Elanor – EGJE
Provozní dokumentace
Index
dokumentací (html)
Index
dokumentací (docx)
2.1 Nasazení
aplikačního serveru
2.2 Nasazení
serveru pro modul EGJEWeb2, HR Portál
2.3 Provoz
přes terminálové servery
3.3 Stanice
uživatele pro standardního klienta
3.4 Stanice uživatele pro
EGJEWeb2 klienta
3.6 Spouštěcí
parametry EGJEWeb2
3.6.4 HR Portál volaný jako portlet
3.7 Konfigurace připojení
k poštovnímu serveru
4 Instalace a dimenzování
parametrů
5 Režim
správy databáze - datového schematu Elanor EGJE
5.1 Objekty
BLOB - uložení dokumentů
6 Správa
aplikace - změnové řízení
6.1 Nastavení a změna parametrů pomocí utility
configurator_egje
6.1.3 Připojení k databázi - DB
6.2 Nastavení
a změna parametrů pomocí utility „MultiConfigurator“
6.3 Adm51 - Změnové řízení
databáze
6.4.2 Uživatelská
sestava Ela01vxc dříve validateXML - validateClobs
7.1 Založení uživatele –
stručné shrnutí
7.2 Práva k objektům a k
řádkům, role a profily
7.2.2 Nastavení přístupových práv
v aplikaci
7.2.3 Objekty práv konfigurace
7.2.4 Zastupování uživatele na
profilu
7.2.5 Dílčí (limitovaný) správce
7.2.6 Příloha – model
přístupových práv EGJE
7.2.7 Speciální objekty
přístupových práv
8.3 Rtf sestavy a uživatelské
sestavy - přímé volání MS Office
8.3.1 Technologický předpoklad
8.4 Hromadná korespondence –
Dokumenty DOCX ELA
9.3 Vlastní vytvoření a editace
sestavy
9.3.1 Přenesení uživatelské
sestavy na jinou db
9.4 Distribuce
uživatelské sestavy Elanor
10 Instalace
patch a výdejů pomocí utility SuperConfigurator
10.1 Instalace patche - výdeje:
10.2 Vlastní instalace utility
10.2.1 SuperConfigurator -
restrikce spuštění pomocí Adm51
10.2.2 Spuštění SuperConfiguratoru
bez parametru
11 Výčet
povolených formátů pro nahrání do systému
12.1 Příloha A1. Instalace verze Oracle
12.2 Příloha A2. Instalace verze MS SQL
12.3 Příloha B. Instalace
programového vybavení (std. klient)
12.3.1 Instalace
předlohy pro spouštění std. klienta pomocí EWS
12.3.2 Instalace
- přímé a dávkové spouštění std. klienta EGJE
12.3.3 Instalace
- možnost společného programového vybavení pro více databází
12.3.4 Instalace
- možnost spouštění standardního klienta
12.4 Příloha C1. Instalace EGJEWeb2
12.4.1 Rozdíly
v instalaci Tomcat 9 a Tomcat 10
12.4.3 Tomcat
a cookie - atribut SameSite
12.4.4 Provoz
EGJEWeb2 přes loadbalancer
12.4.6 Nastavení
hlaviček Apache httpd (Apache Hypertext Transfer Protocol Server)
12.5 Příloha D. Instalace Aplikačního serveru EGJE
12.6 Příloha
E. Logování - AS, EGJEWEB2
12.7 Příloha F1. Nastavení JRE pro servery - AS, EGJEWEB2
12.8 Příloha G. Monitorování AS pomocí JMX
12.9 Příloha
H. Monitorování serverových procesů na AS z java klienta resp. EGJEWEB2
12.10 Příloha I. Monitorování
databáze
12.11 Příloha J. Monitorování
EGJEWeb2(HR portál), AS pomocí Java Melody
12.12 Příloha
J1. Monitorování pomocí JavaFlightRecorder
12.13 Příloha K. EGJE
a webové služby
12.14 Příloha L. Více hlášek v některých protokolech
12.15 Příloha M.
Základní popis databázových zámků
12.16 Příloha N. Další
Security opatření
Elanor
Global Java Edition (EGJE) je systémem pro práci s lidskými zdroji (HR),
jinými slovy personální a mzdovou agendu.
Technologicky se skládá z SQL databáze, stanic uživatele a případně
také aplikačního serveru resp. serveru pro EGJEWeb2. Systém je realizován
pomocí programovacího jazyka java, pouze velmi malé části jsou naprogramované
přímo v SQL databázi v jejím nativním jazyce, resp. části EGJEWeb2 v javascriptu.
Aplikační server používá java
prostředí. Je možné použít i OpenJDK javu i javu z Oracle SE subscription.
EGJEWeb2 používá servlet
kontejner Tomcat.
Distribuce aplikace se provádí pomocí jejího
uložení na interním web serveru organizace (resp. v horším případě souborovému
serveru) a následným zpřístupněním pro stanice pomocí EGJE Web Start.
Mobilní přístup je řešen pomocí webovských
technologií (EGJEWeb2).
Aplikace je vystavěna v duchu "Responsive web design" a přizpůsobuje
se prostředí, ve kterém je spuštěna.
K
dispozici je také možnost speciální autentizace pro mobilní zařízení resp.
možnost zadání určitých restrikcí pro mobilní přístup.
Otázka nasazení, resp. nenasazení aplikačního serveru závisí především na síťových a paměťových požadavcích a na distribuci zatížení. Aplikační server komunikuje s aplikací pomocí technologie RMI.
Modul EGJEWeb2 slouží
jako uživatelské rozhraní pro zaměstnance, resp. manažera. Je však otázkou
implementace, zdali manažer (a případně který manažer) bude používat
jednoduchého web klienta HR Portál nebo funkčně bohatšího, ale složitějšího
"referentského" klienta EGJEWeb2, nebo jemu analogického klienta standardního.
Aplikace poskytuje i většinu referentské funkčnosti.
Rozhraní HR Portál je samostatnou obchodní položkou.
Obecně lze aplikaci provozovat přes terminálové servery (Citrix). Je však třeba server dostatečně výkonově a paměťově dimenzovat.
Také integrace s prostředím uživatele je o něco složitější (hromadná korespondence, exporty XLS, e-mailová komunikace) neboť SW, který výstupy z EGJE přebírá a dále zpracovává je obvykle na stanici uživatele.
Doporučujeme v této konfiguraci umístit pracovní adresář (Nastavení / Uživatelská nastavení / Adresář pro export) na citrixový diskový svazek (a případné kopírování na stanici uživatele provádět pomocí kopírování souboru na zpřístupněný lokální disk nebo analogicky Adobe Reader / Soubor / Uložit kopii).
Pro práci s html
položkami vyplňovanými přes schránku (např. Zpu01 / Obsah kurzu) je zapotřebí
zpřístupnit v citrix html schránku
- viz http://support.citrix.com/article/CTX112063
Pro spouštění EGJE na
citrix instalace jsou tyto možnosti:
·
přímé spouštění přes javaw resp.
spouštění dávkou ze souborového serveru
– doporučená varianta!
(obzvlášť, je-li více Citrix serverů)
viz Příloha B: Instalace - alternativní dávkové spouštění EGJE
·
spouštění přes EWS - nevýhodou je cache
aplikace zvyšující velikost domovského adresáře uživatele, je však možné využít
tzv. systémovou cache.
Databáze:
· Oracle:
· Oracle 12c R2, 18c, 19c
· MS-SQL Server
· Microsoft SQL Server 2014
· Microsoft SQL Server 2016
· Microsoft SQL Server 2017
· Microsoft SQL Server 2019
· Microsoft SQL Server 2022
Stanice uživatele Java klienta
· Obecně libovolná dostatečně dimenzovaná stanice - na které je podporována Java 11, Java 17 nebo Java 21 (pouze LTS verze, jiné nejsou ze strany Elanor podporovány), s prohlížečem PDF, a přístupem na tiskárnu, resp. lokální tiskárnou
· Doporučené rozlišení od 1366 x 768
·
Doporučujeme též instalaci SW na práci s
exportními soubory XLSX, CSV, XLS
(Microsoft Office, resp. Microsoft Excel viewer, resp. OpenOffice/LibreOffice)
Aplikační server
·
Obecně libovolný server, na kterém je
podporována Java 11, Java 17 nebo Java 21 (pouze LTS verze, jiné nejsou ze
strany Elanor podporovány).
Nemusí to nutně být samostatný server, pro menší instalace je možné společné
umístění s databázovým serverem
·
Aplikační server není povinnou komponentou,
resp. může běžet i na EGJEWeb2 serveru
·
Úloha aplikačního serveru spočívá v optimalizaci
provozu po linkách a poskytuje také daleko větší zabezpečení než provoz bez něj
·
Instalace AS používá wrapper Tanuki
Upozornění - jeho verze pro 64-bitové Windows je placená, pro ostatní
postačí neplacená verze.
Nastavení parametrů je stručně zmíněno v Příloze D.
Server EGJEWeb2
· Server, na kterém je podporována Java 11, Java 17 nebo Java 21 se servlet kontejnerem Apache Tomcat verze 9.0.x nebo 10.1.x. (testováno na OS Windows a Linux).
·
Pro verzi Tomcat 9.0.x doporučujeme použít minimální verzi 9.0.102 a
pro verzi 10.1.x minimálně verzi 10.1.39.
·
Z důvodu bezpečnostních zranitelností se
nedoporučuje používat starší verze.
· Podpora řad Apache Tomcat 7.x a 8.x byla UKONČENA. (https://endoflife.date/tomcat)
·
Instalace je popsána v Příloze C1.
Stanice uživatele EGJEWeb2
·
Web
browser (Google Chrome, EDGE, Firefox. Browsery IE a
Safari nejsou podporovány.)
·
Doporučené
rozlišení od 1366 x 768
· Stanice by měla disponovat prohlížečem PDF a přístupem na tiskárnu, resp. lokální tiskárnou
· Doporučujeme
též instalaci SW na práci s exportními soubory XLSX, CSV, XLS
(Microsoft Office, resp. Microsoft Excel viewer, resp. OpenOffice/LibreOffice)
resp. DOCX, RTF, ODT (Microsoft Word resp. OpenOffice/LibreOffice)
Web
server (resp. souborový server) s EWS předlohou
·
Obecně libovolný intranetový web server (hůře
souborový server) přístupný koncovým uživatelům.
·
Na server je umístěna aplikační předloha formou
aplikačního balíku EGJE Web Start, resp. Java Web Start
·
Opět to nemusí být samostatný server, jde o vysdílení
jednoho adresáře.
Autentizační server
· Aplikace nevyžaduje vyhrazený autentizační server. Je možné použití již existující v organizaci používaný.
· Typickým autentizačním serverem je doménový server Windows Active directory resp. nějaký LDAP server.
Poštovní server
· Některé části systému (typicky workflow) používají e-mailovou komunikaci. Ta je realizována pomocí připojení na SMTP server pro odesílání pošty.
· V oblasti uchazečů může být použito i POP3 rozhraní pro příjem pošty. Je vhodné, je-li poštovní server vybaven nějakým antispamovým a antivirovým řešením, není to však nezbytnou podmínkou. Aplikace rozezná "svoje" e-maily a odpovědi na ně a zpracovává přednostně tyto.
· Konfigurace připojení k poštovnímu serveru - viz dále
Podporované databáze:
· Oracle 12c R2 (Standard Edition, Enterprise Edition) - verze >= 12.1.0.1
· Oracle 18c (Standard Edition, Enterprise Edition)
· Oracle 19c (Standard Edition, Enterprise Edition)
· Microsoft SQL Server 2014
· Microsoft SQL Server 2016
· Microsoft SQL Server 2017
· Microsoft SQL Server 2019
· Microsoft SQL Server 2022
Databáze může být provozována na
HW s různým OS (unix, linux, windows)
Charakter aplikace je převážně transakční zpracování
(OLTP).
Databázovou
instanci oracle vytváříme s unicode charset a musí být nainstalována s XML DB.
Instalace s Oracle podporují plné využití znaků unicode, zatímco instalace
s SQL Serverem jsou směrovány pro data ve znakové sadě 1250. (unicode znaky
jsou dovoleny jen u některých textů a jsou k dispozici jen ve vybraných
zobrazeních).
Náročnost na výkon a velikost databáze je přibližně stejná jako u Elanor
Global.
U zvlášť rozsáhlých instalací ( > 5000 zaměstnanců) je možné i nasazení
Oracle RAC.
· Obecně libovolná dostatečně dimenzovaná stanice se Oracle Java JRE 11, 17 nebo 21, s prohlížečem PDF a přístupem na tiskárnu, resp. lokální tiskárnou.
· Testován je provoz na Windows 10 Enterprise a Windows 11 Enterprise,
· Doporučené rozlišení od 1366 x 768
·
Jako prohlížeč PDF doporučujeme a testujeme
Adobe Reader verze 7 a vyšších verzí.
(je-li systém provozován na Citrix je zapotřebí kompatibilita PDF prohlížeče
s příslušnou Citrix verzí).
·
Doporučujeme též instalaci SW na práci s
exportními soubory CSV, XLS, XLSX
(Microsoft Office, resp. Microsoft Excel viewer, resp. OpenOffice / LibreOffice)
· U stanic Windows doporučujeme >= 4 GB paměti.
· Nároky na
diskový prostor nejsou velké. Programové vybavení do 500 MB (%USERPROFILE%\Data
aplikací\Sun\Java\Deployment).
· Požadovaný prostor pro pracovní soubory, protokoly a tiskové sestavy (%USERPROFILE%\Dokumenty\EMAN) je závislý na typu práce uživatele a řádově se pohybuje okolo 100 MB.
· Textový tisk (Vyp12, Vyp32 aj.). Textový tisk je realizován tak, že uživatel si v dialogu volí textový port LPT1/LPT2/LPT3. V operačním systému uživatele tedy musí být tiskárna připojena na jeden z těchto portů.
·
přístup na
internet I. (viz též následující kapitola Přístup EGJE na internet)
Sestava
Kon04 - Kontrola insolvenčního řízení osob [CZ] používá
volání webové služby
Získává data z webové služby poskytované serverem
justice.cz
(viz popis https://isir.justice.cz/isir/common/stat.do?kodStranky=SLEDOVANIWS)
Provoz sestavy vyžaduje:
·
nastavení http, https (proxy)
Je nutné nastavit správnou konfiguraci připojení k
proxy serveru, pokud daný zákazník používá proxy server ve své firemní síťové
infrastruktuře, případně povolit volání adres začínajících https://isir.justice.cz:8443/
Ze samotného nastavení spojení k proxy serveru je
nutná korektní konfigurace připojení pro protokoly HTTP a HTTPS.
Testování můžete
také provádět přímo v prohlížeči – můžete zkoušet, zdali se načte xml popis
webové služby z adresy https://isir.justice.cz:8443/isir_cuzk_ws/IsirWsCuzkService?wsdl
U spouštění EGJE
přes dávkové soubory *.bat a u
konfigurace webového serveru nesmí administrátor opomenout nastavit/použít
následující proměnné prostředí:
Pro protokoly
HTTP i HTTPS:
· do proměnné
proxyHost zadat konkrétní (doménovou) adresu proxy serveru.
· v proměnné
proxyPort nastavit port, na kterém proxy server na daném serveru poskytuje své
služby.
Tedy -DproxyHost=proxy.firma.cz -DproxyPort=nnnn
· pokud daný proxy
server vyžaduje autentizaci, je zapotřebí nastavit také proměnné:
- proxyUser uživatelské jméno pro
autentizaci na proxy serveru.
- proxyPassword heslo pro autentizaci na
proxy serveru.
Pozn.: pokud
chcete mít jinak nastavené http a https, je možné použít před uváděné
proměnné
prefixy:
http.
https.
Př.: http.proxyHost, https.proxyHost ...
Při spouštění
přes EWS si správce vyzkouší, zdali
je proxy nastavení potřeba a pokud to v daném prostředí nutné je, doplní
předlohový .egje soubor
Pozn.: u instalací s AS se nastavení týká klienta
EGJE,
pouze pokud
správce zvolí spouštění na AS (přes Adm53), musí zajistit přístup z AS.
Parametry týkající se proxy se potom píší do wrapper.conf AS jako wrapper.java.additional parametry -D.
Př.
wrapper.java.additional.3=-DproxyHost=xxx
wrapper.java.additional.4=-DproxyPort=ppp
Případně též -DproxyUser a
-DproxyPassword
·
přístup na
internet II.
přímý
přístup na internet používá formulář Adm24 - Kurzovní lístek / Import z Webu
Situace je obdobná jako u webové služby.Tedy pro dávkové spouštění:
-DproxyHost=proxy.firma.cz -DproxyPort=nnnn
(dávkové
spouštění je popsáno v kap. Instalace - přímé a dávkové spouštění std. klienta
EGJE Instalace - přímé a dávkové spouštění std. klienta EGJE)
Nastavení proxy v Ovládacích panelech / Java resp.přímo v .jnlp, .egje (element property v <resources> př. <property name="proxyHost" value="proxy.firma.cz"> )
Pro stahování kurzovního lístku na AS (Adm53) je určena analogická zákaznická sestava Adm24f.
3.4 Stanice uživatele pro
EGJEWeb2 klienta
·
HW
a SW nároky u Web klienta jsou podobné jako u standardního klienta, místo java
JRE se používají Web prohlížeče
·
Web
browser (Google Chrome, EDGE (nový EDGE chromium), Firefox). U Chrome a Firefox
testujeme v poslední verzi prohlížeče.
Doporučené rozlišení od 1366 x 768
· Stanice by měla disponovat prohlížečem PDF včetně browseru pracujícím s PDF, a přístupem na tiskárnu, resp. lokální tiskárnou
·
Doporučujeme též instalaci SW na práci s
exportními soubory XLSX, CSV, XLS
(Microsoft Office, resp. Microsoft Excel viewer, resp. OpenOffice/LibreOffice)
resp. DOCX, RTF, ODT (Microsoft Word, resp. OpenOffice/LibreOffice)
·
Nastavení
browseru
o
je
třeba mít povolená popup okna
(jsou použita hlavně pro zobrazení protokolů viz též Nastavení práv)
o
server
s aplikací zařaďte do Local Internet, resp. Trusted sites
o
aplikace
vyžaduje povolení File downloadu a to s "automatic prompting"
o
pokud
chcete u browseru Firefox použít automatický single sign on je třeba jej pro
konkrétní server s aplikací povolit (příkazová řádka / about:config / Filtr
Ntlm / parametr network.automatic-ntlm-auth.trusted-uris vyplnit adresou
serveru (serverů)
o
dtto
u browseru Chrome - parametr spouštění (doplnit k zástupci)
--auth-server-whitelist
př. --auth-server-whitelist="*aaaa.cz,*aaaa.corp"
o
povolit
cookies
o
pokud
použijete https připojení je zapotřebí povolit tzv. mixed contents
tj. např. IE 10/11 takto : Internet options / Security settings / Local
Intranet zone / Custom level / Miscellaneous / Display mixed contents = Enable
tj. Možnosti internetu / Zabezpečení / Místní intranet / Vlastní úroveň / Různé
/ Zobrazit smíšený obsah = Povolit
Přístup na
internet je v standardním EGJE potřeba u objektů Kon04, Adm24 (viz
předcházející kapitoly) a také pro přístup na obory vzdělání (Trexima CZ).
K
otestování přístupu můžete použít menu O aplikaci / tlačítko Test připojení k
internetu.
Jsou testovány konkrétní adresy, přičemž vliv na přístupnost může mít nastavení
proxy serveru.
Nastavení
proxy pro standardního klienta i pro AS je popsané v předchozí kapitole "Stanice
uživatele pro standardního klienta".
Pozn.: u
EGJEWeb2 jde o připojení web serveru, u standardního klienta s AS o připojení
AS i klienta.
Parametry příkazové řádky
prohlížeče píšeme tak, že za startovací adresu končící / přidáme ještě znak ?
Automatická volba
profilu
parametr p=kód_profilu
např. /?p=ZAME_DOCH
Pozn.: Nepoužívejte kódy profilů s
diakritikou - prohlížeče s tím mají problém a automatická volba profilu nemusí
fungovat.
Formulář - automatické otevření
f=kód_formuláře tedy např. https.…/egjeweb/?f=Dca02
Vzhled
theme=styl_bez_mezer
tedy např. /?theme=crisp
nebo /?style=crisp-touch atp.
Standardně je tento parametr
nastavován uživatelem v menu Nastavení / Změna vzhledu.
Šířka / zobrazení levého menu
parametr lmenu=0 resp. lmenu=1 resp. lmenu=x kde x>150,
který levé menu při otevření
potlačí (0) resp. otevře (1), nehledě na to, jak to měl uživatel minule při
opouštění aplikace.
Volba lmenu=x pak umožní správci přímo nastavit šířku levého menu v pixelech
(minimálně 150).
Př.: https://.../egjeweb2_prod/ref/?lmenu=1
Parametry spojujeme znakem &
např. https.…/egjeweb2/ref/?f=Dca02&p=ZAME_DOCH
Spouštěcí parametry příkazové řádky EGJEWEB2 / HR portál jsou jiné
Formulář se zde spouští pomocí
přidání
#form=kodFormulare
na konec url adresy aplikace, která
může, ale nemusí, obsahovat volbu rozhraní (tedy /mana/ či /emp/ )
Některé formuláře pak akceptují
ještě další pokyn pro jejich otevření - např. id prvku v navigaci.
Př. ve worklow předlohách (Adm14) je možné používat
makro %ID_SWORKFLOW2% - ID
workflow
a následně adresovat aplikaci s
formulářem Wflow a tímto parametrem.
Př.
%WEB2URL%/#form=Wflow&formParams=%ID_SWORKFLOW2%
vede na https://xxxxx.cz/#form=Wflow&formParams=15929388
Od e201609 je možné i v referentském rozhraní spouštěcí
parametry ? zadávat i jako parametry # (tedy referentské rozhraní umí zpracovat
i parametry dosud používané jen v HR portálu).
Přičemž synonymy jsou:
f
form
p
prof
Nově také umí obě rozhraní volat přímo záložku formuláře a
případně OSCPV v navigačním seznamu Pv (Osb02, Opv01...) resp. PvDoch (Dcu01, Dcd01...).
Používá se syntaxe v části #:
tab=kód_záložky
otevření formuláře s konkrétní
záložkou
kód záložky je možné zjistit z
Adm04 / Struktura práv objektu / Podobjekt (pro typ Záložka)
oscpv=osobní
číslo PV
osobní číslo PV pro formulář, který
má navigaci Pv, PvDoch
Kód navigačního seznamu je možné
zjistit při zavolání funkce Výběr – kód je v hlavičce tohoto dialogu
Pozn. kalendářové formuláře Dov16,
Dcu06 tuto navigaci nemají.
Aplikace generuje upozornění pro situace, které při spuštění mohou nastat:
"Uživatel nemá právo na formulář (%kod_form%)"
"Uživatel nemá právo na záložku (%kod_tab%)" (pouze když je zvolena v příkazové řádce)
"Navigační seznam – nepodařilo se nalistovat požadovaný záznam OSČPV (%OSČPV%)"
Příklad:
https.…/egjeweb2/ref/?p=MANA&f=Pkz01&tab=Komunikace&oscpv=131.01
resp.
https.…/egjeweb2/ref/#p=MANA&f=Pkz01&tab=Komunikace&oscpv=131.01
Tip:
Tyto parametry jsou také
zobrazovány v příkazové řádce při pohybu v aplikaci. Je tedy možné je
odsud přebírat.
Pozn.:
Pokud má uživatel
jeden profil vícekrát (např. s jiným jazykem, nebo jinou organizací, nebo
svůj a zastupování), tak systém i při
zadání profilu dává profil vybrat ze seznamu.
Pozn.2:
I s parametry profil, formulář je možné spouštění bez udání rozhraní (tedy ref či mana či emp).
Toto rozhraní je určené pro integraci do různých intranetů.
Aplikace zde poskytuje portlet, tj. řečí EGJE formulář nebo sestavu, ale není obklopena horním ani dolním pásem aplikace a často bývá zobrazení fixováno na jeden prvek (typicky osobu/PV).
Zobrazení formuláře/sestavy je odvozeno ze grafiky HR Portál.
Volat tak lze typicky např. Pkz01, Vyp11 apod.
Řešit se tak dá např. zobrazení výplatních lístků na intranetu, ten se tak vyhne existenci PDF souborů s výplatním lístkem přímo v intranetové aplikaci.
Podmínkou je SSO autentizace (tedy přebírání autentizace z operačního systému, bez zadávání jména a hesla). U interaktivní autentizace by to bylo pro uživatele dost nepraktické.
Realizace je taková, že se za volání EGJEWEB2 přidávají ještě další parametry:
&tb=false zobrazení bez horního a spodního pruhu EGJE HR Portálu
&ns=fixed zobrazení bez navigačního seznamu s fixovaným parametrem zadaným v navigaci (typicky oscpv)
Parametry jsou použitelné pro příkazovou řádku HR Portálu.
př. .../mana/#p=SPR_MAXWP&form=Pkz01&tab= OsobaPanel&oscpv=109.02&tb=false&ns=fixed
3.7 Konfigurace připojení k poštovnímu serveru
se provádí na formuláři Adm21 / Parametry mailu.
Parametry SMTP Host, Port slouží pro odesílání e-mailů a používají se v aplikaci na mnoha místech.
Naproti tomu parametry POP3 slouží pouze konfiguraci příjmu odpovědí uchazečů v tomto modulu.
V části Adm21 / Parametry komunikace / Odesílání pošty, jsou také 3 parametry, které umožní TLS připojení k e-mailovému serveru a autentizaci EGJE jako uživatele e-mailového serveru:
Zabezpečení
připojení:
- nevyplněno – běžné nezabezpečené připojení k SMTP,
-
SSL/TLS – zabezpečené připojení, je třeba
uživatel a heslo
(obvykle používáno s portem 465),
-
STARTTLS – způsob, jak zabezpečit existující
nezabezpečené připojení
(port 25 resp. 587)
SMTP Uživatel: uživatel použitý pro připojení k SMTP serveru
SMTP Heslo: heslo tohoto
uživatele
Více o SSL/TLS, resp.
STARTTLS zde
https://www.fastmail.com/help/technical/ssltlsstarttls.html
Při práci přes AS je v Configuratoru parametr AS / Odesílání a příjem
elektronické pošty. Parametr
umožňuje veškerou mailovou korespondenci,
kterou systém provádí, provozovat prostřednictvím aplikačního serveru.
Odesílání mailu se také týká parametr Configuratoru:
Nekontrolovat e-mailovou adresu odesilatele
Nastavení, zdali provádět kontrolu formální správnosti adresy odesílatele mailu (obvykle firemní mail osoby uživatele – Osb02)
Adresa odesilatele všech e-mailů z EGJE (nepov.): - týká se hlavně
outsourcingu, resp. přísně nakonfigurovaných e-mailových serverů.
U některých instalací je problém s odesílání e-mailů s doménou zákazníka z e-mailového serveru v jiné doméně. Správné řešení je uvedení tohoto serveru na tzv. whitelist a toto odesílání tak umožnit.
Pokud to z důvodů schvalování bezpečnosti u
zákazníka není možné, systém nyní umožňuje si na úrovni organizace v
Adm21/Parametry mailu / Adresa odesilatele e-mailů z EGJE náhradního
odesilatele. Takové e-maily projdou zabezpečením. Nicméně musíme upozornit, že
takovéto e-maily např. mezi vedoucím a zaměstnancem ale i všechny ostatní jsou
posílány právě a pouze tímto odesílatelem. Ztrácí se tak přehlednost komunikace
a možnost přímé odpovědi v e-mailovém klientovi. Takže pokud to není technicky
nutné, tak vyplňování tohoto parametru nedoporučujeme.
Režim
přidávání skut. odesilatele do předmětu e-mailu:
1 - Standard
(přidávání, pokud je vyplněna adresa odes. všech e-mailů)
2 - Nepřidávat
skutečného odesilatele nikdy
3 - Přidávat
pouze příjmení a jméno (tj. bez titulů a bez Od/From)
4 - Skutečný odesilatel ve tvaru Příjmení jméno (OSCPV), tj. bez titulů
Zatímco režimy
1-3 jsou určeny pro jednotného odesílatele, tj. vyplněn předchozí parametr Adresa
odesilatele všech e-mailů z EGJE, tak režim 4 slouží k změně formátování
doprovodného textu u odesílatele v režimu, kdy je do e-mailů dáván skutečný
odesílatel.
Režim
4 umožňuje zbavit se titulů v odesílateli. Některé
druhy e-mailových klientů totiž špatně odhadují co je titul, co jméno a co
příjmení.
Pokud máte problémy s odesíláním e-mailu z
EGJE (typicky worklow - chyby typu
cz.elanor.eman.datasource.remoteCompute.MailinatorException:
Chyba odesílání e-mailu ...
Caused by: javax.mail.MessagingException: Could not
connect to SMTP host: .... Permission denied: connect)
může pomoci nastavení parametru
prostředí -Djava.net.preferIPv4Stack=true
(bat resp. jnlp soubor)
4
Instalace
a dimenzování parametrů
Instalaci a konzultaci HW a SW
provádí pracovník Elanor podle interní metodiky.
Některé základní body tohoto postupu jsou uvedeny na konci dokumentu v
přílohách.
5
Režim
správy databáze - datového schematu Elanor EGJE
Databázové schema EGJE je plně ve správě změnového řízení Elanor.
Změny ve schematu aplikace EGJE jsou povoleny jen firmě Elanor. Firma si vyhrazuje právo na jejich realizaci. Schematem se v Oracle rozumí nosný a pracovní uživatel (schema), v MS SQL pak celá konkrétní databáze s egje objekty.
Výjimky:
zákazník
smí v db schematu/databázi aplikace EGJE vytvářet tabulky/pohledy po domluvě s
implementačním týmem Elanor, resp. helpdesk,
tyto tabulky nesmí začínat "ce"
Zvláště není dovoleno vytvářet / měnit objekty, které mohou ovlivnit průběh změnového řízení a funkčnost / dostupnost aplikace.
Sem patří především triggery a indexy nad objekty EGJE, a přidávání vlastních položek do tabulek, pohledů EGJE.
Měnit obsah databáze EGJE je povoleno pouze pomocí aplikace EGJE, případně pomocí interface vytvořených ve spolupráci s implementačním týmem, resp. akceptované prostřednictvím služby helpdesk.
Pokud zákazník s db Oracle používá ke sběru statistik jinou funkci než standardní sběrovou proceduru EGJE (instalovanou z Adm51), sdělí její obsah implementačnímu týmu / prostřednictvím helpdesk.
Standardní proceduru sběru statistik, ale zákazník spustí v případě, že je o to požádán helpdesk v rámci řešení nějakého výkonového problému. Může to být doprovázeno i žádostí o smazání jinak sebraných statistik.
Pokud potřebuje změnit
zákazník ve vlastní režii interface objekt vytvořený (resp. zčásti vytvořený)
firmou Elanor, sdělí to zákazník implementačnímu týmu / prostřednictvím
helpdesk včetně obsahu změny.
U řady zákazníků je populární ukládání dokumentů o zaměstnanci do databáze (Opv31) a jsou i další aparáty EGJE, které ukládají, resp. budou ukládat různé dokumenty do db.
Použití databází Oracle, resp. MS SQL Server pak dává možnosti ukládat tyto dokumenty na jiné diskové místo než ostatní běžná relační data.
Můžeme Vám nabídnout poradenské služby pro tento přesun. Na Oracle jde o použití mechanismů jejich přímého přesunu do jiného tablespace, datafile.
U MS SQL Serveru je to komplikovanější, vyžaduje to odstávku db, přesun dat, znovuvytvoření db tabulky a zpětný přesun dat.
V těchto variantách zůstávají dokumenty součástí relační databáze, je tak zaručena konzistence a běžné mechanismy zálohování zálohují obojí (tedy relační data i dokumenty).
V rámci racionalizace a dalšího rozvoje EGJE dochází od verze e202211 k postupnému přesunu BLOB objektů typu dokument/soubor z dílčích tabulek do jednoho společného uložiště, a tím je DB tabulka CETDOK.
Přesun dokumentů/souborů se týká v tuto chvíli pouze nově přidaných či zeditovaných záznamů, dříve přidané dokumenty/soubory zůstávají v původních tabulkách (prozatím). Přesunutý dokument/soubor je nahrazen vazbou (odkazem) na centrální uložiště, kam byl dokument/soubor přemístěn. Tuto vazbu zajišťuje vazební tabulka CETDOKVAZBA.
V tuto chvíli se tedy jedná o hybridní řešení uložení dokumentů. Interfejsy, které
spadají pod maintenance, byly na tento mechanismus připraveny. V případě interfejsů, které si spravuje klient sám,
je potřeba na toto myslet a upravit propojení tak, aby splňoval toto hybridní
řešení. I zde Vám jsme k dispozici ke konzultaci řešení.
Po dokončení implementace vazby u všech odpovídajících tabulek obsahující
BLOB objekty do nového uložiště, proběhne případný hromadný přesun původních
objektů. O této skutečnosti budete předem informováni.
6
Správa
aplikace - změnové řízení
Obecně se správa EGJE skládá z :
· Nastavení a změna parametrů pomocí utility configurator_egje - viz následující kap.
·
Instalace
změnového řízení aplikace (patch resp. výdejové verze).
Postup se provádí podle popisu, který verzi provází, Standardem je provedení
pomocí utility superconfigurator. Obsahem však je zkopírování dodaných souborů
(typicky eman.jar resp. egjelib.jar) do příslušného adresáře deployment Web
serveru (pro testovací a pro ostrou verzi) a případně na aplikační server.
Je-li instalován i EGJEWeb2 je třeba zaktualizovat i tomcat web aplikaci.
·
Změnové
řízení databáze
Jde o spuštění změnového skriptu, který je součástí verze (patche) pomocí
vlastní aplikace EGJE. Akce se provádí na formuláři Adm51 přístupném správci
systému. Spuštění je potřeba provést na Testovací i Ostré databázi.
Pozn. Je možné nejprve programy instalovat a skript spustit pouze na testovací databázi, vše otestovat a až následně provést to samé na ostré instalaci/databázi.
· Databázové statistiky (pouze db Oracle - Adm51)
· Správa uživatelů
6.1 Nastavení a změna parametrů
pomocí utility configurator_egje
Utilita configurator_egje
(ve windows jako dávka configurator_egje.bat) se nachází ve složce
configurator instalačního adresáře resp. následně jej správce má kořenovém
adresáři instalace EGJE.
Jazyk programu je možné nastavit pomocí parametru EGJELANG uvnitř
spouštěcí dávky
př. -DEGJELANG=en způsobí
spuštění v angličtině.
Spouští se konfigurační program s tímto obsahem:
java -Xmx128M -DEGJELANG=cs -cp
../EGJE/egjelib/eman.jar;../EGJE/egjelib/egjelib.jar cz.elanor.eman.sgui.configurator.Configurator
./config_egje.jar
exit
Předpokladem je cesta na program java. U OS Windows jde o java.exe, který standardní instalace java JRE nahrává do Windows\System32/ SysWOW64 adresáře. Resp. je potřeba
mít v Proměnné prostředí / Path
nastavenou cestu do adresáře javaJRE\bin
resp. javaJDK\bin.
Spouštěnou verzi java zjistíte z příkazového řádku OS, příkazem java
-version.
Každá předloha klienta resp. každý server EGJE (AS či EGJWEB2) má
svůj konfigurační soubor config_egje.jar a je vhodné si na každý udělat
editační dávku (nebo je všechny namapovat do jednoho SuperConfiguratoru).
Uvádíme cestu do kořenového složky distribuce EWS (EGJE Web Start)
Cestu vyplňujeme buď v podobě
http(s)://...
př.: https://prghr1/egje_vzor
nebo v podobě
file:/...
př.
file:/J:/egje_install_vzor/egje
Preferujte http(s) formát.
Java 11 již mechanismus JWS nepodporuje, náhradou je EWS vytvořený
firmou Elanor, proto doporučujeme nevyužívat funkcí spojených s JWS jako
je například ve zvýrazněném rámečku na obrázku
Mechanismus
EWS je vydáván jako samostatná distribuce a jeho funkčnost je popsána v
dokumentu „EWS – dokumentace.pdf“ v distribuční sadě EWS a zde v příloze B.
Pozn. Datový soubor config_egje.jar, ale zůstává hlavním nositelem konfiguračních informací. Je používán také pro AS, EGJEWeb a spouštění klienta pomocí dávkového souboru. Popsaná alternativa není použitelná pro kerberos autentizace (vyžadují přenos souboru config*.jar/krb5.conf).
Poznámka: Alternativou spouštění klienta pomocí EWS je spouštění pomocí
dávkových souborů z rychlého souborového serveru viz Příloha
B. Zde je také popsán rozdíl při
použití java 9, 11.
Poznámka 2: Instalace EWS s vestavěnou Java 11 už žádný Control panel
nevytváří.
Upozornění - všechny změny ukládáme společným tlačítkem Ulož.
Pro konfiguraci bez aplikačního serveru slouží nastavení
Klient bez AS
Pro konfiguraci s aplikačním serverem pak hodnota
Klient s AS
Pro konfigurační soubor aplikačního serveru (je odlišný od Klienta AS) pak hodnota
Aplikační server
Pro konfiguraci serveru, který slouží jako server EGJEWeb slouží volba
Web server
kde v režimu Klient s AS
je
nejprve třeba zvolit režim, je-li aplikačních serverů více
(zápis formou opakovaných dvojic
server:port s oddělovačem středník nebo čárka):
•Cascade - klient
se postupně pokouší připojit na AS uvedeným v AS pro komunikaci dle pořadí, v
jakém jsou uvedeny.
Tyto
servery jsou použity také jako aditivní k AS pro tiskové sestavy a AS pro
alg.procesy
•Specialized - klient se
postupně pokouší připojit na AS uvedeným v AS pro komunikaci dle pořadí, v
jakém jsou uvedeny. Pokud ale chce vytvořit tiskovou sestavu nebo volat
algoritmický proces, hledá se dostupný AS z položky AS pro tiskové sestavy
resp. AS pro alg.procesy a není-li dostupný, vezme AS pro komunikaci, ale v
opačném pořadí, tj. od konce
•Random - klient
dostane přidělen AS vybraný ze všech AS pro komunikaci dle náhodného
výběru.
Tyto servery jsou použity také jako aditivní k AS pro tiskové sestavy a AS pro
alg.procesy
Poznámka: pro autentizace mswin_ntlm a mswin_kerberos musí být server uveden názvem a nikoliv IP adresou.
AS pro komunikaci
základní AS, používají se pro běžnou online komunikaci klienta
AS pro tiskové sestavy
požadavek na vytvoření tiskové sestavy je směrován na tyto AS
dle nastavení Generování PDF výstupu sestavy pak distilace PDF probíhá na tomto serveru či na klientské stanici. Je-li specializovaný tiskový server, doporučujeme je pro tuto akci použít, jinak je lepší používat stanice
AS pro alg. procesy
je-li nakonfigurován, je prioritním pro zpracování procesů
· výpočet mzdy (Vyp01, Vyp02, Vyp51)
· měsíční a roční uzávěrky, kopie číselníků (Vyp02, Cep02)
· import mzdových vstupů (Vst06)
· exporty do účetnictví (Uct02)
· eldp (Poj13, Poj14)
· přihlášky nem.poj. (Poj18, Poj19)
· kontrolní aparát (Kon*)
Generování PDF výstupu sestavy
viz AS pro tiskové sestavy
není-li
specializovaný tiskový server, doporučujeme využívat k této úloze klientskou stanici,
neboť např. hromadné tisky sestav v období mzdové uzávěrky by představovaly
velké paměťové a procesorové nároky na aplikační server.
Odesílání a
příjem elektronické pošty
umožňuje
veškerou mailovou korespondenci, kterou systém provádí, provozovat
prostřednictvím aplikačního serveru. To dává možnost lepšího zabezpečení např.
smtp a pop3 serveru.
Upozornění:
pro klienta s AS se nevyplňuje na
následující záložce DB připojení.
Jeho vyplnění je vážnou bezpečnostní
chybou!
a v režimu Aplikační server
Je-li aplikačních serverů více má každý svůj konfigurační soubor (má jiný port)
Port je IP port
použitý pro RMI komunikaci s klientem.
Na tomto portu je navazováno spojení. Poté
vlastní komunikace probíhá na portu přiděleném systémem.
O spojení žádá klient. V systému jsou
však i komunikace navazované z druhé strany - server žádá o spojení
klienta (aby mu předal vytvořenou sestavu, protokol atp.). Na toto je nutné
pamatovat při případném provozu přes firewall.
Šifrování provozu s AS - implicitně šifrováno
Doporučujeme
šifrování použít. Je to bezpečnější.
Používáme
šifrování bez certifikátu pomocí java JRE.
Implicitním
nastavení je TLS_DH_anon_WITH_AES_128_CBC_SHA, které nabízí dostatečnou
ochranu.
Dále java
nabízí:
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_WITH_DES_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA256
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_anon_WITH_AES_128_CBC_SHA
Pro změnu
šifrování je třeba nastavit šifrování do parametru
rmi_cipher_suite
v
klientském i serverovém config_local.properties
(resp. na
serveru lze i pomocí wrapper.conf
wrapper.app.parameter.n=-Crmi_cipher_suite=...)
Komprese provozu s AS - implicitně
zaškrtnuto.
Doporučujeme
kompresi použít, významně snižuje přenášené objemy, aniž by příliš zatěžovala
obě strany.
Existují tři přístupné
interfejsy:
EGJEWEB2/HR Portal
REST web services
AS EGJE (od e201905 může běžet i v EGJEWEB)
Maximální doba platnosti neaktivní session (ve vteřinách):
Nastavuje dobu po jaké se
neaktivní session ukončí. Defaultní hodnota je 15 minut.
6.1.3
Připojení k databázi - DB
Upozornění - všechny změny ukládáme společným tlačítkem Ulož.
V režimu Klient s AS se nevyplňuje !
Driver - Třída JDBC driveru
buď (pro db Oracle) oracle.jdbc.driver.OracleDriver
nebo (pro db MS SQL) com.microsoft.sqlserver.jdbc.SQLServerDriver
SQL adapter:
buď (pro db Oracle) cz.elanor.eman.datasource.SQLOracle
nebo (pro db MS SQL) cz.elanor.eman.datasource.SQLMicrosoft
DB URL
buď (pro db Oracle) jdbc:oracle:thin:@serverHost :port : db_sid
nebo
(pro db Oracle RAC
jdbc:oracle:thin:@description
z tnsnames.ora
př.: vše v jednom řádku
jdbc:oracle:thin:@(DESCRIPTION =(ADDRESS = (PROTOCOL =
TCP)(HOST = host)(PORT = port))(ADDRESS = PROTOCOL =
TCP)(HOST = host2)(PORT = port2)) (LOAD_BALANCE = yes)
(CONNECT_DATA =(SERVER = DEDICATED)(SERVICE_NAME = service_name)))
nebo
(pro db MS SQL)
jdbc:sqlserver://server;databaseName=database;sendStringParametersAsUnicode=false
obecně:
jdbc:sqlserver://[serverName[\instanceName][:portNumber]][;property=value[;property=value]]
Poznámka: pro SQL Server doporučujeme
na konec URL uvádět ;sendStringParametersAsUnicode=false
Dosáhne
se tak výrazně rychlejšího zpracování SQL příkazů s parametry.
Toto
nastavení však úplně ruší možnost použití unicode znaků ve vybraných položkách.
Jméno - db uživatel použitý pro
přihlášení uživatele aplikace (na Oracle ten bez _OBJ)
Heslo - jeho
db heslo
Heslo už.
_OBJ - heslo vlastníka objektů (tj. na
Oracle uživatele se suffixem _OBJ) - uživatel je používán pouze ve změnovém
řízení
Oracle - šifrování sítě.
Volba umožňuje nastavit režim pro šifrování síťového
provozu Oracle. Implicitní hodnota je ACCEPTED.
Šifrování se také
analogicky zpřístupní i v Oracle Listeneru na serveru Oracle.
Viz též http://download.oracle.com/docs/cd/B28359_01/java.111/b31224/clntsec.htm#EHAFHEIG
Položku oracleNetEnc, je možné také do konfiguračního
souboru config_local.properties přidat ručně.
Popis položky:
#oracle network
encryption
# hodnoty:
none,
ACCEPTED,REJECTED,REQUESTED,REQUIRED
oracleNetEnc=none
Pro SQL Server existují property
parametry pro nastavení šifrované komunikace.
Property encrypt=true; resp. bez nastavení serverového certifikátu
společně jako ;encrypt=true;trustServerCertificate=true
V tom případě komunikuje jdbc driver
přes SSL protokol, druhý parametr znamená, že není ověřován certifikát serveru.
Aplikace používá connection pool. V případě Oracle jde o Oracle UCP tj. řešení přímo pro JDBC driver, pro SQL Server se používá Apache Commons DBCP.
Pro Oracle je možné přímo v konfiguračním souboru config_local.properties (popřípadě v konfiguračním souboru wrapperu) nastavit tyto hodnoty:
oracle.min.pool.size - minimální velikost poolu
oracle.max.pool.size - maximální velikost poolu
oracle.inactive.connection.timeout - doba neaktivního připojení
Pokud se hodnoty
nevyplní, použijí se defaultní hodnoty.
Uživatelské sestavy – jen pro administrátory, kteří je vytvářejí.
(viz kapitola Uživatelské sestavy)
Adobe Reader
Standardní cesta k PDF prohlížečům je uživateli předvyplněna, ale uživatel si jí může změnit v aplikaci.
RTF, XLS, TXT, HTML prohlížeče
Analogické položky k předchozí pro další typy vytvářených souborů. Stejný princip obsluhy.
Http/file složka pro help soubory
odkaz na soubory help systému
Pro správnou identifikaci help souboru v jiném než českém jazyce je zapotřebí použít buď:
mapovaný disk př. N:/egje/doc/
http adresu (doporučeno)
Http(s) adresa EGJE Web
adresa používaná pro generované e-maily jako odkaz na aplikaci v EGJE Web MAZM
Ve standardním klientovi i v EGJE Web je nahrazena položkou Adm21 / Konf. parametry / Http(s) adresa EGJE Web
Konfigurace kešování číselníků
Konfigurace má význam pro AS resp. EGJEWEB2
Znovunačítat číselníky starší než přihlášení uživatele: ("cache_cis_od_prihlas")
false - používat i starší načtená data - implicitní rychlý režim
true - používat pouze data, která byla načtena v době od přihlášení
uživatele
(může mít za následek pomalejší náběh start aplikace z pohledu uživatele, ale
zase jistotu, že všechny číselníky jsou aktuální)
smart - speciální režim se zjišťováním datových změn
Přináší hlavně
redukci objemu přenášených dat, neboť se vždy zeptá, jestli ve výsledku db
dotazu pro číselník došlo k nějaké změně, a data přenačte pouze v případě, že
ano.
Technicky se k
tomu používá Oracle funkce ORA_HASH a na MSS funkce CHECKSUM_AGG.
Max. stáří číselníků (v sekundách): implicitně 14400 tj. 4 hodiny.
Sekce jiné
Vypnout kontrolu
SSL certifikátů pro HTTPS
Položka má význam např. pokud firemní proxy server provádí dešifrování SSL spojení s tím, že je opět zašifruje certifikátem vydaným interní certifikační autoritou. Nemá vliv při spouštění tlustého klient EGJE přes Java Web Start.
Vypnout stacktrace
Tato volba vypne generování stracktrace. Pokud zákazník požaduje, aby z bezpečnostních důvodů, kdy stacktrace může obsahovat informace o interních cestách v systému nebo například cesty k serverů atd. nebyly tyto informace dostupné, zaškrtnutím této volby může generování stacktrace do konzole potlačit. Avšak stacktrace slouží k identifikaci případných chyb y systému, obsahuje informace o nastavení systému, které jsou potřebné k odhalení interních chyb.
Pokud byla tedy použita tato volba, důrazně doporučujeme na záložce „Logování“ také zatrhnout volbu „Odeslat klientské logy na AS“.
V případě chyby, budou dostupné alespoň logy stacktrace, které jsou uložené na aplikačním serveru. Pokud by tato volba nebyla zatrhnuta, tak veškeré logy stacktrace budou nenávratně ztraceny a nebude možné je použít pro detekci a identifikaci nastalých chyb.
Podrobný popis jednotlivých typů autentizace je
uvedený v dokumentaci Aut_uzdoc
Atributy instalace
Údaje využívá instalační program pro správu více instalací SuperConfigurator.
Jsou použity pro instalaci patche/výdeje z instalačního adresáře do zde uvedených adresářů konkrétní instalace EGJE.
Adresář s web.start předlohou
Celá cesta k adresáři, ve kterém je webstart předloha tj. adresář, ve kterém se nachází podadresář "egjelib". Standardně jde o adresář …\EGJE.
Soubor s WAR pro EGJEWEB2:
Souborová cesta k web aplikaci (tj. cesta k souboru v adresáři webapps servlet kontejneru Tomcat)
Vlastní instalace se skládá z
Konfigurace
web aplikace - z původní se převezmou z web.xml hodnoty parametrů
<param-name>config_jar</param-name>
a zkonfigurovaný souboru se zkopíruje místo dosavadního.
Aplikace obsahuje i rozhraní HR portal pro manažery a zaměstnance.
Instalovat na Tomcat 10:
Pro Ano se při tvorbě waru použije war pro Tomcat 10. Viz Příloha C1.
Typ instalace:
Možné hodnoty: nevyplněno = Produkční / Testovací / Vývojová
Testovací a Vývojové prostředí pak indikuje poměrně výrazně standardní i webový klient.
U web klienta se změní i ikona aplikace.
U std. klienta s AS se údaj nastavuje pro konfiguraci AS, nikoliv klienta. Po nastavení je třeba AS (EGJEWEB2) restartovat.
1.1.1.1
Konfigurace pro mobilní přístup
Na této záložce lze nastavovat logování aplikace
pomocí Log4j.
Log4j konfigurace:
Zde lze umístit adresu externího konfiguračního
souboru Log4j. Pokud se nenastaví, použije se defaultní nastavení EGJE.
Více viz Příloha E. Logování - AS, EGJEWEB2
Odesílat klientské logy na AS:
Při zaškrtnutí se veškeré události, logované pomocí log4j, v klientské části aplikace odesílají na AS. Má význam nastavovat pouze pro Java klienta připojujícího se k AS.
Na této záložce lze nastavit proxy pro http a https. Součástí proxy může být v případě autentizace vyplněno i jméno a heslo. Toto nastavení má přednost před nastavením parametrů při spuštění aplikace (*.bat, spouštění tomcatu…).
Tato utilita umožní výběr více configů najednou a je pro ni vytvořena třída pro spuštění *.bat souborem.
Upozornění: Stará funkcionalita configuratoru zůstává zachována. Pořád je možno spustit configurator nad jedním souborem a upravovat jen tento soubor.
Vzor pro spuštění:
start java -Xmx512M -ea -Dlog4j.configuration=log4j.eman.properties -Djdk.jar.maxSignatureFileSize=16000000 -cp /egje/vzor/EGJE/egjelib/eman.jar;/egje/vzor/EGJE/egjelib/egjelib.jar cz.elanor.eman.sgui.configurator.MultiConfigurator %1exit
Pokud se za %1 vloží druhý parameter %2, obsahující cestu ke krb5.conf pro konfiguraci Kerberos autentizace, tento konfigurační soubor se automaticky vloží do všech nových jar souborů.
Po spuštění se zobrazí
tabulka a v ní seznam configů ze složky, ze které se bat soubor spustil.
Soubory se načtou dle masky config_egje*.jar. Tabulka bude umožňovat výběr více
configů najednou.
Pod tabulkou budou
tlačítka:
· Označ vše - označí
všechny záznamy v tabulce
· Zruš označení - zruší
označení záznamů v tabulce
· Přidat - zobrazí dialog
obsahující:
o
Jméno:
text editor - zvolení jména souboru
o
Typ:
combo box pro výběr typu soubouru obsaující hodnoty:
§ C - Klient bez AS
§ SC - Klient s AS
§ S - Aplikační server
§ WS - Webový server
o
Tlačítko
“Přidat” - po zmáčknutí založí nový soubor se zvoleným názvem a pro daný typ
§ soubor se založí
okamžitě na disk
§ do nového souboru se
vloží krb5.conf
· Odebrat - po stisknutí
zobrazí dialog “Vybrané konfigurační soubory budou smazány z disku. Tato akce
je nevratná! Chcete pokračovat?” - Ano/Ne - Po odsouhlasení smaže soubor z
tabulky i z disku
· Vygenerovat sadu -
založí sadu configů, pro testovací configy nastaví r_typ_inst=T
o
config_egje_as
- S
o
config_egje_cl
- C
o
config_egje_web
- WS
o
config_egjetest_as
- S
o
config_egjetest_cl
- C
o
config_egjetest_web
- WS
·
Upravit nastavení
o
pokud
je vybrán pouze jeden config. soubor, otevřít standartní configurator.
o
provede
se kontrola všech vybraných konfigů, zda se údaje ukládané do více konfigů
shodují (např. nastavení DB pro AS a WEB), kontrolují se údaje, které se
ukládají do více config. souborů viz “Záložky konfigurátoru”.
§ pokud se neshodují
· vypsat do protokolu
jaké položky se v jakých souborech liší a nepustit dál
§ pokud se schodují
· otevřít std.
konfigurátor s možností úprav všech souborů najednou
· v záložce
Konfigurátoru „Ověření“ přibyl parametr pro nastavení platnosti SAML
tokenu. Pole má název „Doba platnosti SAML tokenu v minutách:“. Do tohoto
pole se může nastavit doba platnosti parametru (maxAutenticationAge). Pokud zde
není vyplněná hodnota, je standardně nastaveno 7 dnů (10 080 minut). Viz
obrázek.
6.3
Adm51 - Změnové řízení databáze
Záložka Verze databáze zobrazuje informace o současné verzi struktury a obsahu databáze EGJE.
Informace se skládá z:
Záložka Změna Db obsahuje tlačítko "Provedení změny Db / Instalace uživatelské sestavy"
Následuje výběr skriptu a ihned poté (pokud je splněna kontrola na současnou verzi) dochází k jeho provádění. Protokol z provádění akcí se průběžně ukládá v uživatelském pracovním adresáři (tentýž kam se ukládají tiskové sestavy) tj. %HOME_DIR%\Dokumenty\Eman\output pod stejným jménem jako má skript a s extenzí html. Po ukončení instalace se soubor automaticky otevře v defaultním prohlížeči.
U instalací s AS je před spuštěním skriptu vhodné informovat uživatele, k tomu je zde k dispozici tlačítko "Rozeslat požadavek na odhlášení přihlášeným uživatelům".
Informace je předávána přes databázi všem klientům, každý klient si tuto informaci čte jednou za 5 minut. Ti uživatelé, kteří jsou připojeni přes ten samý AS či EGJEWEB, přes který správce tlačítko mačká, dostávají informaci okamžitě a v protokolu je uveden jejich seznam, uživatelé připojení jinak v protokolu nejsou, zpětnou informaci systém nezasílá.
Po instalaci uživatelské sestavy, která mění repository, má správce k dispozici tlačítko "Přenačíst repository na všech AS / EGJEWEB2" pro promítnutí změn i na další servery EGJE.
Nicméně i když to neučiní, servery EGJE si periodicky (interval 5 minut) kontrolují, zdali ke změně v repository nedošlo, a když ano, přenačtou si ji.
Záložka Změnový log
zobrazuje informace o změnových řízeních, která proběhla v databázi. Nejjemnější jednotkou zde je blok změnového řízení.
Záložka Konfigurace klienta
má významu pouze při správcovském spouštění přímo na serveru pomocí egje.bat. Tlačítko Konfigurační formulář pak vyvolává to samé konfigurační okno jako v předcházející kapitole popsaná utilita configurator_egje.
Záložka Oracle statistiky
má význam právě a pouze pro instalaci nad databází Oracle. Pro správnou funkci příkazů pro práci s databází je bezpodmínečně zapotřebí provádět pravidelně aktualizaci databázových statistik. Jinak dochází k pozvolnému nerovnoměrnému zpomalování některých částí aplikace. Akci doporučujeme provádět automatizovaně pomocí Oracle jobu. Ten je možné vytvořit přímo z tohoto formuláře. Vyplňte položku "Hodina" (př. 23 => v jedenáct večer; 0 - o půlnoci) a poté stiskněte tlačítko Vytvořit/Obnovit job na aktualizaci statistik. Pokud se vytvoření podaří, jsou od té chvíle také přístupná tlačítka "Spustit job" "Zrušit job".
Délka akce je závislá na velikosti db a výkonu serveru. Může být od minuty do desítek minut.
Na záložce je také tlačítko Rebuild/přesun indexů.
Umožňuje zavolat na všechny indexy db EGJE alter index rebuild.
Při spuštění také dialog umožní vybrat jiný přístupný tablespace - indexy jsou pak přesouvány do něj. To může u některých konfigurací databázi zrychlit.
Při spuštění bez vybraného tablespace se provede výše uvedený rebuild.
Funkčnost pro rebuild indexů je určena správcům malých databází. Kvalifikovaní správci velkých instalací by měli používat nástroje Oracle.
Záložka MS SQL statistiky
má význam právě a pouze pro instalaci nad databází MS SQL.
Obsahuje seznam indexů, informace o jejich fragmentování a informaci o poslední aktualizaci statistik indexů.
Tlačítko Rebuild indexů aktualizace statistik provádí následující:
· alter index
rebuild - na všechny EGJE indexy
· update statistics
na všechny EGJE tabulky
Funkčnost rebuild indexů, aktualizace statistik je určena správcům malých databází. Kvalifikovaní správci velkých instalací by měli používat nástroje MS SQL.
Záložka Správa AS/klienta
u instalací s aplikačním serverem
poskytuje informace o všech uživatelích, kteří se systémem pracují, u instalací
bez AS pak pouze o sezení a procesech současného uživatele, s výjimkou
podzáložky Databázové zámky, která zobrazuje i zámky ostatních uživatelů. Více
o zámcích v příloze M.
Na Oracle je k dispozici také záložka. Kdo koho blokuje, která se snaží najít původce zámků.
Správce má možnost i jednotlivé úlohy (s AS i sezení) ukončovat.
Ukončování je ovšem na straně javy, nikoliv na straně databáze (k tomu nemá db účet, který aplikace používá dostatečná oprávnění)
Poslední podzáložkou je "DB připojení". Určena je pro zákazníky, kteří používají java klienta bez AS. U všech ostatních klientů dochází ke sdílení db připojení, a tak zde uvedené údaje mají trochu jiný, ne tak užitečný, smysl.
Pro WEB EGJE server existuje záložka Web, obsahující tlačítko na přenačtení metadat pro SAML autentizaci. Záložka je viditelná pouze pro WEB při nastavení SAML autentizace.
Záložka Zabezpečení
Po provedení změn na této záložce je potřeba restartovat AS resp. WEB EGJE server.
Na záložce "Zabezpečení" je možné:
· zapsat autentizace, která je jediná povolená (směrováno na java klienta bez AS)
· zabezpečení SuperConfiguratoru vůči aktuální db
o Možnost provést změnový skript
o Povolit export číselníků
o Výčet IP adres, ze kterých je dovolené SuperConfigurator spustit
·
"Pokoušet se o znovupřipojení k aplikačnímu
serveru",
parametr určuje, zda se klient AS má v případě výpadků
spojení zkoušet znovu připojit. Pokud zde nastavíte Ne, tak to klient nečiní a tudíž nemá důvod si heslo
pamatovat. Pokud nastavíte Ano (= dosavadní režim), tak si klient pro
tento účel heslo pamatuje, ale pamatuje si v podobě zašifrované symetrickým
algoritmem.
Heslo si klient také musí pamatovat v případě, že
má pracovat s více AS.
· expirace sezení
Položky
Std.klient -
sezení expiruje za [min]:
EGJEWEB(2) - sezení expiruje za [min]:
U std. (java)
klienta je z technických důvodů sledována aktivita uživatele v celém operačním
systému, nikoliv jen v aplikaci EGJE.
Když není
vyplněna položka "Std.klient - sezení expiruje za [min]:", k expiraci
u standardního klienta nedochází = dosavadní stav.
Expirací u
standardního klienta, což není webová aplikace, dochází tak, že je běh klienta
ukončen - aplikace tedy uživateli zmizí (poznámka - může to být i považováno za
trestání kuřáků). Zvažte tedy dobře, jestli to u standardního klienta nastavit,
určitě lepší cestou je povinné (interní politikou vynucené) zamykání obrazovky
na úrovni operačního systému.
Když není vyplněna položka "EGJEWEB(2) -
sezení expiruje za [min]:", je implicitní chování následující:
Webová aplikace
(včetně WP) - expirace je dána nastavením tomcat tj. standardně 10 minut.
Pro všechny klienty platí, že při spuštěné sestavě
či výpočtu aplikace čeká na výsledek a automatické odhlašování je pozastaveno.
Expiraci brání také otevřený formulář Adm51, který se serverem komunikuje
neustále.
Doba expirace také může být o určitý čas
prodloužena díky příjmu interní pošty EGJE.
Servery si uvedené údaje přenačítají z db každých 5 minut. Klient (java či prohlížeč) si pak údaj přebírá ze serveru v okamžiku přihlášení
Záložka
Org. IT par.
Obsahuje master-detail z organizacemi zadanými v Adm21 a vybírá z Adm21 a Ftp02 parametry, které spíš než věcnému správci aplikace přísluší IT správcům. Jde o alternativní umístění a editaci.
Záložka Zpráva všem
Správce může na dobu mezi dvěma datumy zadat textovou správu, která se uživatelům po přihlášení zobrazuje ve všech klientech EGJE.
Tyto zprávy se řadí nahoru.
V HR Portál jsou v pravém sloupci Zprávy a odkazy.
V ostatních rozhraních jsou pak zobrazovány pomocí interního okna Mail.
Datově zůstává zpráva společná a nerozkopírovává se tedy každému uživateli. Tudíž ji tento ani nemaže. Po uplynutí datumu do zpráva sama zmizí.
Záložka Odstávka systému
V podstatě podobná věc, ale definují se zde i časy a je možné ale ne nutné specifkovat server a port čímž se dá určit konkrétní AS, který bude správci odstaven.
Od určitého času při přihlašování upozorňuje, kdy odstávka bude a když už je a systém ještě běží, nedovolí uživateli přihlášení, resp. upozorňuje přihlášené a pokud nejsou správci (práva na Adm51) tak ukončí jejich sezení shodně jako při expiraci.
Kontrola probíhá jednou za 5 minut a týká se web i std klienta (s AS i bez).
Záložka Link všem
Umožňuje správci do EGJE přidat nějaký http(s) odkaz.
HR Portál jej zobrazuje nahoře ve sloupci Zprávy a odkazy
ostatní rozhraní vytvoří v menu nabídku Odkazy.
Také odkaz může být dočasný, také má od a do.
Odkazy lze nastavit pomocí položky Typ zobrazení:
o Hodnota 0 (defaultní) – zobrazuje vytvořený odkaz na web i tlustém klientovi
o Hodnota 1 – zobrazuje odkaz na web klientovi (Ref rozhraní a Hr Portál)
o Hodnota
2 – zobrazuje odkaz na tlustém klientovi.
Odkazy se otevírají dle nastavení prohlížeče, obvykle do nové záložky.
Pozn.: není ambicí EGJE nahrazovat firemní intranet, zvlášť při používání interaktivní autentizace jsou odkazy poněkud "za rohem".
Záložka E(W)SOI
Zákazníci využívající rozšíření Egje o ESOI (Egje Standard Output Interface) mají nyní možnost nastavit parametry tohoto interface. Nová verze interface, která bude vydána po verzi e202309, bude toto nastavení využívat. Jedná se o volby:
Jazyk pro názvy
Status pro uzavření mezd
Pro připravované rozhraní EWSOI je tam i volba (bez možnosti změny):
Výstup Web rozhraní.
Slouží k odstranění, resp. zmatení citlivých osobních dat z databáze EGJE.
Je vhodná pro různá testovací prostředí.
Ale na ostré prostředí dokáže udělat nevratné škody.
Součástí instalačního adresáře verze je i vzorová dávka anon\anomymizace.bat pro MS Windows prostředí, pro linux se dá snadno vytvořit analogická.
Dávka předpokládá existenci těchto souborů v aktuálním adresáři:
config_egje.jar - aktuální konfigurace (s připojením k db tedy AS, egjeweb, klient bez AS)
anonymizace.jar - aktuální soubor z tohoto adresáře
eman.jar - aktuální eman.jar z výdeje
egjelib.jar - aktuální egjelib.jar z výdeje
Pozn. v patch není anonymizace vydávána. Používejte proto soubory z posledního výdeje.
S aktualizovanou eman.jar z patche není spuštění doporučeno a díky obfuskaci kódu pravděpodobně ani nepoběží.
Standardní spouštění je bez parametrů.
Anonymizační utilita od verze e202401 neobfuskuje konstantní a specifický symbol a variabilní symbol je pozměněn tak, aby odpovídal počet číslic.
Dále u částek mezd je částka pozměněna tak, aby odpovídala počtem číslic.
Přídavné parametry:
zapisují se do dávky za parametr z_run_test.anonymizace.Anonymizace
resp. se dají psát až při spouštění dávky anonymizace_template.bat, neboť ta je psána tak, že parametry zvenčí předává
parametr -gidoscpv který navíc nahradí libovolným vygenerovaným kódem cetpv.gid cetoso.gid
a cetpv.oscpv - polonáhodným kódem - jde po osobách a pokud zjistí v kmenovém PV osoby znak "." tak respektuje část osc, která je společná pro osobu, pak dá tečku a dvojmístné č.PV v lib. pořadí; když v tom kmenovém PV tečku nezjistí, tak generuje nezávislá čísla pro jednotlivá PV.
parametr -updcastky
mění částky dlouhodobých plateb, průměrů, zúčtovaných mezd a částky v různých pracovních tabulkách exportů (update na náhodné hodnoty).
parametr -delmzdy
smaže úplně záznamy zúčtovaných mezd (delete)
parametr -nodelete potlačující standardní mazání itf a převodních tabulek
speciální varianta pro testování některých interface
při jeho použití se nepromažou tabulky:
"cetrlfodatask",
"cemisp",
"ceiosoz2",
"cewcscvl2" (pokud existuje)
"ceuuts",
"ceu2osvecpouc",
"ceu2osvecmoc",
"ceu2osvec",
"ceu2orgoso",
"ceu2org",
"cetoso_v_titul",
"cetredop",
"cedmes_status_over",
"cesastaskprot",
"cedavprot",
"ceswflcfg1log",
"cetrlfodatask",
"cetrlfodavkysk",
"ceteldata_sk",
"cemisp",
"cetisosdata",
"cetnpdata",
/cemzuct.dalsi_xml/protokol
a náhodné hodnoty se nedají do zbytku "cemzuct".
parametr -noupdjmena
nastavení
způsobí, že se nebude anonymizovat Příjmení, Jméno, Celé jméno
(Osb02, zúčt. mzdy, tj. cetoso_prijmeni.cetoso_jmeno, tituly, cetoso.jmeno_cele
a cemzuct.prijmeni, jmeno)
Tedy vlastně anonymizace bez anonymizace.
parametr -log jménoSouboru
Parametr log je následován názvem log souboru. Soubor obsahuje podrobné informace o provedené anonymizaci
Parametr log je následovaný názvem log souboru. Obsahuje podrobné informace o provedené anonymizaci.
parametr -onlylogin login
Parametr umožňuje v db ponechat pouze jeden zadaný login, všechny ostatní jsou pak smazány. Je vhodné login vybrat správně, abyste neztratili přístup do EGJE.
Ve verzi e202405 došlo k úpravě anonymizační utility tak, aby bylo
možné následně s daty provádět výpočty mezd a bylo možno generovat
bankovní soubory.
Nově byly upraveny částky tak, aby si odpovídaly řádově (nestávalo se
například, že částka 700 000 se změní na 123).
Dále došlo k tomu, že se nemění hodnota těchto polí (kvůli
generování bankovních příkazů):
Uživatelská sestava Ela01vxc bývá obvykle používána po převodech dat.
Výdejový adresář ji obsahuje jako anon\validateXML.bat.
Kontroluje hlavně formální syntaktickou správnost XML v databázi.
U XML položek kontroluje také data vůči registrovanému datovému typu.
Zobrazí také data, která již byla v repository zrušena. Pozn. EGJE standardně neruší data z XML položek při zrušení deklarace této položky, protože to není nutné.
Superkonfigurátor
nyní obsahuje možnost vyexportovat z označených DB například SLM, Role,
JPČ, atd.
V horním seznamu, se vyberou pomoci Ctrl+klik myši DB ze kterých se má exportovat data a na záložkách „Export číselníků“ a „Export číselníků II.“, se vyberou položky, které je potřeba exportovat. Pak po stisku tlačítka „Export XLSX“ se vytvoří soubor ve formátu XLSX, který ale neslouží k následnému importu, ale pouze k porovnání dat ve vybraných DB. Může sloužit například k porovnání, zda se daná Role s číslem 501 vyskytuje ve vybraných DB, což dá uživateli informaci o tom, jak jsou například volná čísla pro Role v jiných DB.
7.1 Založení uživatele –
stručné shrnutí
Typický postup:
Osoba není (ještě není) evidována jako zaměstnanec:
Adm01p - založíme osobu a uživatelské PV (status 21),
přiřadíme Profil (a jazyk, případně organizaci)
a vyplníme Logname pro Přihlášení-autentizaci.
Osoba je již evidována jako zaměstnanec:
Osoba zaměstnanec/manažer:
v Adm10 jí přiřadíme Profil (jazyk, organizaci) a Logname pro Přihlášení-autentizaci (dtto první bod)
Osoba referent:
buď postupujeme shodně jako u zaměstnance/manažera, nebo pomocí Adm01p založíme uživatelské PV (status 21) již existující osobě a dále přiřadíme Profil (jazyk, organizaci) a Logname pro Přihlášení-autentizaci (dtto první bod)
Pozn. referentům a manažerům často přiřazujeme více profilů, logname však bývá zpravidla pouze jeden.
Pozn. typické vyplnění logname
Autentizace NTLM
WinDoména\uživatel př. MOTOR\jigecz
Autentizace kerberos, LDAP
uživatel@doména př. jigecz@motor.cz
7.2 Práva k objektům a k
řádkům, role a profily
Pojmy přístupových práv v EGJE, jejich výskyt a použití
Admnn
– formuláře administrátora
- vyvolají se buď z menu Správa systému nebo z příkazové řádky EGJE
Uživatel –
osoba s PV se statusem 21 Systémová evidence
(zobrazeno a editovatelné na formuláři Adm11)
(PV je právní vztah osoba - organizace)
Uživatel
přiřazený na profil – spojení uživatele a profilu přístupových práv –
(Adm01)
Uživateli může být přiřazeno více profilů, resp. vícekrát jeden profil
s různým jazykem nebo jako zastupování jiného uživatele.
Autentizace
uživatele – obecně jde o ověření, že uživatel je tím, za
koho se vydává; v EGJE je tato informace buď přebírána z přihlášení do
operačního systému (Windows NT), nebo je provedena vůči Kerberos serveru
(mechanismem vestavěným v java JRE);
(Adm01 – Přihlášení autentizace, Adm01p dtto.)
Profil
přístupových práv – spojení přístupových práv k objektům a
přístupových práv k řádkům. Někdy používáme také termín abstraktní uživatel.
Konkrétní osoba může mít přiřazeno více profilů přístupových práv, vystupuje v
systému v různých uživatelských rolích (například zaměstnanec a vedoucí nebo
mzdová účetní a vedoucí mzdové účtárny). (Adm02)
Zatímco přístupová práva k řádkům jsou uživateli definována pomocí profilu,
práva k objektům se přiřazují nepřímo pomocí rolí (Adm03)
Role
přístupových práv – sada
přiřazení přístupových práv k jednotlivým objektům systému. Rozlišujeme role,
které jsou ve správě Elanor (1-499) a role, které jsou ve správě uživatele
(500-999) (Adm03)
Přístupová
práva k objektům - základní
stavební jednotka přístupových práv je objekt. Typickými objekty jsou Formulář,
Proces, Sestava, Export, Položka menu. Objekty formulář a proces mohou být
dále děleny z pohledu přístupových práv na jemnější objekty -záložka, datový
zdroj, položka. (Adm04)
Hodnoty přiřazení práv k objektu – sada
povolených hodnot přístupových práv je závislá na typu objektu, ke kterému je
přiřazujeme. Přiřazení provádíme vždy na roli.
Zatímco
k formuláři máme obvykle možno přiřadit práva -2-Odnětí zápisu i čtení / -1
-Odnětí zápisu / 0-Nic / 1-Čtení / 2-Čtení i Zápis, je u sestav, položek menu a
procesů obvykle dvojice -1 – Odnětí / 0-Nesmí
spustit / 1-Smí spustit.
Speciálními hodnotami jsou potom hodnoty
záporné, které právo omezují i když je právo profilu přiřazeno například jinou
rolí. Omezení pak může být úplné (-2) nebo částečná (snížení práv pouze na
čtení tj. -1). (Adm03)
Konfigurace použití objektů přístupových práv – jelikož
EGJE je typovým projektem, obsahuje řadu objektů, které konkrétní zákazník
nebude využívat. Aby takové objekty nepřekážely v přiřazování práv k objektům
konkrétním rolím, a aby nedošlo k nesouladu v přiřazení, je možné
informaci o úplném nepoužití objektu v organizaci zadat ve formuláři Adm04 v
záložce Konfigurace použití. (Adm04)
Přístupová
práva k řádkům – jelikož organizace bývá plošně nebo hierarchicky
rozčleněna, je zapotřebí toto rozčlenění zohlednit v definici a přiřazení
přístupových práv. Jinými slovy uživatel má sice právo k nějakému objektu, ale
nemá v něm přístup ke všem datům, ale pouze k jejich části, která je určena jeho kompetencemi v organizaci.
Pro
toto rozčlenění je možné použít Správní
jednotku, Správní oddíl, přiřazení do Struktur
(typicky organizační středisko nebo struktura mzdové účetní), Status PV, Status práva resp.
Příznak chráněné osoby(PV). V položkách
určených pro výběr SJ/SO je možné použít buď výběr konkrétní SJ/SO, nebo do
těchto polí zadat výčet SJ/SO (ve formátu 1, 2, 5-8, 10), které chceme do
výběru zahrnout. (Adm02)
Pozn. U
instalací s více organizacemi ve smyslu jejich číselníku Adm21 se dalším prvkem
přístupových práv k řádkům stává organizace. Ta se uvádí u přiřazení profilu
uživateli (Adm01, Adm01p, Adm10, Adm12)
Toto řešení
umožňuje používat jeden profil pro více organizací.
Nastavení přístupových práv k řádkům
Uvedené možnosti omezení přístupových práv k řádkům se velmi často
používají v kombinaci. Typické příklady:
Uživatel má přístupné všechny
osoby v rámci správního oddílu - vyplněno:
SJ pro omezení práv
SO pro omezení práv
PV způsob vyhodnocení výčtu struktur - "VSE-všechno"
Uživatel má přístupné všechny
osoby v rámci správního oddílu, pouze "živí" tj. počítaní
zaměstnanci- vyplněno:
SJ pro omezení práv
SO pro omezení práv
PV způsob vyhodnocení výčtu struktur - "VSE-všechno"
PV výčet povolených statusů - "1,2,3"
Na formuláři je nový řádek s názvem „Rozšíření omezení a editace dle skupin ŘP:“, který umožnuje pomocí rolldown menu rozšířit možnosti editace a omezení zobrazování skupin dle zadaných řádkových práv pro struktury.
Základní otázky
Mohou dva uživatelé používat stejný profil?
Mohou. Musí však mít shodná
objektová práva. U řádkových práv je také buď musí mít shodná nebo musí
používat "shodné makro".
Typicky mohou být odvozena od vlastního střediska uživatele, které pak
má každý uživatel jiné a tudíž mají oba uživatelé nakonec jiná přístupová práva
k řádkům.
Jak je vhodné konstruovat název profilu?
Název by měl zohlednit roli
uživatele (např. mzdová účetní, vedoucí) a základní definici práv k řádkům
(např. MÚ1 SJ 1 nebo Vlastní střed.).
Stejně tak by ve zkratce téhož měl být konstruován kód profilu.
Jaký je vztah přístupových práv k řádkům k historii údajů?
V systému rozlišujeme dvě
základní úložiště údajů přiřazení do rozčlenění organizace – kmenové přiřazení
(typicky Opv01) a přiřazení uložené v zúčtované mzdě (např. detail ve Vyp01).
Záleží tedy na povaze objektu, ve kterém práva hrají roli. Pokud objekt čerpá z
kmenových dat, jsou práva vyhodnocována k referenčnímu datu a k přiřazením
platným k tomuto datu v té podobě jak jsou nyní v databázi.
U objektů čerpajících ze zúčtovaných mezd je situace složitější. Zatímco
formuláře používají kmenové přiřazení u sestav je situace složitější.
Vztah sestavy ze zúčtovaných mezd k přístupovým právům k řádkům může být
následující:
§ Sestava vyhodnocuje práva co nejdetailněji, tedy vychází z toho, jak byly jednotlivé přiřazení PV do struktur, SJ a SO v okamžiku výpočtu mzdy v daném období (Rek02p, Rek05p, ...)
§ Sestava vyhodnocuje práva k řádkům sice detailně, ale z kmenové tj. současné definice přiřazení (Sra02, Sra03, Vyp09, ...)
§
Sestava vyhodnocuje přístupová práva, ale pouze
na úroveň přiřazení na SJ, SO s respektováním chráněných osob. Prioritou je u
takto postavené sestavy její úplnost. Je pak věcí správce jestli uživateli,
který např. nemá práva na celou SJ sestavu přidělí nebo nikoliv.
(Evs10, Evs11, Rek01, Rek02, Rek03, Rek04, Rek05, Rek06, ...)
§ Sestava práva k řádkům nevyhodnocuje, jinými slovy sestava má smysl pouze v úplnosti nebo vůbec.
Nakonec je třeba ještě zmínit, že strana definice práv historicky sledována není. Definice řádkových práv v profilu je tedy použita taková, jakou ji zobrazuje formulář (Adm02, Adm01). Minulá nastavení se neukládají, nicméně informace o provedení změn se auditují do Adm52.
Přístupová práva a tiskové sestavy
Z pohledu přístupových práv k objektům je sestava jeden nedělitelný objekt, uživatel ji buď může, nebo nemůže spustit. Pokud může, vidí všechny položky sestavy. To je rozdíl oproti formulářům, kde u řady z nich lze nastavit práva i na záložku, datové formuláře a položky a to buď na úrovni role (Adm03) nebo konfigurace (Adm04).
Přístupová práva k řádkům se však v sestavách uplatňují. Většinou jde o práva na osoby a PV.
V některých případech však proti sobě jdou požadavky na úplnost sestavy oproti požadavku na detailní promítnutí přístupových práv k řádkům.
Některé sestavy jsou tedy realizovány tak, že se v nich práva k řádkům buď záměrně nepromítají vůbec, nebo se promítají třeba jen práva na SO, SJ ale nikoliv jemnější (podle struktury). Typicky sem patří rekapitulační sestavy Rekxx. V Rek_uzdoc je u každé z nich uvedeno jaký režim práv k řádkům používá.
Typické sestavy s důrazem na úplnost jsou výpisy Banxx členěné podle dávek.
Vyhodnocení přístupových práv k řádkům a
referenční datum
Přístupová práva k řádkům jsou vyhodnocována k referenčnímu datu.
Do budoucnosti je však toto datum omezeno. Dlouho jsme drželi pravidlo, že shora bylo omezeno dnešním datem. Od verze e201401 jsme přešli na implicitní hodnotu
dnešní datum + 40 dní.
Pokud si v organizaci chcete nastavit jiný limit, je k tomu určen parametr
Adm21 / Konfigurační parametry / Limit dní vyhodnocování práv do budoucnosti.
Záporné hodnoty nejsou akceptovány, maximum je 9999.
Toto platí pro přístup ke kmenovým datům, k navigačním seznamům (typicky navigační seznam Osob/PV) nabídkovým comboboxům resp. k datům v sestavách z jiné oblasti než jsou zúčtované mzdy (zde se práva vyhodnocují ze zaprotokolovaných údajů).
V praxi to obvykle umožňuje si připravovat údaje pro příští období s použitím těch zařazení, která v příštím období budou platná. Vše vychází z referenčního data, které si uživatel zvolí při přihlášení, resp. změní během práce v EGJE.
7.2.2 Nastavení přístupových práv v aplikaci
Podrobný popis nastavení přístupových práv v aplikaci je uveden v dokumentaci Aut_uzdoc
7.2.3 Objekty práv konfigurace
V minulé kapitole je popsáno, jak nastavujeme práva
jednotlivým uživatelům. Pokud však správce ví, že některé okno, sestavu, proces
nepoužívá organizace vůbec, je vhodné objekt zakázat konfigurací. Objekt takto
jedním škrtem ze systému vymizí a "nepřekáží" ani v komplikovaných
formulářích přiřazování práv (Adm03).
Vyřazení
nastavujeme ve formuláři Adm04 na záložce Konfigurace použití položkou Hodnota
vyřazení. Zde -1 a nezadáno je to
samé; 0 je úplné vyřazení z
použití. Hodnoty 1 a 2 pak jsou určitou
restrikcí použití. 1 objekt bude vždy pouze pro čtení. 2 vyřazení částí dle
rozpisu ve spodní části záložky. Zde je opět kaskádovitý princip popsaný v
přiřazování práv do rolí.
Položky,
které jsou v databázi nebo v položkové repository EGJE označeny jako povinné
jsou nyní indikovány znakem „!“ zobrazeným před nadpisem položky.
V Adm04
potom správce může v případě potřeby na záložce Struktura práv objektu
dodefinovat další položky jako povinné („Povinnost vyplnění“ = Ano). U jiných
typů než položka je hodnota bezpředmětná. Doporučujeme obezřetné zapínání
povinnosti!
Tímto způsobem může správce přidat povinnost
některým položkám, nicméně nemůže jí zrušit u těch položek, kde je povinnost
nastavena „výrobcem“ už na úrovni databáze.
7.2.4
Zastupování uživatele na profilu
Na
formuláři Adm01 nastavujeme také zastupování uživatele jiným uživatelem.
Zastupování se odehrává v rámci profilu práv. Toto přiřazuje správce :
zadá tedy zastupujícímu uživateli profil uživatele, kterého má zastupovat a
vybere tohoto uživatele (položka Zastupovaná osoba). Doplní ještě datumy od a
do, ve kterých bude zastupování probíhat.
Zastupujícímu uživateli pak při přihlášení do
systému přibude ještě jeden řádek ve výběru profilů, přičemž ve sloupci Profil je přiřazen
uživateli uvidí zastupovaného uživatele a indikaci zastupování "(Z)". Pokud si tento
profil zvolí,
systém nastaví přístupová práva tak, jako by se hlásil zastupovaný uživatel. Přesto však je u všech
změněných uživatelů během tohoto sezení ukládáno auditní razítko přihlášeného
(tj. zastupujícího) uživatele.
Pozn.: V řadě organizací je e-mail přesměrován
na zastupující osobu prostředky mail serveru.
Pokud zastupování své osoby má zadávat uživatel sám, může tak činit analogickým postupem pomocí formuláře Adm15 - Zastupování vlastní osoby. Zde je navíc možnost specifikovat režim "Režim zastupování a WFL e-mailů ", který umožní, aby i zástupci dostávali určité e-mailové zprávy (viz Adm_uzdoc / Adm15). Parametr také nastavuje schvalovací kompetence zastupujícího uživatele ve Wflow. Pro účely zastupování osob mezi různými organizacemi (multiorganizace) je možné při aktivaci konfigurační položky 270 na Adm70 nastavit možnost zadání Zastupované organizace. Tato funkcionalita je použitelná v případě, kde může zastupující osoba zastupovat osobu z jiné organizace. Je to údaj informační, kdy do položky Organizace se přebírá organizace ze zastupující osoby a proto je zde možnost vyplnit položku Zastupovaná organizace, aby bylo zřejmé, která organizace je zastupována.
7.2.4.1
Určení profilu pro zastupování
Profil
pro zastupování je často jiný než vlastní manažerský profil manažera, bývá
vybaven jen některými kompetencemi.
V Adm02 k manažerskému profilu
(př. "MANA") vyplní správce položku "Zastupováno profilem"
(je uprostřed v odstavci Povolení přiřadit). Když ji nevyplní, profil se
manažerovi v Adm15 nenabízí. V Adm15 se tedy manažerovi nabízejí pouze ty
profily, které mají v Adm02 položku Zastupováno profilem vyplněnou a také takto
se profil manažerovi nabízí.
Pro
správce z toho plyne, že musí v Adm02 u všech profilů, nad kterými se
zastupování v organizaci používá položku "Zastupováno profilem"
vyplnit.
Pokud se
v organizaci nepoužívají různé profily pro zastupování a pro manažera, vyplňuje
správce v Adm02 k profilu přímo ten samý profil (př. k profilu "MANA"
vyplní Zastupováno profilem: "MANA").
7.2.5
Dílčí (limitovaný) správce
Uživatele Adm12, Adm01p dělíme na plnohodnotného správce a na dílčího správce.
Plnohodnotný správce má práva pro zápis alespoň na jeden z formulářů Adm02 nebo Adm03 nebo Adm10. Dílčí nikoliv.
Omezení dílčího správce:
• Nabídka profilů Adm12, Adm01p nenabízí profily se zápisovým právem na Adm02 nebo Adm03 nebo Adm10.
• Dílčímu správci se nenabízejí osoby, které nějaký z takových správcovských profilů mají přidělený resp. se mu nenabízí jeho vlastní osoba
• Nemůže nikomu přiřadit login, pod kterým je zrovna přihlášen (Adm01p, v Adm12 se dílčí správce ani nevidí)
Shrnutí: Dílčí správce nechť má zápisová práva na Adm12, Adm01p, zatímco na další správcovské formuláře práv nechť má pouze čtecí nebo žádná práva (Adm01, Adm02, Adm03, Adm10).
7.2.6
Příloha – model přístupových práv EGJE
7.2.7
Speciální objekty přístupových práv
Většina objektů přístupových práv je pojmenována kódem formuláře, sestavy, dávky sestav, procesu nebo menu objektu. Kromě nich však existuje také skupina speciálních objektů, viz tabulka.
Pro oblast DOCH a Schvalovaní odchylek, je část speciálních objektů popsaná v Doch_dopl_uzdoc.
|
Objekt |
Popis |
Význam |
|
Adm11mazaniSpoc |
Právo mazat osoby spočtené předloni a dříve |
Obecně
uživatel s právem zápisu v Adm11 smí mazat osoby+PV, které ještě
nevstoupili do mezd. |
|
Cep01emp |
Funkčnost
zaměstnanec |
Skupinové
objekty pro jednotlivé typové role ve funkčnosti formuláře Cep01 - workflow
cestovní příkazy |
|
Cep01mana |
Funkčnost
manažer |
|
|
Cep01pokl |
Funkčnost
pokladna |
|
|
Cep01ref |
Funkčnost
referent |
|
|
Cep01jenObd |
Uživatel
smí zadat CP jen do období s otevřenou DOCH |
Objekt
zamezí možnost, aby uživatel zadal cestovní příkaz do období se statusem VT
> 2 (uzavřen). |
|
Cep01zal0 |
Právo
vynucuje zálohu = 0 pro možnost "Storno" |
Uživatel s
tímto právem nemůže provést storno cestovního příkazu, dokud není vyrovnaná
záloha. |
|
CepTypVT |
Přístup k
VT cestovních příkazů |
Přístup k
sadě typů výplatního termínu příslušejících k cestovním příkazům (10-39) viz též
VypTypVT |
|
Dan12email |
Umožní
zaslat sestavu Dan12 na mail zaměstnance |
Přístup
k dalším param sestavy Dan12, díky kterým lze sestavu zaslat na mail
zaměstnance |
|
|
|
|
|
Dav01Admin |
Přístup na
záznamy všech zadavatelů |
Objekt
umožní zpracovaní vstupů DAV bez omezení podle časového přiřazení PV k
uživateli |
|
Dav01Kopie |
Formulář
Dav01 |
Právo pro
zobrazení tlačítka Dav01, Vstupy, Kopíruj vstupy, standardně se tlačítko
nezobrazuje (až po přidání práva) |
|
Dav01Protokol |
Přístup k
protokolům výpočtů DAV |
Objekt
umožní uživateli přístup na záložku Dav01, Protokoly |
|
Dav01, Zkrácený název sady struktur z názvu |
Plnění sloupce Dav01,
Sada struktur, Zkrácený název (10) z položky Název. Automaticky není
zařazeno do žádné ze standardních rolí. |
|
|
Dav01SmazatVse |
Přístup
k mazání všech záznamů |
Objekt
umožní uživateli použít tlačítko [Smazat vše] na záložce Dav01, Vstupy |
|
Dav01Vratit |
Přístup na
funkci Dav01 - Vrátit zadavateli |
Objekt
umožní uživateli použít uvedené tlačítko na záložce Dav01, Vstupy |
|
Dca02rezimAllSK |
|
Zpřísnění
kontrol formuláře Dca02 pro Allsk |
|
Dca02ViceOdp |
Dca02, více
typů odpr. doby |
V rámci formuláře Dca02, povoluje alternativní název základních
tlačítek pro začátek a konec odpr. doby a zobrazení další sady tlačítek pro
začátek a konec odpr. doby. Nezařazuje se do žádné ze standardních rolí. |
|
Dcd01GenDDSLM |
Povinnost
zadání SLM při generovaní záznamu DD |
Zpřísnění
chování záložky Dcd01/Generování DD |
|
Dcd01Korekce |
Povolení
pro záložky Dcd01 |
Zpřístupnění záložky Dcd01, záložka Korekce FPD. |
|
Dcd01specfunc |
Speciální
funkce Dcd01 |
Povolení
smazat denní docházku a denní záhlaví |
|
Dcd01HromZmenaSlm |
Přístup k hromadné změně SLM na Dcd01 |
Zobrazení tlačítka [Změna SLM] na záložce Dcd01,
Převod a uzavření, pro spuštění funkce hromadné změny SLM na Dcd01, Vstupy. |
|
Konfigurace Dcd01 |
Zobrazení
sloupce Úkol na záložce Dcd01, Rekapitulace dní (vazba na Úkolové mzdy). |
|
|
Dcd01VzorDenOblib |
Konfigurace Dcd01 |
Povolení
použití oblíbených vzor. dní na záložce Dcd01, Vstupy, Záhlaví |
|
Dcd01TypPrescas |
Konfigurace Dcd01 |
Povolení
aktivace dialogu na Dcd01 pro volbu
zvýhodnění za práci přesčas a práci ve svátek |
|
Dcd01UzavriDen |
Konfigurace Dcd01 |
Zobrazení
tlačítka Dcd01, Převod a uzavření, tlačítko Nastavení DZ … |
|
Dcd21fppfSmazatVse |
Přístup k mazání všech záznamů Pracovního výkazu |
Slouží pro
zpřístupnění tlačítka [Smazat vše] a [Smazat vše pro všechna PV v navigačním
seznamu] na formuláři Dcd21fppf. Při
založení obj. práva, nebylo vložené do žádné ze standardních rolí. |
|
Konfigurace Dcd27fppf |
Povolení tlačítka Dcd27fppf, Výkaz Den, Smazat
den |
|
|
Dcd27fppfSmazatVse |
Konfigurace Dcd27fppf |
Povolení tlačítka Dcd27fppf, Výkaz Den, dialog
Zadání výkazu, Smazat |
|
Konfigurace
Dcd27fppf |
Povolení editace sloupce
Zkrác. název |
|
|
Dcd51RekDniUkol |
Konfigurace Dcd51 |
Zobrazení
sloupce Úkol na formuláři Dcd51 (vazba na Úkolové
mzdy). |
|
DcgAdmin |
Správce úkolových mezd |
Povolení tzv. administrátorských funkcí pro oblast úkolových mezd správce aplikace u zákazníka. Také umožňuje uzavření formulářů úkolových mezd na úroveň 2. |
|
DcgAdminEla |
Speciální funkce úkolových mezd |
Povolení
tzv. administrátorských funkcí konzultanta ELANOR pro oblast úkolových mezd.
Nejedná se o funkce vázané na právo DcgAdmin. |
|
Dcg01Parametry |
Řízení
přístupu k záložce Dcg01, Parametry výpočtu |
Současně s právem Dcg01 umožňuje editaci na záložce Dcg01, Parametry výpočtu. Právo
automaticky zařazeno do standardních rolí 1 a 3. |
|
Dcg02SmazatVse |
Hromadně smazat výkaz |
Povolení
funkce hromadného vymazání výkazu úkolových mezd pro všechny PV v nav.
seznamu formuláře Dcg02. |
|
Dcm01expert |
Dcm01
expert |
Původní
nastavení pro výčet slm, které v tomto formuláři smí uživatel zadat. Bylo
nahrazeno právy, ke skupinám SLM (Adm06) |
|
Dcm01specfunc |
Speciální
funkce Dcm01 |
Povolení
smazat měsíční vstupy a měsíční záhlaví |
|
Dcm01VstupySouhrnPrvni |
Dcm01,
Zobrazení záložky Vstupy - souhrn na prvním místě |
Zobrazení jako
první záložky Vstupy - souhrn na formuláři Dcm01 |
|
Dcp01EditRezervaNeprit |
Editace plánované rezervy nepřítomnosti |
Povolení editace pro záznamy rezervy
celozávodního volna v Dcp01/Dcp02/Dov16 |
|
Dcs02objuzav |
Objednávka stravenek po uzavření DCS |
Uživatel s tímto oprávněním může používat aktualizační funkce i po uzavření stravy podle datumu uzavření stravy na Dcu02. Při vytvoření nebylo zařazeno do žádné ze standardních rolí. |
|
Dcs02, zobraz protokoly všech uživatelů |
Formulář Dcs02,
záložka Protokoly, při nastavení „Smí spustit“, se aktuálnímu uživateli
zobrazí protokoly stravy od všech uživatelů za aktuální období. Automaticky není
zařazeno do žádné ze standardních rolí. |
|
|
Dcs02VyhodnoceniPrvni |
Formulář Dcs02 |
Právo umožňuje pro profil/uživatele, při otevření formuláře Dcs02, zobrazit záložku Vyhodnocení jako první - aktuální |
|
Dcs02ZalTypNaroku |
Formulář Dcs02 |
Povolení zobrazení záložky Typ nároku na formuláři Dcs02 |
|
Dcs03specfunc |
Speciální
funkce Dcs03 |
Povolení
smazat vyhodnocení stravy |
|
Dcu06ctiDOCH |
Dcu06 - záznamy z DD a MV pouze pro čtení |
Uživatel s tímto oprávněním je omezen v Dcu06 tak, že může zpracovávat pouze vstupy ze schvalování, nikoliv však vstupy z docházky. Také nemůže použit funkce z nabídky tlačítka
[Funkce] a tlačítka [Otevřít]/[Uzavřít] |
|
Dcu06_inspektor |
Dcu06 - rozšíření položek v dialogu (Skup. SLM,
Zdroj, Stav) |
Umožňuje na editačních obrazovkách formuláře Dcu06: - v názvu tlačítka pro volbu SLM zobrazit číselnou identifikaci skupiny SLM podle Adm06 -zobrazit položky Skupina SLM, Zdroj, Stav editace. Při vytvoření nebylo zařazeno do žádné ze standardních rolí. |
|
Dcu06Korekce |
Povolení
pro funkce Dcu06 |
Zpřístupnění funkce formuláře Dcu06, Funkce a Výběry: Korekce FPD. |
|
Dcu06pocitaj |
Povolení kalkulace záznamu denní/měsíční evidence
docházky při uložení na formuláři Dcu06 |
Standardně se při uložení záznamu na Dcu06 neprovádí jeho kalkulace (očekává se aut. noční kalkulace nebo uzavření), nastavením tohoto práva, se kalkulace provede již při uložení (snížení odezvy). Při vytvoření nebylo zařazeno do žádné ze standardních rolí. |
|
Dcu06editPlSmen |
Dcu06 - smí editovat plánovanou směnu |
Uživatel s tímto oprávněním je v Dcu06 na formuláři Plán směn oprávněn provádět změnu směn. Právo není zařazené do žádné ze standardních rolí. |
|
Dcu06nesmiUzavrit |
Dcu06 - Uživatel nemá právo uzavřít záznam |
Pro neschvalované vstupy (SLM ze skupiny 22/23 a 24/25/26) nelze používat tlačítka [Uzavřít]/[Otevřít] Právo není zařazené do žádné ze standardních rolí. |
|
Dcu06nezobrazitZdroje |
Dcu06 - Na formuláři Dcu06 se nezobrazí tlačítko
[Omezení zdrojů] |
Právo není zařazené do žádné ze standardních rolí. |
|
Dcu06nezobrazitFunkce |
Dcu06 - Na formuláři Dcu06 se nezobrazí tlačítko
[Funkce a výběry] |
Právo není zařazené do žádné ze standardních rolí. |
|
Dcu06SmazatVse |
Přístup k mazání všech záznamů |
Slouží pro zpřístupnění tlačítka [Smazat Měsíc] na formuláři Dcu06. Při založení obj.práva, nebylo vložené do žádné ze standardních rolí. |
|
Dcu06schvalit |
Přístupnost tlačítek
[Schválit], [Zamítnout] |
Slouží pro zpřístupnění tlačítka [Schválit] a [Zamítnout] na formuláři Dcu06. Při založení obj.práva, nebylo vložené do žádné ze standardních rolí. |
|
Dcu06ZobrazProtokol |
Dcu06, Zobraz volbu
protokol |
Při nastavení Smí spustit je povolené použití ikony Protokol na formuláři Dcu06. Právo se automaticky nezařazuje do žádné ze standardních rolí. |
|
Dcu06HromZmenaSlm |
Přístup k hromadné změně SLM na Dcu06 |
Zobrazení tlačítka [Změna SLM] v nabídce Funkce a Výběry, pro spuštění funkce hromadné změny SLM přesčasů na Dcu06. Právo se automaticky nezařazuje do žádné ze standardních rolí. |
|
Dcu06ZakazUzavrit |
Uživatel nemá právo Uzavřít/Otevřít docházku |
Při nastavení „Smí spustit“, uživatel nemá povolené použití tlačítek Uzavřít/Otevřít na formuláři Dcu06. Právo se automaticky nezařazuje do žádné ze standardních rolí. |
|
Dov056emp |
Schval.
dov. - funkčnost zaměstnanec |
Skupinové
objekty pro typové role pro workflow schvalovaní dovolené |
|
Dov056koor |
Schval.
dov. - funkčnost koordinátor |
|
|
Dov056ved |
Schval.
dov. - funkčnost manažer |
|
|
Dov056ved1 |
Schval.
dov. - funkčnost manažer 1 |
|
|
Žádost o dovolenou jen s kladným
zůstatkem (IA 21) |
Nedovolí uživateli odeslat žádost při
překročení v tu chvíli vyhodnoceného nároku |
|
|
Dov056KalJenPlusPVol |
Žádost o
pracovní volno jen s kladným zůstatkem (IA 26, 5151) |
dtto |
|
Dov056KalJenPlusPlan |
Plán SLM
jen s kladným zůstatkem (IA 21 Dov01,
IA 26, 5151 Dov02) |
dtto |
|
Žádost o čerpání náhr.volna, kontrola na saldo |
Aktivace kontroly čerpání NV na aktuální saldo NV, při uložení/odeslaní schválované SLM z formuláře Dov05/Dov06/Dcu06. Odchylka se i při nesplnění podmínky, po zobrazení hlášení, uloží /odešle. Automaticky nedoplněno do žádné ze
standardních rolí. |
|
|
Dov056KalNVJenPlus |
Žádost o čerpání náhr.volna, jen pro kladné saldo |
Aktivace kontroly čerpání NV na aktuální saldo NV, při uložení/odeslaní schválované SLM z formuláře Dov05/Dov06/Dcu06. Odchylka se i při nesplnění podmínky, po zobrazení hlášení, neuloží /neodešle. Automaticky nedoplněno do žádné ze
standardních rolí. |
|
Epr01Admin |
Editace
záznamů všech uživatelů |
Objekt
zpřístupní pro zápis všechny eProposaly |
|
Epr01Insp |
Čtení
záznamů všech uživatelů |
Objekt
zpřístupní pro čtení všechny eProposaly (vlastní budou přístupné pro zápis) |
|
Přístup na
Epr, kde se schvaluje na status 30 |
Právo
přidává oprávnění "Promítnout data do kmenových dat" u viditelného
eProposalu uživateli, který schvaluje poslední krok i když nemá právo
Epr01Admin |
|
|
Epr01Protected |
Přístup na
chráněné eProposaly |
U nového
eProposalu je možnost vyplnit údaj "Chráněné workflow". |
|
Epr01Kopie |
Přístup na Zkopírovat tento eProposal |
Uživatelům s tímto právem se zpřístupní záložka "Kopie" a v ní tlačítko "Zkopírovat tento eProposal" |
|
fDokPrivat |
Přístup na
všechny dokumenty PV |
Objekt
zpřístupní i dokumenty které nejsou označeny jako Veřejné |
|
fEditDochUzavDoch |
Editace
docházky v období uzavřeném pro docházku (status 3) |
Povolení
viz popis |
|
fEditDochUzavMzdy |
Editace
docházky v období uzavřeném pro mzdy (status 9) |
Povolení
viz popis |
|
fexportXLS |
Export do
Excelu |
Povolení
interaktivní funkce exportu tabulkového zobrazení do Excelu (lokální menu). |
|
fGenKal |
Generování
kalendářů |
Povolení
generovat všechny kalendáře na Vyp02 |
|
fHodOdemkni |
Odemknout
hodnocení |
Povolení
odemknout hodnocení na Hod01 |
|
fHodZamkni |
Zamknout
hodnocení |
Povolení
zamknout hodnocení na Hod01 |
|
fKopCis |
Měsíční
kopie číselníků SLM a struktur |
Povolení
spustit kopírování číselníků SLM a struktur na Vyp02 |
|
fKopCisSlm |
Měsíční kopie číselníku SLM |
Povolení
spustit kopírování číselníku SLM na Vyp02 |
|
fKopCisStr |
Měsíční kopie struktur |
Povolení
spustit kopírování číselníku struktur na Vyp02 |
|
fKopCisMulti |
Měsíční
kopie čís. - právo spustit i v multiorg. |
Povolení: Spustit
kompletní kopírování číselníků u multiorganizační db uživateli omezenému
organizací. resp. spustit jej
u jednoorganizační multiSJ db uživateli omezenému SJ. |
|
fKopPV |
Měsíční
kopie PV v rámci VT |
Povolení
spustit Měsíční kopii PV v rámci VT na Vyp02 |
|
|
Jazyk uživatelského rozhraní - čeština,
slovenština, angličtina |
Ikona pro přepínání jazyka: Uživateli se nabízí jednak jazyky, které má přiřazené pomocí přiřazení profilu a pak případně základní jazyky ("cs", "sk", "en") povolené příslušným fLang* objektem. Pokud jich je více než jeden, má k dispozici ikonu pro přepínání. |
|
fonlyHTML |
Povoleny
pouze sestavy HTML (web v záložce) |
Uživatel s
tímto oprávněním může zvolit u sestavy pouze formát HTML. Platí pouze tehdy,
když sestava formát HTML podporuje. Sestava se
zobrazí v záložce bez ohledu na nastavení v Adm21 |
|
fonlyPDFplug |
Povoleny
pouze sestavy PDF (web v záložce -
plugin) |
Uživatel s
tímto oprávněním může zvolit u sestavy pouze formát PDF. Platí pouze tehdy,
když sestava formát PDF podporuje. Sestava se
zobrazí v záložce bez ohledu na nastavení v Adm21 |
|
fPlanSměnZobrazNeprit |
Plan směn, zobrazit nepřítomnosti |
Režim zobrazení nepřítomnosti z evidence docházky v Dcp03. nezařazen do žádné ze standardních rolí |
|
fPvDochHist |
Zobrazit v nav. seznamu DOCH v historii všechny
nyní přístupné PV) |
Při přidělení práva se v navigačním seznamu pro historické uzavřené období zobrazí i PV, které jsou přístupné uživateli v aktuálním období, ale dříve přístupní nebyli. Standardně neobsaženo v žádné ze standardních rolí. |
|
fReaPrijHrom |
Přijetí
uchazeče - hromadné |
Tlačítko na
Rea01 / Přijetí uchazeče / Přijetí všech uchazečů v seznamu |
|
fReaPrijInd |
Přijetí
uchazeče - individuální |
Tlačítko na
Rea01 / Přijetí uchazeče / Přijetí uchazeče |
|
Povinnost
vyplnit poznámku u schvalované SLM |
Povinnost vyplnit poznámku WFL při odeslání SLM ze započitatelnosti Slm02.DOCH03.H-Offic z formuláře Dov05, Dov06 nebo Dcu06. |
|
|
FtpAdmin |
Výměna
souborů - správce |
Uživatel,
který má toto právo nemusí být zařazován k jednotlivým činnostem nad složkami
výměny dokumentů (čtení, nahrání, smazání) |
|
fUrepImpDelAll |
Právo na
mazání uživ.importů jiných uživatelů |
Objekt je
používán u uživatelský importních sestav a umožní rušit importní dávky
vytvořené touto sestavou, ale jiným uživatelem. |
|
fUzavMes |
Měsíční
uzávěrka - výpočet/zrušení |
Povolení
spustit měsíční uzávěrku na Vyp02 |
|
fUzavRoc |
Roční
uzávěrka - výpočet/zrušení |
Povolení
spustit roční uzávěrku na Vyp02 |
|
fUziAdmin |
Správa
uživatelských sestav |
Povolení
interaktivního vytváření uživ. sestav (lokální menu na vybraných menu
objektech navigačního menu v levé horní části std. klienta) a mazání
vlastních i cizích sestav |
|
fUziCrea |
Vytváření
uživatelských sestav |
Povolení
interaktivního vytváření uživ. sestav (lokální menu na vybraných menu
objektech navigačního menu v levé horní části std. klienta) a mazání
vlastních sestav |
|
fVsechnaRazitka |
V mzd. sestavách nabízet všechna razítka z Opv31 typ
11 |
Umožňuje
uvedené a je použitelný pro razítka zahrnující celou mzdovou účtárnu, a ne
konkrétní osobu. Objekt není
v žádné standardní roli. |
|
fVypBlok |
Právo provádět výpočet mezd / rušení i při jeho
blokování. |
Hlavní
mzdová účetní (tj. uživatel s tímto právem) smí na Vyp02/Blokování výpočet
mezd blokovat ostatním, ale sama jej provádět může. |
|
fVypListHrom |
Právo na
hromadný tisk výplatních lístků |
Právo pro
standardní Vyp11 (CZ), Vyp31(SK) a pro outsourcingové výplatní lístky Vyp11fq
(CZ) a Vyp31fq(SK) které zpřístupňuje parametry pro jejich hromadné
zpracování a rozesílání. |
|
fVypStatusAdmin |
Právo
nastavit libovolný status VT |
Právo je
uplatněno na Vyp02 |
|
fVypZrus6 |
Právo
vrátit zpět zpřístupněný VT (status 6) |
Právo je
uplatněno na Vyp02 |
|
fVypZrusHrom |
Hromadný
výpočet a jeho zrušení |
Povolení
spustit hromadný výpočet a jeho rušení na Vyp01, Vyp02, Vyp03 V kombinaci
pouze s právem fVypStazeni zpřístupňuje tisk ve statusu
výplatního termínu ve stavech 4 – 9. |
|
fVypZrusInd |
Individuální
výpočet a jeho zrušení |
Povolení
spustit individuální výpočet a jeho rušení na Vyp01, Vyp03 Právo také
zpřístupňuje tisk výplatních tiskovin ve statusu výplatního termínu 5, kdy
ještě není tento zpřístupněn koncovým uživatelům. V kombinaci
pouze s právem fVypStazeni zpřístupňuje tisk ve statusu
výplatního termínu ve stavech 4 – 9. V kombinaci
s právem fVypZrusHrom zpřístupňuje tisk ve stavech 1-20. |
|
fVypStazeni |
Možnost
stažení Výplatní pásky ve stavech 4-9 |
Právo
umožní stažení výplatní pásky zaměstnanců ve stavu výpočtu 4-9 |
|
fTypAutAdmin |
Vyloučení
typu autentizace 0 |
Přiřazením
objektového práva do profilu uživatele může zadávat logname se všemi typy
autentizace mimo 0 (Adm01, Adm01p, Adm10, Adm12). |
|
Gen01expimp |
Export/Import
z generátoru dotazů |
Povolení
Importu a Exportu dotazu z a do souboru v Gen01. |
|
Jpc01locEditOnly |
Editace Jpč pouze z lokálních menu |
|
|
Kal01GenTypDne11x12 |
Kal01
Aktualizovat i pro typ dne 11..17 |
Funkce
generování rozpisu směn kalendáře (Kal01, Adm53/33, Kal09, …). Povolení
přegenerování záznamů s posunem směny (typ dne = 11 až 17) Režim smí
spustit. Právo nezařazené do žádné ze standardních rolí. |
|
Kva06_noinsert |
Zákaz
vkládání/mazání na Kva06/Základní údaje |
Jediné
právo, které funkčnost odnímá. |
|
MENU_Fav,
MENU_All |
Oblíbené |
Prvky menu,
které uživatel dostává, i když je nemá v profilu (roli). |
|
nav_Pv_seznam_datnar |
Navigační seznam Dat. narození, SO, kat., od, do, druh PV |
Právo k
navigačnímu seznamu Pv (Osb02, Opv01...) |
|
nav_Pv_seznam_druh_od_do_pm |
Navigační seznam Druh PV, od, do, PM, ORG |
|
|
nav_Pv_seznam_druh_prof |
Druh PV, Profese, Org. |
|
|
nav_Pv_seznam_druh_rp |
Druh PV, od, do, Str. dle
ř.práv |
|
|
nav_Pv_seznam_odruh_od_do_pred |
Druh PV, od, do,
předp.ukon. |
|
|
nav_Pv_seznam_pm_so |
PM, SO |
|
|
nav_Pv_seznam_datnar |
Navigační seznam Dat. narození, SO, kat., od, do, druh PV |
|
|
nav_Pv_seznam_druh_od_do_pm |
Navigační seznam Druh PV, od, do, PM, ORG |
|
|
nav_Pv_seznam_druh_prof |
Druh PV, Profese, Org. |
|
|
nav_Pv_seznam_druh_rp |
Druh PV, od, do, Str. dle
ř.práv |
|
|
nav_Pv_seznam_odruh_od_do_pred |
Druh PV, od, do,
předp.ukon. |
|
|
nav_Pv_seznam_pm_so |
PM, SO |
|
|
nav_PvD_seznam_5_str_rp |
Standard + struktura dle
řád.práv |
Právo k
navigačnímu seznamu PvDOCH (Dcd01, Dcm01...) |
|
nav_PvD_seznam_6_druh_so_prof |
Druh PV, SO, Profese |
|
|
Nav01bezMana |
Nav01 -
potlačení zobrazení manažerů u názvu str. z Adm21/2 a 8 |
Restriktivní
objekt - potlačí zobrazení manažera u organizační struktury a projektu. |
|
Nav01vsechnyOsoby |
Nav01 -
všechny Osoby/PV z org. bez ohledu na práva k řádkům |
Držitel
oprávnění uvidí v Nav01 všechny osoby/PV v rámci omezení organizací a
nejen ty, na které má práva |
|
Nav01spojeni |
Nav01 -
strom -1 se služebními e-maily a telefony |
Restriktivní
objekt - odejme volbu |
|
Opv05vlaICO |
Opv05 zobrazí v tabulce na první stránce jen osoby a
PV ze stejné IČO |
restriktivní
objekt přístupových práv sloužící k ochraně údajů v rámci IČO. Pokud jej
uživatel Opv05 má, pak "Kontrola existence zadané osoby v databázi"
zobrazuje výsledky kontroly pouze v rámci uživatelova IČO. |
|
Opv06fvseAdmin |
Dohody VŠE
- editace záznamů všech uživatelů |
Uživatel s
tímto právem může editovat formulář Opv06fvse – Dohody VŠE – kmen všech
uživatelů. |
|
Opv07fvseAdmin |
Dohody VŠE
- editace potvrzení všech uživatelů |
Uživatel s
tímto právem může editovat formulář Opv07fvse – Dohody VŠE – potvrzení všech
uživatelů. |
|
Opv08fvseAdmin |
Dohody VŠE
- editace rozpisů všech uživatelů |
Uživatel s
tímto právem může editovat formulář Opv08fvse – Dohody VŠE – rozpis všech
uživatelů. |
|
Opv08fvseInsp |
Dohody VŠE
- čtení rozpisů všech uživatelů |
Uživatel s
tímto právem může číst formulář Opv08fvse – Dohody VŠE – rozpis všech
uživatelů. |
|
Opv09fvseAdmin |
Dohody VŠE
- editace sumářů všech uživatelů |
Uživatel s
tímto právem může editovat formulář Opv09fvse – Dohody VŠE – sumář všech
uživatelů. |
|
Opv09fvseInsp |
Dohody VŠE
- čtení sumářů všech uživatelů |
Uživatel s
tímto právem může číst formulář Opv09fvse – Dohody VŠE – sumář všech
uživatelů. |
|
Opv02zpet |
Přístup na
všechny historické tarify |
Opv02
zobrazuje údaje s datumovou restrikcí, kdy (datumově) uživateli patří. Typicky
přechod zaměstnance mezi SO tj. mezi referenty. Pokud
chcete, aby uživatel z nové SO viděl i staré tarify, vybavte jej právem
"Opv02zpet", které je zpřístupní. |
|
Poj15email |
Umožní
zaslat sestavu Poj15 na mail zaměstnance |
Přístup
k dalším param sestavy Poj15, díky kterým lze sestavu zaslat na mail
zaměstnance |
|
Rtf10all |
Administrace
RTF šablon |
Zpřístupní
všechny RTF šablony, které byly v db zaevidována. Standardně uživatel vidí
jen ty, které sám zaevidoval. |
|
Str01CopyTree |
Právo
kopírovat část organizační struktury |
viz popis -
Str01 / Struktura hierarchicky / Detail / Kopie části stromu |
|
Vst10Admin |
Přístup na
záznamy všech uživatelů |
Přístup ve
Vst10 i na záznamy, kde nejsem uveden v položce Uživatel |
|
Vst13Admin |
Přístup na
záznamy všech uživatelů |
Přístup ve
Vst13 i na záznamy, kde nejsem uveden v položce Uživatel |
|
Vyk62Admin |
Přístup na všechny žádosti |
Držitel práva má přístup na všechny žádosti ve Vyk62
(v rámci práv na organizaci a SJ, SO). Viz Zam_dok_uzdoc |
|
VypTypVT |
Přístup k
standardním VT |
Přístup k
sadě typů výplatního termínu příslušejících ke mzdám (<=10) viz též
CepTypVT |
|
WflowAdmin |
Workflow
administrátor |
Uživatel s
tímto práva může ručně nastavovat status, který je jinak spravován Workflow
(např. Cep01 záložka Administrace) |
|
Hromadné schvalování urč. workflow |
Uživatel s tímto právem může ve
schvalovacím formuláři Wflow použít hromadné schvalování na workflow 2, 3, 4,
11-20 |
Aparát
hromadné korespondence je postaven na číselníku předloh Rtf10 a standardních
sestavách Rtf11, Rtf12, Rtf13. K těmto standardním/vzorovým sestavám je možné v
případě potřeby dalších položek vytvářet zákaznické klony. V případě java
klienta a jeho správné konfiguraci je také možné načíst předlohu z Rtf10 a
spolu s daty ji postoupit MS WORD a iniciovat jejich zpracování hromadnou
poštou viz kap. 8.3.
Přístupný
je také původní formulář Rtf01, který umožňuje export personálních a tarifních údajů
osob. Není však měnitelný a
také neumí načíst předlohu z Rtf10 a postoupit ji MS WORD.
Tlačítko Export do XLS osoba uloží do zvoleného
souboru údaje o vybrané osobě, tlačítko Export do XLS vše uloží údaje o všech
osobách. Údaje se ukládají na záložku Data. Veškeré předchozí údaje jsou při
exportu ze záložky vymazány.
Záložka "Personální údaje" poskytuje
údaje, bez citlivých dat mzdového charakteru, o ty je naopak rozšířena druhá
záložka "Personální a mzdové údaje". Záložky jsou předmětem
přístupových práv. Je tedy rozdíl, ze které záložky uživatel Export volá.
Vytvořený
soubor se pak použije jako zdroj dat pro hromadnou korespondenci v s
kancelářském balíku, který podporuje její zpracování (typicky MS Office,
OpenOffice). Součástí implementace EGJE může být i úprava předloh pro hromadnou
korespondenci.
Pokud chcete vytvořit formulářové dopisy, adresní
štítky, obálky, adresáře a hromadně distribuovat e-maily a faxy, použijte
podokno úloh Hromadná korespondence. Postupujte podle následujících základních
kroků:
Když již je dokument vytvořený a upravený je tedy celkový postup následující:
Poznámka : pokud se ve vytvořeném word dokumentu objeví hláška Chyba! V záznamu záhlaví nebylo nalezeno pole SlučPole. nejpravděpodobnějším důvodem je to, že jste datový soubor vyexportovali z první záložky, zatímco dokument používá i položky ze záložky druhé.
Formát zobrazení datumu
v MS Word. Místo implicitního amerického formátu bývá obvykle vhodné zadat u
datumového pole formát kontinentální.
Př. { MERGEFIELD DAT_NAST \@ "d.M.yyyy"} {MERGEFIELD
"DAT_UKON" \@ "dd. MM.yyyy"}
U desetinných čísel je pak obvyklé použít formátovací řetězec podle následujícího příkladu:.
{ MERGEFIELD "CASTKA_ENC" \# "### ###,##" }
Do režimu editace kódů se v MS Word vstupuje klávesami Alt+F9.
Viz též: http://www.gmayor.com/formatting_word_fields.htm
Microsoft Word, Excel a Windows jsou
ochranné nebo registrované ochranné známky společnosti Microsoft Corporation
Inc.
Hromadné
dopisy se v aplikaci OpenOffice.org Writer vytváří pomocí Průvodce
hromadnou korespondencí. Jako zdroj dat pro databázi kontaktů si nastavte XLS
soubor, do kterého se exportovaly údaje o osobách. Princip práce je shodný jako
u MS Office.
8.3 Rtf sestavy a uživatelské
sestavy - přímé volání MS Office
8.3.1
Technologický předpoklad
Celý aparát vyžaduje:
·
OS MS Windows
·
Instalovaný MS
Office (2016, 2019, 2021), Microsoft 365
·
Upravenou předlohu
egje*.egje pro spouštění EGJE
Pro 32-bitový
JVM je zapotřebí přidat tag
<resources arch="x86"
os="Windows">
<nativelib
href="egjelib/egjelib-win-x86.jar"/>
</resources>
a také mít uvedenou knihovnu v adresáři egjelib (ews předlohy).
· Pro použití
64-bitového JVM je zapotřebí, aby ve spouštěcím *.egje souboru nebylo omezení
na architekturu.
Tzn.
<resources os="Windows" >
<nativelib
href="egjelib/egjelib-win-x86.jar"/>
</resources>
Alternativou je
zadání arch="x86 amd64".
Upozornění - spolupráce s 64-bitovým office není testována
· Při spouštění z
bat se do příkazového řádku doplňuje parametr
-Djava.library.path=./egjelib
a v egjelib adresáři musí být soubor jacob-1.16.1-x86.dll
resp. jacob-1.16.1-x64.dll (pro 64-bitové
JVM prostředí)
př.
start
javaw -splash:elanor.jpg -Xmx700m
-Djava.library.path=./egjelib -cp
egjelib/eman.jar;egjelib/egjelib.jar cz.elanor.eman.sgui.navig.RunGui
-Cconfig_jar=egjelib/config_egje.jar
Pozn.
Parametry před cz.elanor.eman.sgui.navig.RunGui
jsou považovány za parametry pro JVM, parametry za
cz.elanor.eman.sgui.navig.RunGui jsou
parametry aplikace. Pro správnou funkčnost musí být java.library.path nastaven jako parametr JVM.
Parametr -ea má smysl nastavovat pouze v
testovacím prostředí, v produkčním by neměl být nastaven.
Aparát sestav RTF umožňuje:
·
uložení předlohy do
databáze
·
zapouzdření konkrétní
předlohy a datového zdroje do formy sestavy EGJE
·
EGJE si Microsoft
Word samo zavolá a spustí akci pro spojení předlohy a dat
Předlohy v db
jsou evidovány pomocí formuláře Rtf10.
Standardně uživatel může k vlastním předlohám,
má-li ještě právo Rtf10all může ke všem předlohám.
Výběr předlohy je parametrem sestavy.
Sestava
Rtf11 je potom vzorovou sestavou, která
poskytuje stejná data jako první záložka Rtf01. Sestava nabízí předlohy
označené jako 1 - Personální.
Sestava Rtf12 pak analogicky poskytuje stejná data,
jaká jsou zobrazena na druhé záložce Rtf01. Sestava nabízí předlohy označené
jako 2 - Personální a mzdové.
Pro uživatelské sestavy je pak vyhrazen typ 6 -
Ostatní.
Tvorba šablony.
Šablona se nejlépe vytváří buď editací jiné
šablony nebo pomocí průvodce (MS Word 2021, Microsoft 365)
Pro tvorbu
šablony je zapotřebí datový soubor xls.
Ten získáte, když sestavu (typicky Rtf12) necháte
vytvořit jako "Výstup do XLS (pouze data)". Standardní "Výstup
do RTF" tento soubor sice také vytváří, ale pouze jako dočasný v TEMP,
který je po sloučení v MS Word ihned automaticky vymazáván.
8.4 Hromadná korespondence –
Dokumenty DOCX ELA
Nevýhodou tradičních sestav typu „RTF“ tedy např. Rtf11, Rtf12 je:
- méně komfortní volání z EGJEWEB2,
- probíhá plně v MS Word, není tedy možné výsledek vzít a někam uložit,
- java klient - technologická závislost na správnou konfiguraci spouštěče EGJE a na nainstalování správné verze MS Word (32/64) na stanici,
- MS Word hromadná korespondence neumí pracovat s hromadnými záznamy typu Struktury, ale pouze s nenásobnými údaji typu Struktura1, Struktura2.
Sestavy Rtf21, Rtf22 fungují jinak:
Používají také DOCX předlohy, nicméně jejich
zpracování je čistě v aparátu EGJE.
Ten provede zpracování i při volání z EGJEWEB2, a také umožňuje (po PV „naporcované“) vytvořené dokumenty
ukládat do Opv31.
Dokumenty nepoužívají „Pole“ ve smyslu MS Word, ale
čistě textovou náhradu, přičemž místo
př. místo
«PRIJMENI» resp. {MERGEFIELD „PRIJMENI“}
se píše běžný
text {{PRIJMENI}} tedy v dvojitých složených závorkách.
Tisk z násobných vět je umožněn pomocí
řídícího makra {{REPEAT}}.
Více je popsáno v
Rtf_uzdoc v kapitole Rtf21, Rtf22.
Uživatelské sestavy jsou ukládány do databáze. Uživatel je připravuje v uživatelském adresáři nástroji JasperSoft Studio editora textový editor.
Firma Elanor navíc disponuje aparátem, který umožní sestavu vytvořenou zákaznickou podporou Elanor odeslat zákazníkovi (správci) i mimo termín výdeje resp. patche.
Celý aparát je přístupný na základě objektového práva „fUziCrea“ - „Vytváření uživatelských sestav“.
Dále je vhodné, aby uživatel měl ve svém profilu zařazenu také nějakou uživatelskou roli (>=500, Adm03, Adm02). Tu je pak možné použít pro přidělení práva k nově vzniklé sestavě.
Uživatel buď používá volání editorů přímo z tlačítek na oknu pro
spouštění sestavy (když je v režimu úprav sestavy) nebo pracuje přímo nad
pracovním adresářem, ve kterém soubory sestavy jsou.
Uživatel potřebuje tyto pomůcky :
JasperSoft
Studio -
ve verzi shodné s verzí jasperreports používané v systému. Nyní:
6.6.0
XML
editor - pro editaci souborů *.xml. Např.:
C\:\\Program
Files\\PSPad editor\\PSPad.exe
.properties
editor - pro editaci jazykově závislých textů. Typicky
PropertiesEditor.jar
Nutné
pouze pro tvorbu vícejazyčných sestav resp. úpravu textů v kopiích sestav
Elanor.
Při
editaci pomocí tlačítek z EGJE není potřeba.
Pro editaci pomocí tlačítek na oknu spouštěné sestav je zapotřebí
nastavit cesty k editorům, které se používají pro upravování uživatelských
sestav.
Menu
Nastavení / Uživatelská nastavení /
parametry
JasperSoft Studio editor
XML
editor
Při upravování
sestavy EGJE se soubory, z kterých
se sestava skládá vytvoří v adresáři
%USER_HOME%/Dokumenty/Eman/userreports/.
(pokud není nastaveno v „Nastavení / Uživatelská nastavení / Adresář pro
export“ jinak).
9.3 Vlastní vytvoření a editace
sestavy
Uživatelské sestavy se vytváří pomocí průvodce,
který se zobrazí po zvolení položky Nová
sestava v kontextovém menu v levém navigačním panelu (uzly menu
formulářů a sestav). V prvním kroku můžeme zvolit, jestli chceme vytvářet
zcela novou sestavu nebo zda chceme vytvořit kopii existující sestavy.
V druhém kroku nastavíme název sestavy, kód sestavy, menu, pod kterým bude
nová sestava zařazena a přístupová práva pro novou sestavu. Novou sestavu
vytvoříme stiskem tlačítka Dokončit. Pokud je tlačítko dokončit neaktivní,
znamená to, kód sestavy nemá správný formát nebo sestava či formulář se
zvoleným kódem už existuje.
Aparát
hlídá, aby kód sestavy byl tvořen třemi znaky poté dvěma číslicemi a na
6.pozici vyžaduje znak "u" (uživatel)
Nedoporučujeme
přímo upravovat sestavy vytvořené elanorem (na 6.pozici "f") vždy je
lepší udělat její uživatelský klon "u".Pokud se však přesto
rozhodnete z nějakých důvodů editovat sestavu "f", zašlete ji zpět do
Elanoru pomocí helpdesku se stručným popisem úpravy.
Uživatelské sestavy upravujeme pomocí nabídky,
která se zobrazí po stisku tlačítka „Uprav sestavu“ ve spouštěcím okně
sestavy. Tuto volbu obsahuje také kontextové menu sestavy v levém navigačním
panelu.
Tabulka
1
- editace uživatelských sestav
|
Akce |
Popis |
|
Uprav datový zdroj |
Otevře datový zdroj sestavy v textovém editoru |
|
Vytvoř Jasper soubory |
Vytvoří základní verzi sestavy se standardní hlavičkou, zápatím atd. Přepíše jen ty soubory, které neexistují. |
|
Spusť JasperSoft Studio editor |
Spustí editor sestav, program JasperSoft Studio a otevře v něm aktuální sestavu |
|
Kompiluj |
Přeloží sestavu do zkompilované formy (xml => jasper) |
|
Zobraz složku |
Zobrazí složku se sestavou |
|
Uprav název sestavy |
Umožňuje změnit název sestavy |
|
Edituj texty |
Otevře v textovém editoru soubor s příponou .properties, který obsahuje lokalizované texty použité v sestavě. |
Na
závěr editace sestavy nezapomeňte sestavu uložit zpět do db tlačítkem „Ulož
sestavu“ !
9.3.1
Přenesení uživatelské sestavy na jinou db
Uživatelskou sestavu můžete vyexportovat pomocí volby Export sestavy z kontextového menu volaného přímo z této sestavy v navigačním menu.
Do nové db ji nahrajete standardním způsobem pomocí Adm51 (viz následující kapitola)
Uživatelská sestava vytvořená firmou Elanor je distribuována jako jar soubor se sestavou a změnovým skriptem.
Pozn.: dříve byl přikládán i xml soubor změnového skriptu, nyní je uvnitř jar souboru.
Soubor nahrajte do společného adresáře a v Adm51 / Změna Db / Instalace uživatelské sestavy spusťte jej jako změnový skript.
Ten provede načtení sestavy do systému.
Sestava je k dispozici při příštím přihlášení do EGJE.
Pokud jsou v db uloženy předchozí verze sestavy, jsou k dispozici v kontextovém menu ve spodní části. U sestavy je zobrazeno datum vložení resp. poslední změny.
Upozornění - ne všechny sestavy označené jako uživatelské (tj. písmeno f na 6.pozici jsou vytvářeny technologií uživatelských sestav. Některé jsou standardní součástí systému a popsané funkčnosti uživatelských sestav pro ně k dispozici nejsou.
10 Instalace
patch a výdejů pomocí utility SuperConfigurator
Tato víceúčelová utilita umožňuje:
Utilita neslouží k první instalaci EGJE v novém prostředí.
Jazyk programu je možné nastavit pomocí parametru EGJELANG uvnitř
spouštěcí dávky
př. -DEGJELANG=en způsobí
spuštění v angličtině.
10.1 Instalace patche - výdeje:
§
Superconfigurator
provede instalaci programu a změnového skriptu
§
Z
instalace změnového skriptu je k dispozici protokol "patch_DB_datum.html" (ten v případě chyby
při realizaci změnového skriptu předejte na support elanor)
§
Celá
instalace se v bodech zapisuje do souboru egje_patch_protocol.txt
· Manuální instalace dokumentace - pokud je
použita položka Configurator / Obecné / "Http resp. disková složka pro
help soubory" pro přesměrování helpu na jiné místo. Rozzipujte tam
doc.zip.
·
Manuální
instalace egjews-embed.jar - zákazníci používající server webových služeb EGJE
·
spuštění
Tomcat a AS EGJE
V rámci instalace se generuje WAR balíček webové aplikace. V závislosti
na instalované verzi Tomcatu (9.0.x nebo 10.1.x) je nutné pomocí utilitky
Configurátor správně nastavit, na kterou verzi se má webová aplikace
nainstalovat. Současně je potřeba stáhnout odpovídající distribuční sadu pro
vybranou verzi Tomcatu, protože v opačném případě se WAR balíček nevytvoří.
Poznámka: upozorňujeme, že Tomcat Manager neumí běžící aplikaci EGJEWEB2 korektně odinstalovat (neboť ji neumí úplně zastavit). Tomcat manager je tedy možné použít jen pro první instalaci aplikace, resp. je nutné po instalaci pomocí manageru tomcat restartovat.
10.2 Vlastní instalace utility
Instalaci SuperConfiguratoru provádí pracovník Elanor. Skládá se z částí:
Pro monitorování web aplikace je potřeba uvést její http adresu.
Přepokladem je cesta na program java. U OS Windows jde o java.exe, který standardní instalace java JRE nahrává do Windows\System32/ SysWOW64 adresáře.
Od verze 8 pak do \ProgramData\Oracle\Java\javapath.
Resp. je potřeba mít v
Proměnné prostředí / Path nastavenou cestu do adresáře javaJRE\bin resp. javaJDK\bin.Spouštěnou
verzi java zjistíte z příkazového řádku OS, příkazem java
-version.
10.2.1
SuperConfigurator - restrikce spuštění pomocí Adm51
Na úrovni databáze umožňujeme
správci pomocí 3 položek v Adm51/Znovuověření přihlášení omezit funkce
SuperConfiguratoru na konkrétní db :
Možnost provést zm. skript pomocí SuperConfiguratoru
Povolit export číselníků pomocí SuperConfiguratoru
Výčet IP adres pro přístup do SuperConfiguratoru
Je to proto, že tato správcovská
utilita nepodléhá EGJE autentizaci a správce může chtít např. omezit její
použití jen na určité IP adresy.
První 2 parametry jsou typu
Ano/Ne a umožňují nastavit omezení na konkrétní činnost, zatímco poslední
parametr umožňuje omezit, odkud se smí utilita volat.
U omezení činnosti je tlačítko
pro spuštění skriptu resp. exportu nepřístupné, u omezení na IP adresu má celý
řádek (tj. databáze) ve sloupci Verze aplikace text "Neplatná IP
adresa".
Implicitně je funkčnost
SuperConfiguratoru povolena.
10.2.2
Spuštění SuperConfiguratoru bez parametru
SuperConfigurator je primárně určen
pro spouštění s parametrem, kterým je textový
soubor s výčtem konfigurací.
Při spuštění bez parametru, má následující
funkčnost.
Typickým
spuštěním bez parametru je dávka SuperConfigurator.bat spuštěná přímo z
instalačního adresáře výdejové verze (z patche nikoliv, ten obvykle
neobsahuje egjelib.jar).
Utilita jednak vede uživatele k vytvoření tohoto
konfiguračního souboru (egje_instalace.txt), a také umožňuje interaktivní povýšení war souboru egjeweb
Funkčnost
utility:
·
Sestavit soubor s
instalacemi (egje_instalace.txt)
· Vybrat již
vytvořený soubor s instalacemi - ten si pak pamatuje při příštím spuštění
(ukládání v OS home uživatele)
·
Povýšení war
souboru egjeweb - záložka "Příprava EGJEWEB.war"
také zde je uplatněno "chytré" vyplňování a předvyplňování parametrů
10.3 Další funkčnost
Princip je ten, že export vytvoří změnový skript.
Ten je podepsán, aby jej nebylo možné měnit.
Skript pak uživatel může pustit na jiné db (jiných db), typicky pomocí této utility - záložka Spuštění změn.skriptu.
Jednotlivé datové oblasti
Složky mezd (Slm01)
Vytvoří skript z celého číselníku nebo z výčtu SLM (oddělených čárkou)
Volitelně export obsahuje i atributy SLM týkající se docházky
Při volbě celého číselníku před nahráním dosavadní, k dnešnímu datu platné SLM, ukončí (k období 2000-01) a nastaví u nich Možno pořizovat ve vstupech = Ne
Započitatelnosti SLM
Také buď pro všechny, nebo jen pro některé započitatelnosti. Ty pak před nahráváním do jiné db napřed promazává.
Na závěr spouští plošnou aktualizaci Zařazení SLM na základě zařazení IA (Slm02 - tlačítko Proveď aktualizaci)
Transformace do účetnictví (Uct01)
Obsahuje též export započitatelnosti UCTO
Před nahráním smaže dosavadní účetní tabulku a smaže dosavadní obsah započitatelnosti UCTO.
Číselník mzdových tarifů (Cmt01)
Před nahrání smaže minulý obsah Tarifů v tabulkách, Seznamu tabulek, Dalšího rozčlenění a Tarifních stupnic.
Tarifní stupně jsou ponechány, nové stupně přidávány / přepisovány na základě shody položky Tarifní stupeň.
Archiv je ponechán.
Číselník struktur (Str01)
Všechny nebo vybrané typy.
K
dnešnímu dni platné prvky struktur jsou před nahráním ukončeny k datu 1.1.2000.
Vazby mezi v jednom exportu vybranými typy jsou smazány a poté jsou nahrány
nové.
Export import se tedy hodí spíš pro počáteční naplnění resp. pro ty zákazníky,
kterým postačuje automatické udržování historie ve mzdových archivech (Str05)
Dále jsou přenášena data ze záložek Použití struktury a Jméno struktury a jejích hladin.
Data záložky Vazby mezi strukturami jsou přenášena s omezením na ty, které jsou mezi typy přenášenými v jednom exportu.
Export rozlišuje záznamy i pomocí označení organizace. Pokud je unikátní kód číselníku v rámci databáze (Adm31/Další konf.), je možné, že export/import z jednoho prostředí ohlásí chybu při změně organizace u záznamu v jednom z prostředí. V tom případě je třeba před importem z cílového prostředí takový záznam smazat a import opakovat.
Jednopoložkové číselníky (Jpc01)
Všechny nebo vybrané typy. Ty pak před nahráváním do jiné db napřed promazává.
Role (zákaznické, nad 500)
Před nahrání smaže minulý obsah přenášených rolí, dosavadní role, které přenášeny nejsou, nejsou nijak měněny ani mazány.
Chybové hlášky - nastavení jejich důležitosti
Při volbě "všechny" potom v cílové db dosavadní nastavení nejprve smaže, jinak přepisuje vybrané.
Dávky sestav
Vždy, i při volbě "všechny" pouze přepisuje dávky se shodným kódem.
Kalendáře
Exportuje vzorové dny, vzorové úseky, limity kontrol, typy zaokrouhlení a vlastní kalendáře.
Vždy, i při volbě "všechny", pouze přidává do cílových číselníků resp. přepisuje záznamy se shodným kódem.
Více o exportu struktur
Tento export je primárně určen pro prvotní naplnění databáze
Lze jej ale použít i během užívání systému. Struktury si lze přenést na testovací prostředí, upravit a přenést zpět.
Export z důvodů uplatnitelnosti a dohledatelnosti vazeb přenáší vazby pouze mezi těmi strukturami, které se exportu účastní.
Také zařazení Osob/PV ani jiných kmenových přiřazení přenášeno není.
Vše je dobré si důkladně vyzkoušet ve směru Ostrá => Testovací databáze.
Startovní exporty (záložka Exporty číselníků III.)
Startovní export ORG, SJ, SO, Skupin práv, Profilů – obsahuje checkboxy:
- rozšířit o všechny struktury s jejich rozšiř.tab.
- rozšířit o slm a konfiguraci DOCH (vč. SLM, Kal.)
-
rozšířit o bank. cesty
Řada číselníků je vázána na struktur organizací, SJ a SO (Adm21-Adm23).
Proto i dosavadní export struktur z první záložky Export číselníků je řešen tak, aby co možná nejvíce umožnil přenos struktur mezi úplně jinými databázemi, přenáší tedy jen jejich základní kostru.
Tento export je určen pro přenos mezi Testovacím (vývojovým) a Produkčním prostředím, hlavně v začátcích implementace. Naší snahou je přenést z uvedených konfiguračních číselníků, co možná nejvíce.
Tyto formáty jsou z bezpečnostních důvodů povoleným výčtem formátů, které lze nahrát do systému:
· docx,
doc, rtf, pdf, txt, odt, xlsx, xls, xlsm, ods, xml, jpg, jpeg, png, gif, tif,
tiff, pfx, cfd
Instalaci EGJE do db provádí pracovník Elanor podle interní metodiky.
Při instalaci je se prochází zhruba tímto postupem:
Při instalaci se prochází zhruba tímto postupem:
Doporučujeme databázi přepnout do režimu read_committed_snapshot on
Databáze pak používá verzování řádků v TEMPDB a nepoužívá tolik zamykání, což je častý problém MS SQL instalací, kdy ve standardním režimu, pokud někdo do dat zapisuje, brání tím ostatním uživatelům ve čtení. Tedy nejčastěji pokud někdo ještě počítá, uzavírá a jiný už chce z této datové oblasti tvořit výstupy, bývá často blokován hláškami o zamčených datech.
Od 8.10.2015 jsme tak nastavili i naši vzorovou db.
Starší instalace, které nastavení nemají, jej mohou nastavit skriptem:
use [master]
go
alter database <DB
EGJE> set single_user with rollback immediate;
go
alter database <DB
EGJE> set multi_user;
go
alter database <DB
EGJE> set read_committed_snapshot on with no_wait
go
Skript je nutno pustit v SQL Server Management Studiu pod SQL administrátorem. Před spuštěním se musí ve skriptu nahradit text <DB EGJE> skutečným názvem databáze EGJE na Vašem SQL serveru. Skript provede odpojení všech spojení na danou DB, takže není vhodné jej spouštět, pokud bude DB EGJE aktivně využívána.
Instalaci programového vybavení EGJE provádí pracovník Elanor podle interní metodiky.
Základní body jsou následující:
standardní rozvržení je toto:
Systém EWS - EGJE Web Start je vydáván jako samostatná distribuce a jeho funkčnost je popsána v dokumentu „EWS – dokumentace.pdf“ v distribuční sadě EWS.
1. Vytvoření adresářové struktury z interního instalačního média Elanor (verze_spec/1inst)
(obvykle do dvou adresářů pro ostrou a pro testovací verzi)
2. Konfigurace web serveru - zpřístupnit v každé verzi adresář egje (pod názvem evokujícím ostrou a testovací verzi)
3. Editace všech EGJE souborů pro EGJEweb start
Vytvoření spouštěcího .egje souboru pro ostré a testovací prostředí.
Zkopírujte a upravte vzorový soubor EWS\egjevzor.egje
Obvykle stačí nastavit správnou <jnlp codebase=
a zvážit hodnotu max-heap-size= (cca 550m - 1000m)
a rozhodnout se, zdali uživatelů generovat ikony (plocha, resp. menu Start).
Pro Java 21 je zapotřebí do java-vm-args přidat „-Dfile.encoding=Cp1250“.
4. Spuštění konfiguračního programu pro vyplnění připojení k db
a) configurator_egje.bat
Http / file adresa pro distribuční složku - kontrola parametru již nastaveného do codebase=,
editace parametrů (připojení k AS resp. k db, autentizace)
5. Editace linků na egje soubor v default.htm, resp. jejich umístění na intranet - zdůraznit ostrou a testovací verzi.
(nebo zástupce u souborového serveru)
Tím je předloha hotova.
Na uživatelských PC správce spustí EWS\EgjeWS-1.0.4.msi (akt. verzi) a tím instaluje spouštěcí runtime egje (registrace přípony egje a instalace vlastního ews programu, který aplikaci stahuje, aktualizuje a spouští).
EGJE lze spouštět buď přímo
pomocí java/javaw nebo pomocí dávkového souboru.
Toto je zvlášť výhodné pro
terminálové instalace (typicky Citrix)
Přímé spouštění :
·
př. zástupce resp. citrix exportované
aplikace
"C:\WINDOWS\system32\javaw.exe" -splash:elanor.jpg
–Xmx512m -Djava.library.path=./egjelib -cp egjelib/eman.jar;egjelib/egjelib.jar
cz.elanor.eman.sgui.navig.RunGui
-Cconfig_jar=egjelib/config_egje.jar
přičemž „Kde začít“ je v adresáři EGJE na sdíleném disku
Pozn.: místo C:\WINDOWS\system32\javaw.exe
může být volána javaw.exe z rozbaleného java.zip (viz dále java11)
·
pokud chcete přidat ještě spouštěcí
parametry, přijdou na konec (za config_egje.jar)
Př.:
-CLaF="jGoodies
Plastic3D font +2" -f Dca02
Podporujeme též spouštění klienta EGJE pomocí dávkového souboru.
Vzorovým dávkovým spouštěcím souborem je configuratorsample_egjew.bat:
start javaw -splash:elanor.jpg -Xmx800m
-Djava.library.path=./egjelib -cp
egjelib/eman.jar;egjelib/egjelib.jar cz.elanor.eman.sgui.navig.RunGui
-Cconfig_jar=egjelib/config_egje.jar
exit
V obou případech je u
instalací, kde je konfiguračních souborů více (klient, AS, EGJEWEB), zapotřebí
upravit dávku/příkaz tak, aby ukazovala na ten správný config_egje*.jar
(parametr -Cconfig).
Pozn. Parametry před
cz.elanor.eman.sgui.navig.RunGui jsou
považovány za parametry pro JVM, parametry za
cz.elanor.eman.sgui.navig.RunGui jsou
parametry aplikace. Pro správnou funkčnost musí být java.library.path nastaven jako parametr JVM.
Parametr -ea má smysl nastavovat pouze v testovacím
prostředí, v produkčním by neměl být nastaven.
Od e201611 je součástí
instalačního adresáře verze také podadresář "launcher". Jde o třetí
způsob jak EGJE java klienta na OS Windows spouštět. Jde o dávkové spouštění
skládající se ze 2 fází - první je kontrola a nahrání na lokální disk (domovský
adresář uživatele ".javacache" ), druhá je vlastní spuštění z lokální
cache, tedy podobný princip jako java web start, ale pouze z namapovaného
disku. Více je v launcher\launcher_popis.txt.
Může být důležité v dávce
nastavit proxy (např. pro Adm24 Kurzy), viz kap. 3.3
--add-exports=java.desktop/com.sun.java.swing.plaf.windows=ALL-UNNAMED
To samé se musí přidat do dávkového
soboru, při spouštění přes dávkový soubor.
Java 11: Při spouštění dávkou / příkazem / launcherem je třeba některé parametry také doplnit (jako parametry spouštěného programu java (javaw), před dosavadní -D):
-XX:+IgnoreUnrecognizedVMOptions --add-modules=java.xml.bind --illegal-access=permit
Java 11 a používání html editorů v EGJE:
Html editor používají ti, kteří mají
nastaveno Ano v
Adm21/Par.komun/ HTML editory pro Wflow, Mail:, resp. HTML editory pro Popisy:
Html editor však není součástí java
11 ale java FX.
Místo OpenJDK 11 pak, správce rozbalí na
serveru java.zip, který je o html editor z java FX doplněn a ve spouštěcím
příkazu spustí javaw z tohoto adresáře.
Java 11.0.20 a 17.0.8 a vyšší:
Pro tyto Javy je potřeba zvětšit velikost
očekávaného MANIFEST.MF který je součástí eman.jar. Velikost se zvedne přidáním
JVM parametru do dávkového souboru:
-Djdk.jar.maxSignatureFileSize=16000000
Java 21
Pro Java 21 na klientu je zapotřebí změnit
kódování souborů. Předchozí verze používali kódování systému, nicméně nově se
explicitně nastaví UTF-8.
Do dávkového souboru je zapotřebí doplnit JVM parameter: -Dfile.encoding=Cp1250
EGJE je také možné používat v režimu jedné instalace programového
vybavení použité vůči více databázím.
Struktura vzoru je v
interním instalačním vzoru Elanor v souboru vzorMultiDB.zip.
Jde o instalaci, kdy jedno programové vybavení standardního klienta egje je
používáno pro více databází.
Instalaci tohoto typu je vhodné
realizovat v koordinaci s pracovníky Elanor provádějícími instalaci systému.
·
look&feel
(skin) při spuštění standardního klienta.
Správce
aplikace může nastavit vzhled aplikace platný pro všechny uživatele. Této
možnosti může využít např. k odlišení testovacího prostředí od ostrého.
Nastavená
hodnota má přednost před uživatelským nastavením v okně Změna vzhledu.
Realizuje
se to nastavením systémové proměnné LaF
Př.
-CLaF="jGoodies Windows font +1" pro bat resp.
pro JNLP (do elementu application-desc):
<argument><![CDATA[-CLaF=Tiny
Look&Feel - Golden]]></argument>
Možnosti:
|
Hodnota
parametru LaF |
|
Windows |
|
Windows +1 |
|
Windows +2 |
|
Windows +3 |
|
Metal |
|
Motif |
|
jGoodies
Windows |
|
jGoodies Windows font +1 |
|
jGoodies Windows font +2 |
|
jGoodies Windows font +3 |
|
jGoodies
Plastic3D |
|
jGoodies Plastic3D font +1 |
|
jGoodies Plastic3D font +2 |
|
jGoodies Plastic3D font +3 |
|
jGoodies
Plastic |
|
jGoodies
PlasticXP |
|
Nimbus |
|
Nimbus font +1 |
|
Nimbus font +2 |
|
Nimbus font +3 |
|
Nimbus font +4 |
|
Tiny
Look&Feel - Golden |
|
Tiny
Look&Feel - Silver |
|
Tiny
Look&Feel - Plastic |
|
Tiny
Look&Feel - Forest |
|
Tiny
Look&Feel - Nightly |
|
Tiny
Look&Feel - Unicode |
|
Tiny Look&Feel - Unicode font +1 |
|
Tiny
Look&Feel - Unicode font +2 |
|
Tiny
Look&Feel - Unicode font +3 |
|
Tiny
Look&Feel - Golden - old ico |
|
Tiny
Look&Feel - Plastic - old ico |
|
jGoodies
Plastic3D - new ico |
|
jGoodies
Plastic3D font +1 - new ico |
|
jGoodies
Plastic3D font +2 - new ico |
|
jGoodies
Plastic3D font +3 - new ico |
Další parametry
Všechny parametry Nastavení / Lokální nastavení je
možné nastavit pomocí parametrů spouštění. I v tomto případě má takto správcem nastavený parametr přednost a uživatel
jej nemůže měnit. Výjimkou jsou parametry s adresářovou cestou, v případě, že tato není
na PC uživatele platná, uživatel ji může změnit.
Parametry:
s hodnotou cesty, adresáře:
-Cacrobat - PDF prohlížeč
-CviewerRtf - RTF, DOCX, ODT
prohlížeč
-CviewerXls - XLS prohlížeč
-CviewerTxt - TXT prohlížeč
-CviewerHtml - HTML prohlížeč
-Cireport - JasperSoft
Studio editor
-Cxmleditor - XML editor
-CadresarProExport - Adresář pro
export
s výčtem hodnot:
-CExpForm - formát exportů
- povoleny jsou csv, xlsx, xls, (ignoruje velikost písmen, pokud je vyplněn
špatně vrátí xls)
s hodnotami
true/false:
-CCloEgje - zavřít egje
bez dotazu
-CSmDirCle - chytré
promazání adresáře
-CCretSubDir - vytváření
podadresáře dle organizace
-CRelGrFr - přenačtení dat
při návratu na formulář
Poznámka:
Parametry
lokálního nastavení zadávané v aplikaci jsou ukládány do souboru
%USERPROFILE%\.eman\config_local_user.properties
Správce by měl
mít v patrnosti, že při přesunu účtu uživatele v tomto souboru nemusí být
platný parametr adresarProExport a některé
další.
Postup:
Instalace java (OpenJDK, Oracle SE Subscription JDK).
Instalace Tomcat 9.0.x a 10.1.x na server (Windows resp. Linux).
Je-li Tomcat na OS linux, je vhodné do jeho spouštění přidat parametr
-Dfile.encoding=Cp1250
Nejvhodnější místo je soubor setenv.sh
(jinak je obvykle problém s diakritikou serverových protokolů)
Na OS windows bývá tato kódová stránka nastavena přímo v OS, pokud není a je Tomcat instalován jako služba, je třeba Cp1250 nastavit jako její parametr (tomcat properties / Java / Java Options)
V případě chybného kódování textů (např. měsíce v datumových editorech) je třeba (obvykle na OS Windows) nastavit v základním web.xml v defalt servletu, tj. v
<servlet>
<servlet-name>default</servlet-name>
parametr
<init-param>
<param-name>fileEncoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
Konfigurace paměti pro Tomcat:
(parametry pro Maximální memory pool - Xmx
windows v panelu Java např.:
java options pouze kódová stránka
Initial memory pool 768 MB
Maximum memory pool 2560 MB)
Konfigurace https komunikace.
Konfigurace max. velikosti souboru pro upload aplikace přes Tomcat-manager
soubor
/webapps/manager/WEB-INF/web.xml
parametr <max-file-size> na
minimálně 300 MB tj. 307200
<max-request-size> dtto
Aplikace EGJEWeb2:
1. Vytvoření aplikace pro Tomcat:
Pomocí utility configurator_egje(_en), která je na instalačním médiu v adresáři configurator si připravíte config_egje.jar pro EGJEWeb2 aplikaci.
Můžete také využít již vytvořený soubor pro java klienta (AS) a pouze v něm udělat úpravy.
Pro Tomcat 10.1.x je zapotřebí v configuratoru na záložce „Instalace verze, patche“ zapotřebí nastavit „Instalovat na Tomcat 10: Ano“.
Vzniklý soubor config_egje.jar umístíte na server s Tomcat tak, aby na něj běžící Tomcat měl přístup.
2. Spustíte z instalačního adresáře SuperConfigurator
Zvolíte poslední záložku "Příprava EGJEWEB2(HR Portál).war"
a na ní přepnete na "První instalace" a vyplníte cestu ke config_egje.jar (cestu vyplníte z pohledu serveru Tomcat)
Do pole "War souboru uložit do (bez cesty - akt.složka)" vyplníte cílové jméno aplikace (obvykle se v názvu zohledňuje prostředí - produkční versus testovací)
Stisknete "Proveď update EGJEWEB2*.war souboru" , což vytvoří požadovanou Tomcat aplikaci s vestavěným odkazem na konfigurační soubor (WEB-INF/web.xml)
Pozn.
alternativou ke grafickému prostředí SuperConfigurator
je dávkový soubor, který vytvoříte z předlohy buildEgjeweb2Example.bat(sh)
popřípadě pro Tomcat 10.0.x buildEgjeweb2Example_tc10.bat(sh), ve kterém
upravíte
§ jméno cílového war souboru
§ cestu k config_egje.jar z pohledu Tomcat
2a. Při aktualizaci již nainstalované aplikace je nutné, v závislosti na používané verzi Tomcatu, případně zaškrtnout volbu „Instalovat pro Tomcat 10:“
3a. Pokud máte k instalačnímu prostředí (ve kterém Vám nyní běží SuperConfigurator) připojený i svazek s Tomcat, je možné do " War souboru uložit do" dávat přímo cestu do Tomcat/webapps. Pokud to takto uděláte, musí být bezpodmínečně v okamžiku, kdy provádíte akci "Proveď update EGJEWEB2*.war souboru", Tomcat vypnutý!
3b. Pokud svazek přístupný nemáte, vytvoříte war soubor a provedete jeho instalaci na Tomcat (Tomcat manager deploy).
Pokud instalujete kopírováním, musí být tomcat vypnutý a před nakopírováním war souboru je nutné smazat podadresář se jménem Tomcat aplikace (ve webapps . V opačném případě budete spouštět mix současné a minulé aplikace!
Poznámka: upozorňujeme, že Tomcat Manager neumí běžící aplikaci EGJEWEB2 korektně odinstalovat (neboť ji neumí úplně zastavit). Tomcat manager je tedy možné použít jen pro první instalaci aplikace, resp. je nutné po instalaci pomocí manageru tomcat restartovat.
Technické poznámky pro ruční konfiguraci a instalaci:
o
celá aplikace pro Tomcat 9 je v balíku egjeweb2.war
o
celá aplikace pro Tomcat 10 e v balíku egjeweb2_tc10.war
o
každý balík se z ESP stahuje zvlášť
o
WAR
balíčky nejsou kompatibilní s jinými verzemi Tomcatu, než pro které byly
vytvořeny
o
extrakce web.xml z egjeweb2.war\WEB-INF\web.xml
o
editace web.xml
· přidání/konfigurace
parametrů „config_jar“,který je
odkazem na serverový konfigurační soubor EGJE (spravovaný pomocí Configurator)
·
konfigurace
parametru „<display-name>“ -
umožňuje pojmenování aplikace viditelné v Tomcat
o
návrat souboru web.xml do egjeweb2.war\WEB-INF\web.xml
o
případné přejmenování egjeweb2.war (zvláště, je-li
více egje web aplikací na jednom serveru)
o
deploy aplikace na servlet kontejner Tomcat (viz bod 3b)
Důležité upozornění: nikdy nekopírujte celý web.xml ze staré aplikace do nově instalované! Soubor web.xml může být jiný a na rozdíl se přijde poměrně obtížně, neboť typicky nefunguje pouze část aplikace.
Linux servery "headless"
· V této konfiguraci je problém s exporty dat z formuláře, resp. exportních sestav typu java do excelu. V případě problémů s touto funkcionalitou zkuste nastavit systémovou java proměnnou
java.awt.headless=true
Typicky se to provádí ve skriptu setenv.sh
V rámci distribuce EGJE jsou pro řady Tomcat 9 a 10 vydávány specifické WAR balíčky. Důvodem je přechod z Java EE na Jakarta EE. Pro každý Tomcat je nutné stáhnout samostatný ZIP soubor, který se rozbalí do stejné složky s distribuční sadou EGJE. V distribuční sadě se nachází soubor egjeweb2.war pro Tomcat 9 a egjeweb2_tc10.war pro Tomcat 10. Ke každému balíčku existuje také skript pro manuální instalaci: buildEgjeweb2Example.bat (.sh) a buildEgjeweb2Example_tc10.bat (.sh).
Konfigurace v utilitě Configurátor:
Pokud má aplikace běžet na Tomcatu 10, je třeba v utilitě Configurátor na záložce „Instalace verze, patche“ zaškrtnout možnost „Instalovat na Tomcat 10: Ano“.
Instalace pomocí utility SuperConfigurator:
Chování utility SuperConfigurator se liší v závislosti na způsobu použití:
Někdo sice provozuje v interní síti tomcat přímo pod http protokolem, nicméně bývá obvyklé opatřit Tomcat certifikátem a používat provoz přes https.
Popis je například na stránkách tomcat: https://tomcat.apache.org/tomcat-8.0-doc/ssl-howto.html
Protokol http na konkrétním portu je pak možné v server.xml zakázat, nebo jej lze přesměrovat na https. To se může dělat buď pomocí tomcat nebo pomocí reverzního proxy.
Pomocí tomcat se to udělá tak, že se v server xml definuje Connector s redirect (např. 8080 na 8443) a poté se do globálního web.xml přidá za všechna servletová mapování odstavec, který vlastní přesměrování dělá.
Typicky:
<security-constraint>
<web-resource-collection>
<web-resource-name>Restricted
URLs</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
Pozn.: Nepodporujeme variantu přidávání tohoto přesměrování do web.xml aplikace.
Pro Tomcat lze nastavit, aby všem cookies nastavoval atribut SameSite. Více o hodnotách atributu naleznete na https://tomcat.apache.org/tomcat-9.0-doc/config/cookie-processor.html
Samotné nastavení se provede ve složce Tomcatu /conf a souboru context.xml přidáním následujícího řádku mezi elementy <Context> a </Context>:
<CookieProcessor
className=“org.apache.tomcat.util.http.Rfc6265CookieProcessor“
sameSiteCookies=“lax“ />
Doporučujeme nastavit hodnotu na lax.
Nastavení atributu SameSite je možné až od verzí Tomcatu 9.0.21.
Loadbalancer není součástí dodávky EGJE. V zásadě se mu ale nebráníme a u některých zákazníků jej mají nastavený.
V konfiguraci loadbalanceru nutné zohlednit několik požadavků
1. nastavení správné cesty u cookie JSESSIONID,
viz direktiva ProxyPassReverseCookiePath
2. nastavení správné cesty u hlavičky X-GWT-Module-Base:
nejjednodušší způsob řešení je nastavení stejného relativního URL na loadbalanceru jako na jednotlivých web serverech.
viz. diskuse na https://groups.google.com/forum/#!topic/google-web-toolkit/y0W90PgoVns a https://groups.google.com/forum/?fromgroups#!searchin/google-web-toolkit/proxypass$20serialization/google-web-toolkit/3wE9yWLMJo4/Mebd0XgW1EIJ
3. svázání klienta s webserverem, na kterém je jeho session
to je možné realizovat několika způsoby, vyzkoušeli jsme variantu řídící se hodnotou cookie ROUTEID
Interně jsme otestovali loadbalancer Apache httpd 2.4
V konfiguraci byly povoleny následující moduly
LoadModule headers_module
modules/mod_headers.so
LoadModule
lbmethod_bybusyness_module modules/mod_lbmethod_bybusyness.so
LoadModule
lbmethod_byrequests_module modules/mod_lbmethod_byrequests.so
LoadModule
lbmethod_bytraffic_module modules/mod_lbmethod_bytraffic.so
LoadModule
lbmethod_heartbeat_module modules/mod_lbmethod_heartbeat.so
LoadModule proxy_module
modules/mod_proxy.so
LoadModule
proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_http_module
modules/mod_proxy_http.so
LoadModule slotmem_shm_module
modules/mod_slotmem_shm.so
Celá konfigurace loadbalancingu
<Proxy
"balancer://mycluster">
BalancerMember
"http://xxxsrv:8090/egjeweb2" route=xxxsrv
BalancerMember
"http://xxxsrv2:8080/egjeweb2" route=xxxsrv2
ProxySet stickysession=ROUTEID
</Proxy>
<Location /egjeweb2 >
Header always add Set-Cookie
"ROUTEID=.%{BALANCER_WORKER_ROUTE}e; path=/" env=BALANCER_ROUTE_CHANGED
ProxyPass balancer://mycluster
ProxyPassReverse balancer://mycluster
ProxyPassReverseCookiePath / /egjeweb2/
</Location>
Do aplikace je integrován bezpečnostní filtr Tomcat HTTP Header Security Filter.
Aplikační web.xml obsahuje mj. tyto zabezpečovací prvky:
- zákaz HTTP metod OPTIONS a TRACE
- nastavování HSTS hlaviček v případě přístupu přes SSL (filtr httpHeaderSecurity)
HSTS filtr má tyto
konfigurační parametry (config_local.properties):
·
egjeweb.httpHeaderSecurity.blockContentTypeSniffingEnabled
o Určuje, zda má být v každé odpovědi nastavena hlavička (X-Content-Type-Options), která brání zjišťování typu obsahu. Pokud je hlavička již přítomna, bude přepsána. Není-li parametr uveden, použije se výchozí hodnota false.
·
egjeweb.httpHeaderSecurity.xssProtectionEnabled
o Určuje, zda má být v každé odpovědi nastavena hlavička (X-XSS-Protection: 1; mode=block), která aktivuje ochranu prohlížeče proti skriptování napříč stránkami (XSS). Pokud je hlavička již přítomna, bude přepsána. Není-li parametr uveden, použije se výchozí hodnota true.
·
egjeweb.httpHeaderSecurity.hstsEnabled
o Určuje, zda bude pro zabezpečené požadavky v odpovědi nastavena hlavička HSTS (HTTP Strict Transport Security), tedy Strict-Transport-Security. Jakákoli již existující HSTS hlavička bude přepsána. Další podrobnosti o HSTS naleznete v RFC 6797. Není-li parametr uveden, použije se výchozí hodnota true.
·
egjeweb.httpHeaderSecurity.hstsPreload
o
Určuje,
zda bude do HSTS hlavičky přidána directiva “preload”.
·
egjeweb.httpHeaderSecurity.hstsMaxAgeSeconds
o Maximální stáří v sekundách, které má být použito v HSTS hlavičce. Záporné hodnoty budou brány jako nula. Není-li parametr uveden, použije se výchozí hodnota 0.
·
egjeweb.httpHeaderSecurity.hstsIncludeSubDomains
o Určuje, zda má být v HSTS hlavičce zahrnut parametr includeSubDomains. Není-li parametr uveden, použije se výchozí hodnota false.
·
egjeweb.httpHeaderSecurity.hstsPreload
o Určuje, zda má být v HSTS hlavičce zahrnut parametr preload. Důležité informace o tomto parametru naleznete na webu https://hstspreload.org. Není-li parametr uveden, použije se výchozí hodnota false.
·
egjeweb.httpHeaderSecurity.antiClickJackingEnabled
o Určuje, zda má být v odpovědi
nastavena hlavička proti click-jackingu (X-Frame-Options). Jakákoli již
existující hlavička bude přepsána. Není-li parametr uveden, použije se výchozí
hodnota true.
· egjeweb.httpHeaderSecurity.antiClickJackingUri
o URI adresy pro hlavičku
X-Frame-Options a hodnotu ALLOW_FROM.
·
egjeweb.httpHeaderSecurity.contentSecurityPolicy
o Určuje, zda se má do odpovědi přidat
hlavička Content-Security-Policy (CSP). Tato hlavička slouží k ochraně proti
XSS útokům a dalším typům injekcí. Není-li parametr uveden, použije se výchozí
hodnota false. není vyplněna, použije se výchozí hodnota definovaná v
nastavení aplikace.
·
egjeweb.httpHeaderSecurity.referrerPolicy
o Určuje, zda se má do odpovědi přidat hlavička Referrer-Policy. Tato hlavička řídí, jaké informace o zdroji požadavku (referrer) budou odeslány na jiný server. Není-li parametr uveden, použije se výchozí hodnota false.
·
egjeweb.httpHeaderSecurity.referrerPolicyValue
o Hodnota hlavičky Referrer-Policy. Pokud není vyplněna, použije se výchozí hodnota no-referrer-when-downgrade. Možné hodnoty jsou:
§ no-referrer: Neodesílá žádné informace o referreru.
§ no-referrer-when-downgrade: Neodesílá informace, pokud je cílová stránka méně zabezpečená (přechod z HTTPS na HTTP).
§ origin: Odesílá pouze původ odkazu (doménu a protokol).
§ origin-when-cross-origin: Stejné jako origin, ale pouze při přechodu na jinou doménu.
§ same-origin: Odesílá informace pouze v rámci stejné domény.
§ strict-origin: Podobné jako origin, ale bez cesty a dotazových parametrů.
§ strict-origin-when-cross-origin: Podobné jako origin-when-cross-origin, ale bez cesty a dotazových parametrů.
§
unsafe-url:
Odesílá celou URL včetně cesty a dotazových parametrů. Z bezpečnostních důvodů
se nedoporučuje.
·
egjeweb.httpHeaderSecurity.permissionsPolicy
o Určuje, zda se má do odpovědi přidat hlavička Permissions-Policy. Tato hlavička umožňuje webu řídit, jaké funkce a API mohou být použity (např. geolocation, kamera). Není-li parametr uveden, použije se výchozí hodnota false.
·
egjeweb.httpHeaderSecurity.permissionsPolicyValue
o Hodnota hlavičky Permissions-Policy. Pokud není vyplněna, použije se výchozí hodnota definovaná v nastavení aplikace.
Aplikace EGJE nefunguje korektně v prohlížečích Chrome a MS EDGE pro následující nastavení hlaviček v Apache server:
·
Header set Feature-Policy s parametrem sync-xhr ‘none‘ – doporučujeme
tento parametr do hlavičky
nevyplňovat.
·
Header always set X-Frame-Options ’DENY‘ -
doporučujeme hodnotu parametru místo DENY nastavit na SAMEORIGIN.
Přístup k dokumentaci EGJE je omezen pouze na přihlášené uživatele.
Postup:
AS
se instaluje jako služba realizovaná wrapperem na server s OS Windows nebo
Linux/Unix. Na serveru je musí být nainstalována shodná verze prostředí java
jako na klientské stanici
(Pro
monitorování pomocí jvisualvm je potřeba jej instalovat - https://visualvm.github.io/).
Pozn.:
Od e201905 může být AS spuštěn také pod tomcat / EGJEWeb2 (nastavení v
Configurator viz 6.1.2 Režim Web
server)
Spouštění,
zastavení, restart AS je pak společné s web aplikací, tzn. Tomcat manager
Reload tedy provede reload EGJEWeb2 i AS.
Server
je popsán v souboru wrapper.conf:
#
Java Application
wrapper.java.command=java
#resp. je možná i
konkrétní cesta k java do příslušného JRE
wrapper.java.classpath.1=../lib/wrapper.jar
wrapper.java.classpath.2=../lib/eman.jar
wrapper.java.classpath.3=../lib/egjelib.jar
wrapper.app.parameter.1=cz.elanor.eman.sgui.navig.RunServer
wrapper.app.parameter.2=-Cconfig_jar=../lib/config_egjeas.jar
wrapper.console.title=EGJEAS
EMANEVMA
#
Maximum Java Heap Size (in MB)
#
pamatujte, že kromě této paměti je potřeba počítat s pamětí PermgenSpace
# a
s pamětí pro operační systém. Jinak se Vám bude zdát, že AS zatuhává
wrapper.java.maxmemory=1024
#doporučené
omezení log souboru
wrapper.logfile.maxsize=10m
wrapper.logfile.maxfiles=30
pro
windows
# Name of the
service
wrapper.ntservice.name=EGJEAS_EMANEVMA
# Name of the
service
wrapper.ntservice.name=EGJEAS_EMANEVMA
# Display name of
the service
wrapper.ntservice.displayname=EgjeAS
EMANEVMA
pro linux je potřeba přidat
wrapper.java.additional.1=-Dfile.encoding=Cp1250
add
wrapper.app.parameter.2=-Cconfig_jar=../lib/config_egjeas.jar
na tento souboru je zapotřebí mít nastavený configurator.bat a je zapotřebí v něm vyplnit potřebné údaje, hlavně db připojení a autentizaci.
Pokud chce správce vytvořit/použít
wrapper.conf bez odkazu na config*jar
je možné klíčové hodnoty z něj umístit
přímo do wrapper.conf
př.
wrapper.app.parameter.1=cz.elanor.egjews.server.RunServerWithWS
wrapper.app.parameter.2=-CrmiPort=10089
wrapper.app.parameter.3=-CDBurl=jdbc:oracle:thin:@prgxxx:1521:egje8
wrapper.app.parameter.4=-CDBuser=eman
wrapper.app.parameter.5=-CDBpassword=lkajdfkjaoqezroqw
wrapper.app.parameter.6=-CDBOwnerPassword=eurzoqiuezroquw
wrapper.app.parameter.7=-CSQLAdapter=cz.elanor.eman.datasource.SQLOracle
wrapper.app.parameter.8=-CDBdriver=oracle.jdbc.driver.OracleDriver
wrapper.app.parameter.9=-Cauthentification=NTLogin2
wrapper.app.parameter.10=-Cdomain=XXXX
wrapper.app.parameter.11=-CdomainControllerIP=10.29.29.29
Další údaje o wrapperu
jsou na http://wrapper.tanukisoftware.org/
V některých případech, zvláště u 64-bitového linuxu je třeba nastavit omezení restartu AS vynuceného wrapperem, tj. wrapper.ping.timeout=0
Windows service se instaluje pomocí dávky bin/InstallApp-NT.bat
(správa se pak provádí
pomocí services.msc, net start, net stop)
Doporučujeme,
aby service byl spouštěn pod speciálně
vytvořeným uživatelem nikoliv pod uživatelem Local System Account.
Dále
by měl mít nastavenou proměnnou TEMP na nechráněný existující adresář, do
kterého má zápisová práva. Lze jej také nastavit pouze pro javu. Př.:
wrapper.conf:
wrapper.java.additional.1=-Djava.io.tmpdir=c:\tmp
Při
použití autentizací mswin_* je vhodné do wrapper\lib nakopírovat z
egjelib.jar knihovnu
\com\sun\jna\win32-amd64\jnidispatch.dll
resp. \com\sun\jna\win32-x86\jnidispatch.dll
Když
systém knihovnu na cestě nemá, vždy ji rozbaluje do temp adresáře pod unikátním
jménem a inicializuje.
Service
lze zrušit pomocí příkazu sc delete service_name
Př.
sc delete EGJEAS_EMANEVMA
Linux service se instaluje např. takto:
vytvořit uživatele egjeas
upravit bin/egjeas
#
Application
APP_NAME="EGJEAS_EMANEVMA"
APP_LONG_NAME="EGJEAS
EMANEVMA "
RUN_AS_USER=egjeas
v /etc/init.d vytvoříme link as_emanevma
na soubor v bin/egjeas
(ln -s ....resp. lze použít service as_emanevma install)
nastavit runlevel pomocí chkconfig
chkconfig as_emanevma on
service as_emanevma start (stop, restart,status, install, remove)
Volitelný parametr
pomocí parametru retrydb=true
je možné
iniciovat režim, ve kterém pokud při startu AS není přístupná databáze, aplikace přesto naběhne a každých 10 minut pak znovu zkouší,
jestli db přístupná není. Když je, dokončí
inicializaci aplikace.
Př. wrapper.app.parameter.nn=-Cretrydb=true
Linux servery "headless"
· V této konfiguraci je problém s exporty data z formuláře resp. exportní sestavy typu java do excelu. V případě problémů s touto funkcionalitou zkuste nastavit systémovou java proměnnou
java.awt.headless=true
Nastavení proveďte ve wrapper.conf
Př.: wrapper.java.additional.2=-Djava.awt.headless=true
Java 11.0.20 a 17.0.8 a vyšší:
·
Pro
tyto Javy je potřeba zvětšit velikost očekávaného MANIFEST.MF který je součástí
eman.jar. Velikost se zvedne přidáním Java parametru:
wrapper.java.additional.x=-Djava.awt.headless=true
Logování EGJE můžeme rozdělit na provozní a datové.
Aplikační datové logování je rozmístěno na mnoha místech napříč aplikací podle konkrétní příslušnosti.
Viz Adm_uzdoc (kapitola 3.25.1 Datový audit v EGJE obecně) formuláře Adm52, Adm54 a logovací záložky na jiných formulářích Adm10, Adm11, Adm12, Adm14, Adm33, Adm53, Vyp01, Vyp12, Dcm01, Dcd01.
Nastavení délky uchovávání dat v těchto auditních tabulkách se provádí v Adm21/Mazání.
Zde se ale budeme věnovat provoznímu logování.
AS i EGJEWEB2 vytvářejí textové souborové logy.
Mají provozní charakter, zachycují provozní a chybové stavy EGJE serveru.
Jejich tvar i názvové konvence jsou poplatné prostředí –buď se jedná o soubor vytvářený Tanuki wrapperem, který používá AS anebo se jedná, o standardní logování kontejneru Tomcat.
Umístění logů se pro AS definuje ve wrapper.conf, Standardně podadresář logs.
U EGJEWEB2 pak dle definice Tomcat Logging. Standardně podadresář logs.
Pokud chce správce přesměrovat logy mimo jejich standardní umístění:
AS
přestaví ve wrapper.conf wrapper.logfile=../logs/egje.log
EGJEWEB2
– nastavení tomcat:
·
Úrovně logování
Pomocí
parametru log4jConfigFile lze interní logování řídit externím konfiguračním XML
souborem log4j.
Lze tak např. i tímto způsobem směrovat do jiného souboru,
nebo pro některé části nastavit jinou úroveň logování
(config_egje.jar / config_local_properties / parametr "log4jConfigFile")
př. log4jConfigFile=/opt/egje/log4j.local.xml
<?xml
version="1.0" encoding="UTF-8"?>
<Configuration xmlns:xi="http://www.w3.org/2001/XInclude"
status="warn" >
<Appenders>
<Console
name="Console" target="SYSTEM_OUT">
<PatternLayout
pattern="%-5p - %d{yyyy-MM-dd HH:mm:ss,SSS} - session:%X{sessionID} -
wID:%X{wID} - lognameWithUid:%X{lognameWithUid}
- prof: %X{kod_profilu} - db:
%X{db_inst_name} - %-26.26c{1} - %m\n" />
</Console>
<File name="File"
fileName="/opt/logs/all.log" immediateFlush="true"
append="true">
<PatternLayout
pattern="%d{yyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} -
%msg%n"/>
</File>
</Appenders>
<Loggers>
<logger
name="cz.elanor.eman">
<level>info</level>
</logger>
<logger
name="cz.elanor.eman.datasource">
<level>debug</level>
</logger>
…. další loggery
<Root level="error">
<AppenderRef
ref="Console" />
<AppenderRef
ref="File"/>
</Root>
</Loggers>
</Configuration>
Upozornění: nastavení logování příliš
velkého množství informací výrazně snižuje výkon aplikace!
·
Logování AS
Log AS obsahuje také identifikaci uživatele (logname:).
Standardní předloha řádku je:
<PatternLayout pattern="%-5p - logname:%X{logname} - %-26.26c{1}
- %m\n" />
·
Logování EGJEWEB2
V logu EGJEWEB2 je 10 znaků z HTTP Session ID (session:),
identifikace okna v prohlížeči (wID:) a identifikaci přihlášení uživatele
(logname:).
Standardní předloha řádku je:
·
Logování klienta na AS
Pomocí
parametru senLog2AS lze nastavit, aby se logované události v klientské
části aplikace zasílali na server a byli následně zalogované i na serveru.
Hlášky musí mít jak na klientu, tak na serveru nastavenou stejnou úroveň
logování pro daný logger.Má význam nastavovat pouze v Java klientu
s připojením k AS.
(config_egje.jar
/ config_local_properties / parametr "sendLog2AS")př. sendLog2AS=true
Doporučujeme u AS a EGJEWEB2 Tomcat nastavit parametr virtuálního stroje
-XX:-OmitStackTraceInFastThrow
Důvodem je to, že chybový výpis stacktrace nebývá bez tohoto parametru občas úplný.
U AS se to provádí do wrapper.conf do parametrů additional
př. wrapper.java.additional.7=-XX:-OmitStackTraceInFastThrow
(7 je dle současného počtu parametrů, patří tam max + 1)
U tomcat se parametr zadá takto:
linux - do
setenv.sh do řádku export CATALINA_OPTS=
př. export
CATALINA_OPTS="-Dfile.encoding=Cp1250 -Xmx3000m -XX:MaxPermSize=512m
-XX:-OmitStackTraceInFastThrow"
windows -
ovládací program tomcat7w s parametry //ES//jmenoServeru
záložka java / Java Options - přidejte
-XX:-OmitStackTraceInFastThrow
Při provozování aplikačního serveru je vhodné sledovat jeho chování.
Základním nástrojem, který řekne, zdali je AS resp. Tomcat server pro WEB EGJE je Superconfigurator.
Je však vhodné v případě potíží mít k dispozici nějaký diagnostický nástroj. Je možné použít některý z obecně používaných monitorů, které se umějí připojit i k java aplikaci (např. nagios), ale je také možné použít základní monitorování, které poskytuje JDK a to Jvisualvm resp Jconsole.
Nevýhodou je, že sledují pouze současný stav, zatímco při diagnostice bývá často vhodné znát.
Užitečnou informací k paměťovému nastavení také bývá znalost HW parametrů (procesory, os, velikost paměti).
V následujícím odstavci popíšeme jednoduché permanentní monitorování pomocí jvisualvm + plugin
Monitor nastavíme přímo na AS serveru (windows) resp. linux s grafická nadstavbou
(resp. na jiném jiný počítač s graf. nadstavbou, který se připojí k linux bez grafiky.
Instalovat JDK pokud je tam jen JRE.
Do wrapper.conf přidat (jsou-li 2 AS dát každému jiný port)
wrapper.java.additional.1=-Dcom.sun.management.jmxremote.port=10984
wrapper.java.additional.2=-Dcom.sun.management.jmxremote.ssl=false
wrapper.java.additional.3=-Dcom.sun.management.jmxremote.authenticate=false
a restartovat AS
z JDK/bin spusti jvisualvm
Přidat JMX connection localhost:10984 (resp. jiný server a port)
a spustit monitorování (dvojklik).
Jednoduchý trace soubor lze generovat přidáním Trace Monitor pluginu:
menu Tools / Plugins / Available plugin (internet => obvykle je třeba nastavit proxy server a port)
Install / Tracer-Monitor Probes => restart
jvisualvm + Trace
spustit monitorování
záložka Tracer zvolit Cpu, Heap, PermGen (případně i Classes+Threads)
=>Start
Kdykoliv během monitorování nebo po jeho skončení je možné provést Export all data => uložit jako html soubor
(obvykle je v něm zapotřebí odstranit oddělovače tisíců resp. změnit . na , poté lze zpracovat v excelu)
Vhodné je také v problémové době (tedy např. kdy se nelze přihlásit k as) udělat thread dump.
Bohužel nejde automatizovat připojení k AS po restartu počítače nebo AS. Monitorování je ale vhodné v případě řešení problémů.
EGJE standardní klient má k dispozici jednoduchý monitor:
Příkazový řádek egje:
-logger
Otevře se monitorovací okno. Poté se spustí v EGJE konkrétní akce (výpočet, měs.úpravy).
A nakonec v monitorovacím okně menu File / Save File např. jako trace.trc
Z tohoto souboru jsme schopni zjistit detail akce.
V případě práce přes aplikační server je to pro procesy, které běží na aplikačním serveru (výpočet, měs.úpravy, sestava...) složitější:
Příkazový řádek egje:
-startserverlog
-logger
Otevře se monitorovací okno. Poté se spustí v EGJE konkrétní akce (výpočet, měs.úpravy).
Server ale odesílá vše, co na něm v tu chvíli probíhá.
Příkazový řádek egje:
-stopserverlog
A nakonec v monitorovacím okně menu File / Save File např. jako trace.trc
Pozn. vypnutí serverového logu -stopserverlog je důležité, jinak jsou monitorovány všechny jeho akce a to výrazně zvyšuje jeho zátěž.
Threaddump z AS
Příkazový řádek egje:
-threaddump
vytvoří a zobrazí threaddump z aktuálního AS, ke kterému je uživatel připojen
příkaz je k dispozici i pro EGJEWEB2
-threaddump server:port
vytvoří a zobrazí threaddump z konkrétního AS
-threaddump client
vytvoří a zobrazí threaddump z klientské aplikace nikoliv ze serveru
Zazipovaný heapdump lze na AS/EGJEWEB2 pořídit analogicky. V EGJEWEB2 se neposílá na klienta, ale zůstává na web serveru jako soubor heapdump*.gz
Na monitorování je k dispozici celá řada nástrojů výrobce i třetích stran.
Zde uvádíme základní podporu a odkazy.
DB Oracle
-trace jmeno
-stoptrace
Doporučujeme
databázový trace provádět na std. klientovi bez AS. Souborů je méně a je
snadnější se v nich vyznat. Také -stoptrace funguje přímočařeji. U AS trace
některých částí končí až odhlášením klienta resp. restartem AS.
Umožňuje vygenerovat AWR Report a případně dává možnost nastavit snímkování např. na 15 minut. Je vhodné tuto funkcionalitu dopředu vyzkoušet.
Někdy se například udržují AWR podklady po dobu 5-10 dnů, aby bylo možno zpětně se podívat na akce, které generovaly (a jakým způsobem generovaly) zátěž serveru.
DB Microsoft SQL Server
SQL Server Profiler
Webové aplikace i AS mají vestavěný systém provozního monitorování Java Melody.
JavaMelody je nástroj pro monitorování web aplikací v testovacích a produkčních prostředích. Provádí sběr a analýzu statistik operací probíhajících v aplikaci v závislosti na tom, jak je aplikace používána uživateli.
JavaMelody má malé nároky na systémové prostředky, proto může být nasazena jak v testovacím tak i v produkčním prostředí. Nicméně toto zatížení je úměrné činnosti uživatelů. Vhodnost pro Vaše produkční prostředí tedy posuďte podle zkušeností z testovacího.
Nicméně nasazujte jej jen v případě, že jej budete sledovat a využívat.
JavaMelody nezaznamenává údaje o jednotlivých událostech, do databáze se zaznamenávají pouze statistiky s počtem a trváním jednotlivých událostí.
Domovská stránka systému: https://code.google.com/p/javamelody/
Ukázky obrazovek jsou zde: https://code.google.com/p/javamelody/wiki/Screenshots
Zprovoznění - webové aplikace:
Základní konfigurace zapište do config_egje*.jar / config_local.properties
javamelody.disabled – zapne/vypne monitorování, (výchozí hodnota true,tzn. vypnuto)
javamelody.storage-directory - určuje název adresáře, do kterého se ukládají nasbíraná data. (výchozí hodnota javamelody)
javamelody.resolution-seconds - konfiguruje rozlišení grafů. Aby se změna parametru projevila, je nutné smazat uložené soubory *.rrd.
javamelody.no-database - vypne monitorování JDBC připojení a databázových dotazů.
Podrobnější popis parametrů naleznete v dokumentaci JM na https://code.google.com/p/javamelody/wiki/UserGuide#6._Optional_parameters
Přístup k monitorovací stránce je možné zabezpečit jménem/heslem nebo omezením přístupu z určitých IP adres
javamelody.authorized-users= user1:pwd1, user2:pwd2
javamelody.allowed-addr-pattern=192\.168\..*|123\.123\.123\.123
Upozornění: zabezpečení jménem a heslem způsobí narušení autentizace vlastní EGJEWEB2 aplikace, pokud běží v tu chvíli ve stejném prohlížeči.
https://code.google.com/p/javamelody/wiki/UserGuide#16._Security
Pro periodické zasílání reportů si v <tomcat_home>/conf/server.xml vytvořte mail session určující SMTP server, přes který
se reporty budou zasílat.
<Resource name="mail/MySession"
auth="Container" type="javax.mail.Session"
mail.smtp.host="<smtp server>"
mail.smtp.user="<login>"
mail.from="no-reply@example.com"
/>
Do konfigurace JM přidejte následující parametry určující název mail session,
adresy příjemců a periodu zasílání reportů
javamelody.mail-session=mail/MySession
javamelody.admin-emails=admin@mail.cz,admin2@mail.cz
javamelody.mail-periods=week,month
https://code.google.com/p/javamelody/wiki/UserGuide#14._Weekly,_daily_or_monthly_reports_by_mail
Odstavec typicky vypadá takto:
javamelody.disabled=false
javamelody.authorized-users=admin\:heslo
javamelody.admin-emails=mail1@mail.cz,mail2@mail.cz
javamelody.mail-session=mail/MySession
javamelody.mail-periods=day,week,month
Parametry se projeví po restartu webové aplikace.
Systém implicitně ukládá svá pracovní data do tomcat/temp/javamelody
Pracovní data jsou v řádu stovek MB. U zatíženějších systémů mohou být větší.
Zprovoznění
- aplikační server:
Monitorování pomocí javaMelody se nastavuje ve wrapper.conf.
Je třeba nastavit
parametry:
Pro vlastní spuštění javamelody:
javamelody.disabled=false
Přístup je pak buď přes
http - př.
monitoring.http.port=8901
nebo přes https př.
monitoring.https.port=8902
monitoring.https.keystore=t:/keystore
monitoring.https.password=egjeas
ostatní parametry
jsou společné s EGJEWEB - viz minulý odstavec
Ve wrapper.conf se pak předávají aplikaci v podobě
parametrů wrapper.app.parameter.nn=-C...
Př. wrapper.app.parameter.12=-Cjavamelody.disabled=false
wrapper.app.parameter.13=-Cmonitoring.http.port=8901
wrapper.app.parameter.14=-Cjavamelody.storage-directory=/opt/egje/prub/as_eman14p/javamelody
Monitorovací stránka je pak
http://server:8901/monitoring
Přístup k
datům:
1. Online stránka http(s)://aplikace/monitoring
Při načtení stránky je požadován uživatel a heslo
- oboje je z parametru javamelody.authorized-users
V hlavičce je možné implicitní denní pohled změnit na větší časové období.
EGJEWeb je databázová aplikace a tak většina
"zajímavých" údajů je v linku
Statistics sql Details
resp. Statistics app Details
nicméně problematická místa mohou indikovat i další tabulky, i u nich je ze souhrnné tabulky odskok do podrobné přes link Details.
2.
Periodické reporty
Systém umožňuje správcům uvedeným v javamelody.admin-emails
Zasílat denní, týdenní resp. měsíční reporty, dle toho, které jsou uvedeny v
javamelody.mail-periods=day,week,month
Struktura PDF reportu je obdobná jako u online stránky, velikost je v jednotkách MB.
Vymazání statistik
Pro vymazání statistik zastavte, vymažte adresář se statistikami
(standardně javamelody v adresáři s dočasnými soubory webserveru) a
restartujte server.
Integrované monitorování více
serverů společně
Pokud byste měli zájem o centrální monitorování aplikací EGJE,
obraťte se na helpdesk a dodáme Vám tomcat aplikaci javamelody.war.
Nasazení aplikace je popsáno v
https://code.google.com/p/javamelody/wiki/UserGuideAdvanced#Optional_centralization_server_setup
Vlastní instalace
1. Instalovat na Tomcat javamelody.war
2. Spustit aplikaci .../javamelody
3. Přidat monitorované aplikace:
jméno(bez diakritiky!) a
URL adresa
jméno(bez diakritiky!) a
URL adresa
...
4. Spuštění aplikace .../javamelody poté nabízí výběr monitorované
aplikace
Java Flight Recorder (JFR) je diagnostický nástroj pro profilování a diagnostiku výkonu Java aplikací. Je integrován do Java Virtual Machine (JVM). Umožňuje shromažďovat podrobné informace o výkonu a chování spuštěné Java aplikace s minimálním dopadem na její výkon.
JFR zaznamenává události, které se dějí v JVM a v aplikaci, jako jsou využití procesoru, paměti, vlákna, garbage collection a další.
JFR pomáhá při diagnostice složitých problémů, jako jsou paměťové
úniky, zablokování vláken a pády aplikací.
JFR je navržen tak, aby měl minimální dopad na výkon spuštěné
aplikace, takže jej lze používat i v produkčním prostředí.
Nastavení se doporučuje provádět pro řešení problémů aplikace.
Nastavení pro klienta
JFR nefunguje pro spuštění přes EgjeWebStart. EWS používá
distribuci Java, která neobsahuje potřebné moduly pro spuštění JFR. Pro klienta
je potřeba spouštět dávkovým souborem s plnohodnotným JDK.
Do *.bat souboru pro spuštění EGJE přidat „-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=egje_jfr_client.jfr“
do části k VM argumentům (před -cp, v části kde je např. -Xmx).
Soubor se vytvoří do složky odkud byla aplikace spuštěná.
Nastavení pro aplikační server:
V konfiguračním souboru pro aplikační server nastavit: „wrapper.java.additional.X=-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=egje_jfr_as.jfr“
Kde wrapper.java.additional.X za 'X' dosadit číslo volného
parametru. Číslo volného parametru zjistíte tak, že se podíváte do
konfiguračního souboru a zjistíte které číselné označení již bylo použito.
Soubor se vytvoří do složky wrapperu/bin.
AS bude potřeba restartovat.
Nastavení pro Tomcat:
Linux: do tomcat/bin/setenv.sh do CATALINA_OPTS zadat „-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=/path/egje_jfr_web.jfr“
Windows: do nastavení
Tomcat properties na záložce Java
nastavit do Java Options:
„-XX:StartFlightRecording=name=egje-jfr-recording,dumponexit=true,filename=egje_jfr_web.jfr“.
Soubor se vytvoří do složky Tomcatu.
EGJE AS – standardní
či uživatelská sestava volaná jako webová služba SOAP
V EGJE existuje poměrně komplikované zákaznické rozšíření AS EGJE o volání libovolné sestavy jako webové služby (SOAP), při kterém volající program sestavu nejprve zavolá a pak opakovaně zjišťuje, jestli je již hotova a když ano, převezme si běžný výstup sestavy.
Je mu věnována samostatná dokumentace EGJE_WS_provdoc.
EGJEWEB2 jako server
webových služeb typu REST – jádro vestavěno do EGJEWEB2
Standardní EGJEWEB2 má od verze e201709 možnost exportovat jednodušší volání webové služby REST.
Daní za jednodušší volání je ale nutnost vytvářet speciální sestavy, jejichž design je takový, že "stručně odpovídají na stručný" dotaz. Ptají se tedy na konkrétní údaje např. pro konkrétní osobu (ale už ne třeba pro všechny osoby v db).
Pro export takové sestavy byl zřízen v Adm53 nový Typ AS úlohy:
3 - Webová služba REST (realizovaná uživ. sestavou)
Configurator na záložce AS / Web obsahuje novou hodnotu radio přepínače "Web server" , kde umožňuje pomocí checkboxů určit, které komponenty se mají pustit:
Spustit EGJEWEB2 / HR portál – běžné web aplikace
Spustit server Web services
Spustit server Web services zaškrtněte pouze v případě, že je opravdu chcete používat. Jelikož standardní EGJEWEB2 / HR portál jde odškrtnout, je možné udělat i dedikovaný server Web services, který standardní Web aplikace spuštěné nemá.
Také tyto WS jsou popsány v dokumentaci EGJE_WS_provdoc.
V případě zájmu o konkrétní Web službu se obraťte na dodavatele SW EGJE prostřednictvím ESP.
Některé procesy, které generují protokol ze svého běhu, umožňují dočasně zapnout ladící režim, kdy je protokol obohacen o některé ladící hlášky. Tyto hlášky nejsou lokalizovány (tzn. jsou v češtině) a neslouží k trvalým výpisům, pouze pro hledání chyby ve spolupráci s helpedeskem Elanor.
Kterých akcí se týká:
· Měsíční uzávěrka (Vyp02)
· Výstup do účetnictví (Uct02)
· Roční uzávěrka (Vyp02)
· Import SLM (Vst06) – plánováno, ale zatím nerealizováno
· Přihlášky NP CZ (Poj18, Poj19), plánováno, ale zatím nerealizováno
Jak se zprovozní:
·
Vyžádejte si s odkazem na tuto přílohu
Provozní dokumentace přes HelpDesk script
/eman/z_cust/a_debug_ela/debug_ela.xml
· Spusťte tento změnový script pomocí Adm51 (či SuperConfiguratoru)
· Po novém přihlášení se na Vyp02 objeví nová záložka Debug ELA
· Pro konkrétní období, výplatní termín zaškrtněte ty akce, u kterých chcete detailní výpis
· Spusťte konkrétní akci – její protokol je rozšířen o hlášky začínající DEBUG_
Ty mohou ozřejmit průběh některých akcí ať už Vám, nebo Helpdesku Elanor
Pozn.: Hlášení a možnost jej zapnout zůstane přístupná pouze v den spuštění, důvodem je, že trvalé ukládání nadbytečných hlášek by zatěžovalo databázi i diskový systém a také protokoly znepřehledňovalo.
Zdroj popisu db zámků: https://www.sqlshack.com/locking-sql-server/
Exclusive lock (X) - tento typ zámku zajistí, že stránka nebo řádek budou vyhrazeny výhradně pro transakci, která exkluzivní zámek zavedla, dokud bude transakce držet zámek. Exkluzivní zámek bude transakcí vynucen, když bude chtít změnit data stránky nebo řádku, což je v případě příkazů DML DELETE, INSERT a UPDATE. Exkluzivní zámek lze na stránku nebo řádek uložit pouze v případě, že na cíli již není uložen jiný sdílený nebo exkluzivní zámek. To prakticky znamená, že na stránku nebo řádek lze uložit pouze jeden exkluzivní zámek a po jeho uložení nelze na uzamčené prostředky uložit žádný další zámek.
Shared lock (S) - tento typ zámku po jeho zavedení vyhradí stránku nebo řádek tak, aby byly dostupné pouze pro čtení, což znamená, že jakákoli jiná transakce nebude moci modifikovat zamčený záznam, dokud bude zámek aktivní. Sdílený zámek však může být nad stejnou stránkou nebo řádkem zaveden několika transakcemi současně a tímto způsobem může několik transakcí sdílet možnost čtení dat, protože samotný proces čtení nijak neovlivní aktuální data stránky nebo řádku. Kromě toho sdílený zámek umožní operace zápisu, ale nebudou povoleny žádné změny DDL.
Update lock (U) - tento zámek je podobný exkluzivnímu zámku, ale je navržen tak, aby byl svým způsobem flexibilnější. Aktualizační zámek lze zavést na záznam, který již má sdílený zámek. V takovém případě aktualizační zámek zavede další sdílený zámek na cílový řádek. Jakmile je transakce, která drží aktualizační zámek, připravena změnit data, změní se aktualizační zámek (U) na exkluzivní zámek (X). Je důležité si uvědomit, že aktualizační zámek je asymetrický, pokud jde o sdílené zámky. Zatímco aktualizační zámek lze zavést na záznam, který má sdílený zámek, sdílený zámek nelze zavést na záznam, který již má aktualizační zámek.
Intent locks (I) - tento zámek je prostředek, který transakce používá k informování jiné transakce o svém záměru získat zámek. Účelem tohoto zámku je zajistit správné provedení modifikace dat tím, že zabrání jiné transakci získat zámek na dalším objektu v hierarchii. V praxi, když chce transakce získat zámek na řádek, získá zámek záměru na tabulku, která je objektem vyšší hierarchie. Získáním zámku záměru transakce nedovolí jiným transakcím získat exkluzivní zámek na této tabulce (jinak by exkluzivní zámek zavedený některou jinou transakcí zrušil zámek řádku).
Konfigurační parametr
noshowserverinfo – Možné hodnoty true/false.
Default false.
Nastavením konfiguračního parametru noshowserverinfo na hodnotu true zamezíte zobrazením některých potenciálně citlivých údajů koncovému uživateli EGJE. Typicky jde o údaje popisující síťovou infrastrukturu, jako např. na jakém serveru běží databáze atp. V okně O Aplikaci jsou hodnoty těchto konfiguračních položek zahvězdičkovány. Na jiných místech v aplikaci je pak jejich zobrazení zcela potlačeno. Jde např. o okno pro výběr profilu, o titulek okna webové aplikace Egje a další.
Mezi citlivé
konfigurační položky řadíme následující: dburl, domain, domaincontrollerip, domaincontrollername, ldapsslurl,
proxyhost, proxyport, rmiservers
Zamezení zobrazení podrobných chybových
informací pro neautentizovaného uživatele ve webové aplikaci.
Egje webová aplikace nezobrazí podrobné
chybové informace uživatele při neúspěšném pokusu o přihlášení. Chybová
informace je v omezené formě zalogována na webovém serveru. Uživatel sám
dostane pouze informaci o tom, že došlo k chybě.
Cookies webové aplikace EGJE
Egje webová aplikace nastavuje do prohlížeče
cookies s nastavenými atributy Secure a HttpOnly. Správcům
webového serveru doporučujeme provést i nastavení atributu SameSite.
Nastavení tohoto atributu ovšem neprovádí aplikace, ale je potřeba provést
příslušnou konfiguraci na úrovni webového serveru. Viz. Příloha C1, odst.
10.3.2
Seznam přístupných částí dokumentace je zde.