Contract

S

Smlouva

tatutární město Ostrava

magistrát

Číslo smlouvy objednatele: _______/______/IT
Identifikátor veřejné zakázky: /2017

Číslo smlouvy zhotovitele: ______________

Smlouva na poskytování služeb technické podpory provozu

(dále jen „smlouva“)

Smluvní strany

Statutární město Ostrava

Xxxxxxxxx xxxxxxx 0, 000 00 Xxxxxxx

zastoupené náměstkyní primátora zastoupena

Mgr. Xxxxxxxxx Xxxxxxxxxx

IČO: 00845451 IČO:

DIČ: CZ00845451 (plátce DPH) DIČ:

Peněžní ústav: Česká spořitelna a.s., Peněžní ústav:

Číslo účtu: 19-1649297309/0800 Číslo účtu:

zapsaná v obchodním rejstříku vedeném u

dále jen objednatel dále jen poskytovatel (doplní uchazeč)

Obsah smlouvy

1. Základní ustanovení

1. Tato smlouva je uzavřena podle ustanovení § 1746 zákona č. 89/2012 Sb., občanský zákoník (dále jen „občanský zákoník“), ve znění pozdějších předpisů a dále podle zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (dále jen „autorský zákon“).

2. Smluvní strany prohlašují, že údaje uvedené v záhlaví smlouvy jsou ke dni uzavření smlouvy pravdivé. Smluvní strany se zavazují, že jakékoliv změny údajů uvedených v článku prvém této smlouvy oznámí bez prodlení druhé smluvní straně. Smluvní strany prohlašují, že osoby podepisující tuto smlouvu jsou k tomuto úkonu oprávněny.

3. Poskytovatel prohlašuje, že je odborně způsobilý k zajištění předmětu této smlouvy.

4. Pro případ, že poskytovatel bude mít dle této smlouvy povinnost přiznat a zaplatit DPH, činí toto prohlášení: Poskytovatel prohlašuje, že není nespolehlivým plátcem DPH a v případě, že by se jím v průběhu trvání smluvního vztahu stal, tuto informaci neprodleně sdělí objednateli.

5. Smluvní strany souhlasí, že tato smlouva, vč. příloh, dodatků a související technické dokumentace, bude v plném rozsahu zveřejněna na internetových stránkách statutárního města Ostravy (xxx.xxxxxxx.xx).

2. Účel smlouvy

1. Účelem uzavření této smlouvy je zajištění provozu interního portálu pro správu identit a centrální administraci uživatelských účtů včetně integrovaných systémů. Popis systému je uveden v příloze č.2.

3. Předmět smlouvy

1. Předmětem plnění je závazek poskytovatele poskytovat objednateli služby technické podpory provozu programového vybavení, instalovaného u objednatele a to v rozsahu a za podmínek touto smlouvou sjednaných (dále též „služby“) a specifikovaných v příloze č.3.

1. Technická podpora – „Maintenance“

• provoz služby uživatelské „hot-line“

• Dohled nad produkčním prostředím - aktivní monitoring a údržba logů,

• průběžnou údržbu (aktualizaci) veškeré dokumentace vztahující se k dodanému programovému vybavení,

• Poskytování vyšších verzí programového vybavení provádění poskytovatelem v rámci dalšího vývoje těchto produktů

1. Technická podpora – „Support“

• poskytování servisních prací a konzultací souvisejících s provozem programového vybavení v prostředí objednatele a řešení rozvojových požadavků

• poskytování servisních prací zahrnujících řešení problémů s provozem programového vybavení, konzultace k používání programového vybavení, reinstalace programového vybavení, instalace nových verzí, meziverzí či hotfix programového vybavení, obnova programového vybavení po havárii, na základě objednatelem předaných záloh,

1. Plnění poskytnuté poskytovatelem objednateli bude splňovat požadavky této smlouvy, požadavky veškerých právních předpisů a podmínek vztahujících se k předmětu této smlouvy.

2. Smluvní strany prohlašují, že předmět smlouvy není plněním nemožným a že dohodu uzavřely po pečlivém zvážení všech možných důsledků.

4. Předání a převzetí plnění předmětu smlouvy

1. Plnění předmětu smlouvy dle čl. III. této smlouvy:

1. Poskytovatel je povinen předat a objednatel je povinen převzít plnění předmětu této smlouvy ve sjednané době, na sjednaném místě a způsobem a v kvalitě podle podmínek dohodnutých v této smlouvě.

2. Poskytovatel splní své závazky z této smlouvy jejich předáním bez vad a případných nedodělků nebránících provozu systému.

3. Služby dle čl. III. odst. 1., bodu 1.1 budou zahájeny dnem nabytí účinnosti této smlouvy. Služby jsou poskytovány s garantovanou úrovní dostupnosti, za podmínek uvedených v příloze č. 3.

4. Plnění předmětu této smlouvy dle čl. III. odst. 1. bodu 1.2. je poskytováno na základě požadavků objednatele předaných poskytovateli prostřednictvím komunikačních kanálů uvedených v příloze č. 3. smlouvy. Součástí plnění je poskytování služby technické podpory - poskytování servisních prací a konzultací souvisejících s provozem programového vybavení v prostředí poskytovatele (nad rámec řešení vad produktu vzniklých na straně poskytovatele). Do pěti (5) pracovních dnů po skončení každého kalendářního měsíce zašle poskytovatel elektronickou cestou objednateli přehled takto poskytnutých plnění dle čl. III., odst.1., bodu 1.2.. Přehled poskytnutého plnění se považuje ze strany objednatele za odsouhlasený, pokud objednatel nezašle připomínky do pěti (5) pracovních dní od předání výkazu poskytovatelem.

5. Za objednatele je v technických záležitostech týkajících se plnění předmětu této smlouvy dle čl. III. odst. 2., oprávněna se poskytovatelem jednat vedoucí odboru projektů IT služeb a outsourcingu Magistrátu města Ostravy, popřípadě osoba jí pověřená.

5. Místo a termín plnění

1. Místem plnění předmětu této smlouvy dle čl. III. ve formě servisního zásahu, který není možné řešit vzdáleným přístupem, je sídlo objednatele. Ostatní služby budou poskytovány v sídle poskytovatele formou vzdáleného přístupu.

2. Termíny pro vyřešení požadavků souvisejících s provozem programového vybavení dle čl. III., odst. 1., bodu 1.1. jsou stanoveny v příloze č. 3 této smlouvy.

3. Termíny poskytnutí plnění dle čl. III., odst. 1., bodu 1.2 této smlouvy budou pro každé jednotlivé plnění předem odsouhlaseny oběma smluvními stranami  prostřednictvím komunikačních kanálů uvedených v příloze č.3.

6. Odměna za poskytované služby

1. Odměna za poskytované služby

   • dle čl. III. odst. 1. bodu 1.1. činí (doplní uchazeč) Kč / měsíc bez DPH.

   • dle čl. III. odst. 1. bodu 1.2. bude vypočtena na základě odsouhlaseného přehledu plnění a hodinové sazby prací. Cena prací je stanovena ve výši (doplní uchazeč) Kč / hod bez DPH.

2. Odměna za poskytované služby je dohodnuta jako nejvýše přípustná a platí po celou dobu účinnosti smlouvy.

3. Odměna za poskytované služby dle čl.III. odst. 1. nepřesáhne v prvním roce platnosti smlouvy částku 600.000,- Kč bez DPH a v každém následujícím roce částku 465.000,- Kč bez DPH.

4. K dohodnuté odměně bude připočtena sazba DPH platná ke dni uskutečnění příslušného zdanitelného plnění. Poskytovatel odpovídá za to, že sazba daně z přidané hodnoty bude stanovena v souladu s platnými právními předpisy.

5. Odměna obsahuje i případně zvýšené náklady spojené s vývojem cen vstupních nákladů, a to až do doby ukončení veškerých prací, dodávek a služeb poskytnutých v rámci plnění předmětu této smlouvy.

6. Součástí odměny jsou veškeré práce, dodávky, služby, poplatky a jiné náklady nezbytné pro řádné a úplné splnění předmětu této smlouvy, včetně veškerých nákladů spojených s účastí poskytovatele na všech jednáních týkajících se předmětu plnění této smlouvy.

7. Platební podmínky

1. Poskytovatel prohlašuje, že nežádá zálohu k náhradě hotových výdajů. Náhrada nákladů účelně vynaložených při plnění předmětu smlouvy je obsažena ve sjednané odměně dle čl. VI. této smlouvy.

2. Podkladem pro úhradu smluvní ceny je vyúčtování nazvané faktura (dále jen „faktura“), které bude mít náležitosti daňového dokladu dle § 29 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů.

3. Faktura za příslušné plnění

   1. dle čl. III. odst. 1. bodu 1.1. bude vystavena vždy k 1. dni měsíce následujícího po kalendářním čtvrtletí, za které je úhrada prováděna, ve výši (doplní uchazeč) Kč bez DPH.

   2. dle čl. III. odst. 1. bodu 1.2. bude vystavena do pěti (5) dnů po odsouhlasení přehledu poskytnutého plnění a ve výši poskytnutého plnění.

4. V případě, že dnem zahájení plnění dle článku čl. III. odst. 1. bodu 1.1. není 1. den kalendářního čtvrtletí nebo že dnem zániku této smlouvy není poslední den příslušného čtvrtletí, náleží poskytovateli za příslušné období pouze poměrná část ceny za poskytování služeb technické podpory.

5. Kromě náležitostí stanovených platnými právními předpisy pro daňový doklad je druhá smluvní strana povinna ve faktuře uvést i tyto údaje:

1. číslo a datum vystavení faktury,

2. číslo smlouvy a datum jejího uzavření, číslo veřejné zakázky

3. předmět plnění a jeho přesnou specifikaci ve slovním vyjádření (nestačí pouze odkaz na číslo uzavřené smlouvy),

4. označení banky a číslo účtu, na který musí být zaplaceno,

5. dobu splatnosti faktury,

6. název, sídlo, IČO a DIČ objednatele a poskytovatele,

7. označení útvaru objednatele, který akci likviduje (tj. odbor projektů IT služeb a outsourcingu),

8. jméno a příjmení osoby, která fakturu vystavila, včetně jejího kontaktního telefonu.

1. Doba splatnosti faktury za plnění předmětu smlouvy činí 30 kalendářních dnů po jejím doručení objednateli. Stejná doba splatnosti 30 kalendářních dnů platí pro smluvní strany i při placení jiných plateb (např. úroků z prodlení, smluvních pokut, náhrady škody aj.)

2. Faktura bude zpracována v souladu s vyhláškou č. 410/2009 Sb., kterou se provádějí některá ustanovení zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, pro některé vybrané účetní jednotky, ve znění pozdějších předpisů. Rovněž bude ve faktuře uplatněn Pokyn GFŘ č. D-6 k jednotnému postupu při uplatňování některých ustanovení zákona č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, uveřejněný ve Finančním zpravodaji číslo 7/2011.

3. Nebude-li faktura obsahovat některou povinnou nebo dohodnutou náležitost nebo bude chybně vyúčtována cena nebo DPH, je objednatel oprávněn fakturu před uplynutím doby splatnosti vrátit druhé smluvní straně k provedení opravy s vyznačením důvodu vrácení. Poskytovatel provede opravu vystavením nové faktury. Od doby odeslání chybné faktury přestává běžet původní doba splatnosti. Celá doba splatnosti běží opět ode dne doručení nově vyhotovené faktury objednateli.

4. Faktura bude doručena do datové schránky objednatele nebo osobně proti podpisu zmocněné osoby nebo jako doporučené psaní prostřednictvím držitele poštovní licence.

5. Objednatel je oprávněn provést kontrolu vyfakturovaných prací a činností. Poskytovatel je povinen oprávněným zástupcům objednatele provedení kontroly umožnit.

6. Strany se dohodly, že platba bude provedena na číslo účtu uvedené poskytovatelem ve faktuře bez ohledu na číslo účtu uvedené v této smlouvě. Musí se však jednat o číslo účtu zveřejněné způsobem umožňujícím dálkový přístup podle § 96 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů. Zároveň se musí jednat o účet vedený v tuzemsku.

7. Povinnost zaplatit je splněna dnem odepsání příslušné částky z účtu objednatele.

8. Pokud se stane poskytovatel nespolehlivým plátcem daně dle § 106a zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů, je objednatel oprávněn uhradit poskytovateli za zdanitelné plnění částku bez DPH a úhradu samotné DPH provést přímo na příslušný účet daného finančního úřadu, dle § 109a zákona o dani z přidané hodnoty. Zaplacení částky ve výši daně na účet správce daně poskytovatele a zaplacení ceny bez DPH poskytovateli bude považováno za splnění závazku objednatele uhradit sjednanou cenu.

8. Práva a povinnosti smluvních stran

1. Poskytovatel je povinen a zavazuje se provést plnění, které je předmětem smlouvy a veškeré práce, dodávky a služby s tím spojené svým jménem, s náležitou odbornou péčí a na svou vlastní zodpovědnost. V případě, že tím pověří, v jakémkoli rozsahu, jinou osobu, má poskytovatel odpovědnost za takto provedené práce, dodávky či služby, jako by je provedl sám.

2. Poskytovatel se zavazuje realizovat veškeré práce vyžadující zvláštní způsobilost nebo povolení podle příslušných předpisů osobami, které tuto podmínku splňují.

3. Objednatel se zavazuje poskytovateli poskytnout součinnost při plnění předmětu této smlouvy a to v rozsahu, ve kterém lze, a způsobem, kterým lze tuto součinnost po objednateli spravedlivě požadovat dle této smlouvy. Bude-li poskytovatelem požadována po objednateli jakákoliv součinnost dle předchozí věty je povinen ji před započetím jakéhokoliv plnění z této smlouvy dostatečně a prokazatelně specifikovat. V případě, že objednatel nevyvine takto specifikovanou a požadovanou součinnost při plnění dle této smlouvy, může poskytovatel prodloužit termín plnění o dobu, po kterou nemohl z uvedeného důvodu pokračovat v realizaci svého závazku. Objednatel využije přiměřených schopností a vynaloží přiměřenou péči a pozornost, aby poskytnutá součinnost byla poskytovateli poskytnuta včas.

4. Technické údaje a doplňující podklady, které si poskytovatel vyžádá jako nezbytný předpoklad pro řádné, včasné a úplné splnění svého závazku, poskytne objednatel písemnou formou (pokud se zástupci smluvních stran nedohodnou na jiném způsobu předání takovýchto podkladů) v co nejkratším možném termínu.

9. Ochrana informací

1. Smluvní strany se zavazují, že při realizaci předmětu této smlouvy a jejich dodatků budou chránit a utajovat před nepovolanými (zejména třetími) osobami důvěrné informace a skutečnosti (dále jen „chráněné informace“). Za chráněné informace se pro účely této smlouvy považují takové informace a skutečnosti, které nejsou všeobecně a veřejně známé, které svým zveřejněním mohou způsobit škodlivý následek pro kteroukoliv smluvní stranu, nebo které některá ze smluvních stran jako chráněné písemně označila a prokazatelně druhé straně oznámila. Chráněné informace mohou být poskytnuty třetím osobám jen s písemným souhlasem dotčené smluvní strany. Dotčená smluvní strana takový souhlas bez zbytečného odkladu vydá, jestliže je to nezbytné pro realizaci této smlouvy nebo jejich dodatků a třetí osoba poskytne dostatečné garance v podobě písemného prohlášení, že nedojde k vyzrazení chráněných informací. Za třetí osoby, podle tohoto ustanovení, nejsou považováni určení pracovníci smluvních stran oprávnění ke styku s chráněnými informacemi ve vazbě na tuto smlouvu nebo osoby, které si jedna ze smluvních stran písemně určí.

2. Povinnost objednatele dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, není ustanovením odst. 1. tohoto článku dotčena.

3. Závazek k ochraně a utajení trvá i po ukončení smlouvy.

4. Po ukončení smlouvy může každá ze smluvních stran žádat od druhé strany vrácení všech poskytnutých materiálů, potřebných k realizaci předmětu této smlouvy, jestliže některá ze smluvních stran takto učiní je druhá smluvní strana povinna tyto materiály včetně případných kopií bez zbytečného odkladu vydat.

10. Převod vlastnictví a převod práv k užití produktů

1. Poskytovatel objednateli garantuje, veškeré programové produkty (počítačové programy) dodané poskytovatelem v rámci plnění této smlouvy jsou v souladu s příslušným ustanovením občanského zákoníku a zákonem č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (dále jen „autorský zákon“), ve znění pozdějších předpisů, autorskoprávně bez závad a objednatel se v této souvislosti stává oprávněným uživatelem jejich rozmnoženin a vlastníkem záznamových materiálů, na kterých jsou tyto rozmnoženiny umístěny.

2. Převod vlastnického práva ze poskytovatele na objednatele je v rámci celého plnění předmětu této smlouvy realizován úplným zaplacením dohodnuté – fakturované ceny pouze na věci materiální povahy, kterými v této smlouvě jsou:

• záznamové materiály, na kterých jsou uloženy smluvně požadované verifikované kopie zaváděcích a spustitelných tvarů programových produktů nebo smluvně požadované další kopie souborů dat. Mohou to být různé druhy disků, disket, magnetických pásek, atd.

• fyzická dokumentace - je to uživatelská a administrátorská dokumentace, metodiky a směrnice, které byly vytištěny na papír a dodány objednateli,

• ostatní materiál, který tvoří distribuční soupravu smluvně požadovaného předmětu dodávky (jako např. obal, který z distribučního kompletu tvoří jedno lehce dopravovatelné a manipulovatelné břemeno, nebo různé provozní pomůcky k zdárnému užití programových produktů, atd.)

1. Převod práv k užití na všechny poskytovatelem dodávané produkty (se zdůrazněním na programové produkty), které mají povahu autorského díla, není touto smlouvou řešen. Objednatel se u všech produktů tohoto charakteru, stává pouze oprávněným uživatelem jejich rozmnoženin a vlastníkem záznamových materiálů, na kterých jsou tyto rozmnoženiny umístěny. Poskytovatel prohlašuje, že je oprávněn objednateli poskytnout předmět smlouvy k užití pro účely této smlouvy v souladu s autorským zákonem.

2. Objednateli nevznikají k poskytnutým programovým produktům jiná práva než ta, která jsou uvedena v této smlouvě.

3. Smlouvou nejsou dotčena další práva poskytovatele, jako vykonavatele majetkových práv ke všem produktům nehmotné povahy, zejména na jejich další distribuci, modifikaci a aktualizaci.

4. Poskytovatel je povinen po výzvě objednatele bezodkladně předat zdrojový kód implementovaného předmětu smlouvy (případně i zdrojový kód jednotlivých předaných dílčích plnění či verzí), a v případě úprav, změn a dalšího vývoje předmětu smlouvy předat vždy aktuální verzi zdrojového kódu (s výjimkou zdrojového kódu k databázím, na kterých systém funguje).

11. Odpovědnost za škodu

1. Smluvní strany jsou povinny počínat si tak, aby v důsledku jejich konání nedošlo ke vzniku škod. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení vzniku škody a k jejímu zmírnění.

2. Žádná ze smluvních stran neodpovídá za škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany. Žádná ze smluvních stran není odpovědná za prodlení způsobené prodlením s plněním závazků druhou smluvní stranou. Poskytovatel objednateli neodpovídá za jakékoli škody vzniklé z chybného, neúplného nebo nevčasného užití dodaných produktů pracovníky objednatele.

3. Nahrazuje se skutečná škoda a ušlý zisk. Náhrada škody se řídí obecnými ustanoveními občanského zákoníku. Uplatněním nebo zaplacením případné smluvní pokuty není dotčeno, ani omezeno právo poškozené smluvní strany na náhradu skutečné škody v plné výši. Náhrada škody se platí v českých korunách.

4. Poskytovatel objednateli dále neručí za komplex informačních technologií, na kterých jsou dodané programové produkty provozovány, a neodpovídá ani za škody a chyby vzniklé chybou dílčích částí nebo celého komplexu těchto informačních technologií, pokud škoda vzniklá na těchto informačních technologiích nebyla prokazatelně způsobena provozem programových produktů poskytovatelem dodaných.

12. Záruční doba a odpovědnost za vady v záruční době

1. Poskytovatelem poskytnuté práce, dodávky nebo služby mají vady, jestliže jejich provedení neodpovídá účelu smlouvy a požadavkům uvedeným ve smlouvě, příslušným právním předpisům, normám nebo dokumentaci, vztahujících se k jejich provedení.

2. Nedohodnou-li se smluvní strany jinak, zavazuje se objednatel veškeré zjištěné vady v záruční době (dále jen „vady“) nahlásit poskytovateli neprodleně po jejich zjištění.

3. Reklamace musí být technickými zástupci objednatele písemně hlášeny poskytovateli prostřednictvím systému HelpDesk poskytovatele na adrese: (doplní uchazeč)

4. Objednatel se zavazuje, že vyvine veškerou potřebnou součinnost při odstraňování závad a bude spolupracovat se poskytovatelem na detailním a podrobném popisu požadavku tak, aby bylo možné určit jeho příčinu.

5. Poskytovatel neodpovídá za vady a újmy, které byly způsobeny nesprávným užitím výsledků poskytnutých poskytovatelem podle této smlouvy, ani za vady které byly způsobeny jinými příčinami a které nevyplývají z výsledků poskytnutých poskytovatelem podle této smlouvy.

6. Poskytovatel neodpovídá zejména za vady, které:

• byly způsobeny nesprávnými podklady nebo informacemi poskytnutými objednatelem;

• vznikly neodborným zacházením objednatele nebo nedodržením poskytovatelem předané dokumentace dle této smlouvy;

• způsobila třetí osoba; za třetí osobu dle této smlouvy nejsou považováni řádně proškolení zástupci objednatele;

• vznikly neodvratitelnou okolností či událostí.

1. Poskytovatel odpovídá za vady vyskytnuvší se v záruční době. Za vady, které se projevily po záruční době, odpovídá poskytovatel jen tehdy, pokud jejich příčinou bylo porušení jeho povinností.

2. V návaznosti na tato ustanovení se smluvní strany dohodly na záruční době na veškeré práce a služby poskytovatelem provedené pro řádné a úplné splnění předmětu této smlouvy dle čl. III. odst. 1. v trvání 24 měsíců od jejich předání a převzetí bez vad a nedodělků. V této době poskytovatel garantuje, že implementované produkty budou vykazovat v dokumentaci k jejich užití popsané vlastnosti a možnost užití k účelu popsanému v této smlouvě, dokumentaci, a že v těchto vlastnostech a způsobech užití nebudou vykazovat žádné vady.

3. Objednatel je povinen umožnit poskytovateli odstranění vady.

4. Provedenou opravu vady poskytovatel objednateli předá písemným zápisem.

5. Smluvní strany se dohodly, že objednatel je povinen zajistit pro odstranění vad technické podmínky dálkového přístupu pro pracovníky poskytovatele a to buď dlouhodobě, nebo pro každý jednotlivý případ požadavku na servisní zásah. Formu zabezpečení definuje objednatel.

13. Sankční ujednání

1. V případě nedodržení termínu doby plnění dohodnutého mezi smluvními stranami dle čl. V. odst. 3. ze strany poskytovatele, je poskytovatel povinen zaplatit objednateli smluvní pokutu ve výši 0,05 % z odměny bez DPH odpovídající příslušnému plnění dle cenové nabídky na toto plnění. za každý i započatý den prodlení a za každý jednotlivý případ.

2. V případě prokazatelného nedodržení časových parametrů uvedených v příloze č. 3 této smlouvy odpovídajících jednotlivým úrovním služby pro úroveň hlášení V1 „Kritická chyba,“ V2 „Urgentní chyba“ a V3 „Chyba“ zaviněných poskytovatelem, je poskytovatel povinen zaplatit objednateli smluvní pokutu ve výši odpovídající úrovni parametrů služby za každý i započatý den prodlení a za každý jednotlivý případ.

• V1 „Kritická chyba“ 2 500,- Kč bez DPH

• V2 „Urgentní chyba“ 1 000,- Kč bez DPH

• V3 „Chyba“ 500,- Kč bez DPH

1. Pro případ prodlení se zaplacením dohodnuté ceny v rozporu s platebními podmínkami sjednanými v této smlouvě, je objednatel povinen zaplatit úrok z prodlení ve výši 0,05 % z nezaplacené ceny bez DPH za každý i započatý den prodlení a za každý jednotlivý případ.

2. V případě, že závazek z této smlouvy zanikne před jeho řádným ukončením, nezaniká nárok na smluvní pokutu, pokud vznikl dřívějším porušením povinností. Zánik závazku pozdním plněním neznamená zánik nároku na smluvní pokutu za prodlení s plněním.

3. Smluvní pokuty sjednané touto smlouvou zaplatí povinná strana nezávisle na zavinění a na tom, zda a v jaké výši vznikne druhé straně škoda, kterou lze vymáhat samostatně.

4. Smluvní pokuty se nezapočítávají na náhradu případně vzniklé škody. Objednatel má právo na náhradu škody v plné výši vedle smluvní pokuty.

5. Smluvní pokuty je objednatel oprávněn započíst proti pohledávce poskytovatele.

14. Závěrečná ustanovení

1. Doložka platnosti právního jednání dle § 41 zákona č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů: O uzavření této smlouvy rozhodla rada města svým usnesením …………. ze dne ……………. , kterým bylo rozhodnuto o zadání veřejné zakázky malého rozsahu.

2. Smlouva nabývá platnosti a účinnosti dnem uzavření.

3. Smlouva se uzavírá na dobu neurčitou.

4. Celkové plnění této smlouvy nepřesáhne částku 2.000.000,-Kč bez DPH za období 4 let od nabytí platnosti a účinnosti smlouvy.

5. Dle § 1765 zák. č. 89/2012 Sb., občanský zákoník smluvní strany na sebe převzaly nebezpečí změny okolností. Před uzavřením smlouvy strany zvážily plně hospodářskou, ekonomickou a faktickou situaci a jsou si plně vědomy okolností smlouvy, jakož i okolností, které mohou po uzavření této smlouvy nastat.

6. Smluvní strany se dále dohodly ve smyslu § 1740 odst. 2 a 3 občanského zákoníku, že vylučují přijetí nabídky, která vyjadřuje obsah návrhu smlouvy jinými slovy, i přijetí nabídky s dodatkem nebo odchylkou, i když dodatek či odchylka podstatně nemění podmínky nabídky.

7. Tato smlouva obsahuje úplné ujednání o předmětu smlouvy a všech náležitostech, které strany měly a chtěly ve smlouvě ujednat, a které považují za důležité pro závaznost této smlouvy. Žádný projev stran učiněný při jednání o této smlouvě ani projev učiněný po uzavření této smlouvy nesmí být vykládán v rozporu s výslovnými ustanoveními této smlouvy a nezakládá žádný závazek žádné ze stran.

8. Změnit nebo doplnit tuto smlouvu mohou smluvní strany pouze formou písemných dodatků, které budou vzestupně číslovány, výslovně prohlášeny za dodatek této smlouvy a podepsány oprávněnými zástupci smluvních stran. Za písemnou formu nebude pro tento účel považována výměna e-mailových zpráv či jiných elektronických zpráv.

9. Smluvní vztah lze ukončit písemnou dohodou.

10. Smlouvu lze rovněž ukončit jednostranným odstoupením od smlouvy v případě, kdy jedna strana poruší smlouvu podstatným způsobem. Podstatným porušením této smlouvy se rozumí zejména dlouhodobé a opakované neplnění podmínek této smlouvy, přičemž strana, která smlouvu porušila, neprovedla nápravu ani po písemném upozornění ve lhůtě třiceti (30ti) dnů.

11. Smlouvu lze ukončit písemnou výpovědí kterékoliv ze smluvních stran i bez uvedení důvodu. Výpovědní doba je 6 měsíců a začíná běžet prvním dnem měsíce následujícího po měsíci, ve kterém byla výpověď doručena druhé smluvní straně.

12. V případě zániku závazku před jeho řádným splněním je poskytovatel povinen ihned předat objednateli nedokončené plnění včetně věcí, které opatřil a které jsou součástí předmětu této smlouvy a uhradit případně vzniklou škodu. Objednatel je povinen uhradit poskytovateli cenu věcí, které opatřil a které se staly součástí předmětu této smlouvy. Smluvní strany uzavřou dohodu, ve které upraví vzájemná práva a povinnosti.

13. Ukáže-li se některé z ustanovení této smlouvy zdánlivým (nicotným), posoudí se vliv této vady na ostatní ustanovení smlouvy obdobně podle § 576 občanského zákoníku.

14. Poskytovatel nemůže bez souhlasu objednatele postoupit svá práva a povinnosti plynoucí ze smlouvy třetí osobě ani není oprávněn tuto smlouvu postoupit.

15. Poskytovatel se zavazuje účastnit se na základě pozvánky objednatele všech jednání týkajících se předmětu této smlouvy.

16. Vše, co bylo dohodnuto před uzavřením smlouvy, je právně irelevantní a mezi smluvními stranami platí jen to, co je dohodnuto v této písemné smlouvě.

17. Poskytovatel je povinen poskytovat objednateli veškeré informace, doklady apod. písemnou formou.

18. Písemnosti se považují za doručené i v případě, že kterákoliv ze stran její doručení odmítne či jinak znemožní.

19. Smlouva je vyhotovena ve třech stejnopisech s platností originálu podepsaných oprávněnými zástupci smluvních stran, přičemž objednatel obdrží dvě a poskytovatel jedno vyhotovení.

20. Smluvní strany shodně prohlašují, že si tuto smlouvu před jejím podepsáním přečetly, a že s jejím obsahem souhlasí.

21. Nedílnou součástí této smlouvy jsou následující přílohy:

Příloha č. 1 – Cenová kalkulace

Příloha č. 2 – Technická specifikace

Příloha č. 3 – Specifikace služeb

Za objednatele Za poskytovatele

Datum: Datum:

Místo: Místo:

zmocněnec Xxx. Xxxxxxxx Xxxxxxxxx (doplní uchazeč)

náměstek primátora

Příloha č. 1

Cenová kalkulace

	Jednotka	Jednotková cena bez DPH	DPH	Jednotková cena s DPH
Technická podpora – „Maintenance“	Měsíc	(doplní uchazeč)	(doplní uchazeč)	(doplní uchazeč)
Technická podpora – „Support“	Hodina	(doplní uchazeč)	(doplní uchazeč)	(doplní uchazeč)

Příloha č. 2

Technická specifikace

1. Správa identit

Interní systém pro centrální správu a administraci identit zajišťuje životní cyklus jednotlivých uživatelů (identit) v prostředí Statutárního města Ostravy (SMO). Prostřednictvím tohoto portálu je evidován přístup a oprávnění k jednotlivým aplikacím a v případě napojených systémů nastavení oprávnění na základě přidělených rolí.

Primárním zdrojem informací o uživatelských identitách je personální systém Vema, ve kterém jsou evidováni všichni zaměstnanci SMO. V personálním systému je taktéž evidována organizační struktura. Personální systém Vema je jediným autoritativním systémem napojeným na CzechIdM.

1. Uživatelské účty

V personálním systému jsou vedeni zaměstnanci magistrátu, městských obvodů a městské policie. Mezi uživatelskými účty zaměstnanců nejsou výrazné rozdíly, lze na ně pohlížet jako na jeden základní typ.

Vedoucí odborů MMO, vedení města a tajemníci jsou tzv. VIP.

2. Procesy životního cyklu uživatelské identity

   1. Synchronizace dat z personálního systému do identity manageru

Všechny níže uvedené procesy jsou iniciované aktivitou detekovanou z personálního systému. Personální systém jednou denně exportuje data do tabulek v externí databázi určené k tomuto účelu. Identity manager načítá informace o změnách a na základě zjištěných informací spouští jednotlivé procesy správy životního cyklu. Proces synchronizace dat je v CzechIdM automaticky spouštěn jednou denně, aktualizuje data o identitách v CzechIdM a dle druhu modifikace spouští navazující procesy.

Navazujícími procesy jsou:

• Nový uživatel

• Přejmenování uživatele

• Úprava popisného atributu

• Změna funkčního místa bez změny obvodu/magistrátu

• Přechod zaměstnance mezi obvody nebo obvodem a magistrátem

• Zástup při dlouhodobé nepřítomnosti

• Ukončení zástupu při dlouhodobé nepřítomnosti

• Vynětí z evidenčního počtu

• Ukončení vynětí z evidenčního počtu

• Ukončení platnosti uživatele

• Nový uživatel na VPP

2. Nový uživatel

Proces „Nový uživatel“ je spuštěn 10 pracovních dní před nástupem zaměstnance pracovního poměru. Pokud je záznam do personálního systému zadán později, je proces spuštěn okamžitě.

Pokud v CzechIdM ještě neexistuje identita pro daného zaměstnance, tak bude založena. Pokud identita již existuje, tak bude aktualizována. Jako login identity se vezme login evidovaný ve Vemě. Pokud login není uveden, tak ho vygeneruje CzechIdM. Výjimku tvoří zaměstnanci z Městské policie. U nich je login vždy jejich osobní číslo. CzechIdM dále nastaví všechny požadované atributy u identity, identitě přidělí systémové role pro personální systém a Siebel kontakt a identitu uživatele uloží.

Prvním krokem procesu je zjištění, jaké role uživatel má mít s ohledem na zařazení v organizační struktuře – jaké funkční místo má přidělené. Následně se vyhledá schvalovatel a jeho zástupce pro dané funkční místo, schvalovateli se vytvoří v CzechIdM úkol, kde z dané množiny rolí vybere role, které se mají nastupujícímu uživateli přidělit. Schvalovatel může dále přidávat i odebírat role, přičemž ale nemůže odebírat výchozí role definované pro útvar, kde se nachází dané funkční místo, a pro útvary tomuto útvaru nadřazené (na cestě ke kořeni organizační struktury).

Dalším krokem procesu je zjištění jaké role uživatel má mít s ohledem na zařazení v organizační struktuře – jaké funkční místo má přidělené.

Následně se vyhledá schvalovatel a jeho zástupce pro dané funkční místo, schvalovateli se vytvoří v CzechIdM úkol, kde z dané množiny rolí vybere role, které se mají nastupujícímu uživateli přidělit pro danou pracovní pozici. Schvalovatel bude moci dále přidávat i odebírat role.

3. Přejmenování uživatele

V personálním systému dojde ke změně příjmení případně i loginu uživatele. Na základě této informace spustí identity manager proces „Přejmenování uživatele“. Proces automaticky zadá požadavek na přejmenování uživatele do helpdesku pro systémy, které má uživatel přidělené.

V systémech, které spravuje identity manager přímo, provede přejmenování uživatele.

4. Úprava popisného atributu

Pokud je v personálním systému provedena změna některého z následujících údajů, provede identity manager okamžitou změnu ve spravovaném systému.

5. Změna funkčního místa bez změny obvodu/magistrátu

Pokud je v rámci zpracovávaného pracovního poměru uživatele změněno v personalistice funkční místo a uživatel stále zůstává ve svém stávajícím obvodu, na magistrátu nebo u městské policie, je v identity manageru spuštěn proces „Změna funkčního místa“.

Identity manager v tomto procesu zadá k datu změny požadavek do Siebel helpdesku na zrušení oprávnění do aplikací kam má uživatel přístup s výjimkou MS AD, Emailu, Portálu a Siebel helpdesku. Tyto systémy zůstanou pro uživatele magistrátu bez změny. Na městských obvodech se seznam ponechávaných systémů může lišit.

Další postup je stejný jako v případě nástupu nového uživatele v procesu „Nový uživatel“. Identity manager zjistí role pro uživatele podle nového funkčního místa. Tyto role jsou následně předány ke schválení schvalovateli/zástupci a v případě magistrátu i IT oddělení (2. kolo schvalování). Teprve po schválení jsou uživateli přidělena nová práva získaná přestupem na jiné funkční místo.

Při změně funkčního místa jsou do Siebelu propagovány všechny přidělené Xxxxxx role bez ohledu na to, zda uživatel již danou rolí má či nikoliv. Obdobně to je při odesílání notifikačního emailu na emailovou adresu definovanou pro obvod, do kterého spadá dané funkční místo.

6. Přechod zaměstnance mezi obvody nebo obvody a magistrátem

V případě kdy je uživatel zařazen do jiného funkčního místa a zároveň do jiného obvodu spustí identity manager následující proces.

Identity manager zruší všechny přístupy – zadá žádost o zrušení do Siebel helpdesku. Zedituje kontakt v Xxxxxx helpdesku a dál pokračuje stejně jako v případě nového uživatele (proces „Nový uživatel“). IdM identifikuje role podle nového organizačního zařazení, vytvoří schvalovací požadavek na schvalovatele/zástupce a v případě magistrátu následně i na IT oddělení (2. Kolo schvalování). Po schválení IdM zadá požadavek na realizaci do Siebel helpdesku, u systémů které spravuje identity manager přímo je realizace rovnou provedena.

Při přechodu zaměstnance mezi obvody jsou do Siebelu propagovány všechny přidělené Xxxxxx role bez ohledu na to, zda uživatel již danou rolí má či nikoliv. Obdobně to je při odesílání notifikačního emailu na emailovou adresu definovanou pro obvod, do kterého nově spadá dané funkční místo uživatele.

Městská policie je z pohledu Identity manageru samostatným obvodem.

7. Zástup při dlouhodobé nepřítomnosti

V personálním systému je evidováno zastupování. Pokud identity manager detekuje nový zástup, je spuštěn proces odpovídající nástupu nového zaměstnance, pouze má ve formulářích napsáno, že se jedná o zástup.

U rolí se eviduje, že byly přiděleny pro daný zástup. Pro všechny role, které uživatel ještě nemá přidělené nebo je již přidělené má, ale jejichž systémy nemají nastaven příznak „Propagovat pouze změny“, je v případě „Siebel role“ provedeno zadání požadavku do Siebel helpdesku. Dále se vygeneruje email o novém nástupu zaměstnance a odešle se na emailovou adresu definovanou v CzechIdM pro obvod, do kterého spadá nová pracovní pozice daného zaměstnance. Do emailu se dále vloží seznam všech nových rolí viz výše.

8. Ukončení zástupu při dlouhodobé nepřítomnosti

V situaci, kdy identity manager zjistí blížící se ukončení zastupování spustí proces „Ukončení zástupu při dlouhodobé nepřítomnosti“. Tento proces je spuštěn min. 10 pracovních dní před koncem zastupování nebo koncem pracovní smlouvy – dle toho co nastane dřív.

Pokud uživatel zůstává po ukončení zastupování i dál zaměstnancem úřadu, ale nemá definované funkční místo, tak mu i přesto jeho účet do MS AD, Emailu, Portálu a Siebel helpdesku zůstávají, protože je očekáváno blízké spuštění procesu „Změna funkčního místa“ kde bude uživatel zařazen na nové pracovní místo. Ostatní role definované pro zástup jsou uživateli odebrány. I zde platí, že fyzicky odebrány jsou pouze role, které již nemá uživatel definované pro jiná pracovní pozice či zástupy.

Jestliže uživatel zůstává zaměstnancem na HPP a má definované funkční místo (tj. zastupování proběhlo v souběhu s HPP), dostane vedoucí (tj. „schvalovatel“ nebo definovaný zástupce) žádost o odebrání rolí. Tato žádost bude již předvyplněna rolemi, které má uživatel definované pro daný zástup. Schvalovatel může při schvalování tento seznam upravit.

V případě kdy uživateli končí pracovní smlouva se postupuje standardním procesem „Ukončení platnosti uživatele“ – odchod uživatele a ukončení zastupování se tak bude řešit společně jako jeden úkol.

9. Vynětí z evidenčního počtu

Vynětí z evidenčního počtu je proces reprezentující události typu čerpání mateřské a rodičovské dovolené. Pokud je v identity manageru detekována tato událost, je spuštěn proces „Vynětí z evidenčního počtu“.

Pokud je řádná dovolená čerpána méně nebo rovno 25 pracovních dní po ukončení mateřské dovolené, nebude tento proces pouštěn. Předpokládá se totiž, že mezi mateřskou a rodičovskou dovolenou došlo k vyčerpání řádné dovolené a uživatel do práce technicky nenastoupil.

Identity manager automaticky pošle požadavek na odebrání všech práv mimo MS AD, Emailu a Portálu. MS AD, Email a Portál se deaktivují a v helpdesku se nastaví příznak u kontaktu „neaktivní“.

10. Ukončení vynětí z evidenčního počtu

Ukončení vynětí z evidenčního počtu je proces, který je spuštěn 10 pracovních dní před datem nástupu zaměstnance. Proces je stejný jako „Nový uživatel“, pouze na začátku je prováděna kontrola, zda neexistuje v následujících 25 dnech další zahájení vynětí z evidenčního počtu. V takovém případě bude proces okamžitě ukončen.

11. Ukončení platnosti uživatele

Deset pracovních dní před koncem platnosti smlouvy uživatele pro pracovní poměr je iniciován proces „Ukončení platnosti uživatele“.

Identity manager vytvoří schvalovací žádost na IT oddělení městského obvodu/magistrátu/městské policie (2. kolo schvalování). V poznámce schvalovacího úkolu bude seznam rolí, jež má uživatel přiděleny pro daný pracovní poměr. Po schválení IT oddělením vytvoří identity manager v Siebel helpdesku žádost o odebrání účtů ve všech aplikacích dle rolí přidělených pro danou pracovní pozici a nastaví stav daného kontaktu na „Odešel“. I zde platí, že fyzicky odebrány jsou pouze role, které již nemá uživatel definované pro jiné pracovní pozice či zástupy.

Pokud schvalovací žádost IT oddělení neschválí, tak se požadavek do Siebelu neposílá.

Pokud se spouští proces „Ukončení platnosti uživatele“ pro poslední pracovní poměr uživatele, tak se mu odebírají všechny role. Tedy i ty, které případně nemá definované pro žádné pracovní poměry.

12. Uživatel s rolí Help-desk

Uživatel, jenž má přidělenou roli „Helpdesk“, může zažádat jinému uživateli o přidělení/odebrání role. To může učinit po přihlášení do admin rozhraní CzechIdM na záložce Uživatelé, akce Přidat/odebrat role.

Kliknutím na akci Přidat/odebrat role se zobrazí uživateli formulář, na kterém může odebrat některé ze stávajících rolí, jenž má uživatel aktuálně přiděleny, případně může přidat role nové. Po editaci (přidání/odebrání) rolí a stisknutí tlačítka Uložit dojde k inicializování právě jedné z následujících akcí:

• Je vytvořena schvalovací úloha pro vedoucího daného uživatele, který schvaluje přidání/odebrání rolí danému uživateli. Po jejím případném schválení jsou role přidány/odebrány.

• Je vytvořena schvalovací úloha pro schvalovatele ve druhém kole schvalování, kteří schvalují přidání/odebrání rolí danému uživateli. Po případném schválení jedním ze schvalovatelů jsou role přidány, případně odebrány.

• Schvaluje nejdříve vedoucí, pak i schvalovatelé ve 2. kole schvalování. Pokud vedoucí úlohu zamítne, tak se schvalovatelům pro 2. kolo schvalování nevytváří schvalovací žádost. Pokud je vedoucí zároveň schvalovatele pro 2. kolo schvalování, tak se již v druhém kole neschvaluje a role se rovnou přidají/odeberou.

• Role jsou uživateli ihned přiděleny/odebrány bez jakéhokoliv schvalování.

3. Organizační struktura

Primární zdroj informací o organizační struktuře je Vema. Pro načítání organizační struktury do CzechIdM je vytvořena napojení, prostřednictvím kterého se v pravidelných intervalech spouští synchronizace a aktualizuje organizační strukturu v CzechIdM. Reprezentaci organizační struktury si lze představit jako strom. Uzly tohoto grafu odpovídají útvarům evidovaným v personálním systému. Jednotlivé uzly (útvary) mohou obsahovat funkční místa, případně pro ně mohou být definováni schvalovatelé a jejich zástupci. Funkční místo přestavuje popis určité pracovní pozice, přičemž může být obsazeno více zaměstnanci. Pro jednotlivá funkční místa jsou definovány role, které specifikují práva pro určité systémy. Zároveň se pro každé funkční místo eviduje datum jeho založení a datum konce jeho platnosti. Po ukončení platnosti se funkční místo v CzechIdM přesune do speciálního kontejneru, kam se vkládají expirovaná funkční místa.

Pro útvary mohou být definovány tzv. výchozí role. Tyto role se přidávají k rolím definovaným pro funkční místa v daném útvaru, a to rekurzivně. Všechny role získané od listu až ke kořenu se sčítají. Pokud tedy nastupuje zaměstnanec na určité funkční místo, tak se mu vytvoří žádost pro role definované pro dané funkční místo a pro výchozí role definované pro všechny útvary na cestě ke kořenu organizační struktury. Vazby mezi funkčními místy, rolemi a útvary jsou evidovány v Katalogu SW práv, který spravuje systém CzechIdM. Ten také eviduje případné schvalovatele a jejich zástupce pro jednotlivé útvary.

Výchozí role pro útvary a role pro funkční místa je možné editovat v administrátorském rozhraní CzechIdM. Schvalovatelé jsou načítáni pro jednotlivé útvary z personálního systému a není možné je z CzechIdM měnit, stejně jako datum začátku a konce platnosti funkčních míst. Zástupce schvalovatelů může nyní nastavovat uživatel mající na to v CzechIdM příslušné právo.

1. Vyhledání schvalovatele a jeho zástupce pro funkční místo

Pokud se funkční místo nachází v útvaru, pro který je definován schvalovatel a jeho zástupce, tak se využije těchto informací. Pokud pro daný útvar nejsou schvalovatel a zástupce definováni, tak se vyhledávání přesuneme do nadřazených útvarů. Pokud cestou ke kořenu organizační struktury není nalezen žádný schvalovatel pro žádný z procházených útvarů, tak dojde k chybovému volání.

2. Určení seznamu rolí pro dané funkční místo

Množina rolí odpovídající danému funkčnímu místu je definována jako množinový součet rolí pro dané funkční místo plus výchozí role definované pro útvary na cestě od útvaru obsahujícího dané funkční místo ke kořenovému útvaru organizační struktury.

3. Proces životního cyklu organizační struktury

   1. Synchronizace dat z personálního systému do identity manageru

Procesy týkající se organizační struktury jsou iniciovány změnami detekovanými z personálního systému. Data jsou načítána z databáze, kam se provádí export z Vemy. CzechIdM implementuje pouze základní procesy správy organizační struktury.

Těmito procesy jsou:

• Vytvoření nového útvaru/funkčního místa

• Přesun útvaru/funkčního místa

• Zrušení útvaru/funkčního místa

2. Vytvoření nového útvaru/funkčního místa

Proces je spuštěn v případě, kdy se v personálním systému nachází útvar/funkční místo, pro které neexistuje v CzechIdM odpovídající záznam. Vyhledávání se provádí dle absolutní cesty (jednoznačný identifikátor útvaru/funkčního místa). Proces jednoduše založí nový útvar/funkční místo v CzechIdM a nastaví mu požadované atributy.

3. Editace útvaru/funkčního místa

Tento proces je spuštěn v případě, že je detekována změna mezi útvarem/funkčním místem v CzechIdM a v personálním systému. U útvarů by mohlo dojít k následujícím změnám:

• přesunutí do jiného útvaru

• změna schvalovatele

U funkčních míst může dojít k následujícím změnám:

• přesunutí funkčního místa do jiného útvaru

• změna začátku nebo konce platnosti funkčního místa

4. Zrušení útvaru/funkčního místa

Proces „zrušení útvaru/funkčního místa“ je spuštěn v případě, kdy se v CzechIdM nachází útvar/funkční místo, které již není v personálním systému. Pokud byl v personálním systému smazán útvar, tak bude daný útvar (včetně následníků) přesunut v CzechIdM mezi smazané útvary. Funkční místa, která se nacházela ve smazaných útvarech, budou přesunuta mezi expirovaná funkční místa.

4. Archivace organizačních útvarů a funkčních míst

V CzechIdM vznikl archiv smazaných útvarů a funkčních míst evidující nastavené výchozí role k času smazání organizace. Jeho hlavní funkcí je možnost při zakládání nového funkčního místa toto místo předvyplnit po vzoru již smazaného funkčního místa, které bude v archivu.

1. Funkce archivu

• Archivování - Jedná se o automatickou funkci, která se provádí bez explicitního příkazu administrátora vždy v okamžiku odstranění útvaru/funkčního místa.

• Prohledávání – V archivu je možné vyhledávat smazaná funkční místa. U nalezené položky je možné zobrazit detailní informace (výchozí role, datum smazání).

• Kopírování rolí – Při zakládání funkčního místa je možné v archivu vyhledat archivované funkční místo a aktuálně zakládané místo předvyplnit výchozími rolemi archivovaného místa. Role aktuálně neexistující se z archivu vyplňují.

• Export – Z archivu je možné exportovat informace o archivovaných funkčních místech ve formátu CSV.

2. Archivace identit

Výše popsaná funkčnost pro archivaci rušeného útvaru/funkčního místa je také dostupná pro archivované uživatelské identity. Informace o rolích u uživatelské identity jsou archivovány v okamžiku, kdy je z identity manageru mazána nebo jí jsou automaticky odebírány role (ukončení pracovního poměru, vynětí z evidenčního počtu, změna funkčního místa).

3. Kopírování rolí

Při zakládání nového funkčního místa nebo úpravě stávajícího je možné zkopírovat role z jiného existujícího nebo archivovaného funkčního místa nebo identity.

Ve formuláři úpravy výchozích rolí funkčního místa přibylo tlačítko „Načíst výchozí role“, které otevře dialog ve formě modálního okna. Modální okno obsahuje formulář, který umožní vyhledání funkčního místa (existujícího nebo archivovaného) nebo archivované identity, ze které se mají role načíst. Prohledávání je možné podle více kritérií:

• Podle názvu (fulltext)

• Podle útvarů – hledáme funkční místa v daném podstromu

• Datum smazání (od – do)

Ve vyhledávacím formuláři je možné zvolit, zda vyhledávat v aktuálně existujících funkčních místech nebo v archivu.

Vyhledávací kritéria je možné mezi sebou kombinovat. Po vyhledání se zobrazí seznam nalezených položek. U každého z nich je možno zobrazit jeho detail – název, zařazení v org. struktuře, seznam rolí. U každé vypsané položky je tlačítko „přiřadit“. Kliknutím na tlačítko „přiřadit“ u zvolené položky je modální okno zavřeno, uživatel identity manageru se vrátí do editace funkčního místa s tím, že se aktuálně upravované místo předvyplní rolemi z vyhledané položky. Administrátor má ještě možnost aktuální místo upravit.

Kopírovat nastavení rolí funkčního místa může administrátor CzechIdM pro funkční místa v jeho kontrolovaných organizacích a dále pak vedoucí příp. tajemník pro funkční místa v jeho odboru nebo obvodu.

4. Prohledávání archivu

Archiv je možné prohledávat i v případě, kdy se nezakládá nové funkční místo. V administrátorském rozhraní CzechIdM na záložce uživatelé je odkaz „Archiv“, který nás přenese na vyhledávací dialog. Zde jsou stejné kritéria prohledávání jako v případě výběru výchozích rolí pro funkční místo a je zde možnost zobrazit detail funkčního místa či funkční místa vyexportovat.

Vedoucí mají přístup do archivu z uživatelského rozhraní a mohou nahlížet na funkční místa a identity spadajících pod útvary, kterých jsou vedoucí.

5. Export z archivu

Nalezené archivované položky je možné vyexportovat do formátu CSV. Export obsahuje názvy archivovaných objektů, org. zařazení, typ (funkční místo, uživatel), role a datum archivace.

Export z archivu může provádět administrátor.

6. Pozdržení založení identity uživatele

V případě nástupu zaměstnance na nově založené funkční místo, které nemá vyplněné výchozí role, je proces pozastaven. Pozastavení založení nového zaměstnance je do té doby, než dojde k naplnění výchozích rolí funkčního místa. Po doplnění výchozích rolí pro funkční místo je zablokovanému procesu zakládání uživatele umožněno pokračovat.

7. Proces pro naplnění funkčního místa výchozími rolemi

• Po založení funkčního místa je IT oddělení notifikováno emailem s žádostí o naplnění výchozích rolí k funkčnímu místu. V notifikaci je uveden odkaz přímo na editaci daného funkčního místa.

• IT pracovník zvolí v CzechIdM výchozí role pro nové funkční místo.

• IT pracovník se rozhodne, jestli aplikuje role bez schválení nebo zda je nutné vyžádat si schválení vedoucím:

  • Pokud zvolí "uložit bez schválení", je zobrazen formulář vynucující zadání komentáře odůvodňující vynechání schválení vedoucím. Důvod je uložen do auditního logu CzechIdM.

  • Ve standardní situaci je zaslána žádost vedoucímu (na úrovni odboru nebo obvodu). Vedoucí může funkční místo upravit – přidat nebo odebrat výchozí role. V případě přidání nových rolí může přidat pouze ty z jeho obvodu nebo role centrální (nemá možnost vybírat systémové role). Vedoucí schválí (a tím uloží) naplnění funkčního místa rolemi. Varianta „neschválení“ není v tomto případě přípustná, výchozí role pro funkční místo lze pouze schválit.

• Následně CzechIdM dokončí proces založení nového uživatele.

8. Vyhledání pozdržených uživatelů

V CzechIdM je možnost vyhledat všechny identity, u kterých byl pozdržen proces nástupu zaměstnance a čekají na naplnění funkčního místa. Formulář „Vyhledávání uživatelů“ je rozšířen o možnost vyhledávat pouze mezi pozdrženými identitami.

Vyhledávat pozdržené identity bude možné pouze v admin rozhraní CzechIdM.

4. Schvalovací procesy

   1. Schvalování

Bude využíván jeden hlavní schvalovací proces pro schvalování oprávnění uživatelům jejich vedoucím (schvalovatelem) nebo jeho zástupcem. Informace o schvalovatelích (tj. vedoucí oddělení nebo jeho zástupce) budou drženy v CzechIdM.

Schvalovatel dostává ke schválení seznam rolí, které uživatel má dostat. Schvalovateli je umožněno během schvalování odebrat nebo přidávat role ze seznamu. Schvalovateli je také umožněno rozpracovanou schvalovací žádost zavřít a vrátit se k ní později.

Při zamítnutí požadavku je povinné vyplnit důvod zamítnutí, který se loguje do auditního logu, aby ho bylo možné vypsat v reportu zamítnutých žádostí.

Pro účely výběru schvalovatele a jeho zástupce byly obvody klasifikovány do 4 kategorií:

• Magistrát a velké obvody

  • schvalovatel a jeho zástupce se určuje pro dané funkční místo trasováním od funkčního místa směrem ke kořenu stromu organizační struktury. Navrácen je první nalezený vedoucí organizačního útvaru a případně nastavený zástupce.

  • pokud není schvalovatel určen, schvaluje příslušný tajemník

• malé obvody

  • schvaluje tajemník, zástupce není definován

• Městská policie

  • schvalovatel a zástupce jsou pevně pověřené osoby

  • konfigurace v CzechIdM

Pokud je pro 1. kolo schvalování definován zástupce schvalovatele a schvalovatel nevyřeší schvalovací žádost do určeného intervalu, tak je schvalovací žádost eskalována na zástupce schvalovatele. Aktuálně je eskalační interval nastaven na 3 pracovní dny.

V 2. kole schvalování schvalují osoby, jenž mají pro tyto účely přidělené speciální role v CzechIdM. Pro každý obvod existuje v CzechIdM role s názvem ve tvaru „{název_obvodu} - 2. Kolo schvalování“, např. „ÚMOb Svinov - 2. kolo schvalování“. Schvalovací žádosti jsou po schválení v 1. kole schvalování zaslány na všechny schvalovatele pro 2. kolo schvalování mající příslušnou schvalovací roli pro obvod, do něhož spadá zaměstnanec, jehož se žádost týká. Poté, co první ze schvalovatelů danou žádost vyřeší, tak ostatním schvalovatelům zmizí ze seznam schvalovacích žádostí.

Druhé kolo schvalování neprobíhá, pokud je schvalovatel z 1. kola schvalování je zároveň schvalovatelem pro 2. kolo schvalování.

2. Notifikace

Notifikace budou uživatelům zasílány emailem na adresu získanou z personálního systému. Budou zasílané pouze v případě kdy je uživatel žádán o nějakou činnost, např. schválení požadavku. Text bude obsahovat funkční odkaz do webového rozhraní, kde probíhá schvalování.

3. Delegace oprávnění v IdM

Identity manager interně používá mechanismus pro delegování oprávnění uživatelům na různé akce v IdM. Lze tak například vytvořit administrátorský účet pro správu uživatelů, účet pro helpdesk s možností pouze náhledu na uživatele bez změn.

4. Reporty

Identity manager obsahuje nástroj pro parametrizované vyhledávání dat v auditním logu, kam se zapisují všechny prováděné operace. Tento nástroj je dostupný z administrátorského rozhraní a je možné delegovat oprávnění pro přístup pouze k němu.

5. Role

V CzechIdM jsou definovány role specifikující oprávnění pro činnosti prováděné v CzechIdM (např. role definující schvalovatele pro 2. kolo schvalování) a dále role definující konkrétní účet na koncovém systému.

Systém rolí a informačních systémů je strukturován tak, že jednotlivé informační systémy se skládají z modulů, které obsahují role. Role definují konkrétní práva uživatele pro příslušný informační systém.

Při zakládání rolí je možné definovat u role systém a modul výběrem ze seznamů a to tak, že nejdříve bude vybrán systém a následně jeden z modulů vybraného systému.

Tyto systémy/moduly je možné zakládat v administrátorském rozhraní CzechIdM v záložce „Role“. Zakládat je mohou administrátoři CzechIdM a správci katalogů SW práv.

U systému/modulu lze specifikovat:

• zda je centrální (pro všechny obvody) nebo obvodový (pouze pro daný obvod)

• pokud se bude jednat o tzv. obvodový systém, tak se příslušný obvod bude vybírat ze seznamu

• obvodové systémy mohou spravovat pouze administrátoři CzechIdM daného obvodu, případně centrální administrátor CzechIdM

• centrální systémy mohou spravovat pouze centrální administrátoři1

• zda je aktivní či neaktivní

• ◦ aktivní – bude se nabízet ve výběrech (např. při vyhledávání rolí)

• ◦ neaktivní – nebude ve výběrech vidět

• příznak „Propagovat pouze změny“

• tento atribut značí, zda se má při opětovném přidělení role identitě uživatele v CzechIdM tato informace propagovat do Siebelu (jedná se například o situace, kdy má uživatel přidělenou roli pro pracovní pozici a zástup)

• pokud je zaškrtnuto, tak se propagují informaci o přidělení/odebrání role pouze v případě, že uživateli byla přidělena/odebrána role poprvé

• technický název – zkratka

Tím, že CzechIdM spravuje u zaměstnanců HPP i VPP, tak může mít jeden zaměstnanec více pracovních pozic. Z tohoto důvodu se při editaci rolí u zaměstnance určuje, pro kterou pracovní pozici se mu mají vybrané role přidělit, popř. odebrat. Pokud se tedy zaměstnanci přidělují role ručně prostřednictvím editace jeho identity v CzechIdM, tak se při výběru role určuje i pracovní pozice, pro kterou se mají přidělit vybrané role.

Ručně mohou přidělovat/odebírat zaměstnanci role pouze uživatelé z administrátorského rozhraní CzechIdM a pak vedoucí daného zaměstnance. Vedoucí smí přidávat/odebírat role pouze pro pracovní pozice zaměstnance, pro něž jsou vedoucími. Uživatelé z administrátorského rozhraní CzechIdM mohou editovat role zaměstnance pouze pro pracovní pozice, které spadají do obvodů, které smí daný uživatel spravovat (nastaveno jako kontrolované organizace).

Pokud je uživateli přidělena pro pracovní pozici role, kterou již má přidělenou pro jinou pracovní pozici, tak se do Siebelu nezapisuje ticket o přidělení nové role. Ticket se do Siebelu propaguje pouze v případě, že uživatel dostane roli, kterou ještě nemá přidělenou pro žádnou pracovní pozici. Obdobné to je i při odebírání role uživateli. Pokud má uživatel danou roli přidělenou krom odebírané role u pozice ještě pro jinou pracovní pozici, tak se v Siebelu nevytváří ticket o odebrání role uživateli. Role zůstane u identity uživatele v CzechIdM přidělena, pouze se smaže příznak, že měl tuto roli uživatel přidělenou pro danou pracovní pozici. Pokud se uživateli odebírá role a již není přidělena pro žádnou pracovní pozici, tak se role skutečně odebere a v Siebelu se vytvoří příslušný ticket.

Pokud má uživatel definován zástup, tak je možné mu při editaci jeho identity v CzechIdM přidělit roli pro zástup.

6. Zástupci pro organizační útvary

V administračním rozhraní na záložce Uživatelé/Organizace se vybere organizační útvar / Editovat organizace. Na Základních údajích organizace se vybere „Vybrat zástupce schvalovatele“.

Při výběru zástupce organizačního útvaru je možné vybrat pouze ze zaměstnanců daného útvaru (v rámci daného podstromu).

7. Delegace práv uživatele na delegáta

Uživatelé mohou v uživatelském i administrátorském rozhraní CzechIdM delegovat některé svoje pravomoci na jiné uživatele. Uživatelé můžou za sebe delegovat:

• vyřizování schvalovacích žádostí

• správu organizačních útvarů (možnost nastavovat výchozí role pro daný útvar a funkční místa; možnost nastavovat zástupce vedoucího pro daný útvar)

• vyřizování schvalovacích žádostí a zároveň správu organizačních útvarů

Uživatel může nastavit interval, po který budou jeho činnosti delegovány na jiného uživatele v organizačním útvaru, kam spadá jeho vlastní pracovní pozice.

2. Spravované systémy

V rámci implementace systému pro správu identit byla přímo napojena část centrálních systémů SMO. V rámci této integrace identity manager spravuje přístupy k těmto aplikacím a příslušná oprávnění. Napojené systémy jsou následující:

• VEMA

• Active Directory

• Exchange

• Siebel

• VERA

• Matrix

• GINIS

• Plone

• BePlan

• ISEA

• eSpis

Míra integrace je specifikována níže v kapitolách věnovaných jednotlivým systémům.

1. Připojení na personální systém Vema

Personální systém Vema slouží jako hlavní zdroj informací o uživatelích a organizační struktuře. Vema je zároveň jediným zdrojem o identitách a organizační struktuře v prostředí města Ostrava.

CzechIdM je připojeno k dané databázi na třikrát. Jedno připojení slouží pro správu uživatelů, druhé připojení slouží pro správu organizačních útvarů a poslední napojení je použito pro správu funkčních míst.

1. Připojení pro správu uživatelů

V Oracle DB jsou vytvořena databázová view, která budou obsahovat všechny potřebné informace o zaměstnancích a jejich pracovních pozicích. Tato view jsou provázána přes osobní číslo zaměstnance, které je jednoznačným identifikátorem uživatele.

2. Připojení pro správu organizačních útvarů

Funkční místa budou mít v CzechIdM podobu organizací. Funkční místa budou moci být identifikovány buď dle atributu nebo pomocí absolutní cesty (zřetězení názvů útvarů na cestě k danému funkčnímu místu).

2. Připojení na helpdesk Siebel

Systém Siebel je k CzechIdM připojen dvakrát (jako dva nezávislé systémy). První připojení slouží pro zakládání, modifikaci a mazání kontaktů v Siebelu. Druhé připojení slouží pro vytváření ticketů v Siebelu. Pro připojení k CzechIdM je implementován nový konektor, který je použit pro obě dvě napojení Konektor spravovuje kontakty a tickety v Siebelu voláním příslušných webových služeb (SOAP). Konektor je dále rozšířen o správu produktů a aktiv.

CzechIdM je k Siebelu napojeno čtyřikrát, a to následujícím způsobem:

1. Napojení pro správu kontaktů v Siebelu

2. Napojení pro vytváření Siebel ticketů

3. Napojení pro správu produktů v Siebelu

4. Napojení pro správu aktiv v Siebelu

K aktivům je vždy přiřazen produkt ve vazbě 1:1. Aktivu odpovídá role v CzechIdM a je u něj vždy uveden seznam kontaktů, kteří mají v CzechIdM přiděleny příslušnou roli. V případě založení role v CzechIdM se v Siebelu vytvoří aktivum a k tomu příslušný produkt. Spolu se založením/editací/smazáním produktu je založeno/zeditováno/smazáno odpovídající aktivum v Siebelu.

Pokud by se stalo, že by CzechIdM nemohlo založit ticket nebo kontakt v Siebelu, tak by postup byl následující:

1. Poslat notifikaci na emailovou adresu, že není možné provézt požadovanou operaci.

2. Každých 30 minut zkoušet vykonat požadovanou operaci.

Výše uvedený mechanismus slouží jako ochrana před chybami způsobenými výpadky v síti apod.

1. Připojení pro zakládání požadavků na realizaci

Způsob zakládání požadavků je takový, že CzechIdM založí kontakt pro daného zaměstnance (pokud zatím kontakt neexistuje), vytvoří ticket a daný kontakt nastaví jako majitele ticketu.

Tickety obsahují aktivity, pro které jsou v poznámkách uvedeny požadované role.

Je možné určit systémy:

1. pro které se vždy zapisují přiřazené role uživateli do Siebelu (bez ohledu na to, zda příslušnou roli uživatel má či nikoliv),

2. a ostatní systémy, pro které se přiřazené role zapisují do Siebelu pouze pokud daný uživatel příslušnou roli zatím nemá

U připojených systémů v CzechIdM existuje příznak „Propagovat pouze změny“, přičemž pokud je daný příznak nastaven, tak se do Siebelu propagují pouze uživateli nově přiřazené role týkající se tohoto systému (viz kapitola 2). Pokud příznak „Propagovat pouze změny“ není nastaven, tak se propagují do Siebelu všechny role (bez ohledu na to, zda je uživatel už má či nikoliv).

2. Podporované operace pro správu produktů v Siebelu

Produktům v Siebelu odpovídají Siebel role evidované v CzechIdM. Provedená změna nad těmito objekty v CzechIdM je prostřednictvím konektoru propagována do Siebelu.

3. Podporované operace pro správu aktiv v Siebelu

Aktivům v Siebelu odpovídají v CzechIdM role, stejně jako je tomu u produktů v Siebelu. Při aktualizaci role v CzechIdM tedy dojde k aktualizaci produktu a zároveň aktiva v Siebelul.

3. Napojení systému Matrix

Systém Matrix slouží k evidenci agend a činnostních rolí u jednotlivých zaměstnanců, přičemž tyto údaje spravuje v návaznosti na systém Registr práv a povinností. Údaje o zaměstnancích, útvarech a funkčních místech do Matrixu posílá CzechIdM. CzechIdM zároveň načítá vazby pro schválení, vytváří schvalovací žádosti a po schválení propaguje výsledek zpět do Matrixu.

1. Architektura napojení

CzechIdM v systému Matrix spravuje organizační útvary, funkční místa a uživatele. K tomu slouží tři nezávislá napojení:

• Matrix – uzivatele

  • napojení slouží ke správě uživatelů v systému Matrix

  • prostřednictvím tohoto napojení se načítají vazby ke schválení z Matrixu a propaguje se výsledek zpět do Matrixu

    • synchronizační workflow

      • spouští se pravidelně 1x za hodinu

      • nastaveno pro všechny stavy identita – účet v Matrixu

• Matrix – utvary

  • napojení slouží ke správě organizačních útvarů v Matrixu

• Matrix – funkcni mista

  • napojení slouží ke správě funkčních míst v Matrixu

Všechna tři napojení jsou realizována prostřednictvím jediného konektoru, který byl implementován za tímto účelem.

2. Konfigurace Matrix rolí

V systému je nakonfigurována role „Matrix – zaměstnanec“. Jedná se o základní roli, jenž je přidělována všem uživatelům, kteří mají účet v systému Matrix. Nově nastupujícím uživatelům/zaměstnancům se role „Matrix – zaměstnanec“ přidělí poté, co je jejich nástup schválen schvalovatelem ve 2. kole schvalování. Přidělením této role se uživateli/zaměstnanci vytvoří základní účet v Matrixu. Tento účet ho však ještě neopravňuje k přihlášení se do Matrixu. Aby se uživatel mohl do Matrixu přihlásit, tak musí mít navýšena práva prostřednictvím dalších rolí.

3. Schvalování činnostních rolí z Matrixu

Jedinou pravidelně spouštěnou akcí nad Matrix napojeními je synchronizace systému „Matrix – uzivatele“. Synchronizace pro všechny stavy provádí následující:

1. Pokud je stav uživatelského účtu vůči CzechIdM v jiném stavu než „ASSIGNED“, tak workflow pro daného uživatele končí.

2. Jinak jsou načteny činnostní role z Matrixu, které byly u daného uživatele modifikovány od poslední synchronizace a spustí se nad nimi další proces:

   1. Vytvoří schvalovací žádost pro vedoucího daného zaměstnance, kterému se schvalují činnostní role, případně je schvalovací žádost vytvořena pro schvalovatele ve 2. kole schvalování.

   2. Příslušný schvalovatel ve schvalovací žádosti nastaví, zda přidání/odebrání daných činnostních rolí uživateli schvaluje či zamítá. Schvalovací žádosti pro Matrix je možné schvalovat hromadně

4. Hromadné schvalování Matrix žádostí

Schvalovací úkoly pro činnostní role z Matrix je možné schvalovat, popřípadě zamítat, hromadně. Na stránce s výpisem schvalovacích úkolů je možné označit vícero schvalovacích Matrix úkolů a hromadně je schválit či zamítnout.

Jiné než Matrix schvalovací úkoly není možné hromadně schvalovat/zamítat. Postup hromadného schvalování/zamítání je následující:

1. Pokud se hromadně schvaluje, tak se ve všech označených úkolech schválí všechny vazby na činnostní role AISů a to bez ohledu na to, zda se jedná o vazby „Přidání – ke schválení“ či „Odebrání – ke schválení“. To znamená, že u vazeb typu „Přidání – ke schválení“ bude do Matrixu zaslána informace, že přidání činnostní role pro daný AIS danému uživateli bylo schváleno (stav role u uživatele v Matrixu pro daný AIS bude ve stavu Schváleno) a u vazeb typu „Odebrání – ke schválení“ bude do Matrixu zaslána informace, že odebrání činnostní role danému uživateli bylo schváleno (role pro daný AIS bude uživateli v Matrixu odebrána).

2. Pokud se hromadně zamítá, tak se ve všech označených úkolech zamítnou všechny vazby na činnostní role a to bez ohledu na to, zda se jedná o vazby „Přidání – ke schválení“ či „Odebrání – ke schválení“. To znamená, že u vazeb typu „Přidání – ke schválení“ bude do Matrixu zaslána informace, že přidání činnostní role danému uživateli bylo zamítnuto (role se nepřiděluje) a u vazeb typu „Odebrání – ke schválení“ bude do Matrixu zapsáno, že se činnostní role neodebírá.

CzechIdM načítá z Matrixu v pravidelných intervalech seznam uživatelů, u nichž došlo od poslední synchronizace k modifikaci přiřazených činnostních rolí v Matrixu. Pro tyto uživatele se zjišťuje, jak se jejich vazby na činnostní role od posledně změnily (jaké role byly uživateli přiděleny, jaké role byly odebrány, jak se změnil stav přiřazených rolí atd.). Modifikované činnostní role, které jsou v Matrixu ve stavu „Přidání – ke schválení“ nebo „Odebrání – ke schválení“, je potřeba uživateli prostřednictvím CzechIdM schválit. Schvalovací úkol se vytvoří vedoucímu daného uživatele (případně schvalovatelům pro 2. kolo schvalování), jehož se změna činnostních rolí v Matrixu týká.

Schvalování činnostních rolí pro Matrix je jednokolové a po schválení či zamítnutí vedoucím daného zaměstnance (případně schvalovatelem pro 2. kolo schvalování) se požadavek realizuje.

4. Napojení systému Vera

V systému Vera bude CzechIdM spravovat uživatelské účty, útvary, funkční místa a role.

1. Architektura napojení

CzechIdM v systému Vera spravuje organizační útvary, funkční místa a uživatele. K tomu slouží tři nezávislá napojení:

• Xxxx – uzivatele

  • napojení slouží ke správě uživatelů v systému Vera

    • nastaveno pro všechny stavy identita – účet ve Veře

• Xxxx – utvary

  • napojení slouží ke správě organizačních útvarů ve Veře

• Vera – funkcni mista

  • napojení slouží ke správě funkčních míst ve Veře

2. Konfigurace Xxxx rolí

Základní rolí je role „Vera - uživatel“. Dále jsou zde další role, které definují účty na koncovém systému Vera. Jedná se o role, které se nacházejí pod systémem (informační systém v CzechIdM) Vera. Tyto role jsou založeny na výše zmíněné roli „Vera – uživatel“ (mají ji nastavenu jako podroli).

Xxxx konektor dále umožňuje práce s Xxxx rolemi. To znamená, že konektor aktuálně navrací seznam Xxxx rolí, které má uživatel přiděleny ve Veře. Zároveň je možné přes konektor do Very posílat seznam rolí, jenž se má uživateli nastavit.

Způsob, jakým konektor nastavuje Xxxx role je následující:

1. Pokud CzechIdM do Very poslalo prázdný seznam Xxxx rolí, tak konektor zruší všechny vazby uživatele na jeho role ve Veře.

2. Pokud seznam není prázdný, tak konektor zkontroluje, jestli už uživatel ve Veře nemá nastavenou vazby na danou roli.

3. Pokud už uživatel nastavenou vazbu má, tak konektor odstraní případné datum ukončení platnosti vazby.

4. Pokud uživatel ještě vazbu na danou roli nemá, tak ji konektor vytvoří. Jako datum vytvoření vazby nastaví aktuální datum.

5. U vazeb na role, které má uživatel ve Veře, ale které nebyly zaslány v seznamu rolí z CzechIdM se nastaví datum ukončení platnosti na aktuální datum.

Napojení bylo rozšířeno, aby CzechIdM mohlo u uživatelů ve Veře spravovat činnostní role na základě dat načtených ze systému Matrix. Celý proces probíhá následujícím způsobem. V Matrixu se nastaví činnostní role pro uživatele. CzechIdM v rámci pravidelně spouštěné úlohy tyto role načte a vytvoří schvalovací úkol pro vedoucího. Jakmile vedoucí úkol vyřeší, tak CzechIdM nastaví u uživatele ve Veře seznam aktuálně přidělených a schválených rolí.

CzechIdM dále aktualizuje seznam činnostních rolí u uživatele ve Veře při každé aktualizaci identity v CzechIdM. To z toho důvodu, že by nějaké činnostní role byly v Matrixu uživateli nastaveny přímo, bez nutnosti jejich schvalování vedoucím přes CzechIdM.

Pokud někdo nastaví roli ve Veře a tato role nebude nastavena v Matrixu, tak bude ve Veře u uživatele odebrána.

3. Realizace nastavování činnostních rolí ve Veře

Napojení umožňuje u uživatelů ve Veře spravovat činnostní role na základě dat načtených ze systému Matrix. Celý proces probíhá následujícím způsobem. V Matrixu se nastaví činnostní role pro uživatele. CzechIdM v rámci pravidelně spouštěné úlohy tyto role načte a vytvoří schvalovací úkol pro vedoucího. Jakmile vedoucí úkol vyřeší, tak CzechIdM nastaví u uživatele ve Veře seznam aktuálně přidělených a schválených rolí.

CzechIdM dále aktualizuje seznam činnostních rolí u uživatele ve Veře při každé aktualizaci identity v CzechIdM. To z toho důvodu, že by nějaké činnostní role byly v Matrixu uživateli nastaveny přímo, bez nutnosti jejich schvalování vedoucím přes CzechIdM.

Pokud někdo nastaví roli ve Veře a tato role nebude nastavena v Matrixu, tak bude ve Veře u uživatele odebrána.

Při nastavení vazby uživatele na činnostní role v Matrixu CzechIdM vytváří vedoucím schvalovací úkoly pro schválení/zamítnutí nastavené vazby. Proces je realizován následovně:

1. CzechIdM načte vazby uživatele na činnostní role, které jsou ve stavu „přidání - ke schválení“ nebo „odebrání - ke schválení“

2. CzechIdM vytvoří schvalovací úkol pro vedoucí, kde vedoucí schvaluje přidání nebo odebrání daných činnostních rolí pro uživatele

3. po schválení/zamítnutí daného schvalovacího úkolu je výsledek zapsán do Matrixu

Výsledek schvalování, tj. všechny aktuálně přidělené a chválené činnostní role pro uživatele, je propagován do systému Vera. To je realizováno následovně:

1. CzechIdM vezme aktuálně přidělené a schválené činnostní role pro uživatele a vyfiltruje role pro Veru

2. pro jednotlivé role načte jejich kód a kód příslušné agendy a vytvoří dvojici „kód agendy“ - „kód činnostní role“

3. výsledný seznam těchto dvojic pošle přes rozšířený Xxxx konektor do Very

4. pokud je výsledný seznam prázdný, tak u uživatele ve Veře odebere všechny činnostní role

5. Napojení MS Active Directory

CzechIdM je připojen k systémům MS AD a MS Exchange. V systému MS Exchange CzechIdM spravovuje uživatelské účty, v MS Active Directory CzechIdM zakládá uživatelské účty a dále je spravuje. Pokud při vytváření uživatelského účtu v LDAPu neexistuje příslušný kontejner, kam se má uživatel zařadit, tak je vytvořen. Žádné jiné operace nad těmito kontejnery nejsou podporovány. Podporovány jsou následující operace nad uživatelskými účty:

• založení uživatelského účtu

• modifikace uživatelského účtu (změna atributů účtu nebo přesun účtu do jiného kontejneru)

• zablokování účtu

• odblokování účtu

• smazání účtu

1. Přechod zaměstnance mezi obvody nebo obvodem a magistrátem

V případě přechodu zaměstnance mezi obvody nebo MMO na UMOb a zpět se původní účet v Active Directory "disabluje", přesune do kontejneru pro zablokované účty a v nové doméně se založí nový účet. Pokud se uživatel přesouvá zpět do původního obvodu, odblokuje se mu jeho původní účet.

Tyto změny musí nastat v den odchodu v odpoledních hodinách a založení účtu by se mělo provést v den nástupu na nový UMOb. Domovská organizace uživatele v IdM se však změní již 10 dní před skutečným datem odchodu/nástupu.

Samotné zablokování starého účtu a přilinkování nového se pak nevolá přímo z workflow pro proces přechodu zaměstnance, ale z pravidla aktualizace identity, které se spouští každý den ve večerních hodinách při synchronizaci se systémem Vema.

S účtem ve staré doméně se tedy provádí tyto akce:

• zablokování

• přesun do kontejneru pro zablokované účty (na základě domény)

• smazání všech proxy adresy, ponechá se pouze primární (jinak by nastala kolize e-mailových aliasů při zakládání účtu v nové doméně)

• nastavení náhodného hesla (tím se vynutí okamžitá propagace změn na ostatní doménové řadiče, nutné zejména kvůli informaci o uvolnění proxy adres)

• účet se odlinkuje od identity

V nové doméně se provedou tyto akce:

• vyhledá se původní účet uživatele v této doméně. Pokud existuje, přidá se do userView, všechny nutné akce se pak provedou v rámci checkinu.

• pokud nebyl nalezen žádný účet, při checkinu se automaticky vytvoří nový. Tomu je třeba přímo v kódu nastavit nové náhodné heslo. Navíc nastavení hesla vynutí okamžitou propagaci účtu.

6. Napojení systému GINIS

   1. Rozsah napojení

CzechIdM komunikuje s GINIS prostřednictvím GINIS konektoru, který byl za tímto účelem implementován. GINIS konektor volá webové služby GINISu. CzechIdM je napojeno IS XXXXX a realizuje:

• správu uživatelů

• a správu funkčních míst.

Správou uživatelů je myšleno:

• založení uživatele GINISu (jak záznam uživatele, tak i uživatelský účet)

• editace popisných atributů uživatele v GINISu (jak záznam uživatele, tak i uživatelský účet)

• nastavení/zrušení funkčního místa u uživatele v GINISu

  • vedoucí/admin může v CzechIdM vybrat funkční místo GINISu, na které bude uživatel v GINISu posazen

• zablokování/odblokování uživatele v GINISu

• změna hesla pro uživatele

• zneplatnění uživatele v GINISu

Správou funkčních míst je myšleno:

• založení nového funkční místa

• editace stávajícího funkčního místa (změna popisných atributů, nikoliv však nastavování oprávnění na funkční místa – to webové služby nepodporují)

2. Typy uživatelských účtů

CzechIdM v systému GINIS spravuje uživatele a funkční místa. Uživatelé figurují v systému GINIS ve dvou rolích, a to jako:

• záznam uživatele (datová položka)

  • uživatel je propsán do systému GINIS a je možné na něho navazovat majetek

  • uživatel nemá v systému GINIS nastaven login a nemůže se do systému přihlásit

  • uživatel nesedí v systému GINIS na funkčním místě

• uživatelský účet

  • u záznamu uživatele je nastaven login a uživatel je posazen na funkční místo v GINISu

CzechIdM spravuje v systému GINIS uživatele v obou rolích. Pro záznam uživatele (datovou položku) v CzechIdM existuje role „GINIS – záznam uživatele“. Tato role se přidává všem uživatelům automaticky. Identita, která má tuto roli, má v GINISu vytvořen záznam. Ostatní GINIS role v CzechIdM (aktuální role pod systémem GINIS a všemi moduly) jsou nakonfigurovány tak, že jejich přidělením identitě v CzechIdM je založen plnohodnotný uživatelský účet uživatele.

Odebráním všech GINIS rolí mimo role „GINIS – záznam uživatele“ dojde u účtu příslušného uživatele v GINISu k:

• odebrání loginu a dalších přihlašovacích informací

• odebrání uživatele z funkčního místa

Tím se z uživatelského účtu uživatele stane záznam uživatele (datová položka). Pokud se identitě odebere i role „GINIS – záznam uživatele“, tak se záznam uživatele zneplatní (v GINISu nelze mazat žádné entity, pouze zneplatnit).

7. Napojení systému Plone

Systém Plone CMS (dále jen Plone) je spravován prostřednictvím webových služeb. CzechIdM v Plone spravuje pouze uživatelské účty a jejich oprávnění k webovým stránkám. Napojení umožňuje:

• založit nového uživatele v Plone

• modifikovat popisné atributy u stávajícího uživatele

• změnit login pro stávajícího uživatele

• přidat uživateli právo pro daný web

• odebrat uživateli právo pro daný web

• smazat uživatele v Plone

Z pohledu CzechIdM je Plone napojeno jako jeden koncový systém, ale konektor komunikuje se všemi instancemi Plone. CzechIdM je z pohledu Plone autoritativním systémem. Oprávnění, které má uživatel nastaven v Plone, ale nemá pro ně role v CzechIdM, mu jsou odebrána.

1. Správa oprávnění pro uživatele v Plone

Oprávnění pro uživatele v Plone se spravují zařazováním uživatelů do skupin v Plone. Pokud má mít uživatel nějaké konkrétní právo na určitý web, tak je zařazen do příslušné skupiny v Plone. Každé roli pro Plone v katalogu oprávnění odpovídá jedna skupina v Plone. Z názvu každé role lze odvodit název skupiny v Plone a název instance Plone, kterého se role týká.

8. Napojení systému BePlan

Systém BePlan je spravován prostřednictvím webových služeb. CzechIdM spravuje v BePlan entity a uživatelské účty zaměstnanců a jejich globální oprávnění. Napojení umožňuje:

• založit či deaktivovat uživatele v BePlan

• modifikovat popisné atributy u stávajícího uživatele

• změnit přiřazenou organizaci uživatele

• změnit název funkčního místa uživatele

• nastavit systémové údaje uživatele včetně jeho globálních oprávnění

V BePlan se spravují:

• Externí kontakty (uživatele, kteří nejsou zaměstnanci SMO)

• Interní kontakty (zaměstnanci SMO a mají v BePlan osobní číslo)

Dále se osobám přiřazují organizace a nastavují se globální oprávnění.

V systému BePlan je využívána organizační struktura, která je aktuálně odlišná od organizační struktury evidované ve Vema. Její základ však odpovídá oficiálně používané organizační struktuře.

Pro správu uživatelských účtů v systému BePlan je vytvořen a implementován nový konektor, který volá webové služby BePlan. BePlan je napojen k CzechIdM jako jeden koncový systém pro správu uživatelů a z pohledu BePlan je CzechIdM autoritativním systémem.

CzechIdM nespravuje organizační strukturu, pouze uživatelům vyplňuje ID jejich přiřazené organizace na základě dat z VEMA.

1. Uživatelé

Jednoznačným identifikátorem entity osoby v BePlan je jeho osobní číslo OSCIS (osobní číslo zaměstnance přidělené ve VEMA).

Entita osoby může být aktivní (stav „A“) nebo archivována (stav „N“). Systém BePlan také může entity zcela smazat, pokud nemají žádné vazby uvnitř systému.

2. Role pro systém BePlan v CzechIdM

V CzechIdM je vydefinována systémová role „BePlan – zaměstnanec“. Přidělením této role identitě uživatele v CzechIdM se vytvoří entita „Osoba - zaměstnanec SMO“ v systému BePlan. U této entity není nastaven přihlašovací profil, login ani seznam práv. To znamená, že daný uživatel se nemůže moci do systému BePlan přihlašovat. Je pro něho pouze vytvořen záznam v BePlan (~vznikne datový záznam „osoba“). Tato role se uživatelům v CzechIDM zobrazuje (jedná se o „systémovou“ roli).

Pokud má mít uživatel právo se přihlašovat do BePlan, je potřeba, aby mu byla dále přidělena role, která mu nastaví právo přihlášení, případně další oprávnění v BePlan. To jsou role, které se nacházejí v katalogu práv v CzechIdM pod systémem BePlan. Tyto role mají nastavenu roli „BePlan – zaměstnanec“ jako podroli.

Základní systémová role „BePlan – zaměstnanec“ se nepřiděluje samostatně v rámci žádného automatického procesu. Role je přiřazena jen současně s přiřazováním jiných BePlan rolí, které roli „BePlan – zaměstnanec“ rozšiřují.

V případě odebrání všech rolí BePlan v CzechIDM uživateli je odebrána i role „BePlan – zaměstnanec“ a v systému BePlan je entita daného uživatele zneaktivněna.

3. Správa oprávnění v systému BePlan

V systému BePlan jsou spravována globální oprávnění uživatelů zároveň s vytvářením a aktualizací jejich účtů – systémových údajů.

V katalogu práv pod informačním systémem „BePlan“ jsou uvedeny role, na základě nichž se uživatelům v BePlan přiděluje seznam oprávnění.

Vazba mezi rolemi v CzechIdM a oprávněními v BePlan je implementována v pravidle. Vazba je nadefinována na základě seznamu, jaké BePlan oprávnění odpovídají jednotlivým BePlan rolím v CzechIdM (v katalogu SW práv).

9. Napojení systému ISEA

Systém ISEA je spravován prostřednictvím webových služeb. CzechIdM v ISEA spravuje entity a uživatelské účty zaměstnanců, organizační strukturu, systemizovaná a funkční místa. Napojení umožňuje:

• založit či smazat uživatele v ISEA

• modifikovat popisné atributy u stávajícího uživatele

• založit či smazat organizaci

• modifikovat popisné atributy stávající organizace

• změnit přiřazenou organizaci uživatele

• založit či smazat funkční a systémová místa

• přidělovat či odebírat funkční a systémová místa uživateli

• přiřazovat systemizované místa k organizacím

• modifikovat popisné atributy funkčních a systemizovaných míst

Pro správu uživatelských účtů v systému ISEA je a implementován konektor, který volá webové služby ISEA.

ISEA je napojena k CzechIdM jako 4 koncové systémy. Jedná se o systémy pro správu uživatelů, organizací, systemizovaných a funkčních míst v ISEA. Z pohledu ISEA je CzechIdM autoritativním systémem.

1. Uživatelé

Jednoznačným identifikátorem entity osoby v ISEA je jeho osobní číslo OSCIS. Entity (uživatelé) se v ISEA nemažou ale pouze se deaktivují.

2. Organizační struktura

CzechIdM v systému ISEA spravuje organizační útvary a jejich jednoznačným identifikátorem je jejich identifikační číslo z personálního systému VEMA (utvarId). Zdrojem dat o organizačních útvarech je pro CzechIdM personální systém Vema. V pravidelných intervalech se kontroluje, které útvary se ve Vemě modifikovaly, zjištěné změny se propagují do CzechIdM a dále do dalších napojených systémů, kde CzechIdM spravuje organizační strukturu

3. Systemizovaná místa

Jednoznačným identifikátorem systemizovaných míst v ISEA je jejich identifikační číslo z personálního systému VEMA (sysPositionId). Způsob jejich propagace do systému ISEA bude obdobný způsobu správy organizačních útvarů.

4. Funkční místa

Jednoznačným identifikátorem funkčních míst v ISEA je jejich identifikační číslo z personálního systému VEMA (funcPositionID).

5. Role pro systém ISEA v CzechIdM

V CzechIdM je vydefinována systémová role „ISEA – zaměstnanec“. Přidělením této role identitě uživatele v CzechIdM se vytvoří entita zaměstnanec v systému ISEA. U této entity není nastaven přihlašovací profil, login ani seznam práv. To znamená, že daný uživatel se může do systému ISEA přihlašovat. Je pro něho pouze vytvořen záznam v ISEA (~vznikne datový záznam „osoba“).

Pokud má mít uživatel právo se přihlašovat do ISEA, tak je potřeba, aby mu byla dále přidělena role, která mu nastaví právo přihlášení případně další oprávnění v ISEA. To jsou role, které se nacházejí v katalogu práv v CzechIdM pod systémem ISEA. Tyto role mají nastavenu roli „ISEA – zaměstnanec“ jako pod-roli.

10. Napojení spisové služby e-spis

Spisová služba e-spis (dále jen e-spis) je spravována pomocí zasílaných XML souborů, které generuje CzechIdM. CzechIdM v e-spis spravuje uživatele a organizační strukturu. Nahrazuje aplikaci OrgAdmin pro správu a údržbu, organizační struktury nezávisle na systému eSpis.

Napojení umožňuje:

• založit nového uživatele v e-spis

  • založení uživatele

  • nastavení uživatele na funkční místo

  • emailová notifikace na administrátora

• modifikovat popisné atributy uživatele

• změnit login pro stávajícího uživatele

• změnit organizační zařazení uživatele

  • odebrání funkčního místa uživateli

  • přiřazení nového funkčního místa

  • přidělení či odebrání zástupu

• odstranit uživatele (nejprve je potřeba odebrat všechna funkční místa)

• založení funkčního místa (FM) /útvaru (OJ)

  • automatické založení funkčního místa/útvaru na základě dat načtených z Vemy

  • ruční založení funkčního místa/organizačního útvaru administrátorem v CzechIdM

• editace funkčního místa/útvaru

  • automatická aktualizace funkčního místa/útvaru na základě dat načtených z Vemy

  • ruční modifikace funkčního místa/útvaru administrátorem v CzechIdM

• smazání funkčního místa/útvaru

  • automatické smazání funkčního místa/organizačního útvaru na základě načtených dat z Vemy

  • ruční smazání funkčního místa/útvaru administrátorem v CzechIdM

Napojení umožňuje:

• jakkoliv spravovat přes CzechIdM aplikace (moduly) v e-spisu

• jakkoliv spravovat aplikační role v e-spisu přes CzechIdM

1. Správa oprávnění v e-spis

Organizační struktura v e-spis neodpovídá 1:1 organizační struktuře ve Vemě, protože v e-spisu nejsou zavedená funkční místa typu uklízečka apod. Jinak struktura odpovídá – pokud má člověk v personalistice funkční místo, tak je na něm usazen i ve spisové službě. Pokud sedí na jednom funkčním místě ve Vemě více zaměstnanců, tak je pro každého v e-spisu vytvořeno samostatné funkční místo. V e-spisu se role nastavují na funkční místo, nikoliv na zaměstnance. Přidělením určité e-spis role v CzechIdM se v e-spisu nastaví pro daného uživatele právo na funkční místo, na kterém uživatel sedí.

2. Vazba uživatele na funkční místo v e-spis

Funkční místa v e-spis nemohou být obsazena více lidmi najednou. Pokud ve Vemě sedí více uživatelů na jednom funkčním místě, tak v e-spisu bude mít každý vlastní funkční místo (v CzechIdM, stejně jako ve Vemě, může na jednom funkčním místě sedět více uživatelů). Uživatel může být posazen na stávající funkční místo, případně pro něho může být vygenerováno nové FM v eSpisu. To z toho důvodu, že na stávající funkční místo mohou být navázány dokumenty, které daný uživatel nesmí vidět.

U funkčního místa (zkratka FM) je možné nastavit zástupy. Zástup má menší práva než přímé obsazení funkčního místa.

Vazba „funkční místo:uživatel“ je N:1 => jeden člověk může mít více funkčních míst, jedno funkční místo nemůže být obsazeno více uživateli.

Vazba „zástup na funkčním místě:uživatel“ je N:M => jeden člověk může zastupovat na víc funkčních místech a na jednom funkčním místě může zastupovat víc lidí.

3. Speciálně určená funkční místa a útvary v e-spisu

V e-spisu se nachází organizační útvary a funkční místa, jenž se nenačítají z Vemy. Vytvořeny byly:

1. pro potřeby externí aplikace, obsazeny fiktivním zaměstnancem nebo v zastoupení existujícím referentem

2. nebo odlišení pracovních pozic některých referentů, kdy FM není obsazeno, ale jen zastupováno

Vznik takových míst je nepravidelný a občasný. Tyto aktuálně existující útvary a funkční místa jsou načteny do CzechIdM do organizační struktury (jako CzechIdM organizace). Pro jejich editaci je rozšířen formulář pro editaci organizací v CzechIdM. Administrátor tak může nastavovat atributy jako nadřazené funkční místo, reprezentující funkční místo, definice rolí pro dané funkční místo atd. Dále má administrátor možnost založit nové útvary a funkční místa, editovat je a mazat.

Pro každé „specializované“ funkční místo je v CzechIdM vytvořena speciální role (role se zakládá automaticky při vytvoření funkčního místa v CzechIdM). Přidělením této role identitě v CzechIdM se uživatel nastaví na dané funkční místo. Při přidělení těchto „specializovaných“ e-spis rolí CzechIdM odešle notifikační mail na definovanou emailovou adresu.

4. Funkční místo pro CzechPoint

Pro správu uživatelů na funkčním místě CzechPoint v e-spisu je vytvořena v CzechIdM speciální role, která spadá pod informační systém eSpis, modul „Funkční místa“, stejně je u dalších specializovaných funkčních míst. Přidělením této role uživateli dojde k nastavení daného uživatele k příslušnému funkčnímu místu reprezentující CzechPoint v e-spisu . CzechIdM zároveň odešle emailovou notifikaci, že uživatel byl nastaven na funkční místo „czechpoint“ a že se má provést úprava daných konfiguračních souborů.

5. Specifikace napojení

CzechIdM je k systému e-spis napojen prostřednictvím přechodové databáze. V databázi CzechIdM spravuje uživatele, jejich oprávnění, funkční místa a organizační útvary. Dále je implementován skript, který jednou denně vyexportuje data uložená v databázi do XML souborů v požadovaném formátu pro import do e-spisu. Tyto soubory se skriptem zkopírují do adresáře, ze kterého si je e-spis načítá pro import v rámci jeho pravidelně spouštěné úlohy. Exportní skript zároveň řeší archivaci XML souborů.

Přechodová databáze je vytvořena v MySQL jako samostatná databáze existující vedle repository pro CzechIdM.

1. Export dat z databáze do XML souborů

Export z databáze probíhá jednou denně ve stanovený čas. Export zajišťuje exportní skript, který vytvoří samostatný XML soubor pro každý z obvodů a rovnou XML soubory přenese do importního adresáře pro jednotlivé instance e-spis a zaarchivuje. Exportní skript se nachází na serveru s CzechIdM a je CRONem spouštěn 1x denně. Během exportu je databáze zamknuta pro zápis, aby nemohlo dojít k datové nekonzistenci .

2. Napojení CzechIdM na přechodovou databázi

V CzechIdM vznikla 3 napojení:

• Espis – uživatelé

  • napojení pro správu uživatelů v espis

• Espis – organizační útvary

  • napojení pro správu organizačních útvarů v espis

• Espis – funkční místa

  • napojení pro správu funkčních míst v espis

6. Role pro systém e-spis v CzechIdM

V CzechIdM již existuje sada rolí, jenž spadá pod systém „eSPIS“, které jsou nakonfigurovány tak, že když je má daný uživatel přiděleny, vytvoří se mu účet v systému e-spis a u jeho funkčních míst (zástupů), pro které mu byly role v CzechIdM přiděleny, se mu nastaví odpovídající e-spis oprávnění.

V CzechIdM pak existuje další sada e-spis rolí, které se nachází pod systémem „eSPIS“, modul „Funkční místa“. Tyto role nastavují vazby na speciální funkční místa. Přidělením této role uživateli (pro libovolnou pozici či zástup) se uživatel v e-spisu nastaví na dané funkční místo. To, zda uživateli je nastaven na zástup, případně zda je nastaven s vazbou VYKONAVA, je určeno v extended atributech odpovídajícího funkčního místa v CzechIdM.

7. Konfigurace běžných rolí pro systém e-spis

Tyto role se nachází v CzechIdM v katalogu práv pod informačním systémem „eSPIS“, všechny moduly mimo „Funkční místa“. Role se je moci přiřadit uživateli v CzechIdM pro:

• funkční místo daného uživatele

• pro zástup daného uživatele

Přidělení e-spis role uživateli ve výsledku znamená vytvoření účtu uživatele v e-spisu, popř. e-spisech, pro které má definována funkční místa a přiděleny role. Jelikož pro funkční místo z Vemy, na kterém sedí daný uživatel, může existovat v eSpisu více funkčních míst, tak má administrátor/vedoucí možnost určit, na které funkční místo má být uživatel v eSpisu posazen.

8. Konfigurace specializovaných rolí pro systém e-spis

Jedná se o role, ketré se nachází pod systémem „eSPIS“, modul „Funkční místa“, a zastupují specializovaná funkční místa, např. Czechpoint. Tyto role jsou nakonfigurovány tak, že pokud se přidělí nějakému uživateli v CzechIdM, tak se daný uživatel nastaví na odpovídající funkční místo. U těchto rolí se nerozlišuje, zda byly identitě v CzechIdM přiděleny pro funkční místo či zástup. Tyto role se přidělují na identitu, mohou být tedy přiděleny i uživatelům načtených mimo Vemu (nemají funkční místa).

9. Vynětí uživatele z evidenčního počtu

Při vynětí uživatele z evidenčního počtu mu jsou odebrány všechny role, tedy i role pro e-spis. Tím dojde ke smazání uživatele z e-spisu. Po navrácení uživatele do e-spisu se mu opět vytvoří účet/účty a nastaví se mu vazby na funkční místa.

Administrátor/vedoucí opět může určit, na které funkční místo v eSpisu bude uživatel posazen.

10. Správa útvarů v systému e-spis

CzechIdM v systému e-spis spravuje organizační útvary. Zdrojem dat o organizačních útvarech je pro CzechIdM personální systém Vema. V pravidelných intervalech se kontroluje, které útvary se ve Vemě modifikovaly a zjištěné změny se propagují do CzechIdM a dále do dalších napojených systémů, kde CzechIdM spravuje organizační strukturu.

Do systému e-spis CzechIdM propaguje všechny organizační útvary, které načítá z Vemy. Dále je možné v CzechIdM ručně spravovat organizační útvary, které se propagují do e-spisu.

Administrátor má možnost měnit atributy u organizačních útvarů ručně.

1. Podporované operace v CzechIdM pro útvary

V CzechIdM jsou podporovány následující operace nad útvary v e-spisu:

• vytvoření nového organizačního útvaru v e-spisu

  • na základě dat načtených z Vemy

  • ručním založením specializovaného útvaru administrátorem v CzechIdM

• editace stávajícího organizačního útvaru v e-spisu

  • na základě dat načtených z Vemy

  • ruční editací administrátorem v CzechIdM

    • administrátor může měnit kód útvaru, seznam funkčních míst, jenž jsou nastavena jako sekretariáty daného útvaru, reprezentanta útvaru, jeho název a organizační zařazení

    • stejně pro specializované útvary

• smazání stávajícího organizačního útvaru v e-spisu

  • na základě dat načtených z Vemy

  • ručním smazáním administrátorem v CzechIdM

2. Správa organizačních útvarů mimo Vemu v e-spisu

Administrátor CzechIdM má v administrátorském rozhraní možnost vytvářet, editovat a mazat specializované organizační útvary s tím, že provedené změny se propagují do e-spisu. U organizačních útvarů je možno specifikovat:

• zařazení útvaru v organizačním stromu

• název útvaru

• kód útvaru

• seznam případných funkčních míst na pozici sekretariátu daného útvaru

• reprezentanta útvaru

11. Správa funkčních míst v systému e-spis

CzechIdM v systému e-spis spravuje také funkční místa. Zdrojem dat o funkčních místech je pro CzechIdM personální systém Vema. V pravidelných intervalech se kontroluje, která funkční místa se ve Vemě modifikovala a zjištěné změny se propagují do CzechIdM a dále do dalších napojených systémů, kde CzechIdM spravuje funkční místa.

Do systému e-spis CzechIdM propaguje všechna funkční místa, která načítá z Vemy. Administrátor má dále možnost ručně spravovat funkční místa a to jak funkční místa načítaná z Vemy, tak i funkční místa specializovaná.

1. Podporované operace v CzechIdM pro funkční místa

V CzechIdM jsou podporovány následující operace nad funkčními místy v e-spisu:

• založení nového FM v eSpisu

  • na základě dat načtených z Vemy

  • ruční založení specializovaného funkčního místa administrátorem v CzechIdM

    • automaticky je založena odpovídající e-spis role v CzechIdM

• editace stávajícího funkčního místa v e-spisu

  • na základě dat načtených z Vemy

  • ruční editací administrátorem v CzechIdM

    • pokud pro dané FM v IdM existuje více instancí FM v eSpisu,k tak administrátor můžei editovat každé z nich nezávisle

  • u specializovaných funkčních míst může dále administrátor specifikovat konfiguraci e-spis oprávnění, jenž se mají nastavit pro dané funkční místo v e-spisu (např. Úkoly – Referent), a dále příznak toho, jaká vazba se má nastavit pro uživatele, jenž je prostřednictví odpovídající specializované role posazen na toto FM v e-spisu (vazba buď VYKONAVA nebo ZASTUPUJE), dále pak název funkčního místa a jeho organizační zařazení

• smazání stávajícího funkčního místa v e-spisu

  • na základě dat načtených z Vemy

    • pokud je funkční místo nastaveno jako nadřazené FM jinému místu, tak se tato vazba musí nejdříve zrušit

  • ručním smazáním FM administrátorem v CzechIdM

    • při smazání specializovaného funkčního místa se automaticky smaže odpovídající specializovaná role v CzechIdM, prostřednictvím které se nastavují vazby uživatelů na toto FM

    • admin může pro dané FM v IdM smazat vybranou instanci funkčního FM v eSpisu

2. Správa funkčních míst mimo Vemu v e-spisu

Administrátor CzechIdM má v administrátorském rozhraní možnost vytvářet, editovat a mazat specializovaná funkční místa s tím, že provedené změny se propagují do e-spisu. U funkčních míst je možno specifikovat:

• zařazení funkčního místa v organizačním stromu

• název funkčního místa

• kód funkčního místa

• nadřazené funkční místo

• definici e-spis oprávnění pro dané funkční místo

• příznak, zda se má uživatel, jenž bude přidělen pro dané funkční místo nastavovat s vazbou VYKONAVA nebo ZASTUPUJE

Pokud má funkční místo v CzechIdM více funkčních míst v eSpisu, tak může administrátor v IdM měnit atributy u jednotlivých funkčních míst pro eSpis nezávisle.

Příloha č. 3

Specifikace služeb

Smluvní strany se dohodly na následující specifikaci služeb realizovaných poskytovatelem.

Služby budou poskytovány:

• vzdáleným připojením k serveru, na němž je instalováno programové vybavení,

• v případě, pokud nelze použít vzdálený přístup, osobní přítomností pracovníků poskytovatele v sídle objednatele, popřípadě v sídle odloučeného pracoviště objednatele.

• telefonickou konzultací (hot-line).

• Služba systému Help desk

• písemně na …………………….– neomezeně

• telefonicky v pracovní době na čísle ……………………

• pracovní doba je v pracovní dny pondělí – pátek 08:00 – 16:00 hod.

Definice úrovní servisních služeb

Smluvní strany se dohodly na následující klasifikaci hlášení požadavků (problémů) souvisejících s provozem Programového vybavení:

Úroveň hlášení		Popis
V1	„Kritická chyba“	Provozní aplikaci nelze z důvodu závady vůbec provozovat nebo má závada produktu kritický vliv na provozovanou aplikaci, kritický stav podporovaného systému – totální výpadek, systém vyžaduje okamžité řešení.
V2	„Urgentní chyba“	Závada produktu výrazně omezuje správnou funkcionalitu aplikace, avšak produkt a aplikaci je možné s omezením provozovat.
V3	„Chyba“	Nekritická závada produktu, která nemá na provoz aplikace výrazný vliv, aplikaci lze provozovat bez výrazného omezení.
V4	„Námět“	Námět na rozšíření aplikace o nové funkce a výsledky nebo na změnu funkcí a výsledků aplikace vedoucí ke zkvalitnění nebo zrychlení práce uživatelů.

Garantována úroveň servisních služeb

Smluvní strany se dohodly na následující garantované úrovni servisních služeb:

Úroveň hlášení		Odezva	Doba vyřešení požadavku
V1	„Kritická chyba“	Do 1 pracovního dne	Do 2 dnů od převzetí
V2	„Urgentní chyba“	Do 1 pracovního dne	Do 5 dnů od převzetí
V3	„Chyba“	Do 3 pracovních dní	Do 30 dnů od převzetí

Za dílčí vyřešení se považuje i takový zásah, který způsobí změnu stupně závažnosti problému na nižší. Pokud poskytovatel provede takový zásah, je oprávněn snížit závažnost servisního záznamu (kategorii požadavku).

39 /39 Smlouva na servisní podporu programového vybavení