Oprávnění
Při ovládání stroje bývá nutno rozlišit skupiny osob s různým oprávněním přístupu tak, aby některé operace mohly provádět
pouze osoby, které mají k tomu pracovní pověření.
Povolení přístupu silou hesla
Povolení přístupu silou hesla je jednoduchý způsob, kdy vytvoříme několik hesel a ke každému heslu přiřadíme oprávnění
přístupu např. 1-9 (1 nejnižší ... 9 nejvyšší oprávnění). 0 je bez povolení přístupu k funkcím, které požadují alespoň 1
oprávnění. Pro oprávnění 0 (bez oprávnění) se heslo se nevytváří a toto oprávnění vzniká automaticky po odhlášení vyššího
přístupu nebo po zapnutí panelu.
Tato hesla se pak přidělí jednotlivým osobám s pověřením. Jakmile se osoba přihlásí heslem, je přiřazena úroveň oprávnění
podle hesla. Pro specielní přístup, např. programátor, se rezervuje úroveň 9 s přístupem ke všem funkcím. Příklad zobrazuje
tabulka 1.
| činnost |
ovládání
stroje |
výrobek |
parametry |
diagnostika |
systém |
oprávnění |
| operátor | ano | ne | ne | ne | ne | 0 |
| mistr | ano | ano | ne | ne | ne | 1 |
| technolog | ano | ano | ano | ne | ne | 2 |
| ... | ... | ... | ... | ... | ... | ... |
| servis | ano | ano | ano | ano | ne | 8 |
| administrátor | ano | ano | ano | ano | ano | 9 |
| poznámka |
start/stop |
změna
výroby |
parametry
výroby |
specielní
funkce |
syst.
prostř. |
úroveň
oprávnění |
Tabulka 1
Jednoduché rozdělení přístupu
Systém panelu provádí kontrolu operací obsluhy tak, že pokud osoba např. stiskne tlačítko, systém porovná nastavení
zabezpečení tlačítka a aktuální úroveň oprávnění. Pokud je hodnota oprávnění vyšší než nastavená hodnota zabezpečení u tlačítka,
systém povolí vykonání funkce tlačítka, v opačném případě je funkce tlačítka blokována (případně se zobrazí upozornění na
nedostatečné oprávnění přístupu). Principielně stejným způsobem je možno zamezit zadání hodnoty.
Tento jednoduchý přístup se pomalu opouští, důvodem jsou vyšší požadavky na identifikaci osoby, která se přihlásila, což
u tohoto způsobu není možné.
Individuelní přístup
Individuelní přístup si vynutil rozvoj, kdy se v některých případech požaduje sledování a archivace přihlášení.
Při použití tohoto principu je možno vytvořit seznam širokého počtu uživatelů, kdaždý se svám jménem a heslem, kteří mohou
mít různá oprávnění přístupu. V tomto počtu uživatelů je již komplikované každému uživateli jednotlivě přidělovat oprávnění,
proto se uživatelé sdružují do skupin a teprve skupině se přiřazují konkrétní oprávnění. Pro příklad máme několik osob, které
s jménem a heslem přiřadíme do tabulky 2 a určíme skupinu, do které konkrétní osoba patří.
| osoba (ID) | jméno | heslo | skupina |
| 0 | ******** | ******** | E | (admin) |
| 1 | ******** | ******** | D | (údržba) |
| 2 | ******** | ******** | A | (obsluha) |
| 3 | ******** | ******** | B | (mistr) |
| ... | | | | |
| 135 | ******** | ******** | C | (technolog) |
| 136 | ******** | ******** | A | |
| 137 | ******** | ******** | B | |
| ... | | | | |
| 999 | ******** | ******** | C | |
| 1000 | ******** | ******** | D | |
| 1001 | ******** | ******** | | (nemá oprávnění) |
| 1002 | ******** | ******** | E | |
| 1003 | ******** | ******** | A | |
Tabulka 2
Přiřazení osob do skupin
Jednotlivým skupinám je dále přiřazeno autorizačních oprávnění podle tabulky 3a.
| autorizace | A0 | A1 | A2 | A3 | A4 | |
| skupina | ovládání
stroje | výrobek | parametry | diagnostika | system |
| A | ano | ne | ne | ne | ne | (operátor) |
| B | ano | ano | ne | ne | ne | (mistr) |
| C | ano | ano | ano | ne | ne | (technolog) |
| D | ano | ano | ano | ano | ne | (servis) |
| E | ano | ano | ano | ano | ano | (admin) |
Tabulka 3a
Přiřazení autorizace pro skupiny
Nyní je možno porovnat tabulku 1 a tabulku 3a. Ze struktury je patrné, že tabulky jsou funkčně shodné (stejná struktura
oprávnění, pouze sloupce a řádky mají jiný název. Rozdíl je v tom, že ve druhém případě je možno separátně každé skupině
přiřadit více osob a tyto při přihlášení identifikovat podle jména.
Další možností je přesné udělení oprávnění přístupu i po přihlášení, viz tabulka 3b.
| autorizace | A0 | A1 | A2 | A3 | A4 | |
| skupina | ovládání
stroje | výrobek | parametry | diagnostika | system |
| A | ano | ne | ne | ne | ne | (operátor) |
| B | ano | ano | ne | ne | ne | (mistr) |
| C | ne | ne | ano | ne | ne | (technolog) |
| D | ano | ano | ne | ano | ne | (servis) |
| E | ano | ano | ano | ano | ano | (admin) |
Tabulka 3b
Přesné udělení oprávnění přístupu
V konkrétním případě podle tabulky 3b je přístup technologa povolen pouze k parametrům a ani údržba nemůže měnit parametry
ve srovnání tabulky 3b s tabulkou 1 a 3a.
Systém panelu provádí kontrolu operací obsluhy tak, že pokud osoba např. stiskne tlačítko, systém porovná nastavení
zabezpečení tlačítka (sloupec A0-A4 tabulky 3a, b) a aktuální úroveň oprávnění (skupina, řádek tabulky). Pokud hodnota oprávnění
v tabulce je pozitivní, systém povolí vykonání funkce tlačítka, v opačném případě je funkce tlačítka blokována (případně se
zobrazí upozornění na nedostatečné oprávnění přístupu). Principielně stejným způsobem je možno zamezit zadání hodnoty.
| Upozornění |
| Pokud zvolíte příliš mnoho skupin nebo nevhodně kombinovaná autorizační oprávnění, pak je
pravděpodobné, že struktura přihlášení, oprávnění a autorizací bude pro uživatele nepřehledná, nelogická. |
ID přihlášení
Přihlášení pomocí ID je pokročilý způsob, jak ulehčit operaci přihlašování, kdy není nutno zadávat jméno a heslo. K tomuto
se využívá bezkontaktních čipů, které v sobě obsahují ID (identifikační kód pracovníka) a podle tohoto ID jsou přiřazena
přístupová oprávnění. Realizace tohoto přihlášení je technicky náročnější protože je potřeba administrativní server s databází
všech vydaných ID osobám a jejich oprávněními k jednotlivým strojům (ukládat databázi ID do panelu nebo do řídícího systému
stroje není vhodné). ID přihlášení lze využít i tak, že ke stroji musí být přihlášen alespoň oprávněný operátor, jinak
nelze stroj spustit.
| Doporučení |
| I při použití ID čipů je vhodné zachovat možnost přihlášení pomocí jména a hesla. Triviální
zapomenutí nebo ztráta funkčnosti ID čipu může mít za následek nemožnost přístupu k funkcím stroje. Taktéž, a to je časté,
pokud je identifikace řešena mimo stroj na centrálním administrativním serveru a server z jakéhokoliv důvodu dostupný. |
Platnost přihlášení
Časový limit
Pokud se realizuje přístup pomocí zadání jména a hesla, je vhodné nastavit časový limit automatického odhlášení. Zamezí se
tím situaci, kdy přihlášená osoba s vyšším oprávněním zapomene provést odhlášení a přístup by zůstal povolen po neomezenou dobu.
Časový limit po uplynutí nastavené doby automaticky provede odhlášení a přístupová práva jsou nastavena na nejnižší úroveň.
Pokud se používá ID přihlášení čipem, nemá toto význam.
Omezení počtu pokusů zadání hesla
Omezení počtu pokusů zadání hesla má za úkol zamezit hádání hesla. Pokud je počet pokusů zadání hesla u daného jména uživatele
překročen, a je-li omezení počtu pokusů aktivní, je tento uživatel zablokován a dále se nelze přihlásit ani původně platným
heslem. Nápravou je pak zásah přes administrátorské přihlášení s obnovou hesla.
Změna hesla
Při požadavku na vyšší zabezpečení přístupu, omezení následků prolomení hesla, je možno nastavit interval (dny, měsíce)
povinné změny hesla.
|
