje súbor rovnako ako .jnlp pre JWS (v minulom odstavci).

Pozn.: pri inštalácii s AS sa nastavenie týka klienta EGJE, iba ak správca zvolí spúšťanie na AS (cez Adm53), musí zabezpečiť prístup z AS. Parametre týkajúce sa proxy sa potom píšu do wrapper.conf AS ako wrapper.java.additional parametre -D.

Pr. wrapper.java.additional.3=-DproxyHost=xxx

wrapper.java.additional.4=-DproxyPort=ppp

Prípadne tiež -DproxyUser a -DproxyPassword

prístup na internet II.

priamy prístup na internet používa formulár Adm24 - Kurzovný lístok / Import z Webu. Situácia je obdobná ako u webovej služby. Teda pre dávkové spúšťanie:

-DproxyHost=proxy.firma.cz -DproxyPort=nnnn

(Dávkové spúšťanie je popísané v kap. Inštalácia - priame a dávkové spúšťanie štd. klienta EGJE Inštalácia - priame a dávkové spúšťanie štd. klienta EGJE)

Nastavenie proxy v Ovládacích paneloch / Java, resp. priamo v .jnlp, .egje (element property v <resources> pr. <property name="proxyHost" value="proxy.firma.cz">).

Pre sťahovanie kurzového lístka na AS (Adm53) je určená analogická zákaznícka zostava Adm24f.

3.4 Stanica používateľa pre EGJEWeb2 klienta

· HW a SW nároky u Web klienta sú podobné ako u štandardného klienta, miesto java JRE sa používajú Web prehliadače

· Web browser (IE 11, Google Chrome, EDGE (nový EDGE chromium), Firefox). U Chrome a Firefox testujeme v poslednej verzi prehliadača.
Doporučené rozlíšenie od 1366 x 768

· Stanica by mala disponovať prehliadačom PDF vrátane browseru pracujúcim s PDF a prístupom na tlačiareň resp. lokálnou tlačiarní

· Nastavenie browseru

o je potrebné mať povolená popup okna

(sú použitá hlavne pre zobrazenie protokolov pozri tiež nastavenie práv)

o server s aplikáciou zaraďte do Local Internet resp. Trusted sites

o aplikácia vyžaduje povolenie File downloadu a to s "automatic prompting"

o pokiaľ chcete u browseru Firefox použiť automatický single sign on je potrebné jej pre konkrétny server s aplikáciou povoliť (príkazová riadka / about:config / Filtr Ntlm / parameter network.automatic-ntlm-auth.trusted-uris vyplniť adresou serveru (serverov)

o dtto u browseru Chrome - parameter spúšťania (doplniť k zástupcovi)

o --auth-server-whitelist
př. --auth-server-whitelist="*aaaa.cz,*aaaa.corp"

o povoliť cookies

o pokiaľ použijete https pripojenie je potrebné povoliť tzv. mixed contents
tj. napr. IE 10/11 takto : Internet options / Security settings / Local Intranet zone / Custom level / Miscellaneous / Display mixed contents = Enable

tj. Možnosti internetu / Zabezpečenie / Miestny intranet / Vlastná úroveň / Rôzne / Zobraziť smiešaný obsah = Povolit

3.5 Prístup EGJE na internet

Prístup na internet je v štandardnom EGJE potreba pri objektoch Kon04, Adm24 (pozri predchádzajúce kapitoly) a tiež pre prístup na odbory vzdelanie (Trexima CZ).

K otestovaniu prístupu môžete použiť menu O aplikácii / tlačidlo Test pripojenia k internetu.

Sú testované konkrétne adresy, pričom vplyv na prístupnosť môže mať nastavenia proxy servera.

Nastavenie proxy pre štandardného klienta aj pre AS je popísané v predchádzajúcej kapitole "Stanica používateľa pre štandardného klienta".

Pozn.: u EGJEWeb2 ide o pripojenie web servera, u štandardného klienta s AS o pripojení AS i klienta.

3.6 Spúšťacie parametre EGJEWeb2

3.6.1 Referentské rozhranie

Parametre príkazového riadku prehliadača píšeme tak, že za štartovaciu adresu končiacu / pridáme ešte znak ?

Automatická voľba profilu

parameter p=kód_profilu

napr. /?p=ZAME_DOCH

Pozn: Nepoužívajte kódy profilov s diakritikou - prehliadače s tým majú problém a automatická voľba profilu nemusí fungovať.

Formulár - automatické otvorenie

f=kód_formulára teda napr. https.…/egjeweb/?f=Dca02

Vzhľad

theme=styl_bez_medzier

teda napr. /?theme=crisp alebo /?style=crisp-touch atp.

Štandardne je tento parameter nastavovaný používateľom v menu Nastavenie / Zmena vzhľadu.

Šírka / zobrazenia ľavého menu

parameter lmenu = 0 resp. lmenu = 1 resp. lmenu = x kde x> 150,

ktorý ľavé menu pri otvorení potlačí (0) resp. otvorí (1), nehľadiac na to, ako to mal používateľ minule pri opustení aplikácie.

Voľba lmenu = x potom umožní správcovi priamo nastaviť šírku ľavého menu v pixeloch (minimálne 150).

Pr .: https: //.../egjeweb2_prod/ref/? Lmenu = 1

Parametre spojujeme znakom &

napr. https.…/egjeweb2/ref/?f=Dca02&p=ZAME_DOCH

3.6.2 Rozhranie HR portál

Spúšťacie parametre príkazového riadku EGJEWEB2/HR portál sú iné.

Formulár sa tu spúšťa pomocou pridania

#form=kodFormulare

na koniec url adresy aplikácie, ktorá môže, ale nemusí, obsahovať voľbu rozhrania (teda /mana/ alebo /emp/)

Niektoré formuláre potom akceptujú ešte ďalší pokyn pre ich otvorenie - napr. id prvku v navigácii.

Pr. vo worklow predlohách (Adm14) je možné používať makro %ID_SWORKFLOW2% - ID workflow

a následne adresovať aplikáciu s formulárom Wflow a týmto parametrom.

Pr.

%WEB2URL% /#form=Wflow&formParams=%ID_SWORKFLOW2%

vede na https://xxxxx.cz/ #form=Wflow&formParams=15929388

3.6.3 Spoločná syntaxe

Od e201609 je možné aj v referentskom rozhraní spúšťacie parametre? zadávať aj ako parametre # (teda referentské rozhranie vie spracovať aj parametre doteraz používané len v HR portálu).

Pričom synonymami sú:

f form

p prof

Novo tiež vie obe rozhrania volať priamo záložku formuláre a prípadne OSCPV v navigačnom zozname Pv (Osb02, Opv01 ...) resp. PvDoch (Dcu01, Dcd01 ...).

Používa sa syntax v časti #:

tab = kód_záložky

otvorení formulára s konkrétnou záložkou

kód záložky je možné zistiť z Adm04 / Štruktúra práv objekte / podobjektoch (pre typ Záložka)

oscpv = osobné číslo PV

osobné číslo PV pre formulár, ktorý má navigáciu Pv, PvDoch

Kód navigačného zoznamu je možné zistiť pri zavolaní funkcie Výber - kód je v hlavičke tohto dialógu

Pozn. Kalendárové formuláre Dov16, Dcu06 túto navigáciu nemajú.

Aplikácia generuje upozornenie pre situácie, ktoré pri spustení môžu nastať:

"Používateľ nemá právo na formulár (% kod_form%)"

"Používateľ nemá právo na záložku (% kod_tab%)" (iba keď je zvolená v príkazovom riadku)

"Navigačný zoznam - nepodarilo sa nalistovať požadovaný záznam OSČPV (% OSČPV%)"

Príklad:

https. ... / egjeweb2 / ref /? p = MANA & f = Pkz01 & tab = Komunikácia & oscpv = 131.01

resp.

https. ... / egjeweb2 / ref / # p = MANA & f = Pkz01 & tab = Komunikácia & oscpv = 131.01

Tip:

Tieto parametre sú tiež zobrazované v príkazovom riadku pri pohybe v aplikácii. Je teda možné je odtiaľto preberať.

Pozn .:

Pokiaľ má používateľ jeden profil viackrát (napr. S iným jazykom, alebo inou organizáciou, alebo svoj a zastupovanie) tak systém aj pri zadaní profilu dáva profil vybrať zo zoznamu.

Pozn.2:

Aj s parametrami profil, formulár je možné spúšťanie bez udania rozhrania (teda ref či mana či emp)

3.6.4 HR Portál volaný ako portlet

Toto rozhranie je určené pre integráciu do rôznych intranetov.

Aplikácia tu poskytuje portlet, tj. rečou EGJE formulár alebo zostavu, ale nie je obklopená horným ani dolným pásom aplikácie a často býva zobrazenie fixované na jeden prvok (typicky osobu / PV).

Zobrazenie formulára / zostavy je odvodené z grafiky HR Portál.

Volať tak možno typicky napr. Pkz01, Vyp11 pod.

Riešiť sa tak dá napr. zobrazenie výplatných lístkov na intranete, ten sa tak vyhne existencii PDF súborov s výplatnom lístkom priamo v intranetovej aplikácii.

Podmienkou je SSO autentizácia (teda preberanie autentizácie z operačného systému, bez zadávania mena a hesla). U interaktívne autentizácie by to bolo pre používateľov dosť nepraktické.

Realizácia je taká, že sa za volanie EGJEWEB2 pridávajú ešte ďalšie parametre:

& Tb = false zobrazenie bez horného a spodného pruhu EGJE HR Portálu

& Ns = fixed zobrazenie bez navigačného zoznamu s fixovaným parametrom zadaným v navigácii (typicky oscpv)

Parametre sú použiteľné pre príkazový riadok HR Portálu.

... / mana / # p = SPR_MAXWP & form = Pkz01 & tab = OsobaPanel & oscpv = 109,02 & tb = false & ns = fixed

3.7 Konfigurácia pripojenia k poštovému serveru

sa vykonáva na formulári Adm21 / Parametre mailu.
Parametre SMTP Host, Port slúžia pre odosielanie e-mailov a používajú sa v aplikácii na mnohých miestach.
Naproti tomu parameter POP3 slúži len na konfiguráciu príjmu odpovedí uchádzačov v tomto module.

V časti Adm21 / Parametre komunikácia / Odosielanie pošty sú tiež 3 parametre, ktoré umožnia TLS pripojenie k e-mailovému serveru a autentizáciu EGJE ako používateľa e-mailového servera:

Zabezpečenie pripojenia:

- Nevyplnené - bežné nezabezpečené pripojenie k SMTP,

- SSL / TLS - zabezpečené pripojenie, je potrebné používateľ a heslo

(Obvykle používané s portom 465),

- STARTTLS - spôsob ako zabezpečiť existujúce nezabezpečené pripojenie

(Port 25 resp. 587)

SMTP Používateľ: používateľ použitý pre pripojenie k SMTP serveru

SMTP Heslo: heslo tohto používateľa

Viac o SSL / TLS resp. STARTTLS tu

https://www.fastmail.com/help/technical/ssltlsstarttls.html

Pri práci cez AS je v Configuratoru parameter AS / Odosielanie a príjem elektronickej pošty. Parameter umožňuje všetku mailovú korešpondenciu, ktorú systém vykonáva, prevádzkovať prostredníctvom aplikačného servera.

Odosielanie mailu sa tiež týka parametra Configurator:

Nekontrolovať e-mailovú adresu odosielateľa

Nastavenie, či chcete vykonať kontrolu formálnej správnosti adresy odosielateľa mailu (obvykle firemný mail osoby používateľa - Osb02)

Adresa odosielateľa všetkých e-mailov z EGJE (volit.): - týka sa hlavne outsourcingu, resp. prísne nakonfigurovaných e-mailových serverov.

U niektorých inštalácií je problém s odosielanie e-mailov s doménou zákazníka z e-mailového servera v inej doméne. Správne riešenie je uvedenie tohto servera na tzv whitelist a toto odosielanie tak umožniť.

Ak to z dôvodov schvaľovanie bezpečnosti u zákazníka nie je možné, systém teraz umožňuje si na úrovni organizácie v Adm21/Parametry mailu / Adresa odosielateľa e-mailov z EGJE náhradného odosielateľa. Takéto e-maily prejdú zabezpečením. Avšak musíme upozorniť, že takéto e-maily napr. medzi vedúcim a zamestnancom ale aj všetky ostatné sú posielané práve a iba týmto odosielateľom. Stráca sa tak prehľadnosť komunikácie a možnosť priamej odpovede v e-mailovom klientovi.

Takže ak to nie je technicky nutné, tak vypĺňaní tohto parametra neodporúčame.

Režim pridávania skut. odosielateľa do predmetu e-mailu:

1 - Štandard (pridávanie, ak je vyplnená adresa odosielateľ všetkých e-mailov)

2 - Nepridávať skutočného odosielateľa nikdy

3 - Pridávať iba priezvisko a meno (tj. bez titulov a bez Od / From)

4 - Skutočný odosielateľ v tvare priezvisko meno (OSCPV), tj. bez titulov

Kým režimy 1-3 sú určené pre jednotného odosielateľa tj. vyplnený predchádzajúci parameter Adresa odosielateľa všetkých e-mailov z EGJE, tak režim 4 slúži k zmene formátovania sprievodného textu u odosielateľa v režime, kedy je do e-mailov dávaný skutočný odosielateľ.

Režim 4 umožňuje zbaviť sa titulov v odosielateľovi. Niektoré druhy e-mailových klientov totiž zle odhadujú čo je titul, čo meno a čo priezvisko.

Pokiaľ máte problémy s odosielaním e-mailu z EGJE (typicky worklow - chyby typu

cz.elanor.eman.datasource.remoteCompute.MailinatorException: Chyba odesílání e-mailu ...

Caused by: javax.mail.MessagingException: Could not connect to SMTP host: .... Permission denied: connect)

môže pomoci nastavenie parametra prostredia -Djava.net.preferIPv4Stack=true

(bat resp. jnlp súbor)

viz http://stackoverflow.com/questions/8360913/weird-java-net-socketexception-permission-denied-connect-error-when-running-groo

4 Inštalácia a dimenzovanie parametrov

Inštaláciu a konzultáciu HW a SW vykoná pracovník spoločnosti Elanor podľa internej metodiky.

Niektoré základné body tohto postupu sú uvedené na konci dokumentu v prílohách.

5 Režim správy databázy - dátovej schémy Elanor EGJE

Databázové schéma EGJE je plne v správe zmenového riadenia Elanor.
Zmeny v schéme aplikácie EGJE sú povolené len firme Elanor. Firma si vyhradzuje právo na ich realizáciu. Schémou sa v Oracle rozumie nosný a pracovný používateľ (schema), v MS SQL potom celá konkrétna databáza s egje objektmi.
Výnimky:

zákazník môže v db schéme/databáze aplikácie EGJE vytvárať tabuľky / pohľady po dohovore s implementačným tímom Elanor, resp. helpdesk,
tieto tabuľky nesmie začínať "ce"

Zvlášť nie je dovolené vytvárať / meniť objekty, ktoré môžu ovplyvniť priebeh zmenového riadenia a funkčnosť / dostupnosť aplikácie.

Sem patrí predovšetkým triggery a indexy nad objekty EGJE, a pridávanie vlastných položiek do tabuliek, pohľadov EGJE.

Meniť obsah databázy EGJE je povolené iba pomocou aplikácie EGJE, prípadne pomocou interface vytvorených v spolupráci s implementačným tímom, resp. akceptované prostredníctvom služby helpdesk.

Ak zákazník s db Oracle používa na zber štatistík inú funkciu než štandardné zberový procedúru EGJE (inštalovanú z Adm51), oznámi jej obsah implementačnému tímu / prostredníctvom helpdesk.

Štandardnú procedúru zberu štatistických údajov ale zákazník spustí v prípade, že je o to požiadaný helpdesk v rámci riešenia nejakého výkonového problému. Môže to byť sprevádzané aj žiadosťou o zmazanie inak zozbieraných štatistík.

Ak potrebuje zmeniť zákazník vo vlastnej réžii interface objekt vytvorený (resp. čiastočne vytvorený) firmou Elanor, oznámi to zákazník implementačnému tímu / prostredníctvom helpdesk vrátane obsahu zmeny.

5.1 Objekty BLOB - uloženie dokumentov

U rady zákazníkov je populárne ukladanie dokumentov o zamestnancovi do databázy (Opv31) a sú aj ďalšie aparáty EGJE, ktoré ukladajú, resp. budú ukladať rôzne dokumenty do db.

Použitie databáz Oracle, resp. MS SQL Server potom dáva možnosti ukladať tieto dokumenty na iné diskové miesto než ostatné bežné relačné dáta.

Môžeme Vám ponúknuť poradenské služby pre tento presun. Na Oracle ide o použitie mechanizmov ich priameho presunu do iného Tablespace, datafile.

U MS SQL Serveru je to komplikovanejšie, vyžaduje to odstávku db, presun dát, znovuvytvorenie db tabuľky a spätný presun dát.

V týchto variantoch zostávajú dokumenty súčasťou relačnej databázy, je tak zaručená konzistencia a bežné mechanizmy zálohovania zálohujú oboje (teda relačné dáta aj dokumenty).

V rámci racionalizácie a ďalšieho rozvoja EGJE dochádza od verzie e202211 k postupnému presunu BLOB objektov typu dokument/súbor z čiastkových tabuliek do jedného spoločného úložiska, a tým je DB tabuľka CETDOK.

Presun dokumentov/súborov sa týka v tejto chvíli iba novo pridaných či zeditovaných záznamov, skôr pridané dokumenty/súbory zostávajú v pôvodných tabuľkách (zatiaľ). Presunutý dokument/súbor je nahradený väzbou (odkazom) na centrálne úložisko, kam bol dokument/súbor premiestnený. Túto väzbu zaisťuje väzobná tabuľka CETDOKVAZBA.

V tejto chvíli sa teda jedná o hybridné riešenie uloženia dokumentov. Interfejsy, ktoré spadajú pod maintenance, boli na tento mechanizmus pripravené. V prípade interfejsov, ktoré si spravuje klient sám, treba na toto myslieť a upraviť prepojenie tak, aby spĺňal toto hybridné riešenie. Aj tu Vám sme k dispozícii na konzultáciu riešenia.

Po dokončení implementácie väzby pri všetkých zodpovedajúcich tabulkách obsahujúci BLOB objekty do nového úložiska, prebehne prípadný hromadný presun pôvodných objektov. O tejto skutočnosti budete vopred informovaní.

6 Správa aplikácie - zmenové riadenie

Obecne sa správa EGJE skladá z :

· Nastavenia a zmeny parametrov pomocou utility configurator_egje - pozri nasledujúcu kapitolu.

· Inštalácia zmenového riadenia aplikácie (patch, resp. nová verzia).
Postup sa vykonáva podľa popisu, ktorý je s verziou dodávaný. Štandardom je prevedenie pomocou utility superconfigurator. Obsahom však je skopírovanie dodaných súborov (typicky eman.jar resp. egjelib.jar) do príslušného adresára deployment Web servera (pre testovaciu a pre ostrú verziu), prípadne na aplikačný server.

Ak je inštalovaný aj EGJEWeb2 je potrebné zaktualizovať aj tomcat web aplikáciu.

· Zmenové riadenie databázy
Ide o spustenie zmenového scriptu, ktorý je súčasťou verzie (patch), pomocou vlastnej aplikácie EGJE. Akcia sa vykonáva na formulári Adm51 prístupnom správcovi systému. Spustenie je potrebné vykonať na testovacej aj ostrej databáze.

Poznámka: Je možné najprv programy inštalovať a script spustiť len na testovacej

databáze, všetko otestovať a až následne vykonať to isté na ostrej databáze.

· Databázové štatistiky (len db Oracle - Adm51)

· Správa používateľov

6.1 Nastavenie a zmena parametrov pomocou utility configurator_egje

Utilita configurator_egje (vo Windows ako dávka configurator_egje.bat) sa nachádza v složke configurator instalačného adresára resp. nasledovne jej správca má v koreňovom adresári inštalácie EGJE.

Jazyk programu je možné nastaviť pomocou parametra EGJELANG vnútri spúšťacej dávky

pr. -DEGJELANG=en, spôsobí spustenie v angličtine.

Spúšťa sa konfiguračný program s týmto obsahom:

java -Xmx128M -DEGJELANG=cs -cp ../EGJE/egjelib/eman.jar;../EGJE/egjelib/egjelib.jar cz.elanor.eman.sgui.configurator.Configurator ./config_egje.jar

exit

Predpokladom je cesta na program java. U OS Windows ide o java.exe, ktorý štandardná inštalácia java JRE nahráva do Windows\System32/ SysWOW64 adresára. Resp. je potrebné mať v Premennej prostredia / Path nastavenú cestu do adresára javaJRE\bin resp. javaJDK\bin.

Spúšťanú verziu java zistíte z príkazového riadku OS, príkazom java -version.

Každá predloha klienta resp. každý server EGJE (AS či EGJWEB2) má svoj konfiguračný súbor config_egje.jar a je vhodné si na každý urobiť editačnú dávku (alebo ich všetky namapovať do jedného SuperConfiguratoru).

6.1.1 Adresa EWS

Cesta do koreňovej zložke distribúcie EWS (EGJE Web Start):

vyplňujeme ju buď v tvare:

http(s)://...

pr.: http://prghr1/egje_vzor

alebo v tvare:

file:/...

pr. file:/J:/egje_install_vzor/egje

Preferujte http(s) formát.

Java 11 už mechanizmus JWS nepodporuje, náhradou je EWS vytvorený firmou Elanor, preto odporúčame nevyužívať funkcie spojené s JWS ako je napríklad v zvýraznenom rámčeku na obrázku..

Mechanizmus EWS je vydávaný ako samostatná distribúcia a jeho funkčnosť je popísaná v dokumente „EWS – Dokumentácia.pdf“ v distribučnej sade EWS a tu v prílohe B.

Pozn.: Dátový súbor config_egje.jar, ale zostáva hlavným nositeľom konfiguračných informácií. Je používaný aj pre AS, EGJEWeb a spúšťanie klienta pomocou dávkového súboru. Popísaná alternatíva nie je použiteľná pre kerberos autentifikácie (vyžadujú prenos súboru config * .jar/krb5.conf).

Poznámka: Alternatívou spúšťanie klienta pomocou EWS je spúšťanie pomocou dávkových súborov z rýchleho súborového servera viď Príloha B. Tu je tiež popísaný rozdiel pri použití java 9, 11.

Poznámka 2: Inštalácia EWS s vstavanou Java 11 už žiadny Control panel nevytvára.

6.1.2 AS - aplikačný server

Upozornenie - všetky zmeny sa ukladajú spoločným tlačidlom Ulož.

Pre konfiguráciu bez aplikačného servera slúži voľba:

Klient bez AS

Pre konfiguráciu s aplikačným serverom slúži voľba:

Klient s AS

Pre konfiguračný súbor aplikačného servera (je odlišný od Klienta AS) slúži voľba:

Aplikačný server

Pre konfiguráciu serveru, ktorý slúži ako server EGJE Webwebových služieb slúži voľba

Web server

Kde v režime Klient s AS

je treba najprv zvoliť „Režim“, ak je aplikačných serverov viac (zápis formou opakovaných dvojíc server;port s oddeľovačom bodkočiarka alebo čiarka):

• Cascade - klient sa postupne pokúša pripojiť na AS uvedeným v AS pre komunikáciu podľa poradia v akom sú uvedené.
Tieto servery sú použité tiež ako aditívne k AS pre tlačové zostavy a AS pre alg. procesy

• Specialized - klient sa postupne pokúša pripojiť na AS uvedeným v AS pre komunikáciu podľa poradia v akom sú uvedené, pokiaľ ale chce vytvoriť tlačovú zostavu alebo volať algoritmický proces, hľadá sa dostupný AS z položky AS pre tlačové zostavy resp. AS pre alg.procesy a ak nie je dostupný, vezme AS pre komunikáciu, ale v opačnom poradí, t.j. od konca

• Random - klient dostane pridelený AS vybraný zo všetkých AS pre komunikáciu podľa náhodného výberu

Tieto servery sú použité tiež ako aditívne k AS pre tlačové zostavy a AS pre alg. procesy

Poznámka: pre autentizácie mswin_ntlm a mswin_kerberos musí byť server uvedený názvom a nie IP adresou.

AS pre komunikáciu:

základný AS, používa sa pre bežnú online komunikáciu klienta

AS pre tlačové zostavy:

požiadavka na vytvorenie tlačovej zostavy je smerovaná na tento AS. Podľa nastavenia „Generovanie PDF výstupu zostavy“ potom distilácia PDF (generovanie dát pre PDF) prebieha na tomto tlačovom serveri, alebo na klientskej stanici. Ak je k dispozícii špecializovaný tlačový server odporúča sa ho pre túto akciu použiť, inak je lepšie používať stanice

AS pre alg. procesy:

ak je nakonfigurovaný je prioritným pre spracovanie procesov

· výpočet mzdy (Vyp01, Vyp02, Vyp51)

· mesačné a ročné uzávierky, kópie číselníkov (Vyp02, Cep02)

· import mzdových vstupov (Vst06)

· exporty do účtovníctva (Uct02)

· eldp (Poj13, Poj14)

· prihlášky nem.poj. (Poj18, Poj19)

· kontrolný aparát (Kon*)

Generovanie PDF výstupu zostavy:

Pozri AS pre tlačové zostavy – ak nie je k dispozícii špecializovaný tlačový server, odporúča sa využívať k tejto úlohe klientskú stanicu, lebo napríklad hromadná tlač zostáv v období mzdovej uzávierky by predstavovala veľké pamäťové a procesorové nároky na aplikačný server.

Odosielanie a príjem elektronickej pošty:

umožňuje všetku mailovú korešpondenciu (ktorú systém vykonáva) prevádzkovať prostredníctvom aplikačného servera. To dáva možnosť lepšieho zabezpečenia napríklad smtp a pop3 serveru.

Upozornenie:

pre klienta s AS sa nevyplňuje na nasledujúcej záložke DB pripojenie.

Jeho vyplnenie je vážnou bezpečnostnou chybou !

A v režime Aplikačný server

Ak je aplikačných serverov viacero, každý má svoj konfiguračný súbor (má iný port). Port je IP port použitý pre RMI komunikáciu s klientom. Na tomto porte sa nadväzuje spojenie. Potom vlastná komunikácia prebieha na porte pridelenom systémom.

O spojenie žiada klient. V systéme sú však i komunikácie nadväzované z druhej strany - server žiada o spojenie klienta (aby mu napríklad odovzdal vytvorenú zostavu, protokol a pod.). Na toto je nutné pamätať pri prípadnej prevádzke cez firewall.

Šifrovanie prevádzky z AS - implicitné zaškrtnuté

Odporúčame šifrovanie použiť. Je to bezpečnejšie.

Používame šifrovanie bez certifikátu pomocou java JRE.

Implicitným nastavenie je TLS_DH_anon_WITH_AES_128_CBC_SHA, ktoré ponúka ostatočnú ochranu.

Ďalej java ponúka:

SSL_DH_anon_WITH_3DES_EDE_CBC_SHA

SSL_DH_anon_WITH_DES_CBC_SHA

TLS_DH_anon_WITH_AES_128_CBC_SHA

TLS_DH_anon_WITH_AES_128_CBC_SHA256

TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_anon_WITH_AES_128_CBC_SHA

Pre zmenu šifrovanie je potrebné nastaviť šifrovanie do parametra

rmi_cipher_suite

v klientskom aj serverovom config_local.properties

(resp. na serveri možno aj pomocou wrapper.conf

wrapper.app.parameter.n = -Crmi_cipher_suite = ...)

Kompresia prevádzky z AS - implicitne zaškrtnuté.

Kompresiu odporúčame použiť - významne znižuje prenášané objemy dát, bez toho, že by príliš zaťažovala obe strany.

Režim Web server

Existujú tri prístupné interfejsy:

EGJEWEB2/HR Portal

REST web services

AS EGJE (od e201905 môže bežať aj v EGJEWEB)

Maximálna doba platnosti neaktívnej session (v sekundách): Nastavuje dobu po akej sa neaktívny session ukončí. Defaultná hodnota je 15 minút.

6.1.3 Pripojenie k databáze - DB

Upozornenie - všetky zmeny ukladáme spoločným tlačidlom Ulož.

V režime Klient s AS sa nevyplňuje !

Driver = Trieda JDBC driveru

buď (pre db Oracle) oracle.jdbc.driver.OracleDriver

alebo (pre db MS SQL) com.microsoft.sqlserver.jdbc.SQLServerDriver

SQL adaptér:

buď (pre db Oracle) cz.elanor.eman.datasource.SQLOracle

alebo (pre db MS SQL) cz.elanor.eman.datasource.SQLMicrosoft

DB URL

buď (pre db Oracle) jdbc:oracle:thin:@serverHost :port : db_sid

alebo (pre db Oracle RAC) jdbc:oracle:thin:@description z tnsnames.ora

Príklad (všetko v jednom riadku):

jdbc:oracle:thin:@(DESCRIPTION =(ADDRESS = (PROTOCOL = TCP)(HOST = host)(PORT = port))(ADDRESS = PROTOCOL = TCP)(HOST = host2)(PORT = port2)) (LOAD_BALANCE = yes) (CONNECT_DATA =(SERVER = DEDICATED)(SERVICE_NAME = service_name)))

alebo (pre db MS SQL)

jdbc:sqlserver://server;databaseName=database;sendStringParametersAsUnicode=false

všeobecne:

jdbc:sqlserver://[serverName[\instanceName][:portNumber]][;property=value[;property=value]]

Poznámka: pre SQL Server odporúčame na koniec URL uvádzať ;sendStringParametersAsUnicode=false

Dosiahne sa tak výrazne rýchlejšieho spracovania SQL príkazov s parametrami.

Toto nastavenie však úplne ruší možnosť použitia unicode znakov vo vybraných položkách.

Meno = meno použité pre prihlásenie používateľa aplikácie (na Oracle ten bez _OBJ)

Heslo = heslo db používateľa

Heslo už._OBJ = heslo vlastníka objektov – own heslo (na Oracle používateľa so suffixom _OBJ) - používateľ je používaný len pri zmenovom riadení

Oracle - šifrovanie siete

Voľba umožňuje nastaviť režim pre šifrovanie sieťovej prevádzky Oracle. Implicitná hodnota ACCEPTED.

Šifrovanie sa tiež analogicky sprístupní aj v Oracle Listener na serveri Oracle.
Pozri http://download.oracle.com/docs/cd/B28359_01/java.111/b31224/clntsec.htm#EHAFHEIG

Položku oracleNetEnc, je možné tiež do konfiguračného súboru config_local.properties pridať ručne.

Popis položky:

#oracle network encryption

# hodnoty: none, ACCEPTED,REJECTED,REQUESTED,REQUIRED

oracleNetEnc=none

Pre SQL Server existujú property parametre pre nastavenie šifrované komunikácie.

Property encrypt = true; resp. bez nastavenia serverového certifikátu spoločne ako

;encrypt=true;trustServerCertificate=true

V tom prípade komunikuje JDBC driver cez SSL protokol, druhý parameter znamená, že nie je overovaný certifikát servera.

Aplikácia používa connection pool. V prípade Oracle ide o Oracle UCP tj. riešenie priamo pre JDBC driver, pre SQL Server sa používa Apache Commons DBCP.

Pre Oracle je možné priamo v konfiguračnom súbore config_local.properties (prípadne v konfiguračnom súbore wrapperu) nastaviť tieto hodnoty:

oracle.min.pool.size – minimálna veľkosť poolu
oracle.max.pool.size – maximálna veľkosť poolu
oracle.inactive.connection.timeout – doba neaktívneho pripojenia

Ak sa hodnoty nevyplnia, použijú sa predvolené hodnoty.

6.1.4 Obecné

Súbor používateľských zostáv - len pre správcov, ktorí vytvárajú používateľské zostavy (pozri kapitolu Používateľské zostavy)

Adobe Reader

Implicitná cesta k prehliadaču súborov PDF. Je používateľovi predvyplnená, ale je možné ju v aplikácii prípadne zmeniť.

RTF, XLS, TXT, HTML prehliadače

Analogické položky pre ďalšie typy vytváraných súborov. Rovnaký princíp obsluhy ako v predchádzajúcom.

Http/file adresár pre help súbory - odkaz na súbory help systému

Pre správnu identifikáciu help súboru v inom než českom jazyku je potrebné použiť buď:

mapovaný disk pr. N:/egje/doc/

http adresu (odporúčané)

Http(s) adresa EGJE Web

adresa používaná pre generované e-maily ako odkaz na aplikáciu v EGJE Web MAZM

V štandardnom klientovi i v EGJE Web je nahradená položkou Adm21 / Konf. parametre / Http (s) adresa EGJE Web

Konfigurácia kešovania číselníkov

Konfigurácia má význam pre AS resp. EGJEWEB2

Znovunačítat číselníky staršie ako prihlásenie používateľa ("cache_cis_od_prihlas"):

false - používať aj staršie načítané dáta - implicitné rýchly režim

true - používať iba dáta, ktoré boli načítané v čase od prihlásenie používateľa

(môže mať za následok pomalší nábeh štart aplikácie z pohľadu používateľa, ale zase istotu, že všetky číselníky sú aktuálne)

smart - špeciálny režim so zisťovaním dátových zmien

Prináša hlavne redukcii objemu prenášaných dát, pretože sa vždy spýta, či vo výsledku db dotazu pre číselník došlo k nejakej zmene, a dáta přenačte iba v prípade, že áno.

Technicky sa na to používa Oracle funkcie ORA_HASH a na MSS funkcie CHECKSUM_AGG.

Max. staroba číselníkov (v sekundách): implicitne 14400 tj. 4 hodiny.

Sekcia Iné

Vypnúť kontrolu SSL certifikátov pre HTTPS

Položka má význam napr. ak firemný proxy server vykonáva dešifrovanie SSL spojenie s tým, že je opäť zašifruje certifikátom vydaným interné certifikačnou autoritou. Nemá vplyv pri spúšťaní hrubého klient EGJE cez Java Web Start.

Vypnúť stacktrace

Táto voľba vypne generovanie stracktrace. Pokiaľ zákazník požaduje, aby z bezpečnostných dôvodov, kedy stacktrácia môže obsahovať informácie o interných cestách v systéme alebo napríklad cesty k serverom atď. neboli tieto informácie dostupné, zaškrtnutím tejto voľby môže generovanie stacktrácie do konzoly potlačiť. Avšak stacktrace slúži na identifikáciu prípadných chýb y systému, obsahuje informácie o nastavení systému, ktoré sú potrebné na odhalenie interných chýb.

Pokiaľ bola teda použitá táto voľba, dôrazne odporúčame na záložke „Logovanie“ tiež zatrhnúť voľbu „Odoslať klientske logy na AS“.

V prípade chyby budú dostupné aspoň logy stacktrace, ktoré sú uložené na aplikačnom serveri. Pokiaľ by táto voľba nebola začiarknutá, tak všetky logy stacktrace budú nenávratne stratené a nebude možné ich použiť pre detekciu a identifikáciu vzniknutých chýb.

6.1.5 Overenie

Overenie čiže autentizácia zisťuje, kto je do aplikácie vstupujúci používateľ.

V zásade sa delí na interaktívne (používateľa zadáva meno a heslo) a SSO (Single Sign On, aplikácia sa snaží prevziať overenie z už vykonanej autentizácia v OS).

Možná je aj kombinácia, kedy aplikácie skúsi SSO a keď sa nepodarí, ponúkne používateľovi interaktívnu autentizáciu.

Odporúčame nepoužívať Windows účty s diakritikou.

Poznámka – ak pracujeme s aplikačným serverom, je vyplnenie tejto záložky dôležité (na klientovi je bezpredmetné).

Po vykonaní zmien na tejto záložke je potrebné reštartovať AS resp. WEB EGJE server.

Od verzie e202405 sú 3 nové typy NTLM autentizácií, ktoré novo umožňujú použitie protokolu SMB2: NTLogin3, NTLogin3Only a NTLogin3Interactive. Zmenu autentizácie realizujete výhradne v konfigurátore EGJE. Doterajšie staršie typy NTLM autentizácií budú kvôli spätnej kompatibilite stále dostupné a odstránené budú až v priebehu roku 2024.

Od verzie e202409 bola ukončená podpora základných NTLM autentizácií – NTLogin a NTLoginOnly. Tieto autentizácie už nepôjdu v rámci Configurátora EGJE zadať. Od verzie e202411 sa už pomocou tejto autentizácie prihlásiť nejde.

Overenie - zvolený autentizačný mechanizmus. Jedna z hodnôt:

mswin_ntlm

Realizované pomocou Microsoft security package.

Umožňuje SSO (prevzatie autentizácie od OS) ale iba pre MS Windows

(u inštalácie s AS/Web server platí podmienka OS Windows i pre nich)

Nevyžaduje žiadne ďalšie parametre.

AS/Web server musí bežať pod používateľom z domény.

Nastavenie u klienta AS - server je nutné zadávať menom a nie IP adresou.

Je možné použiť pre java klienta bez AS.

Ak sa nepodarí SSO prihlásenie, nasleduje autentizačný dialóg (s doménou).

mswin_ntlmOnly

Ak sa nepodarí SSO nasleduje ukončenie aplikácie

mswin_ntlmInteractive

Vždy autentizačný dialóg.

mswin_kerberos

Realizované pomocou Microsoft security package.

Prísnejšia autentizácia, ktorá skúsi najprv autentizačný protokol kerberos.

SSO ako mswin_ntlm.

Vyžaduje u domény nastavený service principal name SPN (utilita setspn) pre aplikáciu a používateľa:

§ utilita setspn (u windows serveru 2003 ju prípadne doinštalujte z inštalačného CD)

§ setspn.exe -A principal účet

kde principal je

HTTP/ServerName pro EGJEWEB,

EGJE/ServerName pro AS

účet účet, pod ktorým beží AS, resp. EGJEWEB

AS/Web server musí bežať pod používateľom z domény.

Nastavenie u klienta AS - server je nutné zadávať menom a nie IP adresou.

Ak sa nepodarí SSO prihlásenie, nasleduje autentizačný dialóg (s doménou).

mswin_kerberosOnly

Ak sa nepodarí SSO nasleduje ukončenie aplikácie

NTLogin2 autentizácia používateľa sa preberá z NT Windows autentizácie. Ak sa neprevezmez OS, prejde systém do režimu NTLoginInteractive

NTLogin2Only dtto s tým, že je umožnené iba prevzatie prihlásenia z OS

NTLoginInternactive s autentizačným dialógom (spoločné pre ntlm i ntlm2)

ak je server linux a overenie má byť SSO voči AD je možné použiť tieto autentizácie, zvládajú protokol NTLM2.

K ich použitiu je potrebné vyplniť parametre - pozri odsek NTLogin / 2 JCifs

NTLogin3 jako NTLogin2 ale umožňuje použít novější SMB2 protokol

NTLogin3Only dtto s tím, že je umožněno pouze převzetí přihlášení z OS

NTLogin3Internactive s autentizačním dialogem

LDAPOnly - aplikácia voči ldap serveru (obyčajne MS Active directory položka userPrincipalName). Do položky LDAP/Web = implicitná doména používateľa sa potom zadáva doména (t.j. to čo je v userPrincipalName za znakom @ - používateľ to potom nemusí zadávať).

V tomto režime podporujeme iba SSL pripojenie.

LDAPSearch - podobne Only s tým, že v LDAP SSL URL je ešte navyše makro pre prihlásenie sa menom:
napr. Ldaps://xxxxxxx/dc=yyy,dc=cz
popis formátu (pozri http://docs.oracle.com/javase/jndi/tutorial/ldap/misc/url.html

Pozn. filter zadávajte samostatne do špecializovanej položky LDAPSearch - filter.

a naviac môžu byť vyplnené položky:

LDAP - používateľ s právami na čítanie

LDAP - heslo používateľa s právami na čítanie

cez tohto používateľa sa potom aplikácia pripojí, prehľadá sa celý podstrom a vyhľadá sa v ňom autenizujúci sa používateľ.
Pokiaľ ldap server umožňuje anonymného používateľa, je možné položky nechať prázdne.

LDAPSearch - filter - Filter, uplatnený po prihlásení k LDAP serveru

(nutný pre Novell eDirectory)

napr uid =% username%

LDAPSearch – Atribút unikátnej identity užívateľa – Atribút v AD špecifikujúci hodnotu logname prihlasovaného užívateľa. V prípade nevyplnenia je ako logname v rámci EGJE použitá hodnota DN (Distinguished Name). Hodnota tohto atribútu, v prípade jeho vyplnenia, musí korešpondovať s makrom %username% uvedeným v rámci konfiguračnej položky LDAPSearch – filter. Pr. Nastavenie LDAPSearch – filter: (&(objectClass=person)(employeeNumber=%username%)), LDAPSearch – Atribút unikátnej identity užívateľa: employeeNumber

Kerberos - len kerberos autentizácia, t.j. pri spúšťaní používateľ vždy zadáva meno a heslo

Vyžaduje, aby v config_ejge.jar bol nakonfigurovaný súbor krb5.conf (konfigurácia realms)

Oproti mswin_kerberos môže na AS/Web serveri byť linux. U tejto autentizácii je dôležité nastavenie DNS. U overovaní linux voči Active Directory je vhodné, aby primárny DNS server bol doménový radič Active Directory.

Príklad súboru krb5.conf:

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

ticket_lifetime = 24000

default_realm = FIRMA.CZ

dns_lookup_realm = false

dns_lookup_kdc = true

default_tgs_enctypes = des-cbc-md5

default_tkt_enctypes = des-cbc-md5

permitted_enctypes = des-cbc-md5 des-cbc-crc

[realms]

FIRMA.CZ = {

kdc = serverdc.firma.cz:88

admin_server = serverdc.firma.cz:749

default_domain = firma.cz

}

[domain_realm]

.firma.cz = FIRMA.CZ

[kdc]

profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

kerberos_sso

dtto ale navyše je tu primárny pokus o SSO autentizáciu.

Nastavenie u klienta AS - server je nutné zadávať menom a nie IP adresou.

Pre java klienta bez AS nie je režim vhodný.

Ak sa nepodarí SSO prihlásenie, nasleduje autentizačný dialóg.

Vyžaduje vyplnenie sprievodných položiek odseku "kerberos sso":

Používateľ pre preautentizáciu

Heslo pre preautentizáciu

SAML

Overenie voči serveru spĺňajúcemu štandard SAML2. Nastavenie autentizácie sa líši pre Java klienta a EGJEWEB2.

Slovník pojmov:

SP – Service provider – webová aplikácia EGJE

IdP – Identity provider – dôveryhodný systém overujúci identitu používateľa

Metadata – XML súbor dodaný IdP obsahujúci nastavenia potrebné pre výmenu SAML requestov

SP Metadata - XML súbor generovaný EGJE, obsahujúci nastavenia pre dodanie do IdP

SSO – Single Sign On – jednotné prihlásenie do viacerých SP

SLO - Single Logout - jednotné odhlásenie aj IdP a všetkých podporujúcich SP

jks – Java KeyStore – úložisko na ukladanie digitálnych certifikátov

EGJEWEB2:

Vo Vašom Identity Provideri je potrebné nastaviť koncový endpoint, na ktorom EgjeWEB prijme SAML Token. Tvar endpointu je nasledujúci: https://<egjewebURL>/saml/SSO (pozor, je to case sensitive).

V Identity Provideri môže byť táto konfiguračná položka označená ako Single-Sign-On URL, Destination URL, záleží na Vašom Identity Provideri.

Ďalej potom je potrebné v konfigurácii EGJE nastaviť v rámci zvolenej autentizácie SAML nasledujúce položky:

SP Entity ID: Vami zvolený identifikátor Vašej aplikácie EgjeWEB. Parameter nastavujete v rámci Vášho Identity Providera. Názov položky v IdP sa môže líšiť, napr. Audience alebo Audience Restriction. Záleží na Vašom IdP. Podľa hodnoty, ktorú nastavíte v IdP, nastavte potom zodpovedajúcu hodnotu aj v konfigurácii EgjeWEB.

IDP SSO URL: Adresa pre začatie automatického prihlásenia iniciovaného zo strany IdP. Položka je nepovinná, pokiaľ nebude nastavená, pre prihlásenie užívateľov bude použité prihlásenie iniciované zo strany SP (Service Providera) alebo EgjeWEBU. Nastavte tu teda adresu aplikácie, ktorú Vám musí dodať Váš IdP, pokiaľ budete aplikovať SSO iniciované Vaším IdP, v opačnom prípade ponechajte prázdne. Pozor, adresou aplikácie sa tu nemyslí adresa Vašej aplikácie EgjeWEB, ale adresa v rámci IdP, cez ktorú je možné sa na aplikáciu EgjeWEB prostredníctvom IdP dostať.

Adresa Web aplikácie: Externá adresa, na ktorej je prevádzkovaná aplikácia EGJEWEB, mala by sa zhodovať s adresou, na ktorú IdP zasiela výsledok prihlásenia, bez koncového /saml/SSO.

IDP metadáta: XML dokument s metadátami IdP. Dokument Vám vydá Váš IdP. Pre ADFS v Elanore je tento dokument možné získať z adresy http://fsso.domena.cz/federationmetadata/2007-06/federationmetadata.xml.

IDP metadáta – cesta: URL adresa ku XML dokumentu s metadátami IdP. Z tejto adresy si EgjeWEB2 pri spustení stiahne dokument s metadátami.

Interval pre obnovu metadát v CRON formáte: Interval nastavujúci obnovu súboru s metadátami bez nutnosti reštartu aplikácie. V prípade potreby je možné obnovu vykonať u ručne na Adm51/Správa AS/klienta/Web tlačidlom Prenačítať SAML metadáta.

Pri parametri je tlačidlo na kontrolu CRON formátu či je zadaný správne a aplikácia ho dokáže prečítať.

EGJE umožňuje používateľom špecifikovať si vlastný Java Keystore s certifikátmi, ktoré sa použijú na šifrovanie, resp. dešifrovanie SAML Tokenov. Na manipuláciu s keystorom sa používa utilita keytool, ktorá je súčasťou používanej Javy.

Do keystoru je nutné pod nejakým aliasom vygenerovať pár kľúčov, privátny a verejný. Privátny kľúč použije EgjeWEB na dešifrovanie tokenu, ktorý je zašifrovaný Vaším IdP, verejný kľúč je nutné odovzdať Vášmu IdP. IdP použije verejný kľúč na zašifrovanie Tokenu pred odoslaním tokenu do EgjeWEBu. Príklad použitia utility keytool pre vygenerovanie páru kľúčov:

keytool -genkeypair -alias spring -keypass secret -validity 365 -storepass secret -keystore keystore2.jks -keyalg RSA -keysize 2048

Vyššie uvedený príkaz vygeneruje pár kľúčov pod aliasom spring, heslo ku kľúču je secret, heslo ku store je tiež secret, platnosť certifikátu je 365 dní, použitý šifrovací algoritmus je RSA, veľkosť kľúča je 2048 bitov. Keystore sa nachádza v súbore ./keystore2.jks. Ak takýto súbor ešte neexistuje, bude vytvorený nový.

Vygenerovaný certifikát v keystore je možné zobraziť príkazom

keytool -keystore keystore2.jks -alias spring -list -rfc -storepass secret

Zobrazený certifikát následne vložte do Vášho IdP.

Dokumentácia k utilite Java Keystore Javy 11 je k nájdeniu tu:

https://docs.oracle.com/en/java/javase/11/tools/keytool.html

Na strane konfigurácie EgjeWEBu je nutné potom vyplniť nasledujúce položky:

Cesta pre uloženie jks súboru: Zadajte tu cestu k súboru, kde sa nachádza Java Keystore s certifikátmi pre šifrovanie/dešifrovanie SAML Tokenov. Tu zadaný súbor bude potom priamo vložený do konfiguračnej jari. Ak vykonáte akúkoľvek zmenu v keystore, je nutné nahrať súbor do konfigurácie znovu a reštartovať webový server, aby sa zmena v keystore prejavila v aplikácii. Podobne sa manipuluje napríklad aj so súborom obsahujúcim metadáta IdP.

Alias pre kľúč: Alias, pod ktorým je certifikát v keystore uložený

Heslo ku store: Heslo ku keystore

Heslo ku kľúču: Heslo k privátnemu kľúču, ktorý bude slúžiť na dešifrovanie SAML Tokenu na strane EGJE.

Ak si neželáte šifrovať SAML Tokeny, môžete nechať uvedené konfiguračné položky nevyplnené.

Ďalšie voliteľné parametre:

NameID format: Je možné nastaviť formát NameID, ktorý sa bude posielať v SAML AuthnRequest. Je potrebné nastaviť presnú hodnotu.

Vytvoriť SP metadáta: Vytvorí endpoint pre generovanie SP Metadat obsahujúci aktuálne nastavenia. Endpoint sa skladá z Adresa Web Aplikácie/saml/metadatá. Tlačidlo Vytvoriť metadáta zobrazí aktuálne metadáta. Viac o nastavení viď Generovanie SP Metadat.

Logname element: Nastavuje atribút, z ktorého sa má načítať logname pre prihlásenie do EGJE zo SAML Assertion.
Predvolená hodnota je Subject/NameID.
Ak sa použije AttributeStatement, je potrebné vyplniť položku „Názov atribútu obsahujúceho logname“.

Názov attributu obsahujúcého logname: Obsahuje názov custom atribútu obsiahnutého v elemente „AttributeStatement“ v SAML Assertion pre zistenie logname. Zadáva sa názov obsiahnutý v atribúte „Name“ v elemente „Attribute“.

Vždy pri spustení EGJE vynútiť overenie: Pridá k SAML requestu parameter forceAuthn=true. Pri novom otvorení EGJE sa vždy vynúti pri IdP nová autentizácia. IdP musí tento parameter podporovať a musí byť povolený. Názov položky v IdP sa môže líšiť, napr. Honor Force Authnentication.

Pri odhlásení z EGJE odhlásiť aj z IdP: Pri odhlásení z EGJE, sa zároveň odošle request pre Single Logout z IdP. Tým sa užívateľ odhlási z IdP a zároveň zo všetkých aktuálne prihlásených SP, ktoré túto funkciu podporujú. V IdP je potrebné SLO povoliť a nastaviť pre neho URL: https://<egjewebURL>/logout/saml2/slo (pozor, je to case sensitive). Ďalej je potrebné nastaviť SP Issuer na rovnakú hodnotu ako je nastavené SP Entity ID.

Logovať SAML: Zapne úroveň logovania pre SAML knižnice na úroveň debug. Loguje veľké množstvo dát a log sa tak stáva neprehľadným. Odporúčame zapínať iba pri riešení problémov so SAML autentizáciou.

Java klient:

Vo Vašom Identity Provideri je potrebné nastaviť koncový endpoint, na ktorom klient EGJE prijme SAML Token. Tvar endpointu je nasledujúci: http://localhost:<saml_port>/saml/SSO (pozor, je to case sensitive).

V Identity Provideri môže byť táto konfiguračná položka označená ako Single-Sign-On URL, Destination URL, záleží na Vašom Identity Provideri.

Ďalej potom je potrebné v konfigurácii EGJE nastaviť v rámci zvolenej autentizácie SAML nasledujúce položky:

SP Entity ID: Vami zvolený identifikátor Vašej aplikácie EGJE AS. Parameter nastavujete v rámci Vášho IdP. Názov položky v IdP sa môže líšiť, napr. Audience alebo Audience Restriction. Záleží na Vašom IdP. Podľa hodnoty, ktorú nastavíte v IdP, nastavte potom zodpovedajúcu hodnotu aj v konfigurácii EGJE AS.

IDP metadáta: Xml dokument s metadátami IdP. Dokument Vám vydá Váš IdP. Pre ADFS v Elanore je tento dokument možné získať z adresy http://fsso.domena.cz/federationmetadata/2007-06/federationmetadata.xml.

IDP metadáta – cesta: URL adresa ku xml dokumentu s metadátami IdP. Z tejto adresy si EGJE AS pri spustení stiahne dokument s metadátami.

Interval pre obnovu metadát v CRON formáte: Interval nastavujúci obnovu súboru s metadátami bez nutnosti reštartu AS. Pri parametri je tlačidlo na kontrolu CRON formátu, či je zadaný správne a aplikácia ho dokáže prečítať.

Pre podpisovanie SAML requestov je potrebné špecifikovať Java Keystore s certifikátmi, ktoré sa použijú na šifrovanie, resp. dešifrovanie SAML Tokenov. Na manipuláciu s keystorom sa používa utilita keytool, ktorá je súčasťou používanej Javy.

Do keystoru je nutné pod nejakým aliasom vygenerovať pár kľúčov, privátny a verejný. Privátny kľúč použije EGJE AS na dešifrovanie tokenu, ktorý je zašifrovaný Vaším IdP, verejný kľúč je nutné odovzdať Vášmu IdP. IdP použije verejný kľúč na zašifrovanie Tokenu pred odoslaním tokenu do EGJE AS. Príklad použitia utility keytool pre vygenerovanie páru kľúčov:

keytool -genkeypair -alias spring -keypass secret -validity 365 -storepass secret -keystore keystore2.jks -keyalg RSA -keysize 2048

Vygenerovaný certifikát v keystore je možné zobraziť príkazom

keytool -keystore keystore2.jks -alias spring -list -rfc -storepass secret

Zobrazený certifikát následne vložte do Vášho IdP.

Dokumentácia k utilite Java Keystore Javy 11 je k nájdeniu tu:

https://docs.oracle.com/en/java/javase/11/tools/keytool.html

Na strane konfigurácie EGJE AS je nutné potom vyplniť nasledujúce položky:

Cesta pre uloženie jks súboru: Zadajte tu cestu k súboru, kde sa nachádza Java Keystore s certifikátmi pre šifrovanie/dešifrovanie SAML Tokenov. Tu zadaný súbor bude potom priamo vložený do konfiguračnej jari. Ak vykonáte akúkoľvek zmenu v keystore, je nutné nahrať súbor do konfigurácie znova a reštartovať AS, aby sa zmena v keystore prejavila v aplikácii. Podobne sa manipuluje napríklad aj so súborom obsahujúcim metadáta IdP.

Alias pre kľúč: Alias, pod ktorým je certifikát v keystore uložený

Heslo ku store: Heslo ku keystore

Heslo ku kľúču: Heslo k privátnemu kľúču, ktorý bude slúžiť na dešifrovanie SAML Tokenu na strane EGJE.

Ak si neželáte šifrovať SAML Tokeny, môžete nechať uvedené konfiguračné položky nevyplnené.

Port pre SSO/SLO: číslo portu, na ktorom lokálny server počúva pre presmerovanie do IdP a späť. Zadaný port musí byť súčasťou URL pre SSO a SLO endpointy.

Ďalšie voliteľné parametre:

NameID formát: Je možné nastaviť formát NameID, ktorý sa bude posielať v SAML AuthnRequest. Je potrebné nastaviť presnú hodnotu. Ak sa nevyplní, použije sa hodnota urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

Vytvoriť SP metadáta: Vytvorí endpoint pre generovanie SP Metadat obsahujúci aktuálne nastavenia. Endpoint sa skladá z http://<adresa_as>:<saml_metadata_port>/saml/metadata. Tlačidlo Vytvoriť metadáta zobrazí aktuálne metadáta. Viac o nastavení viď Generovanie SP Metadat.

Port pre generovanie SP metadát: port na ktorom sa spustí server pre generovanie SP metadát.

Názov attributu obsahujúceho logname: Obsahuje názov vlastného atribútu obsiahnutého v elemente „AttributeStatement“ v SAML Assertion pre zistenie logname. Zadáva sa názov obsiahnutý v atribúte „Name“ v elemente „Attribute“.

Vždy pri spustení EGJE vynútiť overenie: Pridá k SAML requestu parameter forceAuthn=true. Pri novom spustení EGJE sa vždy vynúti pri IdP nová autentizácia. IdP musí tento parameter podporovať a musí byť povolený. Názov položky v IdP sa môže líšiť, napr. Honor Force Authnentication.

Pri odhlásení z EGJE odhlásiť aj z IdP: Pri odhlásení z EGJE, sa zároveň odošle request pre Single Logout z IdP. Tým sa užívateľ odhlási z IdP a zároveň zo všetkých aktuálne prihlásených SP, ktoré túto funkciu podporujú. V IdP je potrebné SLO povoliť a nastaviť pre neho URL: http://localhost:<saml_port>/saml/SLO (pozor, je to case sensitive). Ďalej je potrebné nastaviť SP Issuer na rovnakú hodnotu ako je nastavené SP Entity ID. Pre odhlásenie z IdP je potrebné mať vyplnený keystore na podpísanie SAML tokenov.

Podpísať SAML SSO Request: Podpíše SAML request pre prihlásenie. Využíva sa pre IdP, ktoré nepodporujú nastavenie atribútu WantAuthnRequestsSigned v metadátach z IdP. Na podpísanie je potrebné mať vyplnený keystore.

Logovať SAML: Zapne úroveň logovania pre SAML knižnice na úroveň debug. Loguje veľké množstvo dát a log sa tak stáva neprehľadným. Odporúčame zapínať iba pri riešení problémov so SAML autentizáciou.

Generovanie SP metadát:Okrem základného generovania metadát je možné parametricky doplniť dodatočné informácie. Na ich doplnenie je nutné ručne upraviť súbor config_local.properties v archíve config_egje.jar. Pre tieto atribúty možno obvykle nastaviť viac hodnôt napríklad pre každý jazyk vlastnú hodnotu.

Aby sa správne zobrazovala čeština, je potrebné upravovať súbor v kódovaní ISO-8859-1.

Doplniť je možné nasledujúce oblasti:

o UIInfo – Element UIInfo v elemente Extensions

§ Slúži na dodatočné nastavenie informácií o spúšťanej aplikácii.

§ Nastaviť možno tieto elementy: Description, DisplayName, InformationUrl.

§ Pre každý element sa nastaví atribút lang obsahujúci jazyk, pre ktorý sú informácie vyplnené.

§ Príklad nastavenia v properties:

saml_extensions_uiinfo[0].displayname=EGJE CZ

saml_extensions_uiinfo[0].description= Personálne-mzdový systém

saml_extensions_uiinfo[0].informationurl=https://elanor.cz

saml_extensions_uiinfo[0].lang=cs

o Organization

§ Slúži na dodatočné nastavenie informácií o organizácii.

§ Nastaviť možno tieto elementy: name, displayname, url.

§ Pre každý element sa nastaví atribút lang, obsahujúci jazyk, pre ktorý sú informácie vyplnené.

§ Príklad nastavenia v properties:

saml_organization[0].name=Elanor
saml_organization[0].displayname=Elanor
saml_organization[0].url=https://elanor.cz
saml_organization[0].lang=cs

o ContactPerson

§ Slúži na zadanie kontaktnej osoby.

§ Nastaviť možno tieto elementy: company, given_name, sur_name, email_address, telephone_number.

§ E-mailové adresy aj telefónne čísla je možné zadať pre daný kontakt viackrát za pomoci indexov.

§ Pre daný typ kontaktu je možné nastaviť atribút contactType.

§ Príklad nastavenia v properties:

saml_sp_contact[0].contactType=technical
saml_sp_contact[0].company=Elanor
saml_sp_contact[0].given_name=Guy
saml_sp_contact[0].sur_name=Technical
saml_sp_contact[0].email_address[0]=mailto:[email protected]
saml_sp_contact[0].telephone_number[0]=+720123456987

NTLogin/2/3 JCifs

Autentizace NTlogin* bez číslovky 2 boli zrušené v e202409 a od e202411 sa pomocou nich nejde do EGJE prihlásiť.

Autentizácie NTLogin2* sú tu iba pre spätnú kompatibilitu. Neodporúčame ich používať.

Autentizácie NTlogin3 však bezpečnostné kritériá spĺňajú a pre OS linux sú vhodné. Tieto autentizácie využívajú novší SMB2 protokol.

SSO autentifikácia (NTLogin3 a NTLogin3Only) nepoužíva zabezpečený secure channel pre NETLOGON komunikáciu s doménovými controllermi. Pre správnu funkčnosť je pre servisný NTLM účet potrebné použiť nezabezpečené Netlogon pripojenie viď. odkaz: https://support.microsoft.com/en-au/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e#bkmk_thegrouppolicy

Na sprevádzkovanie zabezpečenej komunikácie pracujeme a bude podporovaná v ďalšej verzii IS

EGJE.

IP adresy doménových radičov (NT Login)
IP adresa autentizačného servera pre NT login - ak ich je viac, tak sú oddelené čiarkou - použitý je

potom prvý, ktorý je spustený. Ak nie je vyplnený, tak použiť radič, zistený z NT login implicitnej domény.

V praxi je niekedy výhodné zadať iný server ako doménový radič, ktorý volanie sprostredkuje (SSO u Web aplikácie s doménovym radičom Windows 2003)

NT login implicitná doména - predvyplnenie položky doména u NT login

Pro NTlogin2 je potrebné vyplniť parametre:

DC hostname (NT Login2)
Simple (non-FQDN) hostname of DC host (NT Login2) (domainControllerName)

Účet počítača pre pripojenie k DC (NT Login2)

Computer account for connection to DC (NT Login2) (ntlm2ServerAccount)

Účet počítača pre pripojenie k DC (NT Login2) - Heslo
Password of computer account (NT Login2) (ntlm2ServerPassword)

Viacej technických informácií o NTlogin2 je možné získať na webu u knižnic

jespa-1.1.21 Jespa_Operators_Manual.pdf

Je tu dobre popísané vytvorenie computer account v AD, ktorý je pre NTlogin2 potrebný.

Pozn. Knižnice jespa EGJE nepoužíva, nie je teda potrebná ich licencia.

Stručne je postup vytvorenia computer account nasledujúci:

· vytvorenie účtu nejakou zo štandardných utilít (Active Directory Users and Computers (ADUC) MMC Snap-In.)

Maximálne 15 znakov z A-Z, a-z, 0-9, "-", "_"

· nastavenie hesla - z príkazového riadku scriptom

prvým parametrom je meno účtu nasledované znaky $ a @ DNS doménovým menom a druhým heslo

pr. C: \ tmp> SetComputerPassword [email protected] heslo

Heslo musí byť iné ako meno účtu.

Úspešné prevedenie indikuje hláška "The password was set successfully".

smart_card

Autentizácia je k dispozícii od e201905 pre java klienta, od e201909 aj pre web klienta.

Ide o tzv. 2-faktorovú autentizáciu, kedy klient pre prihlásenie potrebuje vsunúť kartu do čítačky a zadať heslo, ktoré EGJE overí voči certifikátu na karte.

Systém sme vyvinuli a testovali na čítačke a karte predávané firmou První certifikační autorita (https://www.ica.cz/Order-Hardware, Smart-Card Reader GemPC USB-SL, Smart Card Starcos 3.5).

Certifikát si používateľ zaeviduje pomocou formulára Opv51 - Osobný certifikát, pričom vlastný verejný kľúč je uložený do úložiska spoločného s Opv31 (ako uchaz_dok_typ 51 - Osobný certifikát I.).

To slúži pre túto autentizáciu namiesto štandardného Adm10 / Logname, ktoré používajú všetky ostatné autentizácie.

Pro túto autentizáciu sú v sekci Smart Card ďalšie parametre:

- Zdroj certifikátov: combo Čipová karta/Osobný certifikáty užívateľa

- Certifikačná autorita: certifikát autority v binárnom formáte. Ak je vyplnené, je možno pre autentizáciu použiť iba certifikáty touto autoritou vydané.

- Meno v certifikátu sa musí zhodovať s menom v EGJE - checkbox

Kontrola zhody Mena a Priezviska - certifikát, vs. Osb02.

V EGJEWeb je táto autentizácia funkčná pre tomcat + Chrome nebo EDGE.

Vo Firefoxu tieź funguje, ale je potrebné nastaviť PKCS#11 modul v konfigurácii.

Pričom tu je hláška Firefoxu pre zadanie pinu, ktorá je trocha odtažitá: "Please enter the master password for the 9203050100050786."

Príklad konfigurácie tomcatu pre túto autentizáciu:

<Connector port="8548" protocol="HTTP/1.1" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

truststoreFile="${catalina.home}/conf/trust.jks" truststorePass="tomcat"

keystoreFile="${catalina.home}/conf/prghr2.pfx" keystorePass="79798796"

keystoreType="pkcs12" keyAlias="{d2046356-d048-4cac-8a82-9f195766c035}"

clientAuth="true" sslProtocol="TLS" />

Údaje pre zmenu hesla pomocou LDAP a autentizáciu LDAP:

LDAP - SSL URL

adresa a port ldap servera, napr. ldaps://xxxx:636

resp. adresa port i koreň, pod ktorým sú používatelia systému (môžu byť i v podriadených uzloch)
napr. ldaps://prgxx1:636/OU=Country.Czech,OU=ElanorUsers,DC=myorg,DC=cz

LDAPSearch - filter

aditívny filter

použije sa typicky s Novell eDirectory resp. s Microsoft AD resp. všade tam kde filter nie je možné písať priamo do prihlasovacieho reťazca LDAP - SSL URL.

napr. uid=%username%

resp. (&(objectclass=person)(userPrincipalName=%username%@myorg.cz))

LDAP-špeciálny používateľ pre prácu s LDAP (+ heslo)
používateľ použitý pre prihlásenie a prechádzanie LDAP servera resp. pre činnosť v rámci správy používateľov Adm12.

používateľ je tiež použitý pri zmene hesla v AD po jeho expirácii (resp.první prihlásení)

zvyčajne musí byť uvedený aj s doménou

napr. [email protected]

LDAP/Web - implicitná doména používateľa

doména, ktorá sa doplňuje pri prihlásení za používateľské meno (typicky pre LDAPOnly), napr. myorg.cz

Web - ldap base s maxPwdAge (zmena hesla)

ldap adresa pre zistenie maximálnej doby platnosti hesla, napr. dc=myorg,dc=cz

Ide o varovanie pred expiráciou hesla.

Zisťovanie sa vykonáva len pre LDAPOnly a pre používateľov, ktorí majú právo na Xpw01.

Pozn. V EGJE implementovaná aj zmena hesla po expirácii, pozri vyššie.

LDAP/Web - doba (počet dní) predstihu pred vypršaním hesla

doba po uplynutí ktorej, systém vyžaduje zmenu hesla

Web - telefón na správcu – je zobrazený v prípade, keď vypršalo heslo

Web - e-mail na správcu – je zobrazený v prípade, keď vypršalo heslo

LDAP/Web - správa – keď heslo nespĺňa pravidlá

správa, ktorou systém odpovie v prípade, že novo zadané heslo (pri zmene hesla) nespĺňa podmienky, ktorým má heslo zodpovedať

Pozn. Ďalšie parametre pre vytváranie používateľa v LDAP repository (form. Adm12) sú v Adm21/Konfiguračné parametre/Vytváranie používateľov LDAP/AD.

Súbor s požiadavkami na reset hesla (úplná cesta):

EGJE Web umožňuje z adresy

http://xxxxxx/egjeweb2/ref/resetpass

generovať textový súbor s požiadavkami na reset hesla. Tento parameter udáva plnú cestu k tomuto súboru (následné premietnutie súboru, napríklad do Active Directory už aplikácia nerieši).

WEB / http adresa - presmerovanie - užív. nemá profil:

je parameter, ktorý použije aplikácia EGJEWEB v prípade, že dôjde síce k overeniu používateľa, ale tomu správca nepriradil žiadny aplikačný profil pre prístup do EGJE. V takomto prípade aplikácia presmeruje prehliadač na túto adresu, kde predpokladáme, že sú uvedené organizačné informácie, ako sa má používateľ ďalej zachovať.

Výpočet profilov povolených pre WEB.

Z tejto konkrétnej inštalácie EGJEWeb2 sa potom pôjde prihlásiť len na uvedené zamestnanecké, manažérske alebo referentské profily. Ide o regulárny výraz. Napr. . MANA.*|ZAME.* znamená profily s kódmi začínajúcimi MANA alebo ZAME.

Nekontrolovať e-mailovú adresu odosielateľa

Nastavenie, či chcete vykonať kontrolu formálnej správnosti adresy odosielateľa mailu (obvykle firemný mail osoby používateľa - Osb02)

6.1.5.1 Konfigurácia pre mobilný prístup

Pre prístup z mobilov / tabletov vrátane sprístupnenia mimo intranet či doménu môže byť v organizácii špeciálna inštalácia EGJEWeb2.

Tu môže byť zadané špeciálny overenie "Mobile", ale môže tu byť aj iné overenie, ale pre prehliadače mobilov / tabletov s mobilným user agentom je rovnako vždy používané overenie Mobile.

Ak teda správca u servera zadá overenie Mobile, nie je dovolené žiadne iné overenie. Aj používatelia PC potom podliehajú mobilnému overenie. Čo môže byť využité pre niektoré externé prístupy aj z PC.

Zabezpečenie aplikácie má potom trochu inú štruktúru:

- Tu v Configurator / Overenie je možné zadať "Zoznam, profilov povolených pre WEB".

Z tejto konkrétnej inštalácie EGJEWeb2 sa potom pôjde prihlásiť len na uvedené zamestnanecké, manažérske alebo referentské profily. Ide o regulárny výraz. Napr. MANA. * | ZAME. * Znamená profily s kódmi začínajúcimi MANA alebo ZAME.

Pozn. Obmedzenie platí pre celú EGJEWeb2 teda aj pre prístupy z PC tj. cez nejaké iné overenie (napr. Mswin_ntlm i.)

- Adm02 / Povolené pre autentizáciu mobil / tablet - ktorý profil smie dostupný byť z mobilu tj. mobilnou autentizáciou (plošne pre všetky EGJEWeb2)

- Adm10 / Povolenie prístupu z mobilných zariadení - ktorá osoba môže pristupovať do aplikácie z mobilu / tabletu (tj. pomocou mobilného overenia).

- Adm16 - Správca alebo Manažér či iný používateľ so zadaným mobilným profilom a povolením tu (teda z overeného používateľa) vytvorí dočasné heslo pre vytvorenie autentizácie v konkrétnom zariadení a konkrétnom prehliadači v ňom (pozor treba ho mať v režime "mobilný user agent" tzn. nemať napr. v mobilnom Chrome zaškrtnuté "Verzia webu pre PC").

Heslo si môže do mobilného zariadenia (ak má ho práve v ruke) rovnou opísať, alebo ho odoslať na e-mail zadaný personalistom v Osb02 (druh komunikácie 31) - tlačidlo "Pošli heslo e-mailom".

Pozn.: Ak má používateľa viac mobilných zariadení alebo ho menia je vhodné si tieto prístupy evidovať s menom zariadení.

- Pokiaľ má používateľ tento e-mail prístupný v mobilnom zariadení, je sprevádzkovanie najpriamočiarejšie. Otvorí si e-mail a klikne na link v ňom. Ten už jednorazové heslo obsahuje a aplikáciu v konkrétnom mobilnom zariadení sprevádzkujú.

Ak nie, zadá v mobilnom prehliadači adresu aplikácie a do jedinej v tú chvíľu zobrazené položky zadá jednorazové heslo.

Zároveň je v oboch prípadoch vhodné si rovno z mobilného prehliadača odkaz na aplikáciu pridať na plochu a nabudúce ju už spúšťať odtiaľto.

- Jednorazové heslo je dočasné, pri jeho generovaní sa zadáva jeho platnosť (štandardne 10 minút).

- Keď používateľ mobilné zariadenie stratí, je potreba z EGJE čo najrýchlejšie v Adm16 prístup pomocou tohto zariadenia zneplatniť (tlačidlo zneplatní prístup)!

Prípadne, ak má používateľ zariadení viac a nie je jasné, ktoré je ktoré, tak zneplatniť všetky resp. zrušiť v Adm10 používateľovi mobilné povolenie úplne.

- Priamo v mobilnej aplikácii má používateľ voľbu "Zrušenie prístupu z mobilného zariadenia" (nad voľbou Odhlásenie). Po dotazu sa potom prístup z konkrétneho prehliadača konkrétneho mobilného zariadenia zneplatní zhodne ako vyššie uvedenú akciou "zneplatní prístup" z Adm16 resp. zmazaním riadku s evidenciou prístupu tamtiež.

Pozn .: v Adm21 / Parametre komunikácie je parameter "http (s) adresa EGJEWeb2 pre mobilný prístup:" Táto adresa je použitá v Adm16 pri akcii Pošli heslo e-mailom. V e-maile je link zložený z tejto adresy a parametra - jednorazového hesla.

Možnosť vypnutia mobilné autentizácie.

V konfigurácii sprístupňované utilitou Configurator je na záložke Overenie parameter (v poradí druhý)

Pre mobilné zariadenia (podľa user agent) použiť vždy autentizáciu Mobile Áno / Nie.

Jeho nastavenie na Nie potom spôsobí, že aj z mobilných zariadení, ktoré sa prehliadači hlási ako

user agent = mobile, sa bude volať tá autentizácia, ktorá je uvedená o riadok vyššie v položke autentizácia.

6.1.6 Atribúty inštalácie

Údaje využíva inštalačný program pre správu viacerých inštalácií SuperConfigurator. Sú použité pre inštaláciu patchu z inštalačného adresára do tu uvedených adresárov konkrétnej inštalácie EGJE.

Adresár s web.štart predlohou

Súborová cesta k súboru config_egje.jar

Ak uvedieme config na klienta AS je tento v SuperConfiguratoru potom server zobrazovaný na záložke Monitor Serverov.

A naopak, ak uvedieme štd.klienta bez AS, alebo vlastný AS (tj. config s DB pripojením) je potom zobrazovaný na záložke Inštalácia a umožňuje cez toto pripojenie inštalovať patche/výdaje (časť zmenový skript).

Inštalovať na Tomat 10:

Pre Áno sa pri tvorbe waru použije war pre Tomcat 10. Pozri Príloha C1.

Súbor s WAR pre EGJEWEB2:

Súborová cesta k web aplikácii (tj. cesta k súboru v adresári webapps servlet kontajneru Tomcat)

Vlastná inštalácia sa skladá z

Konfigurácie web aplikácie - z pôvodnej sa prevezmú z web.xml hodnoty parametrov
<param-name>config_jar</param-name>

~~<param-name>logFile</param-name>~~

a nakonfigurovaný súbor sa skopíruje namiesto doterajšieho.

Aplikácia obsahuje aj HR portal pre manažérov a zamestnancov.

Typ inštalácie

Možné hodnoty: nevyplnené = Produkčná / Testovacia / Vývojová

Testovacie a Vývojové prostredie potom indikuje pomerne výrazne štandardný aj webový klient.

U web klienta sa zmení aj ikona aplikácie.

U štandardného klienta s AS sa údaj nastavuje pre konfiguráciu AS, nie klienta. Po nastavení je potrebné AS (EGJEWEB2) reštartovať.

6.1.7 Logovanie

Na tejto záložke je možné nastavovať logovanie aplikácie pomocou Log4j.

Log4j konfigurácia:

Tu je možné umiestniť adresu externého konfiguračného súboru Log4j. Ak sa nenastaví, použije sa defaultné nastavenie EGJE.

Viac viď Príloha E. Logovanie - AS, EGJEWEB2

Odosielať klientske logy na AS:

Pri zaškrtnutí sa všetky udalosti, logované pomocou log4j, v klientskej časti aplikácie odosielajú na AS. Má význam nastavovať iba pre Java klienta pripájajúceho sa k AS.

6.1.8 Proxy

Na tejto záložke je možné nastaviť proxy pre http a https. Súčasťou proxy môže byť v prípade autentizácie vyplnené aj meno a heslo. Toto nastavenie má prednosť pred nastavením parametrov pri spustení aplikácie (*.bat, spúšťanie tomcatu…).

6.2 Nastavenie a zmena parametrov pomocou utility „MultiConfigurator“

Táto utilita umožní výber viacerých konfiguračných súborov naraz a je pre ňu vytvorená trieda na spustenie *.bat súborom.

Upozornenie: Stará funkcionalita konfigurátora zostáva zachovaná. Stále je možné spustiť konfigurátor nad jedným súborom a upravovať len tento súbor.

Spúšťací *.bat súbor je potrebné umiestniť do rovnakého miesta, kde sa nachádza bat súbor štandardného konfigurátora.:

start java -Xmx512M -ea -Dlog4j.configuration=log4j.eman.properties -Djdk.jar.maxSignatureFileSize=16000000 -cp /egje/vzor/EGJE/egjelib/eman.jar;/egje/vzor/EGJE/egjelib/egjelib.jar sk.elanor.eman.sgui .configurator.MultiConfigurator %1exit

Pridanie krb5.conf

Ak sa za %1 vloží druhý parameter %2, obsahujúci cestu ku krb5.conf pre konfiguráciu Kerberos autentizácie, tento konfiguračný súbor sa automaticky vloží do všetkých nových jar súborov.

Po spustení sa zobrazí tabuľka a v nej zoznam konfiguračných súborov zo zložky, z ktorej sa bat súbor spustil. Súbory sa načítajú podľa masky config_egje*.jar. Tabuľka bude umožňovať prácu s viacerými konfiguračnými súbormi naraz.

Obsah obrázku text, číslo, software, Písmo

Popis byl vytvořen automaticky

Pod tabuľkou budú tlačidlá:

· Označ všetko - toto tlačidlo označí všetky záznamy v tabuľke

· Zruš označenie - tlačidlo zruší označenie všetkých záznamov v tabuľke

· Pridať - po kliknutí na tlačidlo sa zobrazí dialógové okno s obsahom:

o Meno: tu sa zvolí (napíše) meno súboru

o Režim AS: v rolldown menu sa vyberie typ konfiguračného súboru:

Menu obsahuje tieto položky:

§ C - Klient bez AS

§ SC - Klient s AS

§ S - Aplikačný server

§ WS - Webový server

· Tlačidlo “Pridať” - po stlačení založí nový súbor so zvoleným názvom a pre daný typ

§ súbor sa založí okamžite na disk

§ do nového súboru sa vloží krb5.conf

· Odstrániť - po stlačení zobrazí dialógové okno “Vybrané konfiguračné súbory budú zmazané z disku. Táto akcia je nevratná! Chcete pokračovať?” - Áno/Nie - Po odsúhlasení zmaže súbor z tabuľky aj z disku

Obsah obrázku text, snímek obrazovky, software, Písmo

Popis byl vytvořen automaticky

Pokiaľ nie je vybraný žiadny súbor, zobrazí sa varovná hláška

Obsah obrázku text, Písmo, software, řada/pruh

Popis byl vytvořen automaticky

· Vygenerovať sadu - založí sadu konfiguračných súborov, pre testovacie účely a nastaví r_typ_inst=T

o config_egje_as - S

o config_egje_cl - C

o config_egje_web - WS

o config_egjetest_as - S

o config_egjetest_cl - C

o config_egjetest_web – WS

· Upraviť nastavenia

o Pokiaľ je vybraný iba jeden konfiguračný súbor, potom toto tlačidlo otvorí štandardný konfigurátor

o V prípade výberu viacerých konfiguračných súborov naraz sa ako prvý krok vykoná kontrola všetkých vybraných konfiguračných súborov, či sa v nich nastavené údaje, ukladané do týchto súborov zhodujú (napr. nastavenie DB pre AS a WEB). Pri tejto procedúre sa kontrolujú údaje, ktoré sa ukladajú zároveň do viacerých konfiguračných súborov zároveň a výsledok kontroly je zapísaný do txt súboru (fail_check.txt) v rovnakom priečinku, kde je umiestnený spúšťací bat súbor. Štruktúra reportu je rozdelená podľa záložiek konfigurátora a vypisujú sa tam údaje, ktoré nie sú rovnaké vo všetkých konfiguračných súboroch.

§ ak sa tieto údaje nezhodujú: vypíše sa do protokolu, aké položky av ktorých súboroch sa líšia a sprievodca (wizzard) nepustí proces do ďalšieho kroku

§ ak sa zhodujú: otvorí sa štandardný konfigurátor s možnosťou úprav všetkých súborov naraz

· • v záložke Konfigurátora „Overenie“ pribudol parameter pre nastavenie platnosti SAML tokenu. Pole má názov „Doba platnosti SAML tokenu v minútach:“. Do tohto poľa sa môže nastaviť doba platnosti parametra (maxAutenticationAge). Pokiaľ tu nie je vyplnená hodnota, je štandardne nastavené 7 dní (10 080 minút). Pozri obrázok.

6.3 Adm51 - Zmenové riadenie databázy

Záložka Verzia databázy zobrazuje informácie o súčasnej verzii štruktúry a obsahu databázy EGJE.

Informácia sa skladá z:

kódu verzie
posledného povinného patche
nepovinné patche (môže ich byť viac)

Záložka Zmena Db obsahuje tlačidlo "Vykonanie zmeny Db / Inštalácia používateľskej zostavy "

Nasleduje výber skriptu a hneď potom (pokiaľ je splnená kontrola na súčasnú verziu) dochádza k jeho vykonaniu. Protokol z vykonávaných akcii sa priebežne ukladá v používateľskom pracovnom adresári (ten istý, kde sa ukladajú tlačové zostavy) t.j. %HOME_DIR%\Dokumenty\Eman\output pod rovnakým menom ako má skript s extenziou html. Po ukončení inštalácie sa súbor automaticky otvorí v defaultnom prehliadači.

U inštalácií s AS je pred spustením scriptu vhodné informovať používateľa, k tomu je tu k dispozícii tlačidlo "Rozoslať požiadavka na odhlásenie prihláseným používateľom".

Informácia je odovzdávaná cez databázu všetkým klientom, každý klient si túto informáciu číta raz za 5 minút. Tí používatelia, ktorí sú pripojení cez ten istý AS či EGJEWEB, cez ktorý správca tlačidlo stláča, dostávajú informáciu okamžite a v protokole je uvedený ich zoznam, používatelia pripojenia inak v protokole nie sú, spätnú informáciu systém nezasiela.

Po inštalácii používateľskej zostavy, ktorá mení repository, má správca k dispozícii tlačidlo "Prenačítať repository na všetkých AS / EGJEWEB2" pre premietnutie zmien aj na ďalšie servery EGJE.

Avšak aj keď to neurobí, servery EGJE si periodicky (interval 5 minút) kontrolujú, či k zmene v repository nedošlo, a keď áno, prenačítajú si ju.

Záložka Zmenový log

zobrazuje informácie o zmenových riadeniach, ktoré prebehli v databáze. Najjemnejšou jednotkou je tu blok zmenového riadenia.

Záložka Konfigurácia klienta

má význam len pri správcovskom spúšťaní priamo na serveri pomocou egje.bat. Tlačidlo „Konfiguračný formulár“ potom vyvoláva to isté konfiguračné okno, ako v predchádzajúcej kapitole popísaná utilita configurator_egje.

Záložka Oracle štatistiky

má význam len pre inštaláciu nad databázou Oracle. Pre správnu funkciu príkazov pri práci s databázou je bezpodmienečne nutné vykonávať pravidelne aktualizáciu databázových štatistík. Inak dochádza k postupnému nerovnomernému spomaľovaniu niektorých častí aplikácie. Akcia sa doporučuje vykonávať automatizovane pomocou Oracle jobu. Ten je možné vytvoriť priamo z tohto formulára. Vyplňte položku "Hodina" (napr. 23 => o jedenástej večer; 0 - o polnoci) a potom stlačte tlačidlo Vytvoriť/Obnoviť job na aktualizáciu štatistík. Pokiaľ sa vytvorenie podarí, sú od tej chvíle tiež prístupné tlačidlá "Spustiť job" a "Zrušiť job". Dĺžka akcie je závislá na veľkosti databázy a výkone servera. Môže to byť od minúty do desiatok minút.

Na záložke je tiež tlačidlo Rebuild / presun indexov .

Umožňuje zavolať na všetky indexy db EGJE alter index rebuild .

Pri spustení tiež dialóg umožní vybrať iný prístupný Tablespace - indexy sú potom presúvané do neho . To môže u niektorých konfigurácií databáze zrýchliť .

Pri spustení bez vybraného Tablespace sa uskutoční vyššie uvedený rebuild .

Funkčnosť pre rebuild indexov je určená správcom malých databáz . Kvalifikovaní správcovia veľkých inštaláciou by mali používať nástroje Oracle .

Záložka MS SQL štatistiky

má význam len pre inštaláciu nad databázou MS SQL .

Obsahuje zoznam indexov , informácie o ich fragmentácii a informáciu o poslednej aktualizácii štatistík indexov .

Tlačidlo Rebuild indexov aktualizácia štatistík uskutočňuje nasledujúce :

• alter index rebuild - na všetky EGJE indexy

• update statistics na všetky EGJE tabuľky

Funkčnosť rebuild indexov , aktualizácia štatistík je určená správcom malých databáz . Kvalifikovaní správcovia veľkých inštaláciou by mali používať nástroje MS SQL .

Záložka Správa AS/klienta

pri inštalácií s aplikačným serverom poskytuje informácie o všetkých používateľoch, ktorí so systémom pracujú. Ak je inštalácia bez AS, potom sú informácie o session a procesoch súčasného používateľa, s výnimkou podzáložky Databázové zámky, ktorá zobrazuje aj zámky ostatných používateľov. Viac o zámkoch v prílohe M

Na Oracle je k dispozícii tiež záložka Kto koho blokuje, ktorá sa snaží nájsť pôvodca zámkov.

Správca má aj možnosť jednotlivé úlohy (s AS i session) ukončovať.

Ukončovanie je však na strane Java a nie na strane databázy (k tomu nemá db účet, ktorý aplikácia používa dostatočné oprávnenia).

Poslednou podzáložkou je "DB pripojenie". Určená je pre zákazníkov, ktorí používajú java klienta bez AS. Pri všetkých ostatných klientov dochádza ku zdieľaniu db pripojenia, a tak tu uvedené údaje majú trochu iný, nie tak užitočný, zmysel.

Pre WEB EGJE server existuje záložka Web obsahujúci tlačidlo na prenačítanie metadát pre SAML autentizáciu. Záložka je viditeľná iba pre WEB pri nastavení SAML autentizácie.

Záložka Zabezpečenie

Po vykonaní zmien na tejto záložke je potrebné reštartovať AS resp. WEB EGJE server.

Na záložke "Zabezpečenie" je možné:

· zapísať autorizáciu, ktorá je jediná povolená (smeruje na java klienta bez AS)

· zabezpečenie SuperConfiguratoru voči aktuálnej db

o Možnosť vykonať zmenový skript

o Povoliť export číselníkov

o Výpočet IP adries, z ktorých je dovolené SuperConfigurator spustit

· "Pokúšať sa o znovupripojenie k aplikačnému serveru",

parameter určuje, či sa klient AS má v prípade výpadkov spojenia skúšať znova pripojiť. Pokiaľ tu nastavíte Nie, tak to klient nerobí a preto nemá dôvod si heslo pamätať. Ak nastavíte Áno (= doterajší režim), tak si klient na tento účel heslo pamätá, ale pamätá si v podobe zašifrovanej symetrickým algoritmom.

Heslo si klient tiež musí pamätať v prípade, že má pracovať s viacerými AS.

· expirácia sedenia

Položky

Std.klient - sedenie expiruje za [min]:

EGJEWEB (2) - sedenie expiruje za [min]:

U std. (java) klienta je z technických dôvodov sledovaná aktivita používateľa v celom operačnom systéme, nie len v aplikácii EGJE.

Keď nie je vyplnená položka "Std.klient - sedenie expiruje za [min]:", k expirácii u štandardného klienta nedochádza = doterajší stav.

Expiráciou u štandardného klienta, čo nie je webová aplikácia, dochádza tak, že je beh klienta ukončený - aplikácia teda používateľovi zmizne (poznámka - môže to byť aj považované za trestanie fajčiarov). Zvážte teda dobre, či to u štandardného klienta nastaviť, určite lepšou cestou je povinné (internou politikou vynútené) zamykanie obrazovky na úrovni operačného systému.

Keď nie je vyplnená položka "EGJEWEB (2) - sedenie expiruje za [min]:", je implicitné správanie nasledovné:

Stará web aplikácia - sedenie neexspiruje nikdy - aplikácia stále sedenie predlžuje, takže ho neukončí ani tomcat.

Nová webová aplikácia (vrátane WP) - expirácia je daná nastavením tomcat tj. štandardne 10 minút.

Pre všetkých klientov platí, že pri spustenej zostave alebo výpočte aplikácia čaká na výsledok a automatické odhlasovanie je pozastavené. Expirácii bráni tiež otvorený formulár Adm51, ktorý so serverom komunikuje neustále.

Doba expirácie tiež môže byť o určitý čas predĺžená vďaka príjmu internej pošty EGJE.

Servery si uvedené údaje prenačítajú z db každých 5 minút. Klient (java či prehliadač) si potom údaj preberá zo servera v okamihu prihlásenia.

Záložka Org. IT par.

Obsahuje master-detail z organizáciami zadanými v Adm21 a vyberá z Adm21 a Ftp02 parametre, ktoré skôr než vecnému správcovi aplikácie prislúcha IT správcom. Ide o alternatívne umiestnenia a editáciu.

Záložka Správa všetkým

Správca môže na dobu medzi dvoma dátumami zadať textovú správu, ktorá sa používateľom po prihlásení zobrazuje vo všetkých klientoch EGJE.

Tieto správy sa radí nahor.

V HR Portál sú v pravom stĺpci Správy a odkazy.

V ostatných rozhraniach sú potom zobrazované pomocou interného okna Mail.

Dátovo zostáva správa spoločná a nerozkopírovává sa teda každému používateľovi. Teda ju tento ani nemaže. Po uplynutí dátumu do správa sama zmizne.

Záložka Odstávka systému

V podstate podobná vec, ale definujú sa tu aj časy a je možné, ale nie nutné, specifkovat server a port, čím sa dá určiť konkrétne AS, ktorý bude správcom odstavený.

Od určitého času pri prihlasovaní upozorňuje, kedy odstávka bude a keď už je a systém ešte beží, nedovolí používateľovi prihlásenie resp. upozorňuje prihlásené a ak nie sú správcami (práva na Adm51) tak ukončí ich sedenia zhodne ako pri expirácii.

Kontrola prebieha každých 5 minút a týka sa web aj std klienta (s AS i bez).

Záložka Link všetkým

Umožňuje správcovi do EGJE pridať nejaký http (s) odkaz.

HR Portál ho zobrazuje hore vo stĺpci Správy a odkazy

ostatné rozhranie vytvorí v menu ponuku Odkazy.

Tiež odkaz môže byť dočasný, tiež má od a do.

Odkazy sa otvárajú podľa nastavenia prehliadača, zvyčajne do novej záložky.

Pozn.: nie je ambíciou EGJE nahrádzať firemný intranet, zvlášť pri používaní interaktívnej autentizácie sú odkazy trochu "za rohom".

Záložka E(W)SOI

Zákazníci využívajúci rozšírenie Egje o ESOI (Egje Standard Output Interface) majú teraz možnosť nastaviť parametre tohto interface. Nová verzia interface, ktorá bude vydaná po verzii e202309, bude toto nastavenie využívať. Ide o voľby:

Jazyk pre názvy

Status pre uzatvorenie miezd

Pre pripravované rozhranie EWSOI je tam aj voľba (bez možnosti zmeny)

Výstup Web rozhrania

6.4 Pomocné utility

6.4.1 Utilita anonymizácia

Slúži na odstránenie resp. zmätenie citlivých osobných dát z databázy EGJE.

Je vhodná pre rôzne testovacie prostredia.

Ale na ostrom prostrediu dokáže urobiť nezvratné škody.

Súčasťou inštalačného adresára verzie je aj vzorová dávka anon \ anomymizace.bat pre MS Windows prostredie, pre linux sa dá ľahko vytvoriť analogická.

Dávka predpokladá existenciu týchto súborov v aktuálnom adresári:

config_egje.jar - aktuálna konfigurácia (s pripojením k db teda AS, egjeweb, klient bez AS)

anonymizace.jar - aktuálny súbor z tohto adresára

eman.jar - aktuálny eman.jar z výdaja

egjelib.jar - aktuálny egjelib.jar z výdaja

Pozn. V patch nie je anonymizácia vydávaná. Používajte preto súbory z posledného výdaja.

S aktualizovanú eman.jar z patchu nie je spustenie doporučené a vďaka obfuskacii kódu pravdepodobne ani nepobeží.

Štandardné spúšťanie je bez parametrov.

Anonymizačná utilita od verzie e202401 neobfuskuje konštantný a špecifický symbol a variabilný symbol je pozmenený tak, aby zodpovedal počet číslic.

Ďalej pri čiastkach miezd je čiastka pozmenená tak, aby zodpovedala počtom číslic.

Prídavné parametre:

zapisujú sa za parameter z_run_test.anonymizace.Anonymizace

resp. sa dajú písať až pri spúšťaní dávky anonymizace_template.bat, lebo tá je písaná tak, že parametre zvonku postúpi

parameter -gidoscpv ktorý navyše nahradí ľubovoľným vygenerovaným kódom cetpv.gid cetoso.gid a cetpv.oscpv – napolonáhodným kódom - ide po osobách a ak zistí v kmeňovom PV osoby znak "." tak rešpektuje časť osc, ktorá je spoločná pre osobu, potom dá bodku a dvojmiestne č.PV v ľubovoľnom poradí. Keď v tom kmeňovom PV bodku nezistí, tak generuje nezávislá čísla pre jednotlivé PV.

parameter -updcastky.

Mení sumy dlhodobých platieb, priemerov, zúčtovaných miezd a sumy v rôznych pracovných tabuľkách exportov (update na náhodné hodnoty).

parameter -delmzdy.

zmaže úplne záznamy zúčtovaných miezd (delete).

parameter -nodelete potláčajúci štandardné mazanie ITF a prevodových tabuliek. Ide špeciálny variant pre testovanie niektorých interface. Pri jeho použití sa nepremažú tabuľky:

"cetrlfodatask",

"cemisp",

"ceiosoz2",

"cewcscvl2" (pokud existuje)

"ceuuts",

"ceu2osvecpouc",

"ceu2osvecmoc",

"ceu2osvec",

"ceu2orgoso",

"ceu2org",

"cetoso_v_titul",

"cetredop",

"cedmes_status_over",

"cesastaskprot",

"cedavprot",

"ceswflcfg1log",

"cetrlfodatask",

"cetrlfodavkysk",

"ceteldata_sk",

"cemisp",

"cetisosdata",

"cetnpdata",

/cemzuct.dalsi_xml/protokol

a náhodné hodnoty sa nedajú do zvyšku "cemzuct".

Parameter -noupdimena

nastavenie spôsobí, že sa nebude anonymizovať Priezvisko, Meno, Celé meno

(Osb02, zj. Mzdy, tj. Cetoso_prijmeni.cetoso_jmeno, tituly, cetoso.jmeno_cele a cemzuct.prijmeni, meno)

Teda vlastne anonymizácia bez anonymizácie

parameter -log jménoSouboru

Parameter log je nasledovaný názvom log súboru. Súbor obsahuje podrobné informácie o vykonanej anonymizácii

Parameter log je nasledovaný názvom log súboru. Obsahuje podrobné informácie o vykonanej anonymizácii.

parameter -onlylogin login

Parameter umožňuje v db ponechať iba jeden zadaný login, všetky ostatné sú potom zmazané. Je vhodné login vybrať správne, aby ste nestratili prístup do EGJE.

Ve verzi e202405 došlo k úpravě anonymizační utility tak, aby bylo možné následně s daty provádět výpočty mezd a bylo možno generovat bankovní soubory.

Vo verzii e202405 došlo k úprave anonymizačnej utility tak, aby bolo možné následne s dátami vykonávať výpočty miezd a bolo možné generovať bankové súbory.

Novo boli upravené čiastky tak, aby si zodpovedali rádovo (nestávalo sa napríklad, že čiastka 700 000 sa zmení na 123).

Ďalej došlo k tomu, že sa nemení hodnota týchto polí (kvôli generovaniu bankových príkazov):

• Banková cesta k príjemcovi

• Platnosť

• Predčíslie konc. príjemcu

• Č účtu koncového príjemcu

• Sm. kód banky konc. príjemcu

• IBAN individuálneho príjemcu

• BIC kód (SWIFT) ind. príjemcu

• Variabilný symbol

• Konštantný symbol

• Špecifický symbol konc. príjemcu

6.4.2 Používateľská zostava Ela01vxc skôr validateXML - validateClobs

Používateľská zostava Ela01vxc býva obvykle používaná po prevodoch dát.

Výdajový adresár ju obsahuje ako anon \ validateXML.bat.

Kontroluje hlavne formálnu syntaktickú správnosť XML v databáze.

U XML položiek kontroluje aj dáta voči registrovanému dátovému typu.

Zobrazí tiež dáta, ktorá už bola v depozitári zrušená. Pozn. EGJE štandardne neruší dáta z XML položiek pri zrušení deklarácie tejto položky, pretože to nie je nutné.

6.5 Využitie SuperKonfigurátora na vytvorenie reportu nad viacerými DB pre možnosti porovnania a nájdenia položiek v rôznych DB

Superkonfigurátor teraz obsahuje možnosť vyexportovať z označených DB napríklad SLM, Role, JPČ, atď.

V hornom zozname, sa vyberú pomocou Ctrl+klik myši DB z ktorých sa má exportovať dáta a na záložkách „Export číselníkov“ a „Export číselníkov II.“, sa vyberú položky, ktoré je potrebné exportovať. Potom po stlačení tlačidla „Export XLSX“ sa vytvorí súbor vo formáte XLSX, ktorý ale neslúži na následný import, ale iba na porovnanie dát vo vybraných DB. Môže slúžiť napríklad na porovnanie, či sa daná Rola s číslom 501 vyskytuje vo vybraných DB, čo dá užívateľovi informáciu o tom, ako sú napríklad voľné čísla pre Role v iných DB.

7 Správa používateľov aplikácie

7.1 Založenie používateľov – stručné zhrnutie

Typický postup:

Osoba nie je (zatiaľ nie je) evidovaná ako zamestnanec:

Adm01p - založíme osobu a používateľské PV (status 21),
priradíme Profil (a jazyk, prípadne organizáciu)
a vyplníme Logname pre Prihlásenie - autentizáciu.

Osoba je už evidovaná ako zamestnanec:

Osoba zamestnanec/manažér:

v Adm10 jej priradíme Profil (jazyk, organizáciu) a Logname pre Prihlásenie - autentizáciu (dtto prvý bod)

Osoba referent:

buď postupujeme zhodne ako u zamestnanca / manažéra, alebo pomocou Adm01p založíme používateľské PV (status 21) už existujúcej osobe a ďalej priradíme Profil (jazyk, organizáciu) a Logname pre Prihlásenie - autentizáciu (dtto prvý bod)

Pozn pracovníkom a manažérom často priraďujeme viac profilov, logname však býva spravidla iba jeden.

Pozn. typické vyplnenie logname

Autentizácia NTLM

WinDoména\uživateľ pr. MOTOR\jigecz

Autentizácia kerberos, LDAP

uživateľ@doména pr. [email protected]

7.2 Práva k objektom a k riadkom, role a profily

7.2.1 Pojmy a základné otázky

Pojmy prístupových práv v EGJE, ich výskyt a použitie

Admnn – formuláre administrátora - vyvolajú sa buď z menu Správa systému alebo z príkazového riadku EGJE

Používateľ – osoba s PV so statusom 21 Systémová evidencia (zobrazené a editovateľné na formulári Adm11)
(PV je právny vzťah osoba - organizácia)

Používateľ priradený na profil – spojenie používateľa a profilu prístupových práv – (Adm01)
Používateľovi môže byť priradené viacero profilov, resp. viackrát jeden profil s rôznym jazykom alebo ako zastupovanie iného používateľa.

Autentizácia používateľa – obecne ide o overenie, či používateľ je ten, za koho sa vydáva; v EGJE je táto informácia buď preberaná z prihlásenia sa do operačného systému (Windows NT), alebo je vykonaná voči Kerberos serveru (mechanizmom vstavaným v java JRE);
(Adm01 – Prihlásenie autentizácia, Adm01p dtto.)

Profil prístupových práv – spojenie prístupových práv k objektom a prístupových práv k riadkom. Niekedy používame tiež termín abstraktný používateľ. Konkrétna osoba môže mať priradených viacero profilov prístupových práv, vystupuje v systéme v rôznych používateľských roliach (napríklad zamestnanec a vedúci alebo mzdová účtovníčka a vedúca mzdové učtárne). (Adm02)
Zatiaľ čo prístupové práva k riadkom sú používateľovi definované pomocou profilu, práva k objektom sa priraďujú nepriamo pomocou rolí (Adm03)

Role prístupových práv – sada priradení prístupových práv k jednotlivým objektom systému. Rozlišujeme role, ktoré sú v správe Elanor (1 - 499) a role, ktoré sú v správe používateľa (500 -999) (Adm03)

Prístupové práva k objektom - základná stavebná jednotka prístupových práv je objekt. Typickými objektami sú Formulár, Proces, Zostava, Export, Položka menu. Objekty formulár a proces môžu byť ďalej delené z pohľadu prístupových práv na jemnejšie objekty -záložka, dátový zdroj, položka. (Adm04)

Hodnoty priradenia práv k objektu – sada povolených hodnôt prístupových práv je závislá na type objektu, ku ktorému ich priraďujeme. Priradenie vykonávame vždy na rolu.

Zatiaľ čo k formuláru máme obvykle možnosť priradiť práva -2-Odňatie zápisu aj čítania / -1-Odňatie zápisu / 0-Nič / 1-Čítanie / 2-Zápis, pri zostavách, položkách menu a pri procesoch máme obvykle možnosť priradiť práva -1-Odňatie / 0-Nesmie spustiť / 1-Smie spustiť.

Špeciálne hodnoty sú hodnoty záporné, ktoré práva obmedzujú, i keď je právo profilu priradené napríklad inou rolou. Obmedzenie potom môže byť úplné (-2) alebo čiastočné (zníženie práv len na čítanie t.j. -1). (Adm03)

Konfigurácia použitia objektov prístupových práv – pretože EGJE je typovým projektom, obsahuje veľa objektov, ktoré konkrétny zákazník nebude využívať. Aby takéto objekty neprekážali v priraďovaní práv k objektom konkrétnych rolí a aby nedošlo k nesúladu v priradení, je možné informáciu o úplnom nepoužití objektu v organizácii zadať vo formulári Adm04 v záložke „Konfigurácia použitia“. (Adm04)

Prístupové práva k riadkom – pretože organizácia býva plošne alebo hierarchicky rozčlenená, je potrebné toto rozčlenenie zohľadniť v definícii a priradení prístupových práv. Inými slovami používateľ má síce právo k nejakému objektu (ktoré je určené jeho kompetenciami v organizácii), nemá však v ňom prístup ku všetkým dátam, ale len k ich časti.

Pre toto rozčlenenie je možné použiť Spravovanú jednotku, Spravovaný oddiel, priradenie do Štruktúr (organizačné stredisko alebo štruktúra mzdovej účtovníčky), Status PV, status práva resp. Príznak chránenej osoby (PV). V položkách určených pre výber SJ/SO je možné použiť buď výber konkrétnej SJ/SO, alebo do týchto polí zadať výpočet SJ / SO (vo formáte 1, 2, 5-8, 10), ktoré chceme do výberu zahrnúť. (Adm02)

Pozn. U inštalácií s viacerými organizáciami v zmysle ich číselníku Adm21 sa ďalším prvkom prístupových práv k riadkom stáva organizácia. Tá sa uvádza pri priradení profilu používateľovi (Adm01, Adm01p, Adm10, Adm12).

Takéto riešenie umožňuje používať jeden profil pre viac organizácií.

Nastavenie prístupových práv k riadkom

Uvedené možnosti obmedzenia prístupových práv k riadkom sa veľmi často používajú v kombinácii. Typické príklady:

Používateľ má prístupné všetky osoby v rámci spravovaného oddielu – vyplnené:

SJ pre obmedzenie práv

SO pre obmedzenie práv

PV spôsob vyhodnotenia zoznamu štruktúr - "VSE-všetko"

Používateľ má prístupné všetky osoby v rámci spravovaného oddielu, len "živí", t.j. počítaní zamestnanci - vyplnené:

SJ pre obmedzenie práv

SO pre obmedzenie práv

PV spôsob vyhodnotenia zoznamu štruktúr - "VSE-všetko"

PV zoznam povolených statusov - "1,2,3"

Na formulári je nový riadok s názvom „Rozšírenie obmedzení a editácia podľa skupín RP:“, ktorý umožňuje pomocou rolldown menu rozšíriť možnosti editácie a obmedzenia zobrazovania skupín podľa zadaných riadkových práv pre štruktúry.

Základné otázky

Môžu dvaja používatelia používať rovnaký profil?

Môžu. Musia však mať zhodné objektové práva. U riadkových práv je, že buď musia mať zhodné práva alebo musia používať "zhodné makro". Typické je napríklad, že môžu byť odvodené od vlastného strediska používateľa, ktoré potom má každý používateľ iné a teda majú obaja používatelia nakoniec iné prístupové práva k riadkom.

Ako je vhodné konštruovať názov profilu?

Názov by mal zohľadniť rolu používateľa (napr. mzdová účtovníčka, vedúci) a základnú definíciu práv k riadkom (napr. MÚ1 SJ 1 alebo Vlastné stred.). Podobne by v skratke mal byť konštruovaný kód profilu.

Aký je vzťah prístupových práv k riadkom histórie údajov?

V systéme sa rozlišujú dve základné miesta uloženia údajov (úložisko údajov) - priradenie do rozčlenenia organizácie, tzv. kmeňové priradenie (typicky Opv01) a priradenie uložené v zúčtovanej mzde (napr. detail vo Vyp01). Záleží teda na povahe objektu. Pokiaľ objekt čerpá práva z kmeňových dát, sú tieto vyhodnocované k referenčnému dátumu a k priradeniam platným k tomuto dátumu v tej podobe, ako sú teraz v databáze.

U objektov čerpajúcich práva zo zúčtovaných miezd je situácia zložitejšia. Zatiaľ čo formuláre používajú kmeňové priradenie, pri zostavách je situácia zložitejšia.

Vzťah zostavy zo zúčtovaných miezd k prístupovým právam k riadkom môže byť nasledovný:

§ Zostava vyhodnocuje práva čo najdetailnejšie, teda vychádza z toho, aké boli jednotlivé priradenia PV do štruktúr, SJ a SO v okamžiku výpočtu mzdy v danom období (Rek02p, Rek05p, ...)

§ Zostava vyhodnocuje práva k riadku síce detailne, ale z kmeňovej t.j. súčasnej definície priradenia (Sra02, Sra03, Vyp09, ...)

§ Zostava vyhodnocuje prístupové práva, ale len na úroveň priradenia na SJ, SO s rešpektovaním chránených osôb. Prioritou je u takto postavenej zostavy jej úplnosť. Je potom vecou správcu, či používateľovi, ktorý napríklad nemá práva na celú SJ zostavu pridelí alebo nie.
(Evs10, Evs11, Rek01, Rek02, Rek03, Rek04, Rek05, Rek06, ...)

§ Zostava práva k riadkom nevyhodnocuje, inými slovami, zostava má zmysel len v úplnosti alebo vôbec.

Nakoniec treba ešte poznamenať, že definícia práv historicky nie je sledovaná. Je použitá taká definícia riadkových práv v profile, akú ju zobrazuje formulár (Adm02, Adm01). Minulé nastavenia sa neukladajú, avšak informácie o vykonaní zmien sa auditujú do Adm52.

Prístupové práva a tlačové zostavy

Z pohľadu prístupových práv k objektom je zostava jeden nedeliteľný objekt, používateľ ju buď môže alebo nemôže spustiť. Ak môže, vidí všetky položky zostavy. To je rozdiel oproti formulárom, kde u mnohých z nich je možné nastaviť práva aj na záložku, dátové formuláre a položky, a to buď na úrovni role (Adm03) alebo konfigurácie (Adm04).
Prístupové práva k riadkom sa však v zostavách uplatňujú. Väčšinou ide o práva na osoby a PV.
V niektorých prípadoch však proti sebe idú požiadavky na úplnosť zostavy oproti požiadavke na detailné premietnutie prístupových práv k riadkom.
Niektoré zostavy sú teda realizované tak, že sa v nich práva k riadkom buď zámerne nepremietajú vôbec, alebo sa premietajú napríklad len práva na SO, SJ, ale nie jemnejšie (podľa štruktúry).

Typicky sem patrí rekapitulační zostavy Rekxx. V Rek_uzdoc je u každej z nich uvedené aký režim práv k riadkom používa.
Typické zostavy s dôrazom na úplnosť sú výpisy Banxx, členené podľa dávok.

Vyhodnotenie prístupových práv k riadkom a referenčný dátum

Prístupové práva k riadkom je vyhodnocované k referenčnému dátumu.

Do budúcnosti je však tento dátum obmedzené . Dlho sme držali pravidlo, že zhora bolo obmedzené dnešným dátumom. Od verzie e201401 sme prešli na implicitnú hodnotu

dnešný dátum + 40 dní.

Ak si v organizácii chcete nastaviť iný limit , je na to určený parameter

Adm21 / Konfiguračné parametre / Limit dní vyhodnocovanie práv do budúcnosti .

Záporné hodnoty nie sú akceptované, maximum je 9999.

Toto platí pre prístup ku kmeňovým dátam, k navigačným zoznamom ( typicky navigačný zoznam Osôb / PV ), ponukovým comboboxom resp . k dátam v zostavách z inej oblasti ako sú zúčtované mzdy ( tu sa práva vyhodnocujú zo zaprotokolovaných údajov ) .

V praxi to zvyčajne umožňuje si pripravovať údaje pre budúce obdobie s použitím tých zaradenie , ktorá v budúcom období budú platné . Všetko vychádza z referenčného dátumu , ktoré si používateľ zvolí pri prihlásení resp . zmení počas práce v EGJE

7.2.2 Nastavenia prístupových práv v aplikácii

Priradenie / Vytvorenie používateľa

Ak Osoba používateľa / referenta ešte v db nie je a nemá v nej ako zamestnanec, zakladáme ju pomocou sprievodcu Adm01p. Takto ju vytvoríme ako osobu s PV so statusom 21.Používatelia referenti, zamestnanci, manažéri, ktorí sú v db už evidovaní (obvykle ako zamestnanci), nemusia mať špeciálny používateľský PV. Špecifikáciu atribútov používateľa potom zadáme pomocou formulára Adm01, resp. Adm10.

U používateľa zadáme profil a jazyk, prípadne obmedzenie na Organizáciu a pomocou zadania "Profil - autentizácia" prepojíme autentizáciu s Osobou v db. Autentizačné prihlasovacie meno (mená) zadávame v tomto (týchto) tvaroch:

Autentizácia Windows NT

WinDoména\používateľ napr. MOTOR\jigecz

Autentizácia kerberos, LDAP

uživateľ@doména napr. [email protected]

Autentizáciu používateľa buď preberá z operačného systému (SSO) alebo ju interaktívne zadá (meno heslo). Režim sú popísané v predchádzajúcej kapitole Nastavenie - configurator_egje.

U každého priradení profilu vypĺňame jazyk používateľského rozhrania.

Upozornenie: v štátnej správe všetkom vypĺňame jazyk "cs_ST" namiesto štandardného "cs".

Vytvorenie a editácia profilu

Profil vytvárame a editujeme na formulári Adm02.

7.2.2.1 V profile na prvej záložke definujeme typ prihlásenia a prístupové práva k riadkom:

· Typ prihlásenia - rozlíšenie medzi personálnym prihlásením sa ku dňu a mzdárskym prihlásením sa k obdobiu.

Zároveň položka definuje ponúkanie dáta pri editácii časovo sledovaných položiek.

K dispozícii sú typy:

1 Prihlásenie k dátumu - zmena časových údajov od 1.tohoto mesiaca

2 Prihlásenie k obdobiu - zmena časových údajov od 1.zvoleného obdobia

3 Prihlásenie k dátumu - zmena časových údajov od ref.data

4 Prihlásenie k dátumu - zmena časových údajov od 1.násl.měsíce

5 Prihlásenie na obdobie - zmena časových údajov od 1.násl. obdobie

· Typ GUI - pre aké UI je profil určený. Hodnoty sú:

1 - Java a Web klient - rozhranie referent

2 - Starý Web klient

3 - Web klient - rozhranie referent

4 - Java klient - rozhranie referent

11 - HR portál - rozhranie zamestnanec samostatne predávaný produkt

12 - HR portál - rozhranie manažér samostatne predávaný produkt

21 - Iba WS - Bez prístupu do UI EGJE, prístup len webovou službou

Práva podľa SO a SJ, použité aj pre obmedzenie práv k osobám a PV

· SJ, resp. SO pre obmedzenie práv - organizácia je (resp. môže byť) rozdelená na spravované jednotky (SJ) a spravované oddiely (SO). SJ je rozdelením navonok - je náprotivkom rôznych inštitúcií typu Zdravotná poisťovňa, Finančný úrad atď.
Skladá sa z minimálne jedného SO (ale môže ich byť i viac).
SO je rozdelením pre spracovanie miezd. Pre SO definujeme výplatný termín, na SO vykonávame hromadné výpočty a uzávierky.
Upozornenie: Pre zrýchlenie spracovania práv k riadkom odporúčame SJ, SO na profile, tam kde je to možné, uvádzať, spracovanie práv je potom rýchlejšie a premietne sa aj do ponukových ComboBox SJ a SO, v ktorých je ponuka SJ alebo SO a nie osoby a PV.

· U zamestnaneckého, manažérskeho ale aj u niektorých referenčných profilov, ktoré idú cez celú organizáciu, by vyplňovanie SJ, SO viedlo k tomu, že by sa profily museli vytvárať pre každý SO zvlášť.

Aby to nutné nebolo, je pre tieto prípady vhodné použiť nastavenie atribútu "Chýbajúce práva na SJ, SO určiť z príst. Osôb / PV:" = Áno.

Pracuje to tak, že sa prejdú všetky PV, na ktoré má používateľ práva a zistí sa ich všetky SO, SJ a Legislatívy. Tieto sa potom zoberú a tvoria obmedzenia používateľa v týchto troch parametroch a tiež potom obmedzujú ponukové comboboxy SJ a SO.

· SJ (SO) sprístupniť i nezaradených - definícia má význam pre tie typy PV, ktoré sa na SO nepriraďujú (používateľ, lektor, uchádzač...). Nastavením na „Áno“ sa takéto osoby (PV) stanú viditeľnými.
(Priradenie PV k SO sa vykonáva na Opv01 záložka „Spravovaný oddiel“).

Pozn.: Pre zostavy, ktoré čerpajú z miezd a riadková práva sa u nich vyhodnocujú z miezd položka nemá význam, pretože vo mzdách sú len osoby / PV zaradené na SO.

Ďalšie podmienky obmedzenia práv k osobám a PV

· PV - režim práv k riadkom - možnosť zadať ďalšiu aditívnu podmienku k obmedzeniu pomocou SJ, SO. Môže nadobúdať tieto hodnoty:

VSE	Všetko (v rámci ďalších podmienok na SO, SJ, statusy, chránené PV)
STRU	Osoby a PV zaradené na štruktúru
STRU_PRIMO_HIST	Osoby a PV zaradené na štruktúru, prístup v celej histórii, ale max do dátumu, do kedy má prístup k osobe
ST_POD	Osoby a PV zaradené na štruktúre a podriadenej štruktúre
VL_OSO	Vlastná osoba
ST_MANA	Osoby a PV zo štruktúr, u ktorých je používateľ označený ako manažér
ST_MANA_POD	Osoby a PV zo štruktúr, u ktorých je používateľ označený ako manažér a podriadené strediská
ST_MANA_PRIMO	Od ST_MANA sa líši tým, že okrem zamestnancov, ktorým je používateľ manažérom (podľa uvedenej štruktúry) má prístup aj k manažérom priamo podriadených jednotiek. Obvykle ide o podriadených vedúcich v organizačnej štruktúre.
ST_MANA_POD_OBD	Od ST_MANA_POD sa líši tým, že vyhodnocuje, či ak zamestnanec pod používateľa patril aspoň jeden deň v období (mesiaci).
ST_MANA_OBD	dtto ale pre režim ST_MANA
ST_POD_OBD	dtto ale pre režim ST_POD
STRU_OBD	dtto ale pre režim STRU
ST_KUMUL, ST_KUMUL_POD	Inštalácia na VŠE umožňuje nastaviť ďalšie 2 režimy. V nasledujúcej Adm02 položke "PV typ štruktúry" správca vyplní 8. PV zoznam prvkov zostáva prázdny. Realizuje sa tým režim zamestnanca pod dvoma manažérmi. Predpokladá sa zadanie viacerých prvkov (stredísk) štruktúry 8 na jedno PM v Pmi01 tzn. PM pracuje pre 2 strediska. Prístup k zamestnancovi na tomto PM tak získavajú 2 manažéri 2 prvkov (stredísk) štruktúry 8.

Pozor: všetky _OBD režimy platí len pre priame priradení štruktúry použitej pre definíciu práva! Priradenie sa vykonáva na PV v Opv01 / Štruktúry.

Pozn.: Na účely práv typu *MANA* manažéra zaniknutého strediska už nepovažujeme za manažéra, ktorému patrí zaradenie a podriadení.

Inými slovami k dátumu zisťovania berieme u týchto režimov do úvahy vznik a zánik prvku (Str01).

· PV - typ štruktúry pre práva k PV
typ štruktúry (Str01)

· PV - zoznam prvkov štruktúry pre práva k PV:
Pre typ STRU, ST_POD a ST_POD_OBD sa tu uvádza kód(y) štruktúr pre obmedzenie právami.
Používa sa kód, resp. kódy oddelené čiarkou. Pre zadanie negatívnej podmienky "všetko okrem" sa pred výpočet napíše znak "!" - pozrite ďalej odsek.
Pokiaľ ponecháme hodnotu nevyplnené, berie sa štruktúra (typicky stredisko), na ktoré je zaradený prihlasujúci sa používateľ, resp. ktoré je manažérom (ST_MANA, ST_MANA_POD, ST_MANA_PRIMO, ST_MANA_OBD, ST_MANA_POD_OBD)
Pre VSE, VL_OSO a , ST_MANA, ST_MANA_POD, ST_MANA_PRIMO, ST_MANA_OBD, ST_MANA_POD_OBD položka nemá význam.

· ST_MANA * práva v režime prístup k celej histórii:

Príznak sa používa u referentov typu mzdová účtovníčka, ktorých práca má ročný charakter. Nastavenie na Áno potom referentovi navyše sprístupňuje zamestnancov, ktoré mal v aktuálnom roku aspoň jeden deň prístupné.

Tento režim je dostupný iba pre ST_MANA*. V ostatných režimoch toto nie je podporované

· PV - sprístupniť i nezaradené PV - definícia má význam pre tie typy PV, ktoré sa na štruktúru nepriraďujú (používateľ, lektor, uchádzač...). Nastavením na „Áno“ sa takéto osoby (PV) stanú viditeľnými
(Priradenie PV na štruktúru sa vykonáva na Opv01 záložka „Zaradenie do štruktúr“).

· PV - zoznam povolených statusov PV - aditívna definícia práv na základe zoznamu položky Opv01/Popis/Status vzťahu osoba org.
Častou hodnotou býva napríklad pre mzdové účtovníčky obmedzenie 1,2 (teda tá počítaná) rešp. 1,2,3.

· PV - zoznam statusov pre práva - aditívna definícia práv na základe zoznamu položky Opv01/Popis/Status - práva. Na rozdiel od minulej položky, kde číselník je v správe Elanor, u tejto položky je číselník vo správe používateľa (Jpc01 / status_prava). Pre zadanie negatívnej podmienky "všetko okrem" sa pred výpočet napíše znak "!" - pozrite ďalej odsek.

· PV - sprístupnenie chránených PV - aditívna definícia práv na základe príznaku, ktorý správca môže osobe/PV nastaviť v Adm11 / PV / Chránená osoba.

Všetky podmienky sú vyhodnocované ako "a zároveň". Nastavenie viacerých podmienok obvykle vedie k väčšej reštrikcii.

Vlastné vyhodnotenie práv k riadkom:

Vo väčšine miest aplikácie sa práva k riadkom vyhodnocujú z priebežných kmeňových dát.

Tzn. z dát formulárov Opv01 (Trvanie, Opis, Štruktúry), Str01 (Hierarchia od-do, Iné štruktúry, Manažér - osoba v EGJE).

V dátach, kde prevažuje pohľad na zúčtované mzdy, však EGJE vychádza z toho ako to bolo v tom mesiaci zúčtované.

Tzn. Vyp02 / Kópia štruktúr (podľa Str01 / Použitie štruktúry = 1-MZDY), Vyp01 (výpočet), Str05.

Ide o tieto zostavy: Aps03, Coe01, Coe05, Con24, Dan16, Evs15, Kon14, Poj02, Poj05, Poj07, Poj10, Poj32, Poj34, Poj41, Pos02, Pos32, Rek02p, Rek05p, Rek11, Rek12, Rek22, Rek23, Rek24, Rek25, Rek26, Sra03, Sra04, Sra06, Sra08, Vyk27, Vyk32, Vyk33, Vyp14, Vyp17, Vyp19, Vyp20, Vyp21, Vyp24.

Plus formuláre Vyp07, Vst01h, Slm05.

Povolenie priradiť

· PV - zoznam typov štruktúry - povolenie priradenia:
ak je prázdne, tak bez obmedzenia, ak je vyplnené zoznamom typov štruktúr (navigácia Str01) tak obmedzujú, ktoré štruktúry smie používateľ zamestnancovi priraďovať (Opv01, Opv04, Opv05)

· Preferovaný navigačný zoznam Pv
Pre profil je možné vybrať implicitný navigačný zoznam pre formuláre s týmto navigačným zoznamom (napr. Osb02, Opv01, Vyp01, Kva01, Dav01 ...)

Práva k riadkom - ďalšie objekty

(systém skupín RP je komplexnejšie popísaný v Adm_uzdoc - kapitola Adm06)

· Obmedzenie číselníkov podľa skupín RP - používateľ uvidí (obvykle v ponukových ComboBoxoch) len tie hodnoty z príslušného číselníka, ktoré sú označené touto skupinou (zoznam oddeľovaný čiarkou alebo intervaly oddelené čiarkou. Napr. 1,7-9,23-26,29, ...atď). Pre zadanie negatívnej podmienky "všetko okrem" sa pred výpočet napíše znak "!" - pozrite ďalej odsek.

· Pridať vlastnú skupinu z Org.str. - pridá ku skupinám v predchádzajúcom riadku ešte tú skupinu, ktorá je uvedená u organizačného strediska, na ktoré je používateľ zaradený.

· Obmedzenie editácie číselníkov podľa skupín ŘP - pre používateľov, ktorí editujú číselníky. Musia tu mať zoznam všetkých skupín, ktorými označené riadky v číselníku majú vidieť a editovať (inak vidia len riadky bez označenia skupinou). Pre zadanie negatívnej podmienky "všetko okrem" sa pred výpočet napíše znak "!" - pozrite ďalej odsek.

· Pridať vlastný sk. z Org.str. - editácia - dtto úvodná dvojica, ale pre účel editácia číselníkov

· Obmedzenie editácie číselníka štruktúr (zoznam typov) - zoznam typov štruktúr (navigácia Str01), ktoré používateľ smie editovať. Napr. 2,3 spôsobí, že používateľ v Str01 uvidí a môže editovať len Organizační štruktúru (2) a Pracovné miesta (3).
To môže byť skombinované s obmedzením editácie len niektorých riadkov (pomocou predchádzajúcich dvoch parametrov)

· PM - práva k PM podľa organizačnej štruktúry
nastavení na Áno spôsobí, že v navigačnom zozname pracovných miest (PM), budú iba tie PM, ktoré sú na organizačných strediskách, ku ktorým má používateľ prístup (predpokladá sa definovanie práv podľa organizačnej štruktúry). Navigačný zoznam je použitý napríklad u Pmi01, Pmi08, Pmi09.
Ak nie je položka vyplnená, obmedzenie nie je uplatňované.

· Typy dokumentov (Opv31, Rea0x) – zoznam

Parameter poskytuje možnosť zadať výpočet typov dokumentov, ktoré môže používateľ u zamestnanca resp. uchádzača vidieť a editovať.
Pre zadanie negatívnej podmienky "všetko okrem" sa pred výpočet napíše znak "!" - pozrite ďalej odsek.

· Typy dokumentov iba pre čítanie (Opv31, Rea0x) – výpočet

Parameter poskytuje možnosť zadať výpočet typov dokumentu, ktoré môže používateľ u zamestnanca, resp. uchádzača vidieť, ale nie zadávať a editovať.
Pre zadanie negatívnej podmienky "všetko okrem" sa pred výpočet napíše znak "!" - pozrite ďalej odsek.

Výpočet druhov komunikačných kontaktov (Pkz01, Osb01/2) - analogicky - zadáva sa výpočet čísel druhov, vrátane záporného výpočtu iniciovaného znakom "!". Práva k uchádzačom - navigácia

· UCHAZ - zoznam statusov - navigácia
možnosť obmedziť zobrazovaný zoznam uchádzačov pomocou zonamu statusov (čiarkami oddeľované číselné hodnoty statusu uchádzača)

Týka sa aj statusov

Práva k uchádzačom - procesné obmedzenia

· UCHAZ - zoznam statusov - smie nastaviť
možnosť zadať zoznam statusov, ktoré môže používateľ u uchádzača nastaviť/priradiť

Dochádzka – definícia verifikačnej úrovne používateľa pre oblasť dochádzky

· Úroveň editácie dochádzky – verifikačná a editačná úroveň profilu pre overenie riadku resp. pre oprávnenie prístupu k riadkom v evidencii dochádzky (DD, DZ, MV, MZ, doklady).
K dispozícií sú úrovne:
3 Zamestnanec; 13 Vedúci I.; 23 Vedúci; 33 Správca resp. mzdová účtovníčka

Zobrazenie protokolov z doch, DAV

1 - Standard (popup) (tj ako doteraz)

2 - Potlačiť zobrazovanie protokolu v dialógu tzn. nezobrazovať vôbec

3 - V EGJEWEB protokol do záložky EGJE (vo std. Klientovi popup - 1)

Typické použitie je celoobrazovkový režim terminálov s EGJEWEB.

Chýbajúce práva na SJ, SO určiť z podriadených osôb (ST *, VL_OSO)

Manažérsky / zamestnanecký profil zvyčajne býva prierezový pre celú organizáciu a nevytvárajú sa jeho varianty pre rôzne SJ / SO. Zapnutím tejto voľby je možné výpočty SJ, SO online dopočítavať pri prihlásení podľa SO, SJ zaradených manažérovi prístupných PV.

Tieto práva na SJ / SO sa potom typicky používajú v rôznych ponukových ComboBox a to v zostavách aj formulároch.

Implicitne príznak nie je zapnutý a táto aditívna akcia sa po prihlásení nevykonáva.

Odporúčané a obvyklé profily

Typ	Popis
Zamestnanec	SJ, SO nevyplnené Chýbajúce práva na SJ, SO určiť z podriadených osôb = Áno PV režim práva = VL_OSO
Manažér - osoby zo štruktúr, ktorých je manažérom	SJ, SO nevyplnené, Chýbajúce práva na SJ, SO určiť z podriadených osôb = Áno PV režim práva = ST_MANA PV Typ štruktúry = 2 (zvyčajne org. Štruktúra) Pozn. Pri každom prvku štruktúry 2 musí byť vyplnený manažér (Str01, STR02 / Manažér - Osoba v EGJE Môže aj nemusí mať prístupnú vlastnú osobu (PV - sprístupnenie chránených PV)
Manažér - dtto + manažéri podriadených stredísk	dtto PV režim práva = ST_MANA_PRIMO
Manažér - všetci podriadení	dtto PV režim práva = ST_MANA_POD
Manažér, poverená osoba - osoby zo štruktúry, na ktorú je sám zaradený	SJ, SO nevyplnené, Chýbajúce práva na SJ, SO určiť z podriadených osôb = Áno PV režim práva = STRU (resp. ST_POD pre všetky z podstredisiek) PV Typ štruktúry = 2 (zvyčajne org. Štruktúra ale môže ísť aj o inú) PV výpočet prvkov štruktúry pre STRU, ST_POD = nevyplnené
Referent mzdová účtovníčka - celý SO	SJ, SO vyplnený (môžu byť zoznamy) PV režim práva = VSE
Referent mzdová účtovníčka - priradené PV	SJ, SO pokiaľ konštantná tak vyplnený (môžu byť zoznamy) PV režim práva = ST_MANA PV Typ štruktúry = 14 - Mzdová účtovníčka Pozn. Pri každej mzdové účtovníčky tj. Prvku štruktúry 14 musí byť vyplnená väzba na osobu / používateľa tj.Str01, STR02 / Manažér - Osoba v EGJE. Tým je dosiahnuté, že profil pre viac mzdových účtovníčok môže byť jeden a napriek tomu má každá MÚ svojich zamestnancov. Zamestnanci môžu byť zaradení pod mzdovú účtovníčku (štruktúra 14): na PV v Opv01 / Štruktúry na PM v Pmi01, Str01, STR02 na Org. stredisku v Str01, STR02 U referenta tohto typu je vhodné nastaviť príznak "ST_MANA * práva v režime prístup k celej histórii:" na Áno a sprístupniť tak referentovi aj dáta zverených zamestnancov z obdobia pred vznikom PV referenta.
Iný referent - priradené PV	dtto mzdová účtovníčka, iba číslo štruktúry býva iné typicky 15 - 18 resp. 13

Výhodou použitia profilov ST_MANA pre referentov je to, že sa pre všetky (alebo aspoň skupinu) referentov daného typu môže použiť spoločný profil.

Na tento profil sa potom dajú prehľadne viazať ďalšie konfigurácie:

· Adm06 - všeobecné skupiny, skupiny ZLM, skupiny kalendárov

· Epr02 - Eproposal

· Adm02 - role zaradené na profil

· Mail - možnosť odoslať správu všetkým na profile

Pri vytvorení špeciálneho profilu pre každého pracovníka zvlášť, je potreba uvedené konfigurácie udržiavať pre každý profil samostatne a to môže byť u väčšieho počtu referentov pracné a neprehľadné.

Typicky máva taký referent profil s týmto nastavením:

SJ, SO vyplnený (môžu byť zoznamy)

PV režim práva = STRU

PV Typ štruktúry = niektorá zo štruktúr 13-18

PV zoznam prvkov štruktúry pre STRU, ST_POD

= zoznam používateľských kódov prvkov štruktúry oddelených čiarkou

Ako nakonfigurovať štruktúry, aby boli použiteľné pre prístupové práva podľa štruktúr (tj. režimy ST *).

Na Str01 je potrebné nastaviť:

Väzby medzi štruktúrami:

Ak sa zadáva štruktúra na PM, potom

"Podriadená štruktúra (vyplňam kde)" bude 3 - Pracovné miesto

a "Nadradená (vyplňam čo)" bude napr. 14 - Mzdová účtovný

Ak údaje zadávam už na Organizačným stredisku, potom

"Podriadená" bude 2 - Organizačná štruktúra.

Ak zadávame na PV (Opv01 / Štruktúry), potom v záložke Použitie štruktúry zadávame pre tú konkrétnu štruktúru (napr. 14 - Mzdová účtovníčka) hodnotu 2-KMEŇ-PV.

Pozn.: ak v Opv01 / Štruktúry smie túto štruktúru priraďovať len niekto, je možné ostatným profilom so zápisovými právom na túto záložku nastaviť zoznam Adm02 / PV - zoznam typov štruktúry - povolenie priradenie: taký, aby túto štruktúru neobsahoval.

Na štruktúrach platia zásady nepriameho priradenia. Na organizačnom stredisku teda môžem vyplniť najčastejšie hodnotu (napríklad tú Mzdovú účtovníčku do Str01 / Stru / Manažér osoba v EGJE), odchýlky potom vyplniť na PM alebo až na PV.

Tak je možné výhodne minimalizovať počet miest, kde je údaj vyplňovaný.

Pre práva typu ST_MANA *, použitého pre referentov, je možné riešiť situáciu, keď referentov je pre tú istú skupinu osôb / PV viac a sú rovnocenní. V tom prípade sa zaškrtne checkbox (napr. u tej štruktúry 14) v Str01 / Meno štruktúry a jej hladín / Smie byť paralelne viac manažérov / osôb.

Následne je potom možné v Str01 / Stru / / Manažér osoba v EGJE, zadať viac paralelných referentov.

Tento režim by sa ale nemal používať u štruktúr, použitých pre schvaľovanie (workflow podľa Adm14), preto ho neponúkame pre štruktúru 2, ktorá je takto použitá najčastejšie.

Negatívne vymedzenie prístupu k Osobám a PV

Od e201809 je možné okrem štandardného zadania "všetci, ktorí majú čosi" zadať prístupové práva k riadkom (tj. Osobám a PV) negatívne, teda "všetci, okrem tých, ktorí majú čosi".

Dáva to tak jednoduchú alternatívu k "PV - sprístupnenie chránených PV", ktoré používa atribút Adm11 / PV / "Chránená osoba / PV".

Všetci okrem umožňujeme zadať pre:

• PV - výpočet statusov pre práva

• PV - výpočet prvkov štruktúry pre STRU, ST_POD (práve a len pre tieto 2 režimy)

• Obmedzenie číselníkov podľa skupín VP

• Obmedzenie editácie číselníkov podľa skupín VP

• Typy dokumentov (Opv31, Rea0x) - zoznam: Čítanie aj zápis

• Výpočet druhov komun. kontaktov (Pkz01, Osb01 / 2)

Negatívny výpočet sa zadá tak, že sa do prvého znaku položky pre hodnotu zadá znak "!".

Teda napr. keď do "PV - výpočet statusov pre práva" zadáme napr. hodnotu "!5", potom budú prístupné tie PV, ktoré nemajú v položke Opv01 / Popis / Status práva hodnotu "5".

Znak "!" je funkčný práve a len na mieste prvého znaku a hovorí, že všetko za tým bude vyhodnotené negatívne. Nie je teda možné v rámci jednej položky kombinovať pozitívne a negatívne spracovanie.

Alternatívne vyhodnocovanie práv k osobám a PV (riadková práva offline)

Na väčších databázach je často u manažérskych a referentských prístupov dlhé úvodné otváranie okien, ktoré je spojené s načítaním navigačných zoznamov a zoznamov v combo boxoch.

Od e202109 umožňujeme riešenie, ktoré pracuje čiastočne offline, a ktoré toto načítanie a tým prvý otvorenia okien typu Wflow, Epr01, Kva01, ... výrazne urýchli.

Sprevádzkovanie je voliteľné a má viac krokov, ktoré spolu súvisia:

• na profile sa nastavuje, že profil je v oblasti riadkových práv vyhodnocovaný pomocou offline kópií dát: Adm02 / PV - práva k riadkom cez Elis51: Áno

• offline práva sú generované procesné zostavou Elis51. Jej spúšťanie zaevidujte na Adm53 a spúšťajte ju jedenkrát denne, typicky ráno alebo v noci.

Zostava má parametre:

! Spoločný číselník štruktúr - hierarchický

! Zaradenie PV do štruktúr

! manažérov štruktúr

! Kompetencie na štruktúrach

Na účely offline práv sa vyžaduje potrebné nastaviť prvé dva parametre. Priamo pri Elis51 sa to robí checkboxy, v Adm53 sa u parametrov

r_FillDataCstr, r_FillDataTpvStr nastaví / ponechá "1", ďalšie 2 je možné pre účely práv dať na "0".

Je k zváženie, u ktorých profilov offline vyhodnotenie nastaviť - primárne je to určené pre profily manažérov, resp. referentov s právami cez štruktúry (ST *). Je vhodné všetko odskúšať. Daní je, že práva sú vyhodnocované k času spustenia, resp. dokončenie zostavy Elis51. Jej častejšie spúšťanie ako 1x či dvakrát denne by mohlo pôsobiť výkonové problémy, však principiálne možné je.

Na Adm10 je záložka Štruktúry offline, ktorá dáva nahliadnuť do prvých dvoch offline úložísk, na záložke je tiež online pohľad do záznamov priradenie manažérov štruktúry. Tu sú používané online hodnoty, tj. Tie, ktoré sú tiež z iného pohľadu na Str01, STR02 / "Manažér / Osoba v EGJE".

Adm01 / Dostupná PV potom zobrazuje výsledok, tj. aké osoby / PV bude mať užívateľ na profile prístupné.

Vytvorenie a editácia role

Rolu vytvárame a editujeme na formulári Adm03.

Role s číslami 1- 499 sú v správe Elanor a sú pre používateľa needitovateľné.

Používateľské role majú vyhradený interval 500-999.

Často sa používa, že používateľ má v profile nejakú (nejaké) štandardnú rolu Elanor (1-499) a správca mu naviac priradí nejakú(é) rolu nad 500, v ktorej práva pridáva, resp. uberá oproti právam v štandardnej roli. Uberanie práv sa robí nastavením záporné hodnoty práva v používateľskej roli. Teda napríklad priradenie práva -2 „Odobratie práva zápisu a čítania“ spôsobí, že priradenie práva zápisu a čítania definované v štandardnej roli pre používateľa prestane byť platné.

Práva priraďujeme v záložke „Práva k objektom“. Tu na záložke „Objekt“ nastavujeme súhrnnú hodnotu prístupového práva - pre formuláre dvojstupňové ( 0 nič / 1 čítanie / 2 zápis a čítanie), pre zostavy a procesy jednostupňové (0 nesmie spustiť / 1 smie spustiť). S tým sa obvykle vystačí. Upozorňujeme, že súhrnná hodnota by mala obsahovať maximum z práv priradených prípadne na Podriadené objekty.

V prípade nutnosti je možné u niektorých formulárov v záložke „Podriadené objekty – editácia“ nastaviť práva i detailnejším častiam formulára (záložka, dátový formulár, položka). Práva sa tu nastavujú ako kaskáda. Teda od hrubého k jemnejšiemu. Vyhodnotenie potom pokračuje v tejto hierarchii až pokiaľ je aspoň nejaké právo ( > 0) až k úrovni položka. Pre zistenie kódových označení si správca môže príslušný formulár, ku ktorému nastavuje práva, spustiť z príkazového riadku s parametrom „-edit“ (pr. Opv01 -edit ). Následne vo formulári vidí pomenovanie jednotlivých komponent.

Tento aparát sa používa i pre selektívne priradenie hromadnej zmeny.

Štandardným režimom je, že používateľ má prístupné všetky časti formulára s výnimkou tých, ktoré mu správca zakáže buď pomocou práv (Adm03), alebo pomocou konfigurácie (Adm04)

Systém však od e201303 umožňuje tiež režimy 1 a 2. Ich voľba sa uskutoční v Adm03 položkou "Práva vnútri formulára - režim" s hodnotami

0 - Standard - podľa typu práv

1 - Implicitne žiadne práva na záložky a dátové formuláre

2 - Implicitne žiadne práva na nič vrátane položiek

Kde 0 je implicitná hodnota a indikuje štandardný režim.

Režim 1 znamená, že správca vymenúva prístupné záložky a dátové formuláre, zatiaľ čo položky dátového formulára budú prístupné všetky resp. tie, ktoré nezakáže.

V režime 2 je aj položky potrebné vymenovávať. Upozorňujeme, že ak má mať používateľ prístup aj pre zápis, je potrebné mu prideliť všetky povinné položky (indikované výkričníkom pred nadpisom) a položky, ktoré sú pre interné logiku a prípadnej kontroly nevyhnutné.

Upozorňujeme, že niektoré časti formulárov môžu mať povinné ovládacie prvky, bez ktorých nebude formulár funkčné, popr. nebude zobrazovať dáta.

Nastavenie je teda citlivou vecou. Správcovia môže pomôcť si formulár zobraziť v štandardnom klientovi z príkazového riadku s parametrom -edit, kedy uvidí interné názvy častí formulára a ľahšie sa potom v záložke Podriadené objekty - editácia zorientuje.

Pre uľahčenie sme v nových režimoch urobili automatické sprístupnenie panelov, ktoré sú tiež vo vnútornej štruktúre formulára uložené.

Nastavený režim je teda vždy potrebné vyskúšať. Nemôžeme garantovať, že všetky nastavené režimy práv budú funkčné podľa predstáv.

Používateľ môže mať práva k formuláru sprostredkované viac rolami vrátane podriadených objektov:

Od e201601 sme upravili logiku spracovanie tejto situácie.

Pred e201601 mala explicitne zadané práva na Podriadený objekt prednosť pred právami zdedenými z nadriadeného prvku.

Od e201601 sú oboje práva brána rovnocenne a ai zdedená práva, ak sú vyššie ako tie explicitne zadaná, sa môžu uplatniť.

V praxi išlo zvyčajne o vyhodnotení práv na položky, kedy v jednej úlohe bola napríklad zadaná práva na čítanie priamo na konkrétne položky

(či už to bolo v ktoromkoľvek z režimov "Práva vnútri formulára - režim" pozri vyššie)

a v druhej úlohe bolo právo na zápis na celú záložku.

Pred e201601 teda vyhodnotenie bralo prednostne tie čítacie práva zadané na jednotlivé položky,

Od e201601 zohľadňuje aj zdedené právo, vyhodnotenie berie to vyššia právo z oboch, a tým sú v tomto príklade zapisovať práva definované na celú záložku.

Od e201605 potom riešime situáciu Master tabuľka + viac detailových záložiek, keď jedna z nich je hlavná, cez ktorú sa obsluhujú dáta master tabuľky.

U Master-Detail sa zohľadnia práva aj na túto hlavnú detailovú komponentu. Pokiaľ má používateľ k hlavnému detailu práva len na čítanie, celá Master-Detail bude tiež len na čítanie. Práva z detailu sa ale nededia na ostatné prípadné záložky v detaile, dedí sa len tie práva, ktoré sú nastavené na celý Master-Detail.

Ak teda chcete napríklad nastaviť používateľovi zapisovacie práva na Str01 / Štruktúra hierarchicky / Manažér, nastavíte zapisovacie práva k MasterDetail (ZalStrHier), čítacie práva k Detail (ZalStrHierDetail) a zapisovacie práva k Manažérovi (cecstrmanaPan).

Pozn. MasterDetail (ZalStrHier) môže tiež zdediť zapisovacie práva zo záložky Štruktúra hierarchicky (ZalStrHierPanel).

7.2.3 Objekty práv konfigurácie

V minulej kapitole je popísané, ako nastavujeme práva jednotlivým používateľom. Pokiaľ však správca vie, že niektoré okno, zostavu, proces organizácia nepoužíva vôbec, je vhodné objekt zakázať konfiguráciou. Objekt takto jedným zásahom zo systému zmizne a "neprekáža" ani v komplikovaných formulároch pri priraďovaní práv (Adm03).

Vyradenie nastavujeme vo formulári Adm04 na záložke „Konfigurácia použitia“ položkou Hodnota vyradenia. Tu -1, resp. nezadané je to isté; 0 je úplné vyradenie z používania. Hodnoty 1 a 2 sú potom určitou reštrikciou použitia. 1 = objekt bude vždy len pre čítanie. 2 = vyradenie častí podľa rozpisu v spodnej časti záložky. Tu je opäť kaskádovitý princíp popísaný v priraďovaní práv do rolí.

Položky, ktoré sú v databáze alebo v položkovej repository EGJE označené ako povinné, sú teraz indikované znakom „!“ zobrazeným pred nadpisom položky.

V Adm04 potom správca môže v prípade potreby, na záložke Štruktúra práv objektu, dodefinovať ďalšie položky ako povinné („Povinnosť vyplnenia“ = Áno). U iných typov než položka, je hodnota bezpredmetná. Odporúčame obozretné zapínanie povinností!

Týmto spôsobom môže správca pridať povinnosť niektorým položkám, však nemôže ju zrušiť u tých položiek, kde je povinnosť nastavená „výrobcom“ už na úrovni databázy.

7.2.4 Zastupovanie používateľa na profile

Na formulári Adm01 nastavujeme tiež zastupovanie používateľa iným používateľom. Zastupovanie sa odohráva v rámci profilu práv. Toto priraďuje správca - zadá zastupujúcemu používateľovi profil používateľa, ktorého má zastupovať a vyberie tohto používateľa (položka Zastupovaná osoba). Doplní ešte dátumy od a do, v ktorých bude zastupovanie prebiehať.

Zastupujúcemu používateľovi potom pri prihlásení do systému pribudne ešte jeden riadok vo výbere profilov, pričom v stĺpci Profil je priradený používateľovi uvidí zastupovaného používateľa a indikáciu zastupovania „(Z)“. Pokiaľ si tento profil zvolí, systém nastaví prístupové práva tak, ako keby sa hlásil zastupovaný používateľ. Aj tak je u všetkých zmenených používateľov v priebehu tohoto session ukladané auditné potvrdenie(pečiatka) prihláseného (t.j. zastupujúceho) používateľa.

Pozn.: U mnohých organizácií je e-mail presmerovaný na zastupujúcu osobu prostriedkami mail servera.

Pokiaľ zastupovanie svojej osoby má zadávať používateľ sám, môže tak konať analogickým postupom pomocou formulára Adm15 - Zastupovanie vlastnej osoby.

Tu je navyše možnosť špecifikovať režim "Režim zastupovania a WFL e-mail ", ktorý umožní, aby aj zástupcovia dostávali určité e-mailové správy (pozri Adm_uzdoc / Adm15_popis). Parameter tiež nastavuje schvaľovacie kompetencie zastupujúceho používateľa vo Wflow.

7.2.4.1 Určenie profilu pre zastupovanie

Profil pre zastupovanie je často iný ako vlastný manažérsky profil manažéra, býva vybavený len niektorými kompetenciami.

V Adm02 k manažérskemu profilu (pr. "MANA") vyplní správca položku "Zastupovanie profilom" (je uprostred v odseku Povolenie priradiť). Keď ju nevyplní, profil sa manažérovi v Adm15 neponúka. V Adm15 sa teda manažérovi ponúkajú iba tie profily, ktoré majú v Adm02 položku zastupovanie profilom vyplnenú a tiež takto sa profil manažérovi ponúka.

Pre správcov z toho vyplýva, že musí v Adm02 u všetkých profilov, nad ktorými sa zastupovanie v organizácii používa položku "Zastupovanie profilom" vyplniť.

Ak sa v organizácii nepoužívajú rôzne profily pre zastupovanie a pre manažéra, vypĺňa správcu v Adm02 k profilu priamo ten istý profil (pr. K profilu "MANA" vyplní Zastupovanie profilom: "MANA").

7.2.5 Čiastkový (limitovaný) správca

Používateľa Adm12, Adm01p delíme na plnohodnotného správcu a na čiastkového správcu.

Plnohodnotný správca má práva pre zápis aspoň na jeden z formulárov Adm02 alebo Adm03 alebo Adm10. Čiastkový nie.

Obmedzenie čiastkového správcu:

• Ponuka profilov Adm12, Adm01p neponúka profily sa zápisovými právom na Adm02 alebo Adm03 alebo Adm10.

• Čiastkovému správcovi sa neponúkajú osoby, ktoré nejaký z takých správcovských profilov majú pridelený resp. sa mu neponúka jeho vlastná osoba

• Nemôže nikomu priradiť login, pod ktorým je akurát prihlásený (Adm01p, v Adm12 sa čiastkové správca ani nevidí)

Zhrnutie: Čiastkový správca nech má zapisové práva na Adm12, Adm01p, zatiaľ čo na ďalšie správcovské formuláre práv nech má iba čítacie alebo žiadne práva (Adm01, Adm02, Adm03, Adm10).

7.2.6 Príloha – model prístupových práv EGJE

7.2.7 Špeciálne objekty prístupových práv

Väčšina objektov prístupových práv je pomenovaná kódom formulára, zostavy, dávky zostáv, procesu alebo menu objektu. Okrem nich však existuje aj skupina špeciálnych objektov viď tabuľka.

Pre oblasť DOCH a Schvaľovanie odchýlok, je časť špeciálnych objektov popísaná v Doch_dopl_uzdoc_sk.

Objekt	Popis	Význam
Adm11mazaniSpoc	Právo mazať osoby spočítané predvlani a skôr	Všeobecne používateľ s právom zápisu v Adm11 smie mazať osoby + PV, ktoré ešte nevstúpili do miezd. Keď má používateľ tiež toto právo, smie mazať osoby, ktorých najnovší výpočet v uzavretom mesiaci je z predminulého roka alebo ešte starší.
Cep01emp	Funkčnosť zamestnanec	Skupinové objekty pre jednotlivé typové role vo funkčnosti formulára Cep01 - workflow cestovné príkazy (pozri tiež WflowAdmin)
Cep01mana	Funkčnosť manažér
Cep01pokl	Funkčnosť pokladňa
Cep01ref	Funkčnosť referent
Cep01jenObd	Používateľ smie zadať CP len do obdobia s otvorenou DOCH	Objekt zamedzí možnosť, aby používateľ zadal cestovný príkaz do obdobia so statusom VT> 2 (uzavretý).
Cep01zal0	Právo vynucuje zálohu = 0 pre možnosť "Zrušiť"	Používateľ s týmto právom nemôže vykonať storno cestovného príkazu, pokiaľ nie je vyrovnaná záloha.
CepTypVT	Prístup k VT cestovných príkazov	Prístup k sade typov výplatného termínu patriacich k cestovným príkazom (10-39) Napr. u tlačových zostáv s výberom typu VT. pozri tiež VypTypVT
Dan12email	Umožní zaslať zostavu Dan12 na mail zamestnanca	Prístup k ďalším param. zostavy Dan12, vďaka ktorým je možné zostavu zaslať na mail zamestnanca
Dav01Admin	Prístup na záznamy všetkých obstarávateľov	Objekt umožní spracovanie vstupov DAV bez obmedzenia podľa časového priradenia PV k používateľovi
Dav01Kopie	Formulár Dav01	Právo pre zobrazenie tlačidla Dav01, Vstupy, Kopírovať vstupy, štandardne sa tlačidlo nezobrazuje (až po pridaní práva)
Dav01Protokol	Prístup k protokolom výpočtov DAV	Objekt umožní používateľovi prístup na záložku Dav01, Protokoly
Dav01SadaZkrNazev	Dav01, Skrátený názov sady štruktúr z názvu	Plnenie stĺpca Dav01, Sada štruktúr, Skrátený názov (10) z položky Názov. Automaticky nie je zaradené do žiadnej zo štandardných rolí.
Dav01SmazatVse	Prístup k mazaniu všetkých záznamov	Objekt umožní používateľovi použiť tlačidlo [Zmazať vše] na záložke Dav01, Vstupy
Dav01Vratit	Prístup na funkciu Dav01- Vrátiť obstarávateľmi	Objekt umožní používateľovi použiť uvedené tlačidlo na záložke Dav01, Vstupy
Dca02rezimAllSK		Sprísnenie kontrol formulára Dca02 pre Allsk
Dca02ViceOdp	Dca02, viacej typov odpr. doby	V rámci formulára Dca02, povoľuje alternatívny názov základných tlačidiel pre začiatok a koniec odpr. doby a zobrazenie ďalšej sady tlačidiel pro začiatok a koniec odpr. doby. Nezaraďuje sa do žiadnej zo štandardných rolí.

Dcd01GenDDSLM	Povinnosť zadania ZLM pri generovaní záznamu DD	Sprísnenie správanie záložky Dcd01/Generování DD
Dcd01Korekce	Povolenie pre záložky Dcd01	Sprístupnenie záložky Dcd01, záložka Korekcie FPD
Dcd01specfunc	Špeciálna funkcia Dcd01	Povolení zmazať dennú dochádzku a denné záhlavie
Dcd01HromZmenaSlm	Prístup k hromadnej zmene ZLM na Dcd01	Zobrazenie tlačidla [Zmena ZLM] na záložke Dcd01, Prevod a uzatvorenie, pre spustenie funkcie hromadné zmeny ZLM na Dcd01, Vstupy.
Dcu06ZakazUzavrit	Používateľ nemá právo Uzatvoriť/Otvoriť dochádzku	Pri nastavení „Smie spustiť“, používateľ nemá povolené použitie tlačidiel Uzatvoriť/Otvoriť na formulári Dcu06. Právo sa automaticky nezaraďuje do žiadnej zo štandardných rolí.

Dcd01RekDniUkol	Konfigurácia Dcd01	Zobrazenie stĺpca Úloha na záložke Dcd01, Rekapitulácia dní (väzba na Úkolové mzdy).
Dcd01VzorDenOblib	Konfigurácia Dcd01	Povolenie použitia obľúbených vzor. dní na záložke Dcd01, Vstupy, Hlavička
Dcd01TypPrescas	Konfigurácia Dcd01	Povolenie aktivácie dialógu na Dcd01 pre voľbu zvýhodnenia za prácu nadčas a prácu vo sviatok
Dcd01UzavriDen	Konfigurácia Dcd01	Zobrazenie tlačidla Dcd01, Prevod a uzatvorenie, tlačidlo Nastavenie DZ ...
Dcd21fppfSmazatVse	Prístup k mazaniu všetkých záznamov Pracovného výkazu	Slúži pre sprístupnenie tlačidla [Zmazať všetko] a [Zmazať všetko pre všetky PV v navigačnom zozname] na formulári Dcd21fppf. Pri založení obj. práva, nebolo vložené do žiadnej zo štandardných rolí.
Dcd27fppfSmazatDen	Konfigurácia Dcd27fpp	Povolenie tlačidla Dcd27fppf, Výkaz Deň, Zmazať deň
Dcd27fppfSmazatVse	Konfigurácia Dcd27fpp	Povolenie tlačidla Dcd27fppf, Výkaz Deň, dialóg Zadanie výkazu, Zmazať
Dcd27fppfEditZkrNazev	Konfigurácia Dcd27fpp	Povolenie editácie stĺpca Zkrác. názov
Dcd51RekDniUkol	Konfigurácia Dcd51	Zobrazenie stĺpca Úloha na formulári Dcd51 (väzba na Úkolové mzdy).
DcgAdmin	Správca úkolových miezd	Povolenie tzv. administrátorských funkcií pre oblasť úkolových miezd správcu aplikácie u zákazníka. Tiež umožňuje uzatvorenie formulárov úkolových miezd na úroveň 2.
DcgAdminEla	Špeciálne funkcie úkolových miezd	Povolenie tzv. Administrátorských funkcií konzultanta Elanor pre oblasť úkolových miezd. Nejedná sa o funkcie viazané na právo DcgAdmin.
Dcg01Parametry	Riadenie prístupu k záložke Dcg01, Parametre výpočtu	Súčasne s právom Dcg01 umožňuje editáciu na záložke Dcg01, Parametre výpočtu. Právo automaticky zaradené do štandardných rolí 1 a 3
Dcg02SmazatVse	Hromadne zmazať výkaz	Povolenie funkcie hromadného vymazania výkazu úkolových miezd pre všetkých PV v nav. zoznamu formuláre Dcg02.
Dcm01expert	Dcm01 expert	Pôvodné nastavenie pre výpočet ZLM, ktoré v tomto formulári smie používateľ zadať. Bolo nahradené právami, ku skupinám ZLM (Adm06) Na Dca02, Dcm01 zál. Vstupy - detail potom objekt sprístupňuje zobrazenia záznamov z dokladov (pd_zdroj = 21)
Dcm01specfunc	Špeciálna funkcia Dcm01	Povolenie zmazať mesačné vstupy a mesačné záhlavia
Dcm01VstupySouhrnPrvni	Dcm01, Zobrazenie záložky Vstupy - súhrn na prvom mieste	Zobrazení záložky Vstupy - súhrn ako prvej na formulári Dcm01
Dcp01EditRezervaNeprit	Editácia plánovanej rezervy neprítomnosti	Povolenie editácie pre záznamy rezervy celozávodného voľna v Dcp01/Dcp02/Dov16
Dcs02objuzav	Objednávka stravných lístkov po uzavretí DCS	Používateľ s týmto oprávnením môže používať aktualizačné funkcie aj po uzavretí stravy podľa dátumu uzavretia stravy na Dcu02.Pri vytvorení nebolo zaradené do žiadnej zo štandardných rolí.
Dcs02ProtokolVse	Dcs02, zobraz protokoly všetkých užívateľov	Formulár Dcs02, záložka Protokoly, pri nastavení „Smie spustiť“, sa aktuálnemu užívateľovi zobrazí protokoly stravy od všetkých užívateľov za aktuálne obdobie. Automaticky nie je zaradené do žiadnej zo štandardných rolí.
Dcs02VyhodnoceniPrvni	Formulár Dcs02	Právo umožňuje pre profil/užívateľa, pri otvorení formulára Dcs02, zobraziť záložku Vyhodnotenie ako prvý – aktuálne
Dcs02ZalTypNaroku	Formulár Dcs02	Povolenie zobrazenia záložky Typ nároku na formulári Dcs02
Dcs03specfunc	Špeciálna funkcia Dcs03	Povolenie zmazať vyhodnotenie stravy
Dov056emp	Schval. dov. - funkčnosť zamestnanec	Skupinové objekty pre typové role pre workflow schvaľovania dovolenky
Dov056koor	Schval. dov. - funkčnosť koordinátor
Dov056ved	Schval. dov. - funkčnosť manažér
Dov056ved1	Schval. dov. - funkčnosť manažér 1
Dov056KalJenPlusDov	Žiadosť o dovolenku len s kladným zostatkom (IA 21)	Nedovolí používateľovi odoslať žiadosť pri prekročení v tú chvíľu vyhodnoteného nároku pozri aj Dov_uzdoc / Dov05
Dov056KalJenPlusPVol	Žiadosť o pracovné voľno len s kladným zostatkom (IA 26, 5151)	dtto
Dov056KalJenPlusPlan	Plán ZLM len s kladným zostatkom (IA 21 Dov01, IA 26, 5151 Dov02)	dtto
Dcu06ctiDOCH	Dcu06 - záznamy z DD a MV len pre čítanie	Používateľ s týmto oprávnením je obmedzený v Dcu06 tak, že môže spracovávať len vstupy zo schvaľovania, nie však vstupy z dochádzky.Tiež nemôže použitý funkcie z ponuky tlačidla [Funkcia] a tlačidla [Otvoriť] / [Uzavrieť] Pri vytvorení nebolo zaradené do žiadnej zo štandardných rolí.
Dcu06_inspektor	Dcu06 - rozšírenie položiek v dialógu (Skup. ZLM, Zdroj, Stav)	Umožňuje na editačných obrazovkách formulára Dcu06: - v názvu tlačidla pre voľbu ZLM zobraziť číselnú identifikáciu skupiny ZLM podľa Adm06 - zobraziť položky Skupina ZLM, Zdroj, Stav editácie. Pri vytvorení nebolo zaradené do nijakej zo štandardných rolí.
Dcu06Korekce	Povolenie pre funkcie Dcu06	Sprístupnenie funkcií formuláre Dcu06, Funkcie a Výbery: Korekcia FPD.
Dcu06pocitaj	Povolenie kalkulácie záznamu denné / mesačné evidencie dochádzky pri uložení na formulári Dcu06	Štandardne sa pri uložení záznamu na Dcu06 nevykonáva jeho kalkulácie (očakáva sa áut. Nočné kalkulácie alebo uzavretie), nastavením tohto práva, sa kalkulácie vykoná už pri uložení (zníženie odozvy). Pri vytvorení nebolo zaradené do žiadnej zo štandardných rolí.
Dcu06editPlSmen	Dcu06 - smie editovať plánovanú zmenu	Používateľ s týmto oprávnením je v Dcu06 na formulári Plán zmien oprávnený vykonávať zmenu zmien. Právo nie je zaradené do žiadnej zo štandardných rolí.
Dcu06nesmiUzavrit	Dcu06 - Používateľ nemá právo uzavrieť záznam	Pre neschvaľované vstupy (ZLM zo skupiny 22/23 a 24/25/26) nemožno používať tlačidlá [Uzavrieť] / [Otvoriť] Právo nie je zaradené do žiadnej zo štandardných rolí.
Dcu06nezobrazitZdroje	Dcu06 - Na formulári Dcu06 sa nezobrazí tlačidlo [Obmedzenie zdrojov]	Právo nie je zaradené do žiadnej zo štandardných rolí.
Dcu06nezobrazitFunkce	Dcu06 - Na formulári Dcu06 sa nezobrazí tlačidlo [Funkcie a výbery]	Právo nie je zaradené do žiadnej zo štandardných rolí.
Dcu06SmazatVse	Prístup na mazanie všetkých záznamov	Slúži pre sprístupnenie tlačidla [Zmazať Mesiac] na formulári Dcu06. Pri založení obj. práva, nebolo vložené do žiadnej zo štandardných rolí.
Dcu06schvalit	Prístupnosť tlačidiel [Schváliť], [Zamietnuť]	Slúži pre sprístupnenie tlačidla [Schváliť] a [Zamietnuť] na formulári Dcu06. Pri založení obj.práva, nebolo vložené do žiadnej zo štandardných rolí.
Dcu06ZobrazProtokol	Dcu06, Zobraz voľbu protokol	Pri nastavení Smie spustiť je povolené použitie ikony Protokol na formulári Dcu06. Právo sa automaticky nezaraďuje do žiadnej zo štandardných rolí.
Dcu06HromZmenaSlm	Prístup k hromadnej zmene ZLM na Dcu06	Zobrazenie tlačidla [Zmena ZLM] v ponuke Funkcie a Výbery, pre spustenie funkcie hromadné zmeny ZLM nadčasov na Dcu06. Právo sa automaticky nezaraďuje do žiadnej zo štandardných rolí.
Dov056KalNV	Žiadosť o čerpanie náhr. voľna, kontrola na saldo	Aktivácia kontroly čerpania NV na aktuálne saldo NV, pri uložení / odoslaní schvaľovanie SLM z formulára Dov05 / Dov06 / Dcu06. Odchýlka sa aj pri nesplnení podmienky, po zobrazení hlásenia, uloží / odošle. Automaticky nedoplnené do žiadnej zo štandardných rolí
Dov056KalNVJenPlus	Žiadosť o čerpanie náhr.volna, len pre kladné saldo	Aktivácia kontroly čerpania NV na aktuálne saldo NV, pri uložení / odoslaní schvaľovanie SLM z formulára Dov05 / Dov06 / Dcu06. Odchýlka sa aj pri nesplnení podmienky, po zobrazení hlásenia, neuloží / neodošle. Automaticky nedoplnené do žiadnej zo štandardných rolí.
Epr01Admin	Editácia záznamov všetkých používateľov	Objekt sprístupní pre zápis všetky Eproposal
Epr01Insp	Čítanie záznamov všetkých používateľov	Objekt sprístupní pre čítanie všetkých Eproposal (vlastné budú prístupné pre zápis)
Epr01EprPosledniho	Prístup na EPR, kde schvaľuje na status 30	Právo pridáva oprávnenie "Premietať dáta do kmeňových dát" u viditeľného Eproposal používateľovi, ktorý schvaľuje posledný krok aj keď nemá právo Epr01Admin
Epr01Protected	Prístup na chránené Eproposal	Pri novom Eproposal je možnosť vyplniť údaj "Chránené workflow".
Epr01Kopie	Prístup na Skopírovať tento Eproposal	Používateľom s týmto právom sa sprístupní záložka "Kópia" a v nej tlačidlo "Skopírovať tento Eproposal"
fDokPrivat	Prístup na všetky dokumenty PV	Objekt sprístupní aj dokumenty ktoré nie sú označené ako Verejné
fEditDochUzavDoch	Editácia dochádzky v obdobiu uzatvorenom pre dochádzku (status 3)	Povolenie viď popis
fEditDochUzavMzdy	Editácia dochádzky v obdobiu uzatvorenom pre mzdy (status 9)	Povolenie viď popis
fexportXLS	Export do Excelu	Povolenie interaktívnej funkcie exportu tabuľkového zobrazenia do Excelu (lokálne menu).
fGenKal	Generovanie kalendárov	Povolenie generovať všetky kalendáre na Vyp02
fHodOdemkni	Odomknúť hodnotenie	Povolenie odomknúť hodnotenie na Hod01
fHodZamkni	Zamknúť hodnotenie	Povolenie zamknúť hodnotenie na Hod01
fKopCis	Mesačná kópia číselníkov ZLM a štruktúr	Povolenie spustiť kopírovanie číselníkov ZLM a štruktúr na Vyp02
fKopCisSlm	Mesačná kópia číselníku ZLM	Povolenie spustiť kopírovanie číselníkov ZLM na Vyp02
fKopCisStr	Mesačná kópia štruktúr	Povolenie spustiť kopírovanie číselníkov štruktúr na Vyp02
fKopCisMulti	Mesačná kópia čís. - právo spustiť aj v multiorg.	Povolenie: Spustiť kompletné kopírovanie číselníkov u multiorganizačnej db používateľovi obmedzenému organizácií. resp. spustiť ho u jednoorganizačnej multiSJ db používateľovi obmedzenému SJ.
fKopPV	Mesačná kópia PV v rámci VT	Povolení spustiť Mesačnú kópiu PV v rámci VT na Vyp02
fLang_cs, fLang_sk, fLang_en	Jazyk používateľského rozhrania - čeština, slovenčina, angličtina	Ikona pre prepínanie jazyka: Používateľovi sa ponúkajú jednak jazyky, ktoré má priradené pomocou priradenia profilu a potom prípadne základné jazyky ("cs", "sk", "en") povolené príslušným fLang* objektom. Pokiaľ ich je viacej než jeden, má k dispozícii ikonu pro prepínanie.

fonlyHTML	Povolené iba zostavy HTML (web v záložke)	Používateľ s týmto oprávnením môže zvoliť v prípade zostavy iba formát HTML. Platí iba vtedy, keď zostava formát HTML podporuje. Zostava sa zobrazí v záložke bez ohľadu na nastavenie v Adm21
fonlyPDFplug	Povolené iba zostavy PDF (web v záložke - plugin)	Používateľ s týmto oprávnením môže zvoliť v prípade zostavy iba formát PDF. Platí iba vtedy, keď zostava formát PDF podporuje. Zostava sa zobrazí v záložke bez ohľadu na nastavenie v Adm21
fPlanSměnZobrazNeprit	Plan zmien, zobraziť neprítomnosti	Režim zobrazenia neprítomnosti z evidencie dochádzky v Dcp03. nezaradený do žiadnej zo štandardných rolí
fPvDochHist	Zobraziť v nav. zoznamu doch v histórii všetky teraz prístupné PV	Pri nastavení Smie spustiť, sa v navigačnom zozname pre historické uzavreté obdobie zobrazí aj PV, ktoré sú platné pre používateľov v aktuálnom dnu ale neboli prístupné používateľovi v historickom období. Štandardne neobsadené v žiadnej zo štandardných rolí.
fReaPrijHrom	Prijatie uchádzača - hromadné	Tlačidlo na Rea01 / Prijatie uchádzača / Prijatie všetkých uchádzačov v zozname
fReaPrijInd	Prijatie uchádzača – individuálne	Tlačidlo na Rea01 / Prijatie uchádzača / Prijatie uchádzača
fSchvalSLMPoznamka	Povinnosť vyplniť poznámku u schvaľovanej ZLM	Povinnosť vyplniť poznámku WFL pri odoslaní ZLM zo oprávnenosť Slm02.DOCH03.H-office z formulára Dov05, Dov06 alebo Dcu06.

FtpAdmin	Výmena súborov - správca	Používateľ, ktorý má toto právo, nemusí byť zaraďovaný k jednotlivým činnostiam nad zložkami výmeny dokumentov (čítanie, nahranie, zmazanie)
fUrepImpDelAll	Právo na mazanie užív.importov iných používateľov	Objekt je používaný u používateľských importných zostáv a umožní rušiť importné dávky vytvorené touto zostavou, ale iným používateľom.
fUzavMes	Mesačná uzávierka - výpočet/zrušenie	Povolení spustiť mesačnú uzávierku na Vyp02
fUzavRoc	Roční uzávierka - výpočet/zrušenie	Povolení spustiť ročnú uzávierku na Vyp02
fUziAdmin	Správa používateľských zostáv	Povolenie interaktívneho vytvárania uživ. zostáv (lokálne menu na vybraných menu objektoch navigačného menu v ľavej hornej časti std. klienta) a mazanie vlastných i cudzích zostáv
fUziCrea	Vytváranie používateľských zostáv	Povolenie interaktívneho vytvárania uživ. zostáv (lokálne menu na vybraných menu objektoch navigačného menu v ľavej hornej časti std. klienta) a mazanie vlastných zostáv
fVsechnaRazitka	V mzd. zostavách ponúkať všetky pečiatky z Opv31 typ 11	Umožňuje uvedené a je použiteľný pre pečiatky zahŕňajúce celú mzdovú učtáreň, a nie konkrétnu osobu. Objekt nie je v žiadnej štandardnej úlohu.
fVypBlok	Právo vykonávať výpočet miezd / rušenie aj pri jeho blokovaní	Hlavná mzdová účtovníčka (tj. používateľ s týmto právom) smie na Vyp02 / Blokovanie výpočet miezd blokovať ostatným, ale sama ho vykonávať môže.
fVypListHrom	Právo na hromadnú tlač výplatných lístkov	Právo pre štandardné Vyp11 (CZ), Vyp31(SK) a pre outsourcingové výplatné lístky Vyp11fq (CZ) a Vyp31fq (SK), ktoré sprístupňuje parametre pre ich hromadné spracovanie a rozosielanie.
fVypStatusAdmin	Právo nastaviť ľubovoľný status VT	Právo je uplatnené na Vyp02
fVypZrus6	Právo vrátiť späť sprístupnený VT (status 6) Právo zmazať VT (VT musí byť so štatusom < 4)	Právo je uplatnené na Vyp02
fVypZrusHrom	Hromadný výpočet a jeho zrušenie	Povolenie spustiť hromadný výpočet a jeho rušenie na Vyp01, Vyp02, Vyp03 V kombinácii iba s právom fVypStazeni sprístupňuje tlač v statuse výplatného termínu v stavoch 4 – 9.
fVypZrusInd	Individuálny výpočet a jeho zrušenie	Povolenie spustiť individuálny výpočet a jeho rušenie na Vyp01, Vyp03 Právo tiež sprístupňuje tlač výplatných tlačí v statuse výplatného termínu 5, keď ešte nie je tento sprístupnený koncovým používateľom. V kombinácii iba s právom fVypStazeni sprístupňuje tlač v statuse výplatného termínu v stavoch 4 – 9. V kombinácii s právom fVypZrusHrom sprístupňuje tlač v stavoch 1-20. (je uplatnené u štandardných VL, form. Vyp25, Vyp26, u zostáv Dan03, Das03, Vyp11, Vyp11fq, Vyp31, Vyp31fq a niektorých zákazníckych VL)
fVypStazeni	Možnosť stiahnutia Výplatnej pásky v stavoch 4-9	Právo umožní stiahnutie výplatnej pásky zamestnancov v stave výpočtu 4-9
Gen01expimp	Export/Import z generátora dotazov	Povolení Importu a Exportu dotazu z a do súboru v Gen01.
Jpc01locEditOnly	Editácia JPC iba z lokálnych menu
Kal01GenTypDne11x12	Kal01 Aktualizovať aj pre typ dňa 11.. 17	Funkcia generovania rozpisu smien kalendára (Kal01, Adm53/33, Kal09, …). Povolenie pregenerovania záznamov s posunom zmeny (typ dňa = 11 až 17) Režim smie spustiť. Právo nezaradené do žiadnej zo štandardných rolí.
Kva06_noinsert	Zákaz vkladania/mazania na Kva06/Základné údaje	Jediné právo, ktoré funkčnosť odníma. Nastavuje Kva06 do režimu, kedy nejde zadať vzdelávacie akcie. Ty je potom potrebné zadávať iba cez Kat01.
MENU_Fav, MENU_All	Obľúbené Udalosti, dotazy, navigácia	Prvky menu, ktoré používateľ dostáva, aj keď je nemá v profilu (roli). Je ale možné je zakázať pomocou používateľskej role a práva -1 – Odňatie
nav_Pv_seznam_datnar	Navigačný zoznam Dat. narodenia, SO, kat., od, do, druh PV	Právo k navigačnému zoznamu PV (Osb02, Opv01).
nav_Pv_seznam_druh_od_do_pm	Navigačný zoznam Druh PV, od, do, PM, ORG
nav_Pv_seznam_druh_prof	Druh PV, Profesia, Org.
nav_Pv_seznam_druh_rp	Druh PV, od, do, Str. podľa riadkových práv
nav_Pv_seznam_odruh_od_do_pred	Druh PV, od, do, predp. ukon
nav_Pv_seznam_pm_so	PM, SO
nav_Pv_seznam_datnar	Navigačný zoznam Dat. narodenia, SO, kat., od, do, druh PV
nav_Pv_seznam_druh_od_do_pm	Navigačný zoznam Druh PV, od, do, PM, ORG
nav_Pv_seznam_druh_prof	Druh PV, Profesia, Org.
nav_Pv_seznam_druh_rp	Druh PV, od, do, Str. podľa r. práv
nav_Pv_seznam_odruh_od_do_pred	Druh PV, od, do, predp. ukon.
nav_Pv_seznam_pm_so	PM, SO
nav_PvD_seznam_5_str_rp	Štandard + štruktúra podľa riad. práv
nav_PvD_seznam_6_druh_so_prof	Druh PV, SO, Profesia
Nav01bezMana	Nav01 - potlačenie zobrazenia manažérov u názvu str. z Adm21/2 a 8	Reštriktívny objekt - potlačia zobrazenie manažéra u organizačnej štruktúry a projektu.
Nav01vsechnyOsoby	Nav01 - všetky Osoby / PVZ org. bez ohľadu na práva k riadkom	Držiteľ oprávnenia uvidia v Nav01 všetky osoby / PV v rámci obmedzení organizácií a nielen tie, na ktoré má práva
Nav01spojeni	Nav01 - strom -1 so služobnými e-maily a telefónmi	Reštriktívny objekt - odejme voľbu -1 Spojenie
Opv05vlaICO	Opv05 zobrazí v tabuľke na prvej stránke len osoby a PV z rovnakej IČO	reštriktívny objekt prístupových práv slúžiaci k ochrane údajov v rámci IČO. Pokiaľ ho používateľ Opv05 má, potom "Kontrola existencie zadanej osoby v databáze" zobrazuje výsledky kontroly len v rámci používateľa IČO.
Opv06fvseAdmin	Dohody VŠE - editácia záznamov všetkých používateľov	Používateľ s týmto právom môže editovať formulár Opv06fvse - Dohody VŠE - kmeň všetkých používateľov
Opv07fvseAdmin	Dohody VŠE - editácia potvrdenia všetkých používateľov	Používateľ s týmto právom môže editovať formulár Opv07fvse - Dohody VŠE - potvrdenie všetkých používateľov
Opv08fvseAdmin	Dohody VŠE - editácia rozpisov všetkých používateľov	Používateľ s týmto právom môže editovať formulár Opv08fvse - Dohody VŠE - rozpis všetkých používateľov.
Opv08fvseInsp	Dohody VŠE - čítanie rozpisov všetkých používateľov	Používateľ s týmto právom môže čítať formulár Opv08fvse - Dohody VŠE - rozpis všetkých používateľov.
Opv09fvseAdmin	Dohody VŠE - editácia súhrnov všetkých používateľov	Používateľ s týmto právom môže editovať formulár Opv09fvse - Dohody VŠE - sumár všetkých používateľov.
Opv09fvseInsp	Dohody VŠE - čítanie sumárov všetkých používateľov	Používateľ s týmto právom môže čítať formulár Opv09fvse - Dohody VŠE - sumár všetkých používateľov.
Opv02zpet	Prístup na všetky historické tarify	Opv02 zobrazuje údaje s dátumovou reštrikciou, kedy (dátumovo) používateľovi patrí. Typicky prechod zamestnanca medzi SO tj. medzi referentami. Ak chcete, aby používateľ z novej SO videl aj staré tarify, vybavte ho právom "Opv02zpet", ktoré ich sprístupnia.
Poj15email	Umožní zaslať zostavu Poj15 na mail zamestnanca	Prístup k ďalším param. zostavy Poj15, vďaka ktorým je možné zostavu zaslať na mail zamestnanca
Rtf10all	Administrácia RTF šablón	Sprístupní všetky RTF šablóny, ktoré boli v db zaevidované. Štandardne používateľ vidí len tie, ktoré sám zaevidoval.
Str01CopyTree	Právo kopírovať časť organizačnej štruktúry	viď popis - Str01 / Štruktúra hierarchicky / Detail / Kópia časti stromu
Vst10Admin	Prístup na záznamy všetkých používateľov	Prístup vo Vst10 aj na záznamy, kde nie som uvedený v položke Používateľ
Vst13Admin	Prístup na záznamy všetkých používateľov	Prístup vo Vst13 aj na záznamy, kde nie som uvedený v položke Používateľ
Vyk62Admin	Prístup na všetky žiadosti	Držiteľ práva má prístup na všetky žiadosti vo Vyk62 (v rámci práv na organizáciu a SJ, SO) ). Viď Zam_dok_uzdoc
VypTypVT	Prístup k štandardným VT	Prístup k sade typov výplatného termínu prislúchajúcich ku mzdám (<= 10) Napr. u tlačových zostáv s výberom typu VT. pozri tiež CepTypVT
WflowAdmin	Workflow administrátor	Používateľ s týmto právom môže ručne nastavovať status, ktorý je inak spravovaný Workflow (napr. Cep01 záložka Administrácia) Používateľ tiež vo formulári Wflow jednak môže vidieť všetky workflow a môže ich aj rušiť (tlačidlo Zrušiť workflow)
WflowHrom	Hromadné schvaľovanie vybr. workflow	Používateľ s týmto právom môže v schvaľovacom formulári Wflow použiť hromadné schvaľovanie na workflow 3, 4, 11-20 (U 11, 14 ale iba vlastné schválenie cesty - vr. zálohy)

8 Hromadná korešpondencia

Aparát hromadnej korešpondencie je postavený na číselníku predlôh Rtf10 a štandardných zostavách Rtf11, Rtf12, Rtf13. K týmto štandardným / vzorovým zostavám je možné v prípade potreby ďalších položiek vytvárať zákaznícke klony. V prípade java klienta a jeho správnej konfigurácii je tiež možné načítať predlohu z Rtf10 a spolu s dátami ju postúpiť MS WORD a iniciovať ich spracovanie hromadnou poštou viď kap. 8.3.

Prístupný je tiež pôvodný formulár Rtf01, ktorý umožňuje export personálnych a tarifných údajov osôb. Nie je však meniteľný a tiež nevie načítať predlohu z Rtf10 a postúpiť ju MS WORD.

Tlačidlo „Export do XLS osoba“ uloží do zvoleného súboru údaje o vybrané osobe, tlačidlo „Export do XLS všetko“ uloží údaje o všetkých osobách. Údaje sa ukladajú na záložku Data. Všetky predchádzajúce údaje sú pri exporte zo záložky vymazané.

Záložka "Personálne údaje" poskytuje údaje, bez citlivých dát mzdového charakteru, o ktoré je naopak rozšírená druhá záložka "Personálne a mzdové údaje". Záložky sú predmetom prístupových práv. Je teda rozdiel, z ktorej záložky používateľ Export volá.

Vytvorený súbor sa potom použije ako zdroj dát pre hromadnú korešpodenciu v kancelárskom balíku, ktorý podporuje jej spracovanie (typicky MS Office, OpenOffice). Súčasťou implementácie EGJE môže byť aj úprava predlôh pre hromadnú korešpondenciu.

8.1 Použitie MS Office

Pokiaľ chcete vytvoriť formulárové listy, adresné štítky, obálky, adresáre a hromadne distribuovať e-maily a faxy, použite podokno úloh „Hromadná korešpondencia“. Postupujte podľa nasledujúcich základných krokov:

Otvorte alebo vytvorte hlavný dokument.
Ako zdroj dát použite XLS súbor, do ktorého ste si vyexportovali údaje o osobách.
Pridajte alebo upravte zlučovacie pole v hlavnom dokumente:
Zobrazte si panel nástrojov hromadná korešpondencia. V ňom je potom tlačidlo "Vložiť zlúčené polia"
Vykonajte zlúčenie dát zo zdroja dát do nového dokumentu a vytvorte nový zlúčený dokument.

Keď už je dokument vytvorený a upravený, je celkový postup nasledujúci:

Otvorenie formulára Rtf01 a príslušnej záložky
Prípadné vykonanie alebo načítanie výberu nad osou Pv
Vykonanie exportu do dátového xls súboru (je uvedený v záhlaví dokumentu s tým, že si formulár pamätá jeho minulé umiestnenie) tlačidlom „Export do XLS osoba“, resp. „Export do XLS všetko“.
Pozor: v túto chvíľu nesmie byť otvorený žiadny Word dokument, ktorý ho používa ako zdroj dát (neurobíte chybu, keď Word zavriete)
Otvorenie MS Word a v ňom už skôr vytvorený dokument pre hromadnú korešpodenciu s kladnou odpoveďou na dotaz o spustení SQL selectu z Data$. Nasleduje výber zdroje dát pričom v položke názov súboru (rozkliknutím šípky) si Word pamätá minulé použité zdroje - bude si teda pamätať i ten Váš, vytváraný v bode 3.
Teraz Word vykoná načítanie dát a zobrazí dokument o jednej osobe (Pv). Pokiaľ chcete vytvoriť dokument so všetkými osobami zo zdroje dát zavolajte funkciu (tlačidlo) "Zlúčiť do nového dokumentu". Vytvorený dokument potom môžete vytlačiť, resp. uložiť.

Poznámka : pokiaľ sa vo vytvorenom word dokumentu objaví hlásenie „Chyba! V zázname záhlavia nebolo nájdené pole SlučPole." najpravdepodobnejším dôvodom je to, že ste dátový súbor vyexportovali z prvej záložky, zatiaľ čo dokument používa i položky z druhej záložky.

Formát zobrazenia dátumu v MS Word. Miesto implicitného amerického formátu býva obvykle vhodné zadať u dátumového poľa formát kontinentálny.
Pr. {MERGEFIELD DAT_NAST \@ "DMYYYY"} {MERGEFIELD "DAT_UKON" \@ "dd. MM.yyyy"}
U desatinných čísel je potom obvyklé použiť formátovaný reťazec podľa nasledujúceho príkladu:.
{MERGEFIELD "CASTKA_ENC" \# "# # # ###,##"}
Prepnutie do režimu editácie kódov v MS Word vykonáte klávesmi Alt + F9.
Pozri tiež: http://www.gmayor.com/formatting_word_fields.htm

Microsoft Word, Excel a Windows sú ochranné alebo registrované ochranné známky společnosti Microsoft Corporation Inc.

8.2 Použitie OpenOffice

Hromadné listy sa v aplikácii OpenOffice.org Writer vytvárajú pomocou Sprievodcu hromadnou korešpondenciou. Ako zdroj dát pre databázu kontaktov si nastavte XLS súbor, do ktorého sa exportovali údaje o osobách. Princíp práce je rovnaký ako u MS Office.

8.3 Rtf zostavy a používateľské zostavy - priame volanie MS Office

8.3.1 Technologický predpoklad

Celý aparát vyžaduje:

· OS MS Windows

· Inštalovaný MS Office (2016, 2019, 2021), Microsoft 365

· Upravenú predlohu egje*.egje pre spúšťanie EGJE

Pro 32-bitový JVM je potrebné pridať tag

a tiež mať uvedenú knižnicu v adresári egjelib (ews predlohy).

· Pre použitie 64-bitového JVM je potrebné, aby v spúšťacom egje súboru nebolo obmedzenie na architektúru.

Tzn. <resources os="Windows" arch="x86">

</resources>

Alternatívou je zadanie arch="x86 amd64".

Upozornenie – spolupráca s 64-bitovým office nie je testovaná.

· Pri spúšťaní z bat sa do príkazového riadku dopĺňa parameter

-Djava.library.path=./egjelib

a v egjelib adresári musí byť súbor jacob-1.16.1-x86.dll

resp. jacob-1.16.1-x64.dll (pre 64-bitové JVM prostredie)

Príklad :

start javaw -splash:elanor.jpg -Xmx700m -Djava.library.path=./egjelib -cp egjelib/eman.jar;egjelib/egjelib.jar cz.elanor.eman.sgui.navig.RunGui -Cconfig_jar=egjelib/config_egje.jar

Pozn. Parametre pred cz.elanor.eman.sgui.navig.RunGui sú považované za parametre pre JVM, parametre za cz.elanor.eman.sgui.navig.RunGui sú parametre aplikácie. Pre správnu funkčnosť musí byť java.library.path nastavený ako parameter JVM.

Parameter -ea má zmysel nastavovať len v testovacom prostredí, v produkčnom by nemal byť nastavený.

8.3.2 Použitie

Aparát zostáv RTF umožňuje:

· uloženie predlohy do databázy

· zapúzdrenie konkrétnej predlohy a dátového zdroja do formy zostavy EGJE

· EGJE si Microsoft Word samo zavolá a spustí akciu pre spojení predlohy a dát

Predlohy v db sú evidované pomocou formulára Rtf10.

Štandardne používateľ môže k vlastným predlohám, ak má navyše právo Rtf10all, tak môže ku všetkým predlohám.

Výber predlohy je parametrom zostavy.

Zostava Rtf11 je potom vzorovou zostavou, ktorá poskytuje totožné dáta ako prvá záložka Rtf01. Zostava ponúka predlohy označené ako 1 - Personálne.

Zostava Rtf12 potom analogicky poskytuje totožné dáta, aké sú zobrazené na druhej záložke Rtf01. Zostava ponúka predlohy označené ako 2 - Personálne a mzdové.

Pre používateľské zostavy je potom vyhradený typ 6 - Ostatné.

Tvorba šablóny.

Šablóna sa najlepšie vytvára buď editáciou inej šablóny alebo pomocou sprievodcu (MS Word 2021, Microsoft 365)
Pre tvorbu šablóny je potrebný dátový súbor xls.
Ten získate, keď zostavu (typicky Rtf12) necháte vytvoriť ako "Výstup do XLS (len dáta)". Štandardný "Výstup do RTF" tento súbor síce tiež vytvára, ale len ako dočasný v TEMP, ktorý je po zlúčení v MS Word ihneď automaticky vymazávaný.

8.4 Hromadná korešpondencia - Dokumenty .docx ELA

Nevýhodou tradičných zostáv typu "RTF" teda napr. Rtf11, Rtf12 je:

- Menej komfortné volanie z EGJEWEB2,

- Prebieha plne v MS Word, nie je teda možné výsledok vziať a niekam uložiť,

- Java klient - technologická závislosť na správnu konfiguráciu spúšťače EGJE a na nainštalovanie správnej verzie MS Word (32/64) na stanici,

- MS Word hromadná korešpondencia nevie pracovať s hromadnými záznamy typu Štruktúry, ale iba s nenásobnými údajmi typu Struktura1, Struktura2.

Zostavy Rtf21, Rtf22 fungujú inak:

Používajú tiež DOCX predlohy, avšak ich spracovanie je čisto v aparáte EGJE.

Ten vykoná spracovanie aj pri volaní z EGJEWEB2, a tiež umožňuje (po PV "naporciované") vytvorené dokumenty ukladať do Opv31.

Dokumenty nepoužívajú "Pole" v zmysle MS Word, ale čisto textovú náhradu, pričom miesto

pr. miesto «PRIEZVISKO» resp. {MERGEFIELD "PRIEZVISKO"}

sa píše bežný text {{PRIEZVISKO}} teda v dvojitých zložených zátvorkách.

Tlač z násobných viet je umožnený pomocou riadiaceho makra {{REPEAT}}.

Viac je popísané v Rtf_uzdoc v kapitole Rtf21, Rtf22.

9 Používateľské zostavy

9.1 Schéma

Používateľské zostavy sú ukladané do databáze. Používateľ ich pripravuje v používateľskom adresári nástroja JasperSoft Studio editor a textový editor.

Firma Elanor naviac disponuje aparátom, ktorý umožní zostavu vytvorenú zákazníckou podporou Elanor odoslať zákazníkovi (správcovi) i mimo termín výdaja, resp. patche.

Celý aparát je prístupný na základe objektového práva „fUziCrea“ - „Vytváranie používateľských zostáv“.

Ďalej je vhodné, aby používateľ mal vo svojom profile zaradené tiež nejakú používateľskú rolu (>=500, Adm03, Adm02). Tú je potom možné použiť pre pridelenie práva k novovzniknutej zostave.

9.2 Popis aparátu

Používateľ buď používa volanie editorov priamo z tlačidiel na okne pre spúšťanie zostavy (keď je v režime úprav zostavy) alebo pracuje priamo nad pracovným adresárom, v ktorom súbory zostavy sú.

Používateľ potrebuje tieto pomôcky :

JasperSoft Studio - vo verzii zhodnej s verziou jasperreports používanou v systéme. Teraz:

6.6.0.

XML editor - pre editáciu súborov *.xml. Napr.:

C\:\\Program Files\\PSPad editor\\PSPad.exe

.properties editor - pre editáciu jazykovo závislých textov. Typicky

PropertiesEditor.jar

Nutné len pre tvorbu viacjazyčných zostáv, resp. úpravu textov v kópiách zostáv Elanor.

Pri editácii pomocou tlačidiel z EGJE nie je potrebné.

Pre editáciu pomocou tlačidiel na okne spustené zostavy je potrebné nastaviť cesty k editorom, ktoré sa požívajú pre upravovanie používateľských zostáv.

Menu Nastavenie / Používateľské nastavenie / parametre

JasperSoft Studio editor

XML editor

Pri upravovaní zostavy EGJE sa súbory, z ktorých sa zostava skladá, vytvorí v adresári %USER_HOME%/Dokumenty/Eman/userreports/ (pokiaľ nie je nastavené inak v „Nastavenie / Používateľské nastavenia / Adresár pre export“).

9.3 Vlastné vytvorenie a editácia zostavy

Používateľské zostavy sa vytvárajú pomocou sprievodcu, ktorý sa zobrazí po zvolení položky Nová zostáva v kontextovom menu v ľavom navigačnom paneli (uzly menu formulárov a zostáv). V prvom kroku môžeme zvoliť, či chceme vytvárať úplne novú zostavu, alebo či chceme vytvoriť kópiu existujúcej zostavy. V druhom kroku nastavíme názov zostavy, kód zostavy, menu, pod ktorým bude nová zostáva zaradená a prístupové práva pre novú zostavu. Novú zostavu vytvoríme stlačením tlačidla Dokončiť. Pokiaľ je tlačidlo Dokončiť neaktívne, znamená to, že kód zostavy nemá správny formát alebo zostáva či formulár so zvoleným kódom už existuje.

Aparát stráži, aby kód zostavy bol tvorený tromi znakmi, potom dvoma číslicami a na 6.pozici vyžaduje znak "u" (používateľ)

Neodporúčame priamo upravovať zostavy vytvorené Elanorom (na 6.pozici "f"), vždy je lepšie urobiť jej používateľský klon "u".

Ak sa však napriek tomu rozhodnete z nejakých dôvodov editovať zostavu "f", zašlite ju späť do Elanora pomocou helpdesku so stručným popisom úpravy.

Používateľské zostavy upravujeme pomocou ponuky, ktorá sa zobrazí po stlačení tlačidla „Uprav zostavu“ v spúšťacom okne zostavy. Túto voľbu obsahuje tiež kontextové menu zostavy v levom navigačnom panelu.

Tabuľka 1 - editácia používateľských zostáv

Akcia	Popis
Uprav dátový zdroj	Otvorí dátový zdroj zostavy v textovom editoru
Vytvor Jasper súbory	Vytvorí základnú verziu zostavy so štandardnou hlavičkou, pätičkou, atď. Prepíše len tie súbory, ktoré neexistujú.
Spusť JasperSoft Studio editor	Spustí editor zostáv, program JasperSoft Studio editor a otvorí v ňom aktuálnu zostavu
Kompiluj	Preloží zostavu do skompilovanej formy (xml => jasper)
Zobraz zložku	Zobrazí zložku so zostavou
Uprav názov zostavy	Umožňuje zmeniť názov zostavy
Edituj texty	Otvorí v textovom editore súbor s príponou .properties, ktorý obsahuje lokalizované texty použité v zostave.

Na záver editácie zostavy nezabudnite zostavu uložiť späť do db tlačidlom „Ulož zostavu“ !

9.3.1 Prenesenie používateľskej zostavy na inú db

Používateľskú zostavu môžete vyexportovať pomocou voľby Export zostavy z kontextového menu volaného priamo z tejto zostavy v navigačnom menu.
Do novej db ju nahráte štandardným spôsobom pomocou Adm51 (viď nasledujúca kapitola)

9.4 Distribúcia používateľskej zostavy Elanor

Používateľská zostava vytvorená firmou Elanor je distribuovaná ako jar súbor so zostavou a zmenovým scriptom
Pozn.: predtým bol prikladaný aj xml súbor zmenového scriptu, teraz je vnútri jar súboru

Súbor nahrajte do spoločného adresáre, a v Adm51 / Zmena Db / Inštalácia používateľskej zostavy spusťte ho ako zmenový script.

Ten vykoná načítanie zostavy do systému.

Zostava je k dispozícii pri ďalšom prihlásení do EGJE.

9.5 Predchádzajúce verzie zostáv

Ak sú v db uložené predchádzajúce verzie zostavy, sú k dispozícii v kontextovom menu v spodnej časti. U zostavy je zobrazené dátum vloženia resp. posledné zmeny.

Upozornenie - nie všetky zostavy označené ako používateľské (tj. písmeno f na 6.pozici sú vytvárané technológiou používateľských zostáv. Niektoré sú štandardnou súčasťou systému a popísané funkčnosti používateľských zostáv pre ne k dispozícii nie sú.

10 Inštalácia patch a výdajov pomocou utility SuperConfigurator

Táto viacúčelová utilita umožňuje:

Inštalovať (do už nainštalovaného systému EGJE) patche a výdaje
Monitorovať bežiace aplikačné servery
Spúšťať zmenové skripty resp. inštalovať používateľské zostavy na viacerých inštaláciách naraz
Generovať zmenové skripty z vybraných konfiguračných číselníkov.

Utilita neslúži k prvej inštalácii EGJE v novom prostredí.

Jazyk programu je možné nastaviť pomocou parametra EGJELANG vnútri spúšťacej dávky

pr. -DEGJELANG=en spôsobí spustenie v angličtine.

10.1 Inštalácia patche - výdaje:

informovať používateľa o nutnosti opustenia systému
zastavenie servlet kontajnera Tomcat s aplikáciou ( aplikáciami ) EGJEWEB2 a Aplikačných serverov EGJE , ktoré budú upgradované
spustenie SuperConfigurator z výdajného / patchového adresára . ( pri prvom spustení používateľom výber / zostavenie zoznamu inštaláciou - pozri ďalej 10.2.1 )

na záložke Inštalácia / Inštalácia , výdaj patche tlačidlom " ... "

vybrať adresár s patchom / výdajom ( indikovaný pomocou súboru patch.properties )

v zozname inštaláciou vybrať príslušnú / príslušné inštalácia a tlačidlom " Inštaluj vybrané " vykonať vlastnú inštaláciu

Superconfigurator vykoná inštaláciu programu a zmenového skriptu
Z inštalácia zmenového skriptu je k dispozícii protokol "patch_DB_datum.html" (ten v prípade chyby pri realizácii zmenového skriptu odovzdajte na support elanor)
Celá inštalácia sa v bodoch zapisuje do súboru egje_patch_protocol.txt

Manuálna inštalácia dokumentácie - ak je použitá položka Configurator / Všeobecné / " Http resp . Disková zložka pre help súbory " pre presmerovanie helpu na iné miesto . Rozzipujte tam doc.zip .
Manuálna inštalácia egjews - embed.jar - zákazníci používajúci server webových služieb EGJE
spustenie Tomcat a AS EGJE

V rámci inštalácie sa generuje WAR balíček webovej aplikácie. V závislosti na inštalovanej verzii Tomcatu (9.0.x alebo 10.1.x) je nutné pomocou utilitky Configurátor správne nastaviť, na ktorú verziu sa má webová aplikácia nainštalovať. Súčasne je potrebné stiahnuť zodpovedajúcu distribučnú sadu pre vybranú verziu Tomcatu, pretože v opačnom prípade sa WAR balíček nevytvorí.

Poznámka: upozorňujeme, že Tomcat Manager nevie bežiaci aplikáciu EGJEWEB2 korektne odinštalovať (lebo ju nevie úplne zastaviť). Tomcat manager je teda možné použiť len pre prvú inštaláciu aplikácie, resp. je nutné po inštalácii pomocou manageru tomcat reštartovať.

10.2 Vlastná inštalácia utility

Inštaláciu SuperConfigurátora vykonáva pracovník Elanor. Skladá sa z častí:

Výber serveru a adresára so súborovými prístupmi k aplikáciám
Úprava dávky SuperConfigurator v tomto novom adresári, nahratie aktuálnych eman.jar, egjelib.jar
Vytvorenie súboru egje_instalace.txt.
Obsahuje zoznam súborových ciest k config_egje.jar súborom.
Ak uvedieme config na klienta AS, je tento server v SuperConfiguratoru potom zobrazovaný na záložke Monitor Serverov. A naopak, ak uvedieme štd.klienta bez AS, alebo vlastný AS (tj. config s DB pripojením) je potom zobrazovaný na záložke Inštalácia a umožňuje cez toto pripojenie inštalovať patche/výdaje (časť zmenový skript).

Pre monitorovanie web aplikácie je potrebné uviesť jej http adresu.

Predpokladom je cesta na program java. U OS Windows ide o java.exe, ktorý štandardná inštalácia java JRE nahráva do Windows\System32/ SysWOW64 adresára. Od verzie 8 potom do \ProgramData\Oracle\Java\javapath. Resp. je potrebné mať v Premennej prostredia / Path nastavenú cestu do adresára javaJRE\bin resp. javaJDK\bin.

Spúšťanú verziu java zistíte z príkazového riadku OS, príkazom java -version.

10.2.1 SuperConfigurator - reštrikcia spustenia pomocou Adm51

Na úrovni databázy umožňujeme správcovi pomocou 3 položiek v Adm51 / Znovuoverenie prihlásenia obmedziť funkcie SuperConfiguratoru na konkrétne db:

Možnosť vykonať zm. script pomocou SuperConfiguratoru

Povoliť export číselníkov pomocou SuperConfiguratoru

Výpočet IP adries pre prístup do SuperConfiguratoru

Je to preto, že táto správcovská utilita nepodlieha EGJE autentizácii a správca môže chcieť napr. obmedziť jej použitie len na určité IP adresy.

Prvé 2 parametre sú typu Áno / Nie a umožňujú nastaviť obmedzenia na konkrétnu činnosť, zatiaľ čo posledný parameter umožňuje obmedziť, odkiaľ sa smie utilita volať.

U obmedzenia činnosti je tlačidlo pre spustenie skriptu resp. exportu neprístupné, u obmedzenia na IP adresu má celý riadok (tj. databáza) v stĺpci Verzia aplikácie text "Neplatná IP adresa".

Implicitne je funkčnosť SuperConfiguratoru povolená.

10.2.2 Spustenie SuperConfiguratoru bez parametra

SuperConfigurator je primárne určený pre spúšťanie s parametrom, ktorým je textový súbor s výčtom konfigurácií.
Pri spustení bez parametra, má nasledujúcu funkčnosť.
Typickým spustením bez parametra je dávka SuperConfigurator.bat spustená priamo z inštalačného adresára výdajovej verzie (z patche nie, ten zvyčajne neobsahuje egjelib.jar).
Utilita jednak vedie používateľa k vytvoreniu tohto konfiguračného súboru (egje_instalace.txt), a tiež umožňuje interaktívne povýšenie war súboru egjeweb
Funkčnosť utility:
• Zostaviť súbor s inštaláciami (egje_instalace.txt)
• Vybrať už vytvorený súbor s inštaláciami - ten si potom pamätá pri ďalšom spustení (ukladanie v OS home používateľa)
• Povýšenie war súboru egjeweb - záložka "Príprava EGJEWEB.war"
tiež tu je uplatnené "chytré" vyplňovanie a predvyplňovania parametrov

10.3 Ďalšia funkčnosť

Monitorovanie

monitorovanie behu AS

v egje_instalace.txt musí byť odkaz na klientský config_egje.jar súbor, pretože v ňom je konfigurácia rmi pripojenia k serveru.

monitorovanie behu EGJEWEB

v egje_instalace.txt musí byť odkaz na web aplikáciu http(s)_adresa_web_aplikácie

Export číselníkov (3 záložky)

Princíp je taký, že export vytvorí zmenový skript.

Ten je podpísaný, aby ho nebolo možné meniť.

Skript potom používateľ môže pustiť na inej db (iných db), typicky pomocou tejto utility - záložka Spustenie zmen.skriptu.

Jednotlivé dátové oblasti

Zložky miezd (Slm01)

Vytvorí skript z celého číselníka alebo zo zoznamu ZLM (oddelených čiarkou)

Voliteľne export obsahuje aj atribúty ZLM týkajúce sa dochádzky

Pri voľbe celého číselníka pred nahraním doterajšie, k dnešnému dňu platné ZLM, ukončí (k obdobie 2000-01) a nastaví u nich Možno zhotovovať vo vstupoch = Nie

Započítateľnosti ZLM

Tiež buď pre všetky alebo iba pre niektoré započítateľnosti . Tie potom pred nahrávaním do inej db napred premazáva.

Na záver spúšťa plošnú aktualizáciu Zaradenie ZLM na základe zaradenia IA (Slm02 - tlačidlo Vykonaj aktualizáciu)

Transformácia do účtovníctva (Uct01)

Obsahuje tiež export započítateľnosti UCTO

Pred nahraním zmaže doterajšiu účtovnú tabuľku a zmaže doterajší obsah započítateľnosti UCTO.

Číselník mzdových tarifov (Cmt01)

Pred nahratím zmaže minulý obsah Taríf v tabuľkách, Zozname tabuliek, Ďalšieho rozčlenenie a tarifných stupníc.

Tarifné stupne sú ponechané, nové stupne pridávané / prepisované na základe zhody položky Tarifný stupeň.

Archív je ponechaný.

Číselník štruktúr (Str01)

Všetky alebo vybrané typy.

K dnešnému dňu platné prvky štruktúr sú pred nahraním ukončené k dátumu 1.1.2000. Väzby medzi v jednom exporte vybranými typmi sú zmazané a potom sú nahraté nové.

Export import sa teda hodí skôr pre počiatočné naplnenie resp. pre tých zákazníkov, ktorým postačuje automatické udržiavanie histórie v mzdových archívoch (Str05)

Ďalej sú prenášané dáta zo záložiek Použitie štruktúry a Meno štruktúry a jej hladín.

Dáta záložky Väzby medzi štruktúrami sú prenášané s obmedzením na tie, ktoré sú medzi typmi prenášanými v jednom exporte.

Export rozlišuje záznamy aj pomocou označenia organizácie. Ak je unikátny kód číselníka v rámci databázy (Adm31 / Ďalší konf.), je možné, že export / import z jedného prostredia ohlási chybu pri zmene organizácie u záznamu v jednom z prostredí. V tom prípade je treba pred importom z cieľového prostredia taký záznam zmazať a import opakovať.

Jednopoložkové číselníky (Jpc01)

Všetky alebo vybrané typy. Tie potom pred nahrávaním do inej db napred premazáva.

Role (zákaznícke, nad 500)

Pred nahratím zmaže minulý obsah prenášaných rolí, doterajšie úlohy, ktoré prenášané nie sú, nie sú nijako menené ani mazané.

Chybové hlášky - nastavenie ich dôležitosti

Pri voľbe "všetky" potom v cieľovej db doterajšie nastavenie najprv zmaže, inak prepisuje vybrané.

Dávky zostáv

Vždy, aj pri voľbe "všetky" iba prepisuje dávky so zhodným kódom.

Kalendáre

Exportuje vzorové dni, vzorové úseky, limity kontrol, typy zaokrúhlenie a vlastné kalendáre.

Vždy, aj pri voľbe "všetky", len pridáva do cieľových číselníkov resp. prepisuje záznamy so zhodným kódom.

Viac o exporte štruktúr

Tento export je primárne určený pre prvotné naplnenie databázy

Možno ho ale použiť aj počas užívania systému. Štruktúry si možno preniesť na testovacie prostredie, upraviť a preniesť späť.

Export z dôvodov uplatniteľnosti a sledovateľnosti väzieb prenáša väzby len medzi tými štruktúrami, ktoré sa exportu zúčastňujú.

Tiež zaradenie Osôb / PV ani iných kmeňových priradenie prenášané nie je.

Všetko je dobré si dôkladne vyskúšať v smere Ostrá => Testovacie databázy.

Štartovné exporty (záložka Exporty číselníkov III.)

Štartovný export ORG, SJ, SO, Skupín práv, Profilov - obsahuje checkboxy:

- rozšíriť o všetky štruktúry s ich rozšir. tab.

- rozšíriť o zlm a konfiguráciu doch (vr. ZLM, Kal.)

- rozšíriť o bank. cesty

Rad číselníkov je viazaný na štruktúry organizácií, SJ a SO (Adm21-Adm23).

Preto aj doterajší export štruktúr z prvej záložky Export číselníkov je riešený tak, aby čo možno najviac umožnil prenos štruktúr medzi úplne inými databázami, prenáša teda len ich základnú kostru.

Tento export je určený pre prenos medzi Testovacím (vývojovým) a produkčným prostredím, hlavne v začiatkoch implementácie. Našou snahou je preniesť z uvedených konfiguračných číselníkov, čo možno najviac.

11 Výpočet povolených formátov pre nahranie do systému

Tieto formáty sú z bezpečnostných dôvodov povoleným výpočtom formátov, ktoré je možné nahrať do systému:

docx, doc, rtf, pdf, txt, odt, xlsx, xls, xlsm, ods, xml, jpg, jpeg, png, gif, tif, tiff, pfx, cfd
Príloha A1. Inštalácia verzie Oracle

Inštaláciu EGJE do db vykonáva pracovník Elanor podľa internej metodiky.

Pri inštalácii je treba dodržať tento postup :

verzia databázy, patche
unicode kódová stránka databázové instancie (štandardná znaky a NCHAR znaky)
komponenta XML_DB
velikosť bloku (db_block_size) minimálne 8192.
inicializačný parameter open_cursors nastaviť na minimálne 1000
rola EMANOWNER
ostrá a testovacia db formou vlastníka alebo formou samostatnej inštancie
vlastník objektov versus používateľ pre pripojenie aplikácií
vlastník objektov vytvára context
používateľ pre pripojenie aplikácií vlastný trigger after logon
import

riešenie položiek LOB pri importe do iného tablespace

objekty znovu vytvárané po importe

rola EMANUSER_xxx
(pomocou procedúry ce_crea_role spustené vlastníkom objektov)

nastavenie úlohy pre aktualizáciu štatistík (Adm51 / Oracle štatistiky / Vytvoriť-Obnoviť job na aktualizáciu štatistík)
preferujeme túto úlohu pred iným nastavením zberu štatistík na úrovni db

Príloha A2. Inštalácia verzie MS SQL

Pri inštalácii je treba dodržať tento postup :

verzia databázy
kódová stránka, triedenie
autentizácia SQL server
nested triggers
Vytvorenie databázy (ostrá aj testovacia)
Vytvorenie loginov a používateľov
štruktúra a dáta

Odporúčame databázu prepnúť do režimu read_committed_snapshot on

Databáza potom používa verzovanie riadkov v TEMPDB a nepoužíva toľko zamykanie, čo je častý problém MS SQL inštalácií, kedy v štandardnom režime ak niekto do dát zapisuje, bráni tým ostatným používateľom v čítaní. Teda najčastejšie ak niekto ešte počíta, uzatvára a iný už chce z tejto dátovej oblasti tvoriť výstupy, býva často blokovaný hláškami o zamknutých dátach.

Od 8.10.2015 sme tak nastavili aj našu vzorovú db.

Staršie inštalácie, ktoré nastavenia nemajú, ho môžu nastaviť skriptom:

use [master]

alter database <DB EGJE> set single_user with rollback immediate;

alter database <DB EGJE> set multi_user;

alter database <DB EGJE> set read_committed_snapshot on with no_wait

Skript je nutné pustiť v SQL Server Management Studiu pod SQL administrátorom. Pred spustením sa musí v skripte nahradiť text <DB EGJE> skutočným názvom databázy EGJE na Vašom SQL serveri. Skript vykoná odpojenie všetkých spojení na danú DB, takže nie je vhodné ho spúšťať, ak bude DB EGJE aktívne využívaná.

Príloha B. Inštalácia programového vybavenia (štd. klient)

Inštaláciu programového vybavenia EGJE vykonáva pracovník Elanor podľa internej metodiky.

Základné body sú nasledujúce:

voľba servera

intranetový web server (doporučené)
súborový server

voľba rozvrhnutie vzťahu aplikácie - databáza

štandardné rozvrhnutie je toto:

Inštalácia predlohy pre spúšťanie std. klienta pomocou EWS

Systém EWS - EGJE Web Štart je vydávaný ako samostatná distribúcia a jeho funkčnosť je popísaná v dokumente „EWS – Dokumentácia.pdf“ v distribučnej sade EWS a tu v prílohe B..

1. Vytvorenie adresárovej štruktúry z interného inštalačného média Elanor (verze_spec / 1inst)

(Zvyčajne do dvoch adresárov pre ostrú a pre testovaciu verziu)

2. Konfigurácia web servera - sprístupniť v každej verzii adresár egje (pod názvom evokujúcim ostrú a testovaciu verziu)

3. Editácia všetkých EGJE súborov pre EGJEweb štart

Vytvorenie spúšťacieho .egje súboru pre ostré a testovacie prostredie.

Skopírujte a upravte vzorový súbor EWS \ egjevzor.egje

Obvykle stačí nastaviť správnu <jnlp codebase =

a zvážiť hodnotu max-heap-size = (cca 550m - 1000m)

a rozhodnúť sa, či používateľov generovať ikony (plocha, resp. menu Štart).

4. Spustenie konfiguračného programu pre vyplnenie pripojenie k db

a) configurator_egje.bat

Http / file adresa pre distribučné zložku - kontrola parametra už nastaveného do codebase =

editácia parametrov (pripojenie k AS resp. k db, autentizácia)

5. Editácia linkov na egje súbor v default.htm, resp. ich umiestnenia na intranet - zdôrazniť ostrú a testovaciu verziu.

(Alebo zástupca u súborového servera)

Tým je predloha hotová.

Na používateľských PC správcu spustí EWS \ EgjeWS-1.0.3.msi (akt. verziu) a tým inštaluje spúšťací runtime egje (registrácia prípony .egje a inštalácia vlastného ews programu, ktorý aplikáciu sťahuje, aktualizuje a spúšťa)..

Inštalácia - priame a dávkové spúšťanie štd. klienta EGJE

EGJE je možné spúšťať buď priamo pomocou java/javaw alebo pomocou dávkového súboru.

Toto je zvlášť výhodné pre terminálové inštalácie (typicky Citrix)

Priame spúšťanie :

· pr. zástupca resp. citrix exportované aplikácie
C:\WINDOWS\system32\javaw.exe -splash:elanor.jpg –Xmx512m -Djava.library.path=./egjelib -cp egjelib/eman.jar;egjelib/egjelib.jar cz.elanor.eman.sgui.navig.RunGui
-Cconfig_jar=egjelib/config_egje.jar
pričom „Kde začať“ je v adresári EGJE na zdieľanom disku

Pozn.: místo C:\WINDOWS\system32\javaw.exe může být volána javaw.exe z rozbaleného java.zip (viz dále java11)

· pokiaľ chcete pridať ešte spúšťacie parametre, prídu na koniec (za config_egj.jar) Př.:
-CLaF= jGoodies Plastic3D font +2 -f Dca02

Podporujeme tiež spúšťanie klienta EGJE pomocou dávkového súboru. Vzorovým dávkovým spúšťacím súborom je configurator\sample_egjew.bat.

start javaw -splash:elanor.jpg -Xmx800m -Djava.library.path=./egjelib -cp egjelib/eman.jar;egjelib/egjelib.jar cz.elanor.eman.sgui.navig.RunGui -Cconfig_jar=egjelib/config_egje.jar

exit

V oboch prípadoch je u inštalácií, kde je konfiguračných súborov viac (klient, AS, EGJEWEB), treba upraviť dávku / príkaz tak, aby ukazovala na ten správny config_egje* .jar (parameter -Cconfig).

Parameter -ea má zmysel nastavovať len v testovacom prostredí, v produkčnom by nemal byť nastavený.

Od e201611 je súčasťou inštalačného adresára verzie tiež podadresár "launcher". Ide o tretí spôsob ako EGJE java klienta na OS Windows spúšťať. Ide o dávkové spúšťanie skladajúci sa z 2 fáz - prvá je kontrola a nahranie na lokálny disk (domovský adresár používateľa ".javacache"), druhá je vlastné spustenie z lokálnej cache, teda podobný princíp ako java web štart, ale iba z namapovaného disku. Viac je v launcher\launcher_popis.txt.

Pre vzhľad JGoodies a pri spustení cez JAVA 17 sa prejavil problém s týmito vzhľadmi. Pokiaľ teda klient chce tieto vzhľady využívať je nutné pridať parameter do spúšťacieho súboru:

--add-exports=java.desktop/com.sun.java.swing.plaf.windows=ALL-UNNAMED

To isté sa musí pridať do dávkového súboru, pri spúšťaní cez dávkový súbor.

Môže byť dôležité v dávke nastaviť proxy (napr. Pre Adm24 Kurzy), viď kap. 3.3.

java 9, 11: Pri spúšťaní dávkou / príkazom / Launcher treba niektoré parametre tiež doplniť (ako parametre spusteného programu java (javaw), pred doterajšie -D):

-XX:+IgnoreUnrecognizedVMOptions --add-modules=java.xml.bind --illegal-access=permit

kde prvý parameter je použitý pre prípad, keď časť používateľov spúšťa cez javu 8 a časť cez Javu 9, 11.

java 11 a používanie html editorov v EGJE:

Html editor používajú tí, ktorí majú nastavené Áno v

Adm21 / Par.komun / HTML editory pre Wflow, Mail :, resp. HTML editory pre Popisy:

Html editor však nie je súčasťou java 11 ale java FX.

Namiesto OpenJDK 11 potom, správca rozbalí na serveri java.zip, ktorý je o html editor z java FX doplnený a v zavádzacom príkazu spustí javaw z tohto adresára.

Java 11.0.20 a 17.0.8 a vyššie:

Pre tieto Javy je potrebné zväčšiť veľkosť očakávaného MANIFEST.MF, ktorý je súčasťou eman.jar. Veľkosť sa zdvihne pridaním JVM parametra do dávkového súboru:

-Djdk.jar.maxSignatureFileSize=16000000

Inštalácia - možnosť spoločného programového vybavenia pre viacero databáz

EGJE je tiež možné používať v režime jednej inštalácie programového vybavenia s použitím voči viacerým databázam.

Štruktúra vzoru je v internom inštalačnom vzore Elanor v súbore vzorMultiDB.zip. Ide o inštaláciu, kedy jedno programové vybavenie štandardného klienta egje je používané pre viacero databáz.

Inštaláciu tohto typu je vhodné realizovať v koordinácii s pracovníkmi Elanor vykonávajúcimi inštaláciu systému.

Inštalácia - možnosť spustení štandardného klienta

· look & feel (skin) pri spustení štandardného klienta.

Správca aplikácie môže nastaviť vzhľad aplikácie platný pre všetkých používateľov. Tejto možnosti môžete využiť napr na odlíšenie testovacieho prostredia od ostrého.

Nastavená hodnota má prednosť pred používateľským nastavením v okne Zmena vzhľadu.

Realizuje sa to nastavením systémovej premennej LaF

Př. -CLaF= jGoodies Windows font +1 pro bat resp. pro JNLP (do elementu application-desc):

Možnosti:

Hodnota parametru LaF

Windows

Windows +1

Windows +2

Windows +3

Metal

Motif

jGoodies Windows

jGoodies Windows font +1

jGoodies Windows font +2

jGoodies Windows font +3

jGoodies Plastic3D

jGoodies Plastic3D font +1

jGoodies Plastic3D font +2

jGoodies Plastic3D font +3

jGoodies Plastic

jGoodies PlasticXP

Nimbus

Nimbus font +1

Nimbus font +2

Nimbus font +3

Nimbus font +4

Tiny Look&Feel - Golden

Tiny Look&Feel - Silver

Tiny Look&Feel - Plastic

Tiny Look&Feel - Forest

Tiny Look&Feel - Nightly

Tiny Look&Feel – Unicode

Tiny Look&Feel – Unicode font +1

Tiny Look&Feel – Unicode font +2

Tiny Look&Feel – Unicode font +3

Tiny Look&Feel - Golden - old ico

Tiny Look&Feel - Plastic - old ico

jGoodies Plastic3D - new ico

jGoodies Plastic3D font +1 - new ico

jGoodies Plastic3D font +2 - new ico

jGoodies Plastic3D font +3 - new ico

Ďalšie parametre

Všetky parametre Nastavenie / Lokálne nastavenia je možné nastaviť pomocou parametrov spúšťania. Aj v tomto prípade má takto správcom nastavený parameter prednosť a používateľ ho nemôže meniť. Výnimkou sú parametre s adresárovou cestou, v prípade, že táto nie je na PC používateľa platná, používateľ ju môže zmeniť.

Parametre:

s hodnotou cesty, adresára:

-cacrobat - PDF prehliadač

-cviewerRtf - RTF, DOCX, ODT prehliadač

-cviewerXls - XLS prehliadač

-cviewerTxt - TXT prehliadač

-cviewerHtml - HTML prehliadač

-cireport - JasperSoft Studio editor

-cxmleditor - XML editor

-cadresarProExport - Adresár pre export

s výpočtom hodnôt:

-cExpForm - formát exportov - povolené sú csv, xlsx, xls, (ignoruje veľkosť písmen, pokiaľ je vyplnený špatne vráti xls)

s hodnotami true/false:

-cCloEgje - zatvoriť egje bez dotazu

-cSmDirCle - chytré premazávanie adresára

-cCretSubDir - vytváranie podadresára podľa organizácie

-cRelGrFr - prenačítanie dát pri návratu na formulár

Poznámka:

Parametre lokálneho nastavenia zadávané v aplikácii sú ukladané do súboru

%USERPROFILE%\.eman\config_local_user.properties

Správca by mal mať na zreteli, že pri presune účtu používateľa v tomto súboru nemusí byť platný parameter adresarProExport a niektoré ďalšie.

Príloha C1. Inštalácia EGJEWeb2

Postup:

Inštalácia java (OpenJDK, Oracle SE Subscription JDK).

Inštalácia Tomcat 9.0.x a 10.1.x na server (Windows resp. Linux).

Pre verziu Tomcat 9.0.x odporúčame použiť minimálne verziu 9.0.102, pre verziu 10.1.x potom minimálne verziu 10.1.40.

Ak je Tomcat na OS linux, je vhodné do jeho spúšťaní pridať parameter

-Dfile.encoding=Cp1250

Najvhodnejšie miesto je súbor setenv.sh

(inak je obvykle problém s diakritikou serverových protokolov)

Na OS windows býva táto kódová stránka nastavená priamo v OS, pokiaľ nie je a je Tomcat inštalovaný ako služba, je potrebné Cp1250 nastaviť ako jej parameter (tomcat properties / Java / Java Options)

V prípade chybného kódovania textov (napr. mesiace v dátumových editoroch) treba (zvyčajne na OS Windows) nastaviť v základnom web.xml v default servletu, tj. v

<servlet-name>default</servlet-name>

parameter

<init-param>

<param-name>fileEncoding</param-name>

<param-value>UTF-8</param-value>

</init-param>

Konfigurácia pamäti pre Tomcat

(parametre pre Maximálny memory pool - Xmx)

windows v panelu Java např.:

java options len kódová stránka

Initial memory pool 768 MB

Maximum memory pool 2560 MB

Konfigurácie https komunikácie.

Konfigurácia max. veľkosti súboru pre upload aplikácie cez Tomcat-manager

súbor /webapps/manager/WEB-INF/web.xml

parameter <max-file-size> na minimálne 300 MB tj. 307200

<max-request-size> dtto

Aplikácia EGJEWeb2:

1. Vytvorenie aplikácie pre Tomcat:

Pomocou utility configurator egje (_en), ktorá je na inštalačnom médiu v adresári configurator si pripravíte config_egje.jar pre EGJEWeb2 aplikáciu.

Môžete tiež využiť už vytvorený súbor pre java klienta (AS) a len v ňom urobiť úpravy.

Pre Tomcat 10.1.x je potrebné v configurátore na záložke „Inštalácia verzie, patche“ treba nastaviť „Inštalovať na Tomcat 10: Áno“.

Vzniknutý súbor config_egje.jar umiestnite na server s Tomcat tak, aby na neho bežiaci Tomcat mal prístup.

2. Spustíte z inštalačného adresára SuperConfigurator

Zvolíte poslednú záložku "Príprava EGJEWEB2 (HR Portál) .war"

a na nej prepnete na "Prvá inštalácia" a vyplníte cestu ku config_egje.jar (cestu vyplníte z pohľadu servera Tomcat)

Do poľa "War súboru uložiť do (bez cesty - akt.složka)" vyplníte cieľovej meno aplikácie (zvyčajne sa v názve zohľadňuje prostredie - produkčné versus testovacie)

Stlačíte "Vykonaj update EGJEWEB2 * .war súboru", čo vytvorí požadovanú Tomcat aplikáciu s vstavaným odkazom na konfiguračný súbor (WEB-INF / web.xml)

Pozn. Alternatívou ku grafickému prostrediu SuperConfigurator

je dávkový súbor, ktorý vytvoríte z predlohy buildEgjeweb2Example.bat (sh) prípadne pre Tomcat 10.0.x buildEgjeweb2Example_tc10.bat(sh), v ktorom upravíte

- meno cieľového war súboru

cestu k config_egje.jar z pohľadu Tomcat

2a. Pri aktualizácii už nainštalovanej aplikácie je nutné, v závislosti na používanej verzii Tomcatu, prípadne zaškrtnúť voľbu „Inštalovať pre Tomcat 10:“

3a. Ak máte k inštalačnému prostrediu (v ktorom Vám teraz beží SuperConfigurator) pripojený aj zväzok s Tomcat, je možné do "War súboru uložiť do" dávať priamo cestu do Tomcat / webapps. Ak to takto urobíte, musí byť bezpodmienečne v okamihu, keď vykonávate akciu "Vykonaj update EGJEWEB2 * .war súboru", Tomcat vypnutý!

3b. Ak zväzok prístupný nemáte, vytvoríte war súbor a vykonáte jeho inštaláciu na Tomcat (Tomcat manager deploy). Ak inštalujete kopírovaním, musí byť tomcat vypnutý a pred nakopírováním war súboru je nutné zmazať podadresár s menom Tomcat aplikácie (vo webapps) a obsahy podadresárov temp a work. V opačnom prípade budete spúšťať mix súčasnej a minulej aplikácie!

Technické poznámky pre ručnú konfiguráciu a inštaláciu:

o celá aplikácia pre Tomcat 9 je v balíku egjeweb.war

o celá aplikácia pre Tomcat 10 je v balíku egjeweb._tc10war

o každý balík sa z ESP sťahuje zvlášť

o WAR balíčky nie sú kompatibilné s inými verziami Tomcatu, než pre ktoré boli vytvorené

o extrakcia web.xml z egjeweb.war \ WEB-INF \ web.xml

o editácia web.xml

o pridanie / konfigurácia parametrov "config_jar", ktorý je odkazom na serverový konfiguračný súbor EGJE (spravovaný pomocou Configurator)

o konfigurácia parametra "<display-name>" - umožňuje pomenovanie aplikácie viditeľné v Tomcat

o návrat súboru web.xml do egjeweb.war \ WEB-INF \ web.xml

o prípadné premenovanie egjeweb.war (zvlášť, ak je viac egje web aplikácií na

o jednom serveri)

o deploy aplikácie na servlet kontajner Tomcat (pozri časť 3b)

Dôležité upozornenie: nikdy nekopírujte celý web.xml zo starej aplikácie do novo inštalovanej! Súbor web.xml môže byť iný a na rozdiel sa príde pomerne ťažko, pretože typicky nefunguje len časť aplikácie.

Linux servery "headless"

V tejto konfigurácii je problém s exportami dát z formulára resp. exportné zostavy typu java do excelu. V prípade problémov s touto funkcionalitou skúste nastaviť systémovú java premennú

java.awt.headless=true

Typicky se to vykonáva v scripte setenv.sh

11.1.1 Rozdiely v inštalácii Tomcat 9 a Tomcat 10

V rámci distribúcie EGJE sú pre rady Tomcat 9 a 10 vydávané špecifické WAR balíčky. Dôvodom je prechod z Java EE na Jakarta EE. Pre každý Tomcat je nutné stiahnuť samostatný ZIP súbor, ktorý sa rozbalí do rovnakej zložky s distribučnou sadou EGJE. V distribučnej sade sa nachádza súbor egjeweb2.war pre Tomcat 9 a egjeweb2_tc10.war pre Tomcat 10. Ku každému balíčku existuje aj skript pre manuálnu inštaláciu: buildEgjeweb2Example.bat (.sh) a buildEgjeweb2Example_tc10.bat (.sh).

Konfigurácia v utilite Configurátor:

Pokiaľ má aplikácia bežať na Tomcate 10, je potrebné v utilite Configurátor na záložke „Inštalácia verzie, patche“ zaškrtnúť možnosť „Inštalovať na Tomcat 10: Áno“.

Inštalácia pomocouutility SuperConfigurator:

Správanie utility SuperConfigurator sa líši v závislosti od spôsobu použitia:Spustenie bez súboru so zoznamom inštalácií:

V tomto prípade je k dispozícii záložka „Príprava EGJEWEB2 (HR portál).war“.
„Prvú inštaláciu“ je nutné zadať cestu ku konfiguračnému súboru, ktorý určuje, či sa má použiť balíček pre Tomcat 9, alebo 10.
Pri voľbe možnosti „EGJEWEB2 (HR Portál) aplikácie…“ sa konfiguračný súbor nezadáva a v prípade potreby je nutné začiarknuť políčko „Inštalovať pre Tomcat 10“.

Spustenie so súborom so zoznamom inštalácií a priamou inštaláciou pre vybrané prostredie:

Výber balíčka pre Tomcat sa riadi nastavením v konfiguračnom súbore.
V tomto okne je tiež možné otvoriť configurator pre dané prostredie a previesť ďalšie nastavenia.

11.1.2 Tomcat a SSL/TLS

Niekto síce prevádzkuje v internej sieti tomcat priamo pod http protokolom, no býva obvyklé opatriť Tomcat certifikátom a používať prevádzku cez https.

Popis je napríklad na stránkach tomcat: https://tomcat.apache.org/tomcat-8.0-doc/ssl-howto.html

Protokol http na konkrétnom porte je potom možné v server.xml zakázať, alebo ho možno presmerovať na https. To sa môže robiť buď pomocou tomcat alebo pomocou reverzného proxy.

Pomocou tomcat sa to urobí tak, že sa v server xml definuje Connector s redirect (napr. 8080 na 8443) a potom sa do globálneho web.xml pridá za všetky servletové mapovanie odsek, ktorý vlastní presmerovanie robí.

typicky:

<security-constraint>

<web-resource-collection>

<web-resource-name>Restricted URLs</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

Pozn .: Nepodporujeme variantu pridávania tohto presmerovania do web.xml aplikácie.

Prevádzka EGJEWeb2 cez loadbalancer

Loadbalancer nie je súčasťou dodávky EGJE. V zásade sa mu ale nebránime a u niektorých zákazníkov ho majú nastavený.

V konfigurácii loadbalanceru nutné zohľadniť niekoľko požiadaviek

1. nastavenie správnej cesty u cookie JSESSIONID,

pozri direktíva ProxyPassReverseCookiePath

2. nastavenie správnej cesty pri hlavičke X-GWT-Module-Base:

najjednoduchší spôsob riešenia je nastavenie rovnakého relatívneho URL na loadbalanceru ako na jednotlivých web serveroch.

viď. diskusia na https://groups.google.com/forum/#!topic/google-web-toolkit/y0W90PgoVns a https://groups.google.com/forum/?fromgroups#!searchin/google-web-toolkit/proxypass$20serialization/google-web-toolkit/3wE9yWLMJo4/Mebd0XgW1EIJ

3. zviazanie klienta s databázou, na ktorom je jeho session

to je možné realizovať niekoľkými spôsobmi, vyskúšali sme variantu riadiaci sa hodnotou cookie ROUTEID

Interne sme otestovali loadbalancer Apache httpd 2.4

V konfigurácii boli povolené nasledujúce moduly

LoadModule headers_module modules/mod_headers.so

LoadModule lbmethod_bybusyness_module modules/mod_lbmethod_bybusyness.so

LoadModule lbmethod_byrequests_module modules/mod_lbmethod_byrequests.so

LoadModule lbmethod_bytraffic_module modules/mod_lbmethod_bytraffic.so

LoadModule lbmethod_heartbeat_module modules/mod_lbmethod_heartbeat.so

LoadModule proxy_module modules/mod_proxy.so

LoadModule proxy_balancer_module modules/mod_proxy_balancer.so

LoadModule proxy_http_module modules/mod_proxy_http.so

LoadModule slotmem_shm_module modules/mod_slotmem_shm.so

Celá konfigurácia loadbalancingu

BalancerMember "http://xxxsrv:8090/egjeweb2" route=xxxsrv

BalancerMember "http://xxxsrv2:8080/egjeweb2" route=xxxsrv2

ProxySet stickysession=ROUTEID

</Proxy>

Header always add Set-Cookie "ROUTEID=.%{BALANCER_WORKER_ROUTE}e; path=/" env=BALANCER_ROUTE_CHANGED

ProxyPass balancer://mycluster

ProxyPassReverse balancer://mycluster

ProxyPassReverseCookiePath / /egjeweb2/

</Location>

Bezpečnostný filter

Do aplikácie je integrovaný bezpečnostný filter Tomcat HTTP Header Security Filter.

Aplikačný web.xml obsahuje oi. tieto zabezpečovacie prvky:

- zákaz HTTP metód OPTIONS a TRACE

- nastavovanie HSTS hlavičiek v prípade prístupu cez SSL (filter httpHeaderSecurity)

HSTS filter má tieto konfiguračné parametre (config_local.properties)

z dokumentácie filtra vypisujeme:

egjeweb.httpHeaderSecurity.blockContentTypeSniffingEnabled

Should the header that blocks content type sniffing (X-Content-Type-Options) be set on every response. If already present, the header will be replaced. If not specified, the default value of false will be used.

egjeweb.httpHeaderSecurity.xssProtectionEnabled

Should the header that enables the browser's cross-site scripting filter protection (X-XSS-Protection: 1; mode=block) be set on every response. If already present, the header will be replaced. If not specified, the default value of true will be used.

egjeweb.httpHeaderSecurity.hstsEnabled

Will an HTTP Strict Transport Security (HSTS) header (Strict-Transport-Security) be set on the response for secure requests. Any HSTS header already present will be replaced. See RFC 6797 for further details of HSTS. If not specified, the default value of true will be used.

egjeweb.httpHeaderSecurity.hstsMaxAgeSeconds

The max age value that should be used in the HSTS header. Negative values will be treated as zero. If not specified, the default value of 0 will be used.

egjeweb.httpHeaderSecurity.hstsIncludeSubDomains

Should the includeSubDomains parameter be included in the HSTS header. If not specified, the default value of false will be used.

egjeweb.httpHeaderSecurity.hstsPreload

Should the preload parameter be included in the HSTS header. If not specified, the default value of false will be used. See https://hstspreload.org for important information about this parameter.

egjeweb.httpHeaderSecurity.antiClickJackingEnabled

Should the anti click-jacking header (X-Frame-Options) be set on the response. Any anti click-jacking header already present will be replaced. If not specified, the default value of true will be used

Príloha D. Inštalácia Aplikačného servera EGJE

Postup:

AS sa inštaluje ako služba realizovaná wrapperem na server s OS Windows alebo Linux/Unix. Na serveri musí byť nainštalovaná zhodná verzia prostredia java ako na klientskej stanici (pre monitorovanie pomocou jvisualvm je potrebné jej inštalovať - https://visualvm.github.io/).

Pozn.: Od e201905 môže byť AS spustený tiež pod tomcat / EGJEWeb2 (nastavenie v Configurator pozri 6.1.2 Režim Web server)

Spúšťanie, zastavenie, reštart AS je potom spoločné s web aplikácií, tzn. Tomcat manager Reload teda vykoná reload EGJEWeb2 i AS.

Server je popísaný v súbore wrapper.conf:

# Java Application

wrapper.java.command=java

#resp. je možná i konkrétna cesta k java do príslušného JRE

wrapper.java.classpath.1=../lib/wrapper.jar

wrapper.java.classpath.2=../lib/eman.jar

wrapper.java.classpath.3=../lib/egjelib.jar

wrapper.app.parameter.1=cz.elanor.eman.sgui.navig.RunServer

wrapper.app.parameter.2=-Cconfig_jar=../lib/config_egjeas.jar

wrapper.console.title=EGJEAS EMANEVMA

# Maximum Java Heap Size (in MB)

# pamätajte, že okrem tejto pamäte je potrebné počítať s pamäťou PermgenSpace
# a s pamäťou pre operačný systém. Inak sa Vám bude zdať, že AS zatuháva

wrapper.java.maxmemory=1024

#odporúčané obmedzenia log súboru

wrapper.logfile.maxsize=10m

wrapper.logfile.maxfiles=30

pre Windows

# Name of the service

wrapper.ntservice.name=EGJEAS_EMANEVMA

# Name of the service

wrapper.ntservice.name=EGJEAS_EMANEVMA

# Display name of the service

wrapper.ntservice.displayname=EgjeAS EMANEVMA

pre Linux je potrebné pridať

wrapper.java.additional.1=-Dfile.encoding=Cp1250

add wrapper.app.parameter.2=-Cconfig_jar=../lib/config_egjeas.jar

na tento súbor je potrebné mať nastavený configurator.bat a je potrebné v ňom vyplniť potrebné údaje, hlavne db pripojenie a autentizáciu.

Pokiaľ chce správca vytvoriť/použiť wrapper.conf bez odkazu na config*jar

je možné kľúčové hodnoty z neho umiestniť priamodo wrapper.conf

pr.

wrapper.app.parameter.1=cz.elanor.egjews.server.RunServerWithWS

wrapper.app.parameter.2=-CrmiPort=10089

wrapper.app.parameter.3=-CDBurl=jdbc:oracle:thin:@prgxxx:1521:egje8

wrapper.app.parameter.4=-CDBuser=eman

wrapper.app.parameter.5=-CDBpassword=lkajdfkjaoqezroqw

wrapper.app.parameter.6=-CDBOwnerPassword=eurzoqiuezroquw

wrapper.app.parameter.7=-CSQLAdapter=cz.elanor.eman.datasource.SQLOracle

wrapper.app.parameter.8=-CDBdriver=oracle.jdbc.driver.OracleDriver

wrapper.app.parameter.9=-Cauthentification=NTLogin2

wrapper.app.parameter.10=-Cdomain=XXXX

wrapper.app.parameter.11=-CdomainControllerIP=10.29.29.29

Ďalšie údaje o wrapperu sú na http://wrapper.tanukisoftware.org/

V niektorých prípadoch, zvlášť u 64-bitového linuxu je potrebné nastaviť obmedzenia reštartu AS vynúteného wrapper, tj wrapper.ping.timeout = 0

Windows service sa inštaluje pomocou dávky bin/InstallApp-NT.bat

(správa sa potom vykonáva pomocou services.msc, net start, net stop)

Odporúčame, aby service bol spúšťaný pod špeciálne vytvoreným používateľom nie pod používateľom Local System Account.

Ďalej by mal mať nastavenú premennú TEMP na nechránený existujúci adresár, do ktorého má zapisovať práva. Možno ho tiež nastaviť iba pre Javu. Pr.:

wrapper.conf:

wrapper.java.additional.1=-Djava.io.tmpdir=c:\tmp

Pri použití autentizácií mswin_* je vhodné do wrapper\lib nakopírovať z egjelib.jar knižnicu

\com\sun\jna\win32-amd64\jnidispatch.dll resp. \com\sun\jna\win32-x86\jnidispatch.dll

Keď systém knižnicu na ceste nemá, vždy ju rozbaľuje do temp adresára pod unikátnym menom a inicializuje.

Service je možné zrušiť pomocou príkazu sc delete service_name

Pr.: sc delete EGJEAS_EMANEVMA

Linux service sa inštaluje napr. takto:

vytvoriť používateľa egjeas

upraviť bin/egjeas

# Application

APP_NAME="EGJEAS_EMANEVMA"

APP_LONG_NAME="EGJEAS EMANEVMA "

RUN_AS_USER=egjeas

v /etc/init.d vytvoríme link as_emanevma na súbor v bin/egjeas
(ln -s ....resp. je možné použi service as_emanevma install)

nastaviť runlevel pomocou chkconfig

chkconfig as_emanevma on

service as_emanevma start (stop, restart,status, install, remove)

Voliteľný parameter

pomocou parametra retrydb=true

je možné iniciovať režim, v ktorom ak pri štarte AS nie je prístupná databáza, aplikácie napriek tomu nabehne a každých 10 minút potom znova skúša, či db prístupná nie je. Keď je, dokončí inicializáciu aplikácie.

Pr. wrapper.app.parameter.nn=-Cretrydb=true

Linux servery "headless"

V tejto konfigurácii je problém s exportami dát z formulára resp. exportné zostavy typu java do excelu. V prípade problémov s touto funkcionalitou skúste nastaviť systémovú java premennú

java.awt.headless=true

Typicky se to provádí ve scriptu setenv.sh

Nastavenie vykonajte vo wrapper.conf

Pr.: wrapper.java.additional.2=-Djava.awt.headless=true

Java 11.0.20 a 17.0.8 a vyššie:

Pre tieto Javy je potrebné zväčšiť veľkosť očakávaného MANIFEST.MF ktorý je súčasťou eman.jar. Veľkosť sa zdvihne pridaním Java parametra:

wrapper.java.additional.x=-Djava.awt.headless=true

Príloha E. Logovanie - AS, EGJEWEB2

Logovanie EGJE môžeme rozdeliť na prevádzkové a dátové

Aplikačný dátové logovanie je rozmiestnených na mnohých miestach podľa dátovej príslušnosti.

Pozri Adm_uzdocformuláre Adm52, Adm54 a logovacie záložky na iných formulároch Adm10, Adm11, Adm12, Adm53, Vyp01, Vyp12, Dcm01, Dcd01.

Nastavenie dĺžky uchovávania dát v týchto audítorských tabuľkách sa vykonáva v Adm21.

Tu sa ale budeme venovať prevádzkovému logovanie.

AS aj EGJEWEB2 vytvárajú textové súborové logy.

Majú prevádzkový charakter, zachytávajú prevádzkové a chybové stavy EGJE servera.

Ich tvar i názvové konvencie sú poplatné prostrediu - teda buď ide o súbor vytváraný Tanuki Wrapper, ktorý používa AS, alebo ide o štandardné logovanie kontajnera Tomcat.

Umiestnenie logov sa pre AS definuje vo wrapper.conf, Štandardne podpriečinok logs.

U EGJEWEB2 potom podľa definície Tomcat Logging. Štandardne podpriečinok logs.

Ak chce správca presmerovať logami mimo ich štandardné umiestnenie:

AS prestaví vo wrapper.conf wrapper.logfile=../logs/egje.log

EGJEWEB2 - nastavenie tomcatu:

· Úrovne logovania

Pomocou parametra log4jConfigFile je možné interné logovanie riadiť externým konfiguračným XML súborom log4j.

Možno tak napr. aj týmto spôsobom smerovať do iného súboru,

alebo pre niektoré časti nastaviť inú úroveň logovanie

(config_egje.jar / config_local_properties / parametr "log4jConfigFile")

pr. log4jConfigFile=/opt/egje/log4j.local.xml

<?xml version="1.0" encoding="UTF-8"?>
<Configuration xmlns:xi="http://www.w3.org/2001/XInclude" status="warn" >
    <Appenders>
        <Console name="Console" target="SYSTEM_OUT">
            <PatternLayout pattern="%-5p - %d{yyyy-MM-dd HH:mm:ss,SSS} - session:%X{sessionID} - wID:%X{wID} - lognameWithUid:%X{lognameWithUid} - prof: %X{kod_profilu} - db: %X{db_inst_name} - %-26.26c{1} - %m\n" />
        </Console>
       <File name="File" fileName="/opt/logs/all.log" immediateFlush="true" append="true">
            <PatternLayout pattern="%d{yyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/>
        </File>
    </Appenders>
    <Loggers>
        <logger name="cz.elanor.eman">
            <level>info</level>
        </logger>
        <logger name="cz.elanor.eman.datasource">
            <level>debug</level>
        </logger>
        …. další loggery

Upozornenie: nastavenie logovania príliš veľkého množstva informácií výrazne znižuje výkon aplikácie!

· Logovanie AS

Log AS obsahuje tiež identifikáciu používateľa (logname :).

Štandardná predloha riadku je:

· Logovanie EGJEWEB2

V logu EGJEWEB2 je 10 znakov z HTTP Session ID (session:), identifikácia okna v prehliadači (wID:) a identifikácia prihlásenia používateľa (logname:).

Štandardná predloha riadku je:

· Logovanie klienta na AS

Pomocou parametra senLog2AS je možné nastaviť, aby sa logované udalosti v klientskej časti aplikácie zasielali na server a boli následne zalogované aj na serveri. Hlášky musia mať ako na klientovi, tak na serveri nastavenú rovnakú úroveň logovania pre daný logger. Má význam nastavovať iba v Java klientovi s pripojením k AS.

(config_egje.jar / config_local_properties / parameter "sendLog2AS")

pr. sendLog2AS=true

Príloha F1. Nastavenie JRE pre servery - AS, EGJEWEB2

Odporúčame u AS a EGJEWEB2 Tomcat nastaviť parameter virtuálneho stroja

-XX:-OmitStackTraceInFastThrow

Dôvodom je to, že chybový výpis stacktrace nebýva bez tohto parametra občas úplný.

U AS sa to robí do wrapper.conf do parametrov additional

pr. wrapper.java.additional.7 = -XX: -OmitStackTraceInFastThrow

(7 je podľa súčasného počtu parametrov, patrí tam max + 1)

U tomcat sa parameter zadá takto:

linux - do setenv.sh do riadku export CATALINA_OPTS=

pr. export CATALINA_OPTS="-Dfile.encoding=Cp1250 -Xmx3000m -XX:MaxPermSize=512m -XX:-OmitStackTraceInFastThrow"

windows - ovládací program tomcat7w s parametry //ES//jmenoServeru

záložka java / Java Options - pridajte -XX:-OmitStackTraceInFastThrow

Príloha G. Monitorovanie AS pomocou JMX

Pri prevádzkovaní aplikačného servera je vhodné sledovať jeho správanie.

Základným nástrojom, ktorý povie, či je AS resp. Tomcat server pre WEB EGJE je Superconfigurator.

Je však vhodné v prípade ťažkostí mať k dispozícii nejaký diagnostický nástroj. Je možné použiť niektorý zo všeobecne používaných monitorov, ktoré sa vedia pripojiť i k java aplikácii (napr. Nagios), ale je tiež možné použiť základné monitorovanie, ktoré poskytuje JDK a to Jvisualvm resp. Jconsole.

Nevýhodou je, že sledujú len súčasný stav, zatiaľ čo pri diagnostike býva často vhodné poznať

priebeh jednolivých java pamäťou (Heap, permgen space)
thread dump z problémové doby
záznam z logu AS wrapper
export položiek z Adm52 pre príslušný deň

Užitočnou informáciou k pamäťovému nastaveniu tiež býva znalosť HW parametrov (procesory, os, veľkosť pamäte).

V nasledujúcom odseku popíšeme jednoduché permanentné monitorovanie pomocou jvisualvm + plugin

Monitor nastavíme priamo na AS servera (windows) resp. linux s grafickou nadstavbou

(resp. na inom iný počítač s graf. nadstavbou, ktorý sa pripojí k linux bez grafiky.

Inštalovať JDK ak je tam len JRE.

Do wrapper.conf pridať (ak sú 2 AS dať každému iný port)

wrapper.java.additional.1 =- Dcom.sun.management.jmxremote.port = 10984

wrapper.java.additional.2 =- Dcom.sun.management.jmxremote.ssl = false

wrapper.java.additional.3 =- Dcom.sun.management.jmxremote.authenticate = false

a reštartovať AS

z JDK / bin spusti jvisualvm

Pridať JMX connection localhost: 10984 (resp. iný server a port)

a spustiť monitorovanie (dvojklik).

Jednoduchý trace súbor možno generovať pridaním Trace Monitor pluginu:

menu Tools / Plugins / Available plugin (internet => obvykle je potrebné nastaviť proxy server a port)

Install / Tracer-Monitor Probes => restart

jvisualvm + Trace

spustiť monitorovanie

záložka Tracer zvoliť Cpu, Heap, PermGen (prípadne aj Classes + Threads)

=> Start

Kedykoľvek počas monitorovania alebo po jeho skončení je možné vykonať Export all data => uložiť ako html súbor

(Zvyčajne je v ňom potrebné odstrániť oddeľovača tisícov resp. zmeniť „.“ Na „,“, potom je možné spracovať v exceli)

Vhodné je tiež v problémovej dobe (teda napr. kedy sa nemožno prihlásiť k AS) urobiť thread dump.

Bohužiaľ nejde automatizovať pripojenie k AS po reštarte počítača alebo AS. Monitorovanie je ale vhodné v prípade riešenia problémov.

Príloha H. Monitorovanie serverových procesov na AS resp. EGJEWEB2

EGJE štandardný klient má k dispozícii jednoduchý monitor:

Príkazový riadok egje:

-logger

Otvorí sa monitorovacie okno. Potom sa spustí v EGJE konkrétnej akcie (výpočet, mes.úpravy).

A nakoniec v monitorovacom okne menu File / Save File napr. ako trace.trc

Z tohto súboru sme schopní zistiť detail akcie.

V prípade práce cez aplikačný server je to pre procesy, ktoré bežia na aplikačnom serveri (výpočet, mes. úpravy, zostava ...) zložitejšie:

Príkazový riadok egje:

-startserverlog

-logger

Otvorí sa monitorovacie okno. Potom sa spustí v EGJE konkrétna akcia (výpočet, mes. úpravy). Server ale odosiela všetko, čo na ňom v tú chvíľu prebieha.

Príkazový riadok egje:

-stopserverlog

A nakoniec v monitorovacom okne menu File / Save File napr. ako trace.trc

Pozn.: vypnutie serverového logu-stopserverlog je dôležité, inak sú monitorované všetky jeho akcie a to výrazne zvyšuje jeho záťaž.

Threaddump z AS

Príkazový riadok egje:

-threaddump

vytvorí a zobrazí threaddump z aktuálneho AS, ku ktorému je používateľ pripojený

príkaz je k dispozícii aj pre EGJEWEB2

-threaddump server:port

vytvorí a zobrazí threaddump z konkrétneho AS

-threaddump client

vytvorí a zobrazí threaddump z klientskej aplikácie nie zo servera

Zazipovaný heapdump je možno na AS/EGJEWEB2 získať analogicky. V EGJEWEB2 sa neposiela na klienta, ale zostává na web serveri ako súbor heapdump*.gz

Príloha I. Monitorovanie databázy z java klienta

Na monitorovanie je k dispozícii celý rad nástrojov výrobcu i tretích strán.

Tu uvádzame základné podporu a odkazy.

DB Oracle

trace súbory - podpora EGJE:

zistenie nastavení adresára udump (db server)
pred problémovou akciou, zostavou zadáme v príkazovom riadku egje

-trace jmeno

spustíme akciu (typicky zostavu)

-stoptrace

v udump adresári je k dispozícii trace súbor

ten interpretujeme utilitou TKPROF

napr. takto TKPROF% 1% 1.txt sys = no record =% 1.rec sort = fchela
Odporúčame databázový trace vykonávať na std. klientovi bez AS. Súborov je menej a je ľahšie sa v nich vyznať. Tiež -stoptrace funguje priamočiarejšie. U AS trace niektorých častí končí až odhlásením klienta resp. reštartom AS.

Oracle AWR

Umožňuje vygenerovať AWR Report a prípadne dáva možnosť nastaviť snímkovanie napr. na 15 minút. Je vhodné túto funkcionalitu dopredu vyskúšať.

Niekedy sa napríklad udržujú AWR podklady po dobu 5-10 dní, aby bolo možné spätne sa pozrieť na akcie, ktoré generovali (a akým spôsobom generovali) záťaž servera.

DB Microsoft SQL Server

SQL Server Profiler

Príloha J. Monitorovanie EGJEWeb2(HR portál), AS pomocou Java Melody

Webové aplikácie i AS majú vstavaný systém prevádzkového monitorovania Java Melody.

JavaMelody je nástroj na monitorovanie web aplikácií v testovacích a produkčných prostrediach. Vykonáva zber a analýzu štatistík operácií prebiehajúcich v aplikácii v závislosti na tom, ako je aplikácia používaná používateľmi.

JavaMelody má malé nároky na systémové prostriedky, preto môže byť nasadené v testovacom tak aj v produkčnom prostredí. Avšak toto zaťaženie je úmerné činnosti používateľov. Vhodnosť pre Vaše produkčné prostredie teda posúďte podľa skúseností z testovacieho.

Avšak nasadzujte ho len v prípade, že ho budete sledovať a využívať.

JavaMelody neuloží údaje o jednotlivých udalostiach, do databázy sa zaznamenávajú iba štatistiky s počtom a trvaním jednotlivých udalostí.

Domovská stránka systému: https://code.google.com/p/javamelody/

Ukážky obrazoviek sú tu: https://code.google.com/p/javamelody/wiki/Screenshots

Sprevádzkovanie - webové aplikácie:

Základná konfigurácia zapíšte do config_egje * .jar / config_local.properties

javamelody.disabled - zapne / vypne monitorovanie, (predvolená hodnota true, tzn. vypnuté)

javamelody.storage-directory - určuje názov adresára, do ktorého sa ukladajú nazbierané dáta. (predvolená hodnota javamelody)

javamelody.resolution-seconds - konfiguruje rozlíšenie grafov. Aby sa zmena parametra prejavila, je nutné zmazať uložené súbory *.rrd.

javamelody.no-database - vypne monitorovanie JDBC pripojenie a databázových dotazov.

Podrobnejší popis parametrov nájdete v dokumentácii JM na

https://code.google.com/p/javamelody/wiki/UserGuide#6._Optional_parameters

Prístup k monitorovacej stránke je možné zabezpečiť menom/heslom alebo obmedzením prístupu z určitých IP adries

javamelody.authorized-users = user1:pwd1, user2:pwd2

javamelody.allowed-addr-pattern = 192\.168\..*|123\.123\.123\.123

Upozornenie: zabezpečenie menom a heslom spôsobí narušenie autentizácie vlastnej EGJEWEB2 aplikácie, pokiaľ beží v tú chvíľu v rovnakom prehliadači.

https://code.google.com/p/javamelody/wiki/UserGuide#16._Security

Pre periodické zasielanie reportov si v <TOMCAT_HOME>/conf/server.xml vytvorte mail session určujúci SMTP server, cez ktorý sa reporty budú zasielať.

<Resource name="mail/MySession" auth="Container" type="javax.mail.Session"

mail.smtp.host="<smtp server>"

mail.smtp.user="<login>"

mail.from="[email protected]"

Do konfigurácie JM pridajte nasledujúce parametre určujúce názov mail session, adresy príjemcov a periódu zasielanie reportov

javamelody.mail-session=mail/MySession

[email protected],[email protected]

javamelody.mail-periods=week,month

https://code.google.com/p/javamelody/wiki/UserGuide#14._Weekly,_daily_or_monthly_reports_by_mail

Odsek typicky vyzerá takto:

javamelody.disabled=false

javamelody.authorized-users=admin\:heslo

[email protected],[email protected]

javamelody.mail-session=mail/MySession

javamelody.mail-periods=day,week,month

Parametre sa prejavia po reštarte webové aplikácie.

Systém implicitne ukladá svoje pracovné dáta do tomcat/temp/javamelody

Pracovné dáta sú v riadoch stoviek MB. U zaťaženejších systémov môžu byť väčšie.

Sprevádzkovanie - aplikační server:

Monitorovanie pomocou javaMelody sa nastavuje vo wrapper.conf.

Je potrebné nastaviť parametre:

Pre vlastné spustenie javamelody:

javamelody.disabled=false

Prístup je potom buď cez http - pr.

monitoring.http.port=8901

alebo cez https pr.

monitoring.https.port=8902

monitoring.https.keystore=t:/keystore

monitoring.https.password=egjeas

ostatné parametre sú spoločné s EGJEWEB - viď minulý odsek

Vo wrapper.conf sa potom predávajú aplikácii v podobe parametrov wrapper.app.parameter.nn=-C...

Pr. wrapper.app.parameter.12=-Cjavamelody.disabled=false

wrapper.app.parameter.13=-Cmonitoring.http.port=8901

wrapper.app.parameter.14=-Cjavamelody.storage-directory=/opt/egje/prub/as_eman14p/javamelody

Monitorovacia stránka je potom

http://server:8901/monitoring

Prístup k dátam:

1. Online stránka http(s)://aplikace/monitoring

Pri načítaní stránky je požadovaný používateľ a heslo

- oboje je z parametra javamelody.authorized-users

V hlavičke je možné implicitná denný pohľad zmeniť na väčšie časové obdobie.

EGJEWeb je databázová aplikácia a tak väčšina "zaujímavých" údajov je v linku

Statistics sql Details

resp. Statistics app Details

avšak problematické miesta môžu indikovať aj ďalšie tabuľky, aj u nich je zo súhrnnej tabuľky odskok do podrobnej cez link Details.

2. Periodické reporty

Systém umožňuje správcom uvedeným v javamelody.admin-emails

zasielať denné, týždenné resp. mesačné reporty, podľa toho, ktoré sú uvedené v

javamelody.mail-periods=day,week,month

Štruktúra PDF reportu je obdobná ako u online stránky, veľkosť je v jednotkách MB.

Vymazanie štatistík

Pre vymazanie štatistík zastavte, vymažte adresár so štatistikami (štandardne javamelody v adresári s dočasnými súbormi webservera) a reštartujte server.

Integrované monitorovanie viac serverov spoločne
Ak by ste mali záujem o centrálne monitorovanie aplikácií EGJE, obráťte sa na helpdesk a dodáme Vám tomcat aplikáciu javamelody.war.

Nasadenie aplikácie je popísané v https://code.google.com/p/javamelody/wiki/UserGuideAdvanced#Optional_centralization_server_setup

Vlastná inštalácia

1. Inštalovať na Tomcat javamelody.war
2. Spustiť aplikáciu ... / javamelody
3. Pridať monitorované aplikácie:

meno (bez diakritiky!) a URL adresa
meno (bez diakritiky!) a URL adresa
...
4. Spustenie aplikácie ... / javamelody potom ponúka výber monitorovanej aplikácie

Príloha J1. Monitorovanie pomocou JavaFlightRecorder

Java Flight Recorder (JFR) je diagnostický nástroj na profilovanie a diagnostiku výkonu Java aplikácií. Je integrovaný do Java Virtual Machine (JVM). Umožňuje zhromažďovať podrobné informácie o výkone a správaní spustenej Java aplikácie s minimálnym dopadom na jej výkon.

JFR zaznamenáva udalosti, ktoré sa dejú v JVM a v aplikácii, ako sú využitie procesora, pamäte, vlákna, garbage collection a ďalšie.

JFR pomáha pri diagnostike zložitých problémov, ako sú pamäťové úniky, zablokovanie vlákien a pády aplikácií.

JFR je navrhnutý tak, aby mal minimálny dopad na výkon spustenej aplikácie, takže ho možno používať aj v produkčnom prostredí.

Nastavenie sa odporúča vykonávať na riešenie problémov aplikácie.

Nastavenie pre klienta:

JFR nefunguje pre spustenie cez EgjeWebStart. EWS používa distribúciu Java, ktorá neobsahuje potrebnú oduli na spustenie JFR. Pre klienta je potrebné spúšťať dávkovým súborom s plnohodnotným JDK.

Do *.bat súboru pre spustenie EGJE pridať „-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=egje_jfr_client.jfr“ do časti k VM argumentom (pred -cp, v časti kde je napr. -Xmx).

Súbor sa vytvorí do zložky odkiaľ bola aplikácia spustená.

Nastavenie pre aplikační server:

V konfiguračnom súbore pre aplikačný server nastaviť: „wrapper.java.additional.X=-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=egje_jfr_as.jfr“ Kde wrapper.java.additional.X za 'X' dosadiť číslo voľného parametra. Číslo voľného parametra zistíte tak, že sa pozriete do konfiguračného súboru a zistíte ktoré číselné označenie už bolo použité.

Súbor sa vytvorí do zložky wrappera/bin.

AS bude potrebné reštartovať.

Nastavenie pre Tomcat:

Linux: do tomcat/bin/setenv.sh do CATALINA_OPTS zadať „-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=/path/egje_jfr_web.jfr“

Windows: do nastavenia Tomcat properties na záložke Java nastaviť do Java Options:
„-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=egje_jfr_web.jfr“.

Soubor se vytvoří do složky Tomcatu.

Príloha K. EGJE a webové služby Upozornenie

EGJE AS - štandardná či používateľská zostava volaná ako webová služba SOAP

V EGJE existuje pomerne komplikované zákaznícke rozšírenie AS EGJE o volanie ľubovoľnej zostavy ako webové služby (SOAP), pri ktorom volajúci program zostavu najprv zavolá a potom opakovane zisťuje, či je už hotová a keď áno, prevezme si bežný výstup zostavy.

Je mu venovaná samostatná dokumentácia EGJE_WS_provdoc.

EGJEWEB2 ako server webových služieb typu REST - jadro zabudované do EGJEWEB2

Štandardné EGJEWEB2 má od verzie e201709 možnosť exportovať jednoduchšie volania webovej služby REST.

Daňou za jednoduchšie volanie je ale nutnosť vytvárať špeciálne zostavy, ktorých dizajn je taký, že "stručne odpovedajú na stručný" dotaz. Pýtajú sa teda na konkrétne údaje napr. pre konkrétnu osobu (ale už nie napríklad pre všetky osoby v db).

Pre export také zostavy bol zriadený v Adm53 nový Typ AS úlohy:

3 - Webová služba REST (realizovaná užív. zostavou)

Configurator na záložke AS / Web obsahuje novú hodnotu radio prepínača "Web server", kde umožňuje pomocou checkboxov určiť, ktoré komponenty sa majú pustiť:

Spustiť EGJEWEB2 / HR portál - bežné web aplikácie.

Spustiť server Web services

Spustiť server Web services označte len v prípade, že je naozaj chcete používať. Keďže štandardný EGJEWEB2 / HR portál ide odškrtnúť, je možné urobiť aj dedikovaný server Web services, ktorý štandardné Web aplikácie spustené nemá.

Aj tieto WS sú popísané v dokumentácii EGJE_WS_provdoc.

V prípade záujmu o konkrétnu Web službu sa obráťte na dodávateľa SW EGJE prostredníctvom ESP.

Príloha L. Viac hlášok v niektorých protokoloch

Niektoré procesy, ktoré generujú protokol zo svojho behu, umožňujú dočasne zapnúť ladiaci režim, kedy je protokol obohatený o niektoré ladiace hlášky. Tieto hlášky nie sú lokalizované (tzn. sú v slovenčine) a neslúžia na trvalé výpisy, iba pre hľadanie chyby v spolupráci s helpedeskom Elanor.

Ktorých akcií sa týka:

• Mesačná uzávierka (Vyp02)

• Výstup do účtovníctva (Uct02)

• Ročná uzávierka (Vyp02)

• Import SLM (Vst06) – plánované, ale zatiaľ nerealizované

• Prihlášky NP CZ (Poj18, Poj19), plánované, ale zatiaľ nerealizované

Ako sa dá do prevádzky:

• Vyžiadajte si s odkazom na túto prílohu Prevádzková dokumentácia cez HelpDesk script

/eman/z_cust/a_debug_ela/debug_ela.xml

• Spustite tento zmenový script pomocou Adm51 (či SuperConfiguratoru)

• Po novom prihlásení sa na Vyp02 objaví nová záložka Debug ELA

• Pre konkrétne obdobie, výplatný termín zaškrtnite tie akcie, pri ktorých chcete detailný výpis

• Spustite konkrétnu akciu – jej protokol je rozšírený o hlášky začínajúce DEBUG_

Tie môžu ozrejmiť priebeh niektorých akcií či už Vám, alebo Helpdesku Elanor

Pozn.: Hlásenie a možnosť ho zapnúť zostane prístupná iba v deň spustenia, dôvodom je, že trvalé ukladanie nadbytočných hlášok by zaťažovalo databázu aj diskový systém a tiež protokoly zneprehľadňovalo.

Príloha M. Základný popis databázových zámkov

Zdroj popisu db zámkov: https://www.sqlshack.com/locking-sql-server/

Exclusive lock (X) - tento typ zámku zaistí, že stránka alebo riadok budú vyhradené výhradne pre transakciu, ktorá exkluzívny zámok zaviedla, pokiaľ bude transakcia držať zámok. Exkluzívny zámok bude transakciou vynútený, keď bude chcieť zmeniť dáta stránky alebo riadku, čo je v prípade príkazov DML DELETE, INSERT a UPDATE. Exkluzívny zámok je možné na stránku alebo riadok uložiť iba v prípade, že na cieli už nie je uložený iný zdieľaný alebo exkluzívny zámok. To prakticky znamená, že na stránku alebo riadok je možné uložiť iba jeden exkluzívny zámok a po jeho uložení nie je možné na uzamknuté prostriedky uložiť žiadny ďalší zámok.

Shared lock (S) - tento typ zámku po jeho zavedení vyhradí stránku alebo riadok tak, aby boli dostupné iba na čítanie, čo znamená, že akákoľvek iná transakcia nebude môcť modifikovať zamknutý záznam, kým bude zámok aktívny. Zdieľaný zámok však môže byť nad rovnakou stránkou alebo riadkom zavedený niekoľkými transakciami súčasne a týmto spôsobom môže niekoľko transakcií zdieľať možnosť čítania dát, pretože samotný proces čítania nijako neovplyvní aktuálne dáta stránky alebo riadku. Okrem toho zdieľaný zámok umožní operácie zápisu, ale nebudú povolené žiadne zmeny DDL.

Update lock (U) - tento zámok je podobný exkluzívnemu zámku, ale je navrhnutý tak, aby bol svojim spôsobom flexibilnejší. Aktualizačný zámok je možné zaviesť na záznam, ktorý už má zdieľaný zámok. V takom prípade aktualizačný zámok zavedie ďalší zdieľaný zámok na cieľový riadok. Akonáhle je transakcia, ktorá drží aktualizačný zámok, pripravená zmeniť dáta, zmení sa aktualizačný zámok (U) na exkluzívny zámok (X). Je dôležité si uvedomiť, že aktualizačný zámok je asymetrický, pokiaľ ide o zdieľané zámky. Zatiaľ čo aktualizačný zámok je možné zaviesť na záznam, ktorý má zdieľaný zámok, zdieľaný zámok nemožno zaviesť na záznam, ktorý už má aktualizačný zámok.

Intent locks (I) - tento zámok je prostriedok, ktorý transakcia používa na informovanie inej transakcie o svojom zámere získať zámok. Účelom tohto zámku je zaistiť správne vykonanie modifikácie dát tým, že zabráni inej transakcii získať zámok na ďalšom objekte v hierarchii. V praxi, keď chce transakcia získať zámok na riadok, získa zámok zámeru na tabuľku, ktorá je objektom vyššej hierarchie. Získaním zámku zámeru transakcie nedovolí iným transakciám získať exkluzívny zámok na tejto tabuľke (inak by exkluzívny zámok zavedený niektorou inou transakciou zrušil zámok riadku).

12 Upozornenie

Zoznam prístupných častí dokumentácie je tu.