Designdokument for integrasjonen mellom Cerebrum og ePhorte

Generelt designdokument omhandlende Cerebrum → ePhorte integrasjonen.

1   Intro

ePhorte et elektronisk arkivsustem ved UiO. Cerebrum besørger vedlikehold av personers roller og tilgangskoder i ePhorte gjennom et web-service grensesnitt.

Rollene og tilgangskodene som Cerebrum vedlikeholder i ePhorte, er avledet av informasjon fra HR-systemet (SAP). Det er også mulig å definere roller og tilgangskoder manuelt, gjennom Cerebrums brukergrensesnitt.

Dataflyten i integrasjonen:

                                                      populering
                                                      av ePhorte-roller,
                                                      -tilgangskoder og
                                                      tildeling av
                                                      spread til ePhorte
                                                   +--------------------+
                                                   |                    |
+--------+                                   +----------+               |
|        |                                   |          |               |
|        |  persondata (navn, kontaktinfo)   |          |<--------------+
|  SAP   |---------------------------------->| Cerebrum |
|        |                                   |          |
|        |                                   |          |
+--------+                                   +----------+
                                                   |
                                                   |
            +---------+   Cerebrum-Ephorte synk.   |
            |         |<---------------------------+
            | Ephorte |
            |    WS   |
            |         |
            |         |
            +---------+
                 |                      +---------+
                 |  person- og          |         |
                 |  rolleoverføring     |         |
                 +--------------------->| ePhorte |
                                        |         |
                                        |         |
                                        +---------+

1.1   Integrasjonshistorikk

Integrasjonen har gjennomgått flere utviklingsiterasjoner, i tidsrommet 2007 til 2009. Begge disse versjonene brukte en egen Java-klient for å kommunisere med ePhorte (Formodentlig fordi Python da ikke hadde et godt nok rammeverk.)

I 2015 er det laget en ny versjon av ePhorte web service, og denne kommuniserer med en Python-klient. De delene av ePhorte-syncen som trenger Java er dermed skrevet om. Dette representerer en markant økning i teknisk kvalitet.

2   Hva overføres?

  • Persondata
    • e-post
    • navn: fornavn, efternavn, fullt navn. Mellomnavn finnes, men overføres ikke
    • mobilnummer
    • jobbtelefon
    • brukernavn: «Initials» har brukernavn, mens «UserId» holder feide-id (med @uio.no tilføyet)
    • gateadresse
  • Roller
    • jobbtittel/rolletittel
    • rolle-id/rolletype
    • organisasjonsenhet
    • arkivdel
    • journalenhet
    • standardrolle? (boolesk)
  • Tilganger
    • tilgangskode
    • organisasjonsenhet
    • tilgang overalt? (boolesk)

Organisasjonsstrukturen overføres ikke, den oppdateres manuelt i ePhorte, da ePhorte ikke støtter dette. Men enhetene lagres med stedkode og vedlikeholdes manuelt.

Persondata hentes fra SAP.

3   Kriterie for eksport til ePhorte

For at en OU eller en person skal bli eksportert til ePhorte, må OUet eller personen ha fått «spredningsbevilgning» til ePhorte. Disse «bevilgningene» heter henholdsvis ePhorte_person og ePhorte_ou.

Se Cerebrums brukergrensesnitt for veiledning til hvordan man kan se om en person eller en OU har «spredningsbevilgning» til ePhorte.

ePhorte_person deles ut automatisk ved tildeling av roller, og slettes når siste rolle blir borte.

4   Roller og tilganger

Roller og tilganger styres fra Cerebrum. De styres med egne kommandoer i bofh, samt at en del standardtilganger og -roller settes automatisk av Cerebrum.

4.1   Rollepopulering

Personer får en automatisk SB-rolle (saksbehandler) for hvert OU personen har ansattilknytning (affiliation) til, gitt at OU finnes i ePhorte. Rollen har vanligvis arkivdel satt til SAK UIO og jouralenhet satt til J-UIO, men for FSAT brukes SAK FSAT og J-FSAT.

Systemansvarlige i ePhorte får i tillegg en systemansvarligrolle (SY, «systemansvarlig») ved den øverste organisatoriske enhet, med arkivdel SAK UIO og journalenhet J-UIO.

Automatiske saksbehandlerroller slettes også automatisk når personen ikke lenger er tilknyttet enhet.

Dersom ingen rolle er markert som standardrolle, settes én av saksbehandlerrollene som standardrolle. (Men bare hvis personen har en saksbehandlerrolle.)

4.1.1   Tilgangspopulering

Alle ansatte blir automatisk gitt tilgangskodene AR og UA (utgått) ved stedkoden for egne saker.

5   Roller

ePhorte-roller i Cerebrum har følgende data som blir synkronisert:

role_type

Følgende rolletyper er definert i ePhorte:

  • AR1, Arkivansvarlig
  • AR2, Arkivar
  • AR3, eSak
  • LD, Leder/saksfordeler
  • LD LES, Leserolle Leder
  • SY, Systemansvarlig
  • SB, Saksbehandler
  • MAL, Malansvarlig
  • SUB, Superbruker
standard_role
Kan ha to verdier, 'T' og 'F', som står for True og False.
adm_enhet
stedet rollen er knyttet til, gitt som stedkode.
arkivdel

Følgende arkivdeler er definert:

  • SAK UIO, Saksarkiv ved Universitetet i Oslo
  • STUD UIO, Studentarkiv ved Universitetet i Oslo
  • EIEND UIO, Eiendomsarkiv ved Universitetet i Oslo
  • AVTALE UIO, Avtalearkiv ved Universitetet i Oslo
  • SAK SO, Saksarkiv ved Samordna Opptak
  • SAK NIKK, Saksarkiv ved NIKK
  • PERS UIO, Personalarkiv ved Universitetet i Oslo
  • KHM FORN, KHM (Kulturhistorisk museum) - Fornminnneforvaltning
  • SAK FSAT, sakarkivet ved FSAT
  • CRISTIN, Current Research System in Norway
  • FELLESKLAG, Felles klagenemnd
  • FS, Felles studentsystem
  • KHM OBJEKT, Gjenstander og objekter ved Kulturhistorisk museum
  • KLAGE SO, Klager på opptak ved Samordna opptak
  • KLAGENEM, Klagenemnder Samordna opptak
  • NASJONKLAG, Nasjonal klagenemnd
  • NI, Nasjonal institusjon for menneskerettigheter
  • NORDEM, The Norwegian Resource Bank for Democracy and Human Rights
  • OMBUDSTUD, Studentombud
  • ROMANI, Tater- / Romaniutvalget
  • UIO ENERGI, UiO Energi

eSak kan be om å få opprettet nye arkivdeler ved behov.

Fra Cerebrums ståsted er en arkivdel og et arkiv det samme. fra eSAKs ståsted er det en forskjell. Se Arkivverkets arkivterminologi for utfyllende forklaring om begrepene.

journalenhet

Følgende journalenheter er definert:

  • J-NIKK, Journalenhet for NIKK - Nordisk institutt for kvinne- og kjønnsforskning
  • J-SO, Journalenhet for SO - Samordna Opptak
  • J-UIO, Journalenhet for UiO - Universitetet i Oslo
  • J-FSAT, Journalenhet for FSAT
  • J-SMR, Journalenhet Norsk senter for menneskerettigheter
  • J-OMB, Journalenhet for studentombud
rolletittel
brukes ikke, settes til tom streng ("")
stilling
brukes ikke, settes til tom streng

6   Tilgangskoder

ePhorte-tilgangskoder i Cerebrum har følgende data som blir synkronisert:

perm_type

Følgende tilgangskoder er definert i ePhorte. Av disse er noen utgått, men de må fortsatt være registrert i Cerebrum og ePhorte. De gjeldende tilgangskodene er:

  • US, Unntatt etter offentlighetsloven ved SO
  • UN, Unntatt etter offentlighetsloven ved NIKK
  • PR, Rettssaker
  • PV, Personalsaker
  • PD, Disiplinærsaker personal
  • PO, Personers økonomiske forhold
  • AR, Under arbeid
  • OF, Unntatt etter offentlighetsloven
  • SV, Studentsaker
  • SD, Disiplinærsaker studenter
  • FO, Forskningssaker
  • AI, Anskaffelser
  • VS, Varsling studenter
  • VA, Varsling ansatte
  • OS, Studentombud

De utgåtte tilgangskodene er:

  • UO, Unntatt etter offentlighetsloven
  • P , Personalsaker
  • P2, Personers økonomiske forhold
  • P3, Disiplinærsaker personal
  • P4, Rettssaker
  • S , Studentsaker
  • S2, Disiplinærsaker studenter
  • UA, Under arbeid
  • PA, Personalsaker AKAN

Ikke alle disse brukes av arkiv-personalet, men det er ikke vesentlig for synkroniseringen.

adm_enhet
stedet rollen er knyttet til, gitt som stedkode.
requestee
Den som har gitt tilgangskode til personen, angitt ved initials. Per 22.01.2015 blir ikke dette feltet lenger overført.

7   Registrering av ephorte-roller i Cerebrum

Roller i ePhorte kan tildeles på tre måter:

  • Saksbehandler, tildeles automatisk basert på ansatt-tilknytning fra SAP.
  • Systemadministrator, tildeles automatisk på bakgrunn av medlemskap i gruppen 'ephorte-admins' i Cerebrum.
  • Manuell registrering av roller i Cerebrum (alle typer).

7.1   Saksbehandler

Alle personer med en ansatttilknytning ved UiO får automatisk tildelt standard saksbehandlerrolle (SB) i UiOs arkiv i ePhorte, 'SAK UIO'.

På samme måte får alle personer tilknyttet FSAT (stedkode 395000), NIKK (390920) og SO (352520, 2905**) tildelt standard arkivrolle i henholdsvis SAK FSAT, SAK NIKK og SAK SO-arkivene.

Saksbehandlerrollen tildeles for alle stedene som en person har ansattilknytning til dersom stedet kan mappes til et ephorte-sted, se Rollers stedstilknytning.

Når stillingen i SAPUiO som danner grunnlag for tilknytningene registrert i Cerebrum opphører, fjernes saksbehandlerrollen.

7.2   Systemadministrator

Hvis en bruker er meldt inn i gruppen 'ephorte-admins' i Cerebrum vil denne få systemadministratorrolle i ePhorte. Medlemmene i denne gruppen skal ha:

  • rollen "SY"
  • admindel "UIO" (sko 900199)
  • arkivdel "SAK UIO"
  • journalenhet "J-UIO"

Merk at utmelding fra gruppen i Cerebrum ikke fører til at systemadministratorrollen ugyldiggjøres i ePhorte. Rollen må fjernes manuelt i bofh av en systemadministrator for ePhorte. Systemadministratorroller kan også gis i bofh av en som allerede er systemadministrator.

Cerebrum: Merk at medlemmene i ephorte-admins er brukere i Cerebrum, mens det i ePhorte er personer (brukerens eier) som er systemadministator. Det kompliseres ytterligere ved at personer i ePhorte representeres av personens primærbruker fra Cerebrum.

7.3   Oppdatering av person i ePhorte

Hvis en person i dumpen fra Cerebrum ikke finnes i ePhorte fra før, skal det opprettes en ny person i ePhorte. I tillegg lagres navn, adresse, og roller i egne tabeller.

Hvis en person i dumpen fra Cerebrum finnes i ePhorte fra før, og enten navn-, adresseinformasjon eller roller er forskjellig vil disse persondataene bli oppdatert i ePhorte.

7.4   "Sletting" av person i ePhorte

Dette er ikke dette implementert i den nye synkroniseringen.

Hvis en person tidligere har hatt en eller flere roller i ePhorte og disse har blitt fjernet i Cerebrum skal personen registreres som inaktiv i ePhorte ved neste synkronisering. Personen vil da ikke lenger ha tilgang i ePhorte.

8   Synkronisering av roller

Rolledataene for hver person fra Cerebrum sammenlignes med rollene som finnes for den personen i ePhorte fra før. Roller identifieres med følgende tuppel:

(role_type, adm_enhet)

Hvis dette tuplet er likt for to roller, er rollene identiske.

Hvis en rolle fra Cerebrum ikke finnes i ePhorte skal denne opprettes. Hvis det for en person finnes en rolle i ePhorte som ikke er med i dumpen fra Cerebrum skal denne rollen slettes i ePhorte. En rolle markeres som slettet ved at dens tildato blir satt.

I den gamle integrasjonen mot ePhorte, ble roller definert med tuppelet:

(role_type, adm_enhet, arkivdel, journalenhet)

8.1   Rollers stedstilknytning

Fra SAPUiO får Cerebrum informasjon om i overkant av 600 steder (heretter kalt "uio-steder"). Stedene er ordnet i et hierarki, hvor UiO er øverste node, med fakulteter, Institutter, osv nedover i hierkiet.

I ePhorte er det definert ca 200 steder i universitetets stedstruktur som er relevante i ePhorte-sammenheng (heretter kalt "ephorte-steder"). Dette er et subsett av uio-steder og vedlikeholdes av SAPUiO i samarbeid med eSak. Disse er merket i SAPUiO med stedtype=Arkivsted.

Det er inntil videre ingen synkronisering av steder fra Cerebrum til ephorte. Dette skyldes at denne informasjonen ikke kan oppdateres vie ephortes web-service. Dermed vedlikeholdes stedene manuelt i ePhorte. Internt i ePhorte er det lagret i tabellen ADMINDEL. Synkroniseringen sjekker at det ikke er avvik mellom stedene registrert i ephorte og SAPUiO.

En rolle skal knyttes til et sted i ephorte-steder, basert på stedet personen har ansatttilknytning til. Dersom stedet personen er knyttet til ikke finnes i ephorte-steder, forsøker man å tildele rollen ved overordnet enhet i uio-steder. Hvis heller ikke dette stedet er med i ephorte-steder skal det logges en feilmelding. Feil av denne typen skal regelmessig sendes e-post-listen 'esak-hjelp@admin.uio.no'.

9   Synkronisering av tilgangskoder

Tilgangskodedataene for hver person fra Cerebrum sammenlignes med tilgangskodene som finnes for den personen i ePhorte fra før. Tilgangskoder identifieres med følgende tuppel:

(perm_type, adm_enhet)

Hvis dette tuplet er likt for to tilgangskoder, er tilgangskodene identiske.

Hvis en tilgangskode fra Cerebrum ikke finnes i ePhorte skal denne opprettes. Hvis det for en person finnes en tilgangskode i ePhorte som ikke er med i dumpen fra Cerebrum skal denne tilgangskoden slettes i ePhorte. En tilgangskode markeres som slettet ved at dens tildato blir satt.

9.1   Tilgangskoders stedstilknytning

Tilgangskoder er knyttet til steder. I motsetning til rollers stedtilknytning må tilgangskoder være knyttet direkte til et ephorte-sted.

Merk at det er opprettet to "falske" stedkoder i Cerebrum. Disse skal brukes kun i forbindelse med populering av stedkoder i ePhorte. Stedkode 999990, 'Ephorte, ufordelte saker' brukes som sted for ufordelte saker. Stedkode 999999, 'Ephorte, egne saker' brukes for å angi at en tilgangskode kun gjelder for egne saker.

10   Tilgang til ePhorte

Tilgang til bruk av ePhorte er begrenset. Det er to kriterier som må tilfredsstilles for at en person kan benytte ePhorte:

  • Personen må ha FEIDE-tilgang
  • Personen må minst en ephorte-rolle registrert i Cerebrum.
Av jsama
Publisert 27. apr. 2015 12:12
Del på e-post