Skip to main content

Bij het samenstellen van een gebruikersgroep is het alleen mogelijk individuele gebruikers toe te voegen. Wij zouden hier graag de mogelijkheid hebben om ook (andere) gebruikersgroepen te kunnen kiezen.

Waarom deze wens. Voor het afhandelen van patiëntincident-meldingen (MIP's) is bij ons gekozen voor een decentrale afhandeling. Dit betekent dat de (MIP-)coordinatoren per organisatie-eenheid verschillend zijn. Per organisatie-eenheid worden nu binnen het meldingstype individuele gebruikers vastgelegd.

Alles bij elkaar hebben wij zodoende veel MIP-coordinatoren hebben. Om rechten toe te kennen die voor al deze coordinatoren hetzelfde zijn houden wij nog separaat een losse gebruikersgroep bij met daarin alle MIP-coordinatoren. Denk bij deze generieke rechten aan het toegang geven tot publieke filters en rapportages. Dit betekent in de praktijk dat bij een wijziging in de rechten binnen het meldingstype wij ook de mutatie in de grote MIP-coordinatoren gebruikersgroep moeten doorvoeren. De kans is daarbij  dat dit wordt vergeten.

Als het mogelijk zou worden om bij het samenstellen van een gebruikersgroep naast individuele gebruikers ook gebruikersgroepen te selecteren zou het mogelijk worden het beheer van de grote (bovenliggende) gebruikersgroep te automatiseren. In ons geval zouden we dan per organisatie-eenheid in het meldingstype ook gebruikersgroepen gaan gebruiken i.p.v. individuele gebruikers en zouden we al deze (sub-)gebruikersgroepen kunnen opnemen in de grote (bovenliggende) gebruikersgroep. Wat tot gevolg zou hebben dat alleen de gebruikersgroepen binnen het meldingstype hoeven te worden beheerd en dit automatisch doorgevoerd wordt in de bovenliggende groep.

Aan de kant van documenten hebben wij een vergelijkbare situatie met veel verschillende, op de mappen ingestelde, documenbeheerders en dus een grote totaalgroep van documentbeheerders.

 

Hoi Peter, is er al nagedacht om de gebruikersgroepen te synchroniseren vanuit jullie externe gebruikersbeheer?
Als jullie achterliggende systemen er in voorzien dat gebruikers op basis van functie in de juiste gebruikersgroepen geplaatst worden, dan is het proces reeds geautomatiseerd en hoef je die gebruikersgroepen slechts op de juiste plekken binnen Zenya in te stellen.
Het helpt natuurlijk als de gebruikersgroepen "alle MIP coördinatoren” en "alle documentbeheerders” ook aanvullende rechten nodig hebben in andere pakketten die ook op basis van deze groepen ingericht kunnen worden (denk in het geval van MIP bijvoorbeeld aan jullie Patiëntregistratie systeem).

Hoe dat exact ingeregeld kan worden is afhankelijk van de wijze waarop jullie gebruikers en gebruikersgroepen synchroniseren, zie het onderdeel "Provisioning” in de documentatie op Gebruikersbeheer en authenticatie - Hoe kan je dat efficient en veilig inrichten voor Zenya? | Infoland Community

Daarnaast is er een heel belangrijk argument om geen zogeheten “geneste groepen” (groepen in groepen) toe te staan: dat maakt het systeem langzaam of zelfs "stuk”. Om dit te visualiseren maak ik gebruik van onderstaand plaatje van een "Matroesjka”-pop, waarbij iedere pop een gebruikersgroep is.
 

Denkend vanuit bovenstaand plaatje van een "Matroesjka”-pop, spelen er vier zaken:

  1. Snelheid van het bepalen van de juiste groepsleden, oftewel het uitpakken van alle niveau's van de Matroesjka
  2. Ontdubbelen van de gebruikers: het is mogelijk dat een gebruiker in meerdere poppen/groepen opgenomen is, zowel via de groep/pop zelf, maar ook nog eens via een andere groep/pop 
  3. Onvoorspelbaarheid van de rechten indeling: wat als de middelste pop/groep opgenomen wordt in de kleinste groep? Dan hebben er opeens meer medewerkers toegang tot een onderdeel, dan je op grond van de kleine groep zou verwachten
  4. Kans op een vastlopend systeem: Wat als de grootste pop/groep uiteindelijk ook in de kleinste pop zit (bij virtuele zaken als gebruikersgroepen kan dat)? In dat geval is er kans dat het systeem nooit definitief vast kan stellen wat de uiteindelijke lijst met gebruikers moet zijn met toegang tot een specifiek onderdeel.

Hallo Chaim,

Hartelijk dank voor je uitgebreide duidelijke reactie. Ik snap wat je aangeeft en we zien hiermee dan ook af van het idee van “geneste” gebruikersgroepen binnen Zenya.

Ik heb intern nog wel gesproken over de andere mogelijkheid om gebruikersgroepen te synchroniseren met de AD. Je gaf dit al aan maar ik gaf dit eerst weinig kans omdat ik niet verwachtte dat er in de AD hele specifieke rollen als een coordinator binnen Zenya vastgelegd zouden gaan worden. Bij nader inzien zijn er door recente ontwikkelingen misschien toch mogelijkheden. Dit gaan we zeker verder onderzoeken.


Reageer