Grupphantering

Vid Uppsala universitet finns behov av en effektiv och flexibel grupphantering. Med grupphantering menas ett tekniskt system för att understödja att två eller flera personer samarbetar med hjälp av ett eller flera IT-verktyg. Anta till exempel att alla prefekter vid Medicinska och farmaceutiska vetenskapsområdet ska ha en gemensam plats att spara filer på och en gemensam e-postlista. Att administrera denna åtkomst i flera olika system är dels administrativt dyrt, i exemplet en faktor två, och dels finns det en stor risk för att en person får tillgång till det ena men inte det andra systemet (på grund av administrativa missar).

I universitetets IT-infrastruktur finns två system som kan hantera grupper:

  1. Grouper Groups Management Toolkit

  2. Active Directory

Traditionellt i IT-system är grupper tvådimensionella matriser där användare kopplas till noll eller fler grupper. Till dessa grupper ges sedan olika rättighetsuppsättningar, t.ex. gruppen alla användare vid institutionen har tillgång till institutionens gemensamma dokument och grupperna forskningsgrupp A och B har dessutom tillgång till forskningsgrupps A:s egna material respektive forskningsgrupp B:s egna material. Mer komplexa gruppsystem kan hantera förutom att användare är medlemmar i grupper kan även andra grupper vara medlemmar i grupper, t.ex. i gruppen Medicinska fakulteten är grupperna Institutionen för kirurgiska vetenskaper och Institutionen för neurovetenskap medlemmar, ett exempel på ett sådant gruppverktyg är Active Directory. Detta kallas nästlade grupper eller grupper i grupper.

I verkligheten är en person inte bara medlem i en grupp, utan oftast har personen en roll eller funktion i gruppen. Till exempel att Karin är forskningsledare i forskningsgrupp A. Att beskriva detta i traditionella tvådimensionella grupper skulle betyda att varje grupp skulle behöva delas upp i en grupp per roll. Detta blir inte administrativt hanterbart vid stora mängder grupper även med några få roller. Tusen grupper med fyra olika roller ger fyratusen rollgrupper som dessutom måste vara medlemmar i de respektive huvudgrupp, d.v.s. totalt fem tusen grupper. Ofta benämns grupper då som ”Forskningsgrupp A – Forskningsledare”. De flesta gruppsystem såsom Active Directory kan inte placera en underliggande rollgrupp logiskt som ett underobjekt utan det ligger parallellt i grupphierarkin där sedan rollgruppen läggs in som medlem i modergruppen.

Problemet med gruppmedlemmars rollinnehav löses oftast i de mer avancerade grupphanteringssystemen med tredimensionella grupper, d.v.s. person Y är med medlem i gruppen X med rollen Z. I de riktigt avancerade tvådimensionella grupphanteringssystemen går det att placera rollgruppen som en undergrupp till den aktuella gruppen rent hierarkiskt, t.ex. ”Forskningsgrupp A” <- ”Forskningsledare”, ett exempel på ett sådant gruppverktyg är Grouper. Denna modell emulerar väl en tredimensionell gruppstruktur med roller kopplade till medlemskap så länge det är möjligt att få tillgång till samtliga gruppmedlemmar genom att fråga vilka som är medlemmar i modergruppen. Vissa grupphanteringsssystem kan även tids begränsa medlemskap och sätta andra attribut på medlemskapet, t.ex. denna användare är medlem i gruppen som "Forskningsledare" eller denna användare är ägare av gruppen.

Ibland är grupper inte rätt verktyg för att lösa det behov man har utan det behövs ett rollhanteringsverktyg. Ett exempel på detta är att den personen har rätt att köpa IT-prylar för upp till 10kkr. Detta är inte helt enkelt att beskriva i ett gruppverktyg om olika användare har olika beloppsgränser. I AKKA finns ett verktyg för att hantera roller för AKKA och andra applikationer, se Rollhantering. Detta verktyg kan både hantera organisationella roller coh applikationsspecifika roller.

Om ni vill använda någon av de verktyg som finns tillgängliga i förvaltningsobjektet Katalog och integration i er applikation ta kontakt med AKKAs tekniska applikationsförvaltning. Det finns ett kontaktformulär längst ner på sidan Teknisk information.