Добрый день!
Подскажите пожалуйста как правильно связать пользователей с предоставляемыми им услугами и потом получить список услуг конкретного пользователя?
Т.е. есть например услуги:
Иванову например представлены 1 и 2, а Петрову 1, 2, 3.
Непонятно в переводе.
В русской версии:
Услуги - “Услуга 1” - Контакты
Описание - " Связанные контакты"
В английской:
Services - “Услуга 1” - Customer contracts
Описание - All the customer contracts that have purchased this service
Т.е. я правильно понимаю что тут как-раз и указываются пользователи которым оказывается данная услуга?
Еще вопрос - а как делается ограничение списка услуг на портале? Т.е. чтобы пользователь в списке услуг видел только те услуги к которым у него есть доступ?
Нет. Услуга оказывается не отдельным пользователям, а всем пользователям организации-заказчика. Для этого создается договор с заказчиком, где перечисляются услуги и условия оказания. Этим же ограничивается список услуг на портале.
Дело не в переводе. Это две разные вкладки: в одной ваши контакты, в другой – договоры с заказчиками.
Да. Только что заметил что проглядел “contracts” и “contacts”.
А как тогда вести учет предоставляемых пользователям услуг и их прав?
Банальная ситуация: Несколько баз 1С:
“1С Бухгалтерия”
"1С Зарплата и кадры"
Требуется как минимум учет какой пользователь имеет доступ в какую базу, т.е. получает ли он данную услугу. Если не нравится ассоциация баз с услугами можно считать что есть отдельные услуги “Поддержка бухгалтерского учета”, “Поддержка кадрового учета”.
1С как самый простой пример, на самом деле подобных услуг много, например у сотрудников техотдела есть электронная почта и доступ в интернет, но они не является пользователем услуг связанных с тем же 1С. Кроме человека который отвечает за складской учет.
Ну, как вариант, для отчетности и наглядных дашбордов, Вы можете создать КЕ этих бд и связывать одну персону с одной базой, другую с другой. А услуги скорее нужны для создания тикетов, чтобы пользователь(или саппорт агент) мог выбрать к какому ресурсу ему нужно получить доступ.
Просто там не только БД, а именно услуги. “VPN доступ” например, который есть далеко не у каждого сотрудника, или “Электронная почта на мобильном устройстве”. Можно наверное создать КЕ типа "Услуга"и попривязывать но это имхо лишняя сущность и скорее все только еще больше запутает.
Думаю, Вы не совсем верно понимаете значение услуг в айтоп. Запросить у администратора определенный сервис не означает получить его 
Я пока сам в процессе создания шаблонов на доступ для своей организации, но для себя решил, что можно в КЕ создать финальные точки к которым нужен доступ и нарисовать из них карту маршрутизации запросов с согласованиями заинтересованных лиц и чек-листом.
Услуги в айтопе оказываются организации-заказчику организацией-поставщиком. Вы можете поделить вашего заказчика на несколько дочерних и таким образом распределить услуги по группам сотрудников более точно. Но дать разный набор услуг сотрудникам одного заказчика нельзя.
С другой стороны VPN или Электронная почта это не совсем услуги (по крайней мере в терминах айтопа). Для таких вещей есть типы КЕ Прикладное решение и Бизнес-процесс. Например, вы создаете прикладное решение “VPN”, добавляете физические КЕ, на которых эта VPN строится (сетевые устройства, серверы, ПО, электропитание), затем добавляете к КЕ “VPN” сотрудников, которые её используют. Либо можно пойти дальше. К КЕ “VPN” добавляете своих сотрудников, которые отвечают за эту КЕ, а саму КЕ включаете в бизнес-процесс “Доступ к ресурсам по VPN”. И сотрудников заказчика привязываете уже к бизнес-процессу. Тут нет строгих правил, вы должны сами решить, какие связи что будут обозначать в вашем случае. Таким образом вы получите полную картину влияние физических КЕ нижнего уровня на бизнес-процессы и пользователей, и айтоп будет сам подтягивать зависимые объекты при добавлении КЕ в тикет.
С тем что VPN сам по себе не является услугой - я согласен. А вот “Удаленный доступ к рабочему месту” - уже услуга.
Реализация через КЕ - похоже возможна, но в таком случае нужно разводить странную кухню с дублированием услуг как КЕ.
Опять таки меня данная ситуация интересует не с технической стороны, например для оценки влияния вывода оборудования в ремонт, а с организационной - возможность оперативно ответить на вопросы: сколько сотрудников имеют удаленный доступ? Какие именно сотрудники? На каком основании данный доступ был предоставлен? И подобная ситуация фактически по каждому сервису. Т.к. если услуги предоставляются на коммерческой основе - зачастую расчет ведется по количеству сотрудников. При не коммерческом предоставлении услуг - по количеству сотрудников зачастую рассчитываются внутренние трудозатраты на поддержку.
А как обычно решаются вопросы с регламентированным доступом и учетом доступа к ресурсам? Конечно эта информация по большей части есть в AD, но там явно не будет заявок на предоставление услуги/доступа. Параллельная с ITOP система?
Все можно вывести в дашборды элементарно.
По тексту:
Q: сколько сотрудников имеют удаленный доступ? Какие именно сотрудники?
A: Таблица с КЕ любой выбранной услуги, например список сотрудников имеющих в привязанных КЕ VPN или график с целым набором КЕ (VPN, SSH, RDP итд) по персонам, отделам и с любым другим приходящим в голову набором айтемов.
Q:На каком основании данный доступ был предоставлен?
A: На основании запроса(тикета) на доступ. Запрос связывается с КЕ как раз для этого.
Q: При не коммерческом предоставлении услуг - по количеству сотрудников зачастую рассчитываются внутренние трудозатраты на поддержку.
A: Это же песочница, можете как угодно настроить свой SLA и считать трудозатраты на закрытие тикетов.
Я бы разделил понятия сервис и услуга, тогда всё встает на свои места. “Удаленные доступ к рабочему месту” это сервис, его предоставляет ваша организация, им пользуются ваши клиенты, для него заведена соответствующая КЕ, его работа зависит от КЕ более низкого уровня. В таком случае услугами, которые будет предоставлять ваше ИТ подразделение сотрудникам ваших клиентов, могут быть (услуга – категория – тип тикета):
В процессе выполнения запроса на предоставление удаленного доступа инженер выполняет согласование, делает необходимые изменения в AD и привязывает/отвязывает пользователя к/от КЕ сервиса “Удаленный доступ”. Если инженер хороший, у вас будет актуальная информация. Если инженер не очень, iTop не поможет. Каких-то специальных механизмом для учета доступа в айтопе нет. Дашборды и сохранённые запросы (как написал @ykol) могут оперативно предоставить нужную информацию, но они не гарантируют её корректность. Для исключения человеческого фактора можно предложить интеграцию с AD — автоматически привязывать и отвязывать пользователей от КЕ при добавлении и удалении их из группы/роли. Конечно, в этом случае в самом AD должна поддерживаться чистота и порядок.
Довольно странна идея разделения сервиса и услуги. Или мы просто используем разную терминологию. В моем понимании - “сервис” - калька с английского “service” - что переводится как “услуга”.
По поводу КЕ - не совсем понял. В моем понимании КЕ - “конфигурационные единицы”. Ей может быть например впн сервер. Впн серверов может быть несколько. Разнотипных. Все вместе они представляют собой сервис/услугу “Удаленный доступ в сеть предприятия”.
Хотя в целом если я правильно понимаю предполагается создание КЕ на вроде “бизнесс процесс”. А пользователей каким образом к нему привязывать?
По поводу типов тикетов - у нас сейчас используется GLPI. Там в итоге порядка 500 типов тикетов примерно в вашей нотации. К сожалению это приводит к тому что никто уже не помнит что там есть т.к. каждый раз глазами этот список не пробежишь, в итоге лепится наиболее подходящий из того что помнит тот кто заполняет заявку.
Ну и понятно что все можно хоть в экселе вести, проблем в том что любое дополнительное усложнение учета ведет к неизбежным пробелам в нем. Если чтобы задокументировать “Васе Пупкину дали учетку в впн” сотруднику придется сделать 20-50 кликов мышкой и заполнить 10 полей то с большой вероятностью можно сказать что даже с постоянными разносами 5-10% будет пролетать “мимо системы” т.к. просто некогда.
Пока как вижу itop неплохое средство для технической инвентаризации, но к сожалению другую часть задач которую хотелось бы решить в нем решить скорее всего можно, но не эффективно.
Рассуждать на тему терминологии можно долго. Разницу в значениях я выделил курсивом, это главное на мой взгляд.
КЕ может быть всё, чем вы хотите управлять, в том числе и ИТ-услуги. Пользователи привязываются на вкладке “Контакты”.
Думаю, это проблема подхода, а не системы.
Если вам нужно просто записать, что Пупкину дали доступ, это один вопрос. Совсем другое дело, когда Пупкин должен сам обратиться за услугой, согласовать получение доступа и при этом не выпасть за дедлайны. Чтобы избежать лишних кликов, есть различные механизмы автоматизации, но их тоже нужно настраивать.