Hur skall man tänka när man planerar ett låssystem med accessgrupper?

Vi går nedan igenom två huvudrubriker när ni skall planera ett lås/accessystem med accessgrupper.
1 Hur skall man tänka med databaser,administratörernas begränsningar och nyttjande på användarnas kort.
2 Hur skall man gruppera access för låsen för att spara kapacitet på korten, färre knapptryck för administratören och inte minst en god överblick.

Frågor att gå igenom avseende organisationens struktur och administrationsrättigheter:

1 - Skall administratör få ge ut access till endast sitt eller även andras ansvarsområden?
2 - Har ni användare som skall ha access till flera "områden"
3 - Skall man he en gemensam eller separata databas för olika områden? Om vi utgår från att ni inte har en så stor organisation att ni slår i taket för systemets kapacitet så är enda nackdelen med en gemensam databas att alla administratörer ser alla användare i systemet (integritet) men detsamma ger fördelen att inte alla administratörer behöver lägga upp alla personer samt andra fördelar.
Om en admin ger ut access på sektor 1 och en annan på sektor 2 så kommer "nycklarna" ligga parallelt på användarens kort. Om båda administratörerna ger access till sektor 1 så kommer de att skriva över varandra.
Följdaktligen så om båda administratörerna arbetar i olika databaser mot samma sektorer så blir det problem. Om administrtörerna jobbar i olika sektorer mot olika sektorer så utnyttjas kapaciteten på korten inte optimalt.
4 - Om ni som 97% av alla andra har Mifare Classic/plus i användarnas kort/taggar: Vilka sektorer är lediga att användas?

Exempel 1 (administrationsrättigheter baserat på område)

Det vanligaste är att utgå från den eller de som är ansvarig för "område" oavsett om det är sin egen personal eller annans.
Nackdelen: Områdets administratör vet inte alltid vilka personer som skall ha access.
Fördelen: Områdets administratör är ansvarig och känner trygghet i att ingen annan gett access till deras område.
Image

Exempel 2 (Administrationsrättigheter baserat på personalansvar)

Det näst vanligaste att utgå vem som är ansvarig för personalen. Administratören ger access till sin personal oavsett vem som är ansvarig för området.
Nackdelen: Områdets administratör är ansvarig och vet inte vem som ges access till deras område. Fördelen: Respektive personalansvarig vet vilka personer som behöver ha access till vilka områden.
Image

Exempel 3 (Gemensam databas)

Vi åskådliggör detta exempel med fallet från exempel 2 som vi iofs sa var det nästvanligaste men som bäst visar på fördelarna med en gemensam databas. Det går att begränsa administratörernas rättigheter i databasen så att de exempelvis bara kan ge ut access för sitt område trots att det är en gemensam databas.
Som synes i detta exempel får vi fördelarna:
1 All personal läggs upp en gång på ett ställe.
2 Alla administratörer har en databas att arbeta med.
3 Ingen risk att en access skriver över en annan med ett effektivt kapacitetsuttnyttjande på användarens kort/tag.
Nackdelar:
1 Det måste vara en serverlösning.
2 Kräver mer då man behöver ta hänsyn till framtida utveckling.
Image

Exempel 4 (Separata databaser)

Som synes i detta exempel får vi eventuellt nackdelen:
1 Att samma personal lägges upp på två ställen.
2 Administratör med ansvar för personal som skall ha access till fler områden får fler databaser att administrera i.
Fördelar:
1 Att om det inte finns en "röd administratör" så är det en tydlig avgränsning.
2 Det behöver inte vara en serverlösning
3 Om man är helt säker på att personal inte kommer att få access från två områden kan båda databaserna skriva till samma sektor och få ett effektivt nyttjande av kapaciteten på användarnas kort/tag även i stora organisationer.

Image

Frågor att gå igenom avseende låsens organisation:

Grunden i att jobba med accessgrupper är att programmera låsen "en gång för alltid" och därefter bara administrera användarnas kort/tag för att styra access enkelt. Detta görs genom att "lägga på" accessgrupper på användarens kort. Om vi fortsätter att Utgå från Mifare Classic/Plus taggar/kort så "kostar" det en sektor att ha upp till 135 accessgrupper och 2 sektorer upp till 500 accessgrupper och därefter 2 sektorer ytterligare per 500 accssgrupper osv. Av flera skäl vill man hålla det under 500 accessgrupper. Med detta sagt har du följande att fårhålla dig till:
1 Ett lås kan kopplas mot upp till 3 accessgrupper.
2 En användare kan ha upp till 4000 accessgrupper på ett kort i en organistaion som då upptar 8 sektorer på sitt kort.
Image Image

I exemplet på bilden så har Anna fått accessgrupp "Lås G1" programmerat på sitt kort och följdaktligen access till Låset G1. Användare Carl har fått accegruppen "Allt" på sitt kort och med ett knapptryck har han fått access till organisationens alla lås. Exemplet är starkt förenklat och låt oss antaga att vi har 3 hus med 4 avdelningar i varje och 50 lås på varje avdelning. Det ger oss fyra naturliga nivåer att dela ut access till:
1 Allt
2 Respektive hus
3 Respektive avdelning
4 Enskilda lås
Ett lås kan tillhöra max tre accessgrupper och vi måste då (standardmässigt) slopa en nivå. Vilken? Om ni är säkra (eller starkt övertygade) om att avdelningarna är stabila så ta bort nivån "Enskilda lås" som tar mycket av kapaciteten på korten. Annars menar vi nog att om vi förutsätter att det finns skäl att ge ut access till enskilda lås eller åtmindstone ett antal lås som inte kunde förutses vara en grupp från början så bör nivån "enskild lås" vara kvar. Sen kan man fundera på om "Allt" eller "Respektive hus" skall bort då "Allt" kan ersättas med att ge användaren access till de tre husen. Eller så slopar man nivån "Respektive hus" som kan ersättas av att ge användaren access till 4 avdelningar. Ni kan givetvis ha fyra eller fler "nivåer" och nyttja dem olika för olika områden men tänka på att ett lås bara kan tillhöra tre accessgrupper.
Vi skrev tidigare att man skulle försöka hålla sig under 500 accessgrupper av flera skäl. Ovanstående exempel skulle ge över 600 accessgrupper. Detta skulle vara ett skäl att slopa nivån "Enskild lås" som ger upphov till den stora mängden accessgrupper.

Ge mycket eller lite access, lagom är bäst!

Varför inte ge "Allt till" alla? De loggas ju ändå och blir påkomna om de tar sig in på ställen de inte skall vara.
Det ligger en del i detta men man skall tänka på ett par saker då:
1 En del har inte tid/lust att ta ut och gå igenom loggar.
2 Det kan vara lite sent när "förseelsen" upptäcks.
3 Om ett kort förloras så är det mycket som upphittaren får tillgång till samt det är besvärligt att döda bort kortet från låsen som kräver närvaro vid varje lås om inte kortet är tidsbegränsat.
Ni behöver tänka på vad som är en lagom avvägning för er organisation. Vår erfarenhet är att vara för detaljstyrd ger merarbete för ändringar medans för grova penselstreck gör det jobbigt/riskabelt när olyckan är framme.

Varför skall man hålla sig under 500 accessgrupper?

Anledningen till att man skall hålla sig under 500 accessgrupper är två. En organisation i vårt låssystem kan bestå av upp till 8 applikationer och en appllikation upptar en (1-135 accessgrupper) eller två sektorer (upp till 500 accessgrupper). Över 500 sektorer gör att man behöver