Tento dokument je vlastnictvím společnosti KS-program, spol. s r.o., Vsetín. Slouží pro potřeby školení a studia uživatelů systému Mzdy a personalistika. Žádná část dokumentu nesmí být nijak kopírována, zveřejňována nebo jinak poskytnuta třetím osobám bez předchozího písemného souhlasu odpovědných zástupců KS-program, spol. s r.o.

Podporované prohlížeče

Podporovanými prohlížeči jsou aktuální verze následujících produktů:

• Mozilla Firefox
• Google Chrome
• Microsoft Edge

Prohlížeč musí mít povolen JavaScript a Cookies (výchozí nastavení).

Apple

Aplikace KS Portál je kompatibilní se zařízeními značky Apple (iPhone, iPad, Mac, aj.)
Podporované prohlížeče jsou: Safari, Google Chrome a Mozilla Firefox

Historie

Podporované prohlížeče (KS portál) (historie)

Co je potřeba ke zprovoznění KS Portálu

• Windows Server 2008 R2, 2012 a vyšší. KS Portál potřebuje cca 100 MB místa na webovém serveru.

• Běhové prostředí .Net Framework.

. Vhodné je mít nejprve nainstalovaný webový server IIS a potom teprve nainstalovat .NET Framewok. V tomto pořadí se Framewok sám zaregistruje do IIS. Pokud toto pořadí nemůžete dodržet nebo nevíte v jakém pořadí byly tyto dvě aplikace naistalovány, spusťte registraci Frameworku do IIS ručně pomocí příkazu (jako správce z příkazové řádky)
%windir%\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis.exe -i

• V IIS musí být povolen ASP modul. Je to ISAPI rozšíření webového serveru, které zpracovává požadavky na stránky s příponou ASPX.

Jak postupovat při instalaci

Aplikace nesmí být instalována jako Web Site

Pro Windows Server 2008 R2, 2012 (IIS 7) a vyšší

1. Kdekoliv na disku vytvořte adresář ksprtl (Doporučujeme do adresáře c:\Inetpub\wwwroot\).
2. Do adresáře ksprtl rozbalte obsah souboru PRTXXXXY.zip (XXXXY - odpovídající verze aplikace). Instalační sadu si stáhněte ' z: http://download.ksprogram.cz/download/
3. Skupině uživatelů Authenticated Users nastavte práva:čtení na adresáři ksprtl včetně jeho obsahu
   zápisu do podadresářů Logs a Temp
4. V IIS vytvořte novou webovou aplikaci s odkazem na fyzický adresář ksprtl (vytvořený v bodu 1).
5. V základním nastavení vytvořené webové aplikace se ujistěte, že aplikace běží ve fondu aplikací(aplikačním poolu), který využívá .NET Framework v4.
6. V souboru web.config (nebo ve vlastnostech webové aplikace) upravte ConnectionString, tak aby odpovídal vašemu DB připojení. (viz. Nastavení DB připojení).

Nastavení DB připojení

Připojení na databáze MSSQL a Oracle je již implementován přímo v Net Frameworku, takže se pro tyto databázové platformy nemusí nic instalovat. K ostatním databázovým platformám je možné přistupovat prostřednictvím ODBC. Použité ODBC musí podporovat DotNet. Zákazník by měl získat ODBC od svého dodavatele databáze (my jej nedodáváme).

Databázové připojení v KS Portálu (ASP.NET aplikaci) definuje ConnectionString, který se nachází v sekci <connectionStrings> v souboru web.config v hlavním adresáři aplikace.

Příklady ConnectionStringu

Pro MSSQL

<add name="web_mzdy" connectionString="server=web_pc;database=mzdy;uid=test;pwd=test"

providerName="System.Data.SqlClient"/>

Pro Oracle

<add name="web_mzdy" connectionString="Data Source=KSPROGRA;User Id=test;Password=test"

providerName="System.Data.OracleClient"/>

Pro ODBC

<add name="web_mzdy" connectionString="DSN=i_mzdy" providerName="System.Data.Odbc"/>

Položky DB připojení

name	- jméno DB připojení
server	- název nebo IP adresa počítače, na kterém běží DB server
database	- název databáze, ke které bude chtít být připojeni
uid	- login pro přístup do databáze
pwd	- heslo pro přístup do databáze

Doplňující informace

Oracle

Na serveru s IIS je potřeba mít stejnou verzi klienta pro Oracle jako je Oracle databáze. Je vyžadován 32 bit oracle client. Na adresář Oracle_home (adresář oracle clienta), nadřízené a podřízené složky musí mít přístup skupina uživatelů Authenticated Users a to právo Read&Execute. Pokud nejsou práva nastavena správně objeví se chyba: System.Data.OracleClient requires Oracle client software version 8.1.7 or greater.

Pokud to nepomůže nastavte stejná práva uživateli ASPNET, pod kterým běží proces ASP.NET.

PostgreSQL

• PostgreSQL

Ze zkušeností

Pokud KS Portál zahlásí databázovou chybu ORA-12638 (jedná se o zdokumentovanou chybu Oracle):

In fact this kind of error (ORA-12638) has many causes. I had it in 10.2.0.3 due to a bug. And also I had it in 9.2.0.8 because we had some troubles with our Active Directory. When the parameter SQLNET_AUTHENTIFICATION_SERVICES is set to NTS then before the connexion the Oracle server ask for a "ticket" to the Active Directory. And, if it cannot retrieve a valid "ticket" then we have the error ORA-12638.

So finally, I set SQLNET_AUTHENTIFICATION_SERVICES = (NTS,NONE) so the OS authentification is not compulsory ant we didn't have the error ORA-12638 anymore.

Jak je uvedeno výše v anglickém textu, tato chyba může mít více příčin. Problém vzniká tím, že se Oracle snaží uživatele, který přistupuje do DB ověřit proti Active Directory. Do DB přistupujete pod uživatelem, který není naveden v Active Directory. Řešením je vypnout ověření DB uživatele proti Active Directory. Obecně se doporučuje v konfiguračním souboru sqlnet.ora (buď na serveru nebo na klientovi) zaměnit řádek: SQLNET.AUTHENTICATION_SERVICES= (NTS) za SQLNET.AUTHENTICATION_SERVICES= (NONE).

Lepším řešením je upravit soubor sqlnet.ora na straně Oracle klienta (na počítači, kde běží KS Portál).

Přihlašování uživatelů KS Portálu

KS portál nabízí tyto způsoby přihlašování uživatelů:

- Přihlášení portálovým účtem

- Windows - Systém jednotného přihlášení (SSO)

- Přihlášení active directory účtem

- Přihlášení databázovým účtem

- Přihlášení přes externí autentizační službu (OAUTH2, SAML2)

- Přihlášení externího uživatele - nezaměstnance

Při volbě způsobu přihlašování je třeba také pamatovat na to, že po ověření uživatele je potřeba nějak svázat přihlášeného uživatele s konkrétním zaměstnancem v databázi, tedy vazba login-osobní číslo, viz ZdrojOsCisla níže.

Přihlášení portálovým účtem

Uživatelé musí při přístupu na portál vyplnit přihlašovací údaje (login a heslo) na přihlašovací stránce. Teprve po vyplnění platných údajů a jejich ověření získají uživatelé přístup do portálu. Na konci relace se uživatele odhlásí kliknutí na „odhlašovací“ tlačítko. Přihlašovací údaje spravuje pověřená osoba buď na staránce Nastavení/Uživatelé nebo v agendě Uživatelé KS portálu v desktopové aplikaci. Nový zaměstnanci se také mohou registrovat sami, pokud je to povoleno.

V souboru Web.config je potřeba nastavit:

<add key="TypOvereni" value=""/>

<authentication mode="Forms">

Windows - Systém jednotného přihlášení (SSO)

Uživatelé nemusí vyplňovat přihlašovací údaje (login a heslo), do portálu se přihlašují automaticky loginem, pod kterým se přihlásili k doménovému serveru prostřednictvím přihlášení do Windows, z čehož vyplývá, že je tento způsob použitelný jen uvnitř firemní sítě (případně za použití VPN).

V souboru web.config je potřeba nastavit:

<add key="TypOvereni" value=""/>

<authentication mode="Windows">

Po přidání parametru <add key="SkipLoginPage" value="true"/> se přeskočí přihlašovací stránka.

V IIS je třeba povolit metodu autentizace windows.

Do databáze přistupuje portál buď pod DB účtem zadaným v connectionstringu, nebo pod windows účtem uživatele pokud je v connectstringu nastaveno Integrated Security=true a identita fondu aplikace je ponechána na hodnotě ApplicationPoolIdentity (tj. není nastaven specifický účet zosobnění).

Přihlášení active directory účtem

Uživatelé musí při přístupu na portál vyplnit přihlašovací údaje (login a heslo) k active directory účtu. Teprve po vyplnění platných údajů na přihlašovací stránce získají uživatelé přístup do portálu. Na konci relace se uživatele odhlásí kliknutím na tlačítko „Odhlásit“. Tento způsob přihlášení, narozdíl od windows SSO, je možno použít i pro uživatele hlásící se zvenku, mimo firemní síť (samozřejmě jen pokud je portál vystaven veřejně).

Vzhledem k tomu, že při AD autentizaci nezáleží na velikosti písmen a umožňuje použít různé formáty loginů a různé tvary domény (a při některých konfiguracích i bez domény) a při definici práv v KS je rovněž možno používat různé formáty loginů, je nutné nastavit parametr SparovaniUziv na CI-BezDomeny, aby systém při načítání práv z KS databáze pro autentizovaného uživatele ignoroval velikost písmen i doménu, jinak se práva nebudou načítat jednotně a budou záviset na tom, v jakém tvaru uživatel zadá svůj login!

Lze se přihlašovat i tvarem loginu bez domény pokud je parametr SparovaniUzivAD (jiný parametr než výše) nastaven na hodnotu true.

V souboru Web.config je potřeba nastavit:

<add key="TypOvereni" value="ad"/>

<add key="SparovaniUziv" value="CI-BezDomeny"/>

<authentication mode="Forms">

a dále nastavit parametry s prefixem "ad_", viz Sekce <appSettings> - skupina Active Directory (příklady vyplnění naleznete v souboru web.config.default)

Přihlášení databázovým účtem

Uživatel zadává databázový login a heslo, ověření probíhá prostřednictvím připojení k databázi se zadanými přihlašovacími údaji. Portál přístupuje do databáze pod jménem uživatele, v connectionstringu musí být zadány místo jména uživatele a hesla masky %user% a %password%, které jsou při vytváření připojení nahrazeny přihlašovacími údaji, které zadal uživatel. Od verze 7641A je nutno nastavit i parametr TypOvereni na hodnotu sql.

V souboru Web.config je potřeba nastavit:

<add key="TypOvereni" value="sql"/>

<authentication mode="Forms">

<add name="web_mzdy" connectionString="server=absint_pc;database=web_mzdy;uid=%user%;pwd=%password%" providerName="System.Data.SqlClient"/>

Přihlášení přes externí autentizační službu (OAUTH2, SAML2)

Je možno využít přihlašování přes externí autentizační službu podporující protokol OAuth 2.0, případně SAML 2.0. Více informací je k dispozici na stránce rozšíření aplikace Externí přihlašování

Přihlášení externího uživatele - nezaměstnance

Tento způsob přihlášení je určen pro externí uživatele (nezaměstnance), např. správce. Bez ohledu na nastavený způsob přihlašování nakonfigurovaný pro zaměstnance, se externí uživatel může přihlásit přes stránku "/Public/ExternalUserLogin.aspx", na kterou se dostane např. odkazem „Externí uživatel“ ze standardní přihlašovací stránky. Pokud je nastaven 1. způsob přihlašování, může se přihlásit i přes standardní stránku určenou pro zaměstnance. Externího zaměstnance musí pověřená osoba navést v agendě Uživatelé KS portálu/Externí uživatelé.

Autentizace pomocí čipové karty

• nová přihlašovací stránka pro přihlášení pomocí čipové karty (předem navedené k osobnímu číslu)
• pro přihlášení stačí přiložit kartu ke čtečce karet
• Přiřazení karet k zaměstnancům se provádí v samostané agendě (Nastavení/Správa karet). Není možné nahrát jednu kartu více zaměstnancům. Číslo karty je uloženo v databázové tabulce (prukazy), je zde uložen pouze hash vytvořený z čísla karty. Není tedy možné v databázi zjistit čísla karet zaměstnanců.
• autentizací není míněn tzv. logický přístup, ale fyzický přístup - slabá autentizace uživatele na základě čísla čipu karty (bez zadání PINu) - [1]

hd 66552; 67020 - výchozí db

Zdroj informace pro vazbu login - osobní číslo

Při přihlášení uživatele je potřeba získat i jeho osobní číslo, které jej identifikuje jako konkretního zaměstnance. Osobní číslo se většinou získává ze stejného místa, proti kterému se uživatel ověřuje. Pokud vyvstane potřeba získat osobní číslo z jiného zdroje, je to možné nastavit parametrem <add key="ZdrojOsCisla" value=""/> v souboru web.config v sekci <appSettings> (viz. následující tabulka).

ZdrojOsCisla

Hodnota	Význam
kspu (případně ks)	osobní číslo se zjistí z agendy Uživatelé KS portálu.
ad	Osobní číslo se zjistí z Active Directory (musí být nastaveny ad_* parametry).
ez	Osobní číslo se zjistí v Evidenci zaměstnanců na záložce Osobní údaje dle pole Login
ezsap	zákaznická specialita - Osobní číslo se zjistí v Evidenci zaměstnanců na záložce Osobní údaje dle pole Logine nebo z tabulky sap,
eos	Osobní číslo se zjistí ze systému EOSu verze 3.
eos4	Osobní číslo se zjistí ze systému EOSu verze 4.
az	Osobní číslo je stejné jako login.

Tabulka 1: Zdroj informace pro vazbu login-OČ

Přístupová práva uživatelů

Řízení přístupu k údajům a operacím

Přístup uživatelů je definován prostřednictvím uživatelských rolí. Odkud se mají načítat role uživatelů určuje RoleProvider:

• KSRoleProvider – načítá aplikační role z databáze aplikace
• ADRoleProvider – načítá aplikační role z Active Directory (AD skupina je považována za KS roli pouze pokud je uvedena v parametru ad_groups, pokud ad_groups není vyplněn, tak skupina musí být v číselníku rolí)
• EosRoleProvider - zákaznická specialita - načítání rolí ze systému EOS verze 3,
• Eos4RoleProvider - zákaznická specialita - načítání rolí ze systému EOS verze 4,

Nastavení, který provider se má použít, se provádí v konfiguračním souboru aplikace.

Nastavení přístupových práv uživatelským rolím může provádět pouze administrátor KS Portálu. A to přímo v KS Portálu v menu Nastavení / Práva.

Login každého uživatele musí být přiřazen k nějaké roli, jinak nebude mít uživatel přístup k žádné části portálu. Login lze ke konkrétní roli přiřadit v agendě přístupových práv v naší aplikaci KS Mzdy (se kterou je KS Portál svázán). V agendě přístupových práv v aplikaci KS Mzdy lze přiřazovat k rolím loginy, které jsou buď v databázi (jako uživatalé DB) nebo v agendě Uživatelé KS Portálu.
V konfiguračním souboru web.config je možno definovat výchozí roli parametrem
<add key="VychoziRole" value=""/>, která se přiřadí všem uživatelům, kteří nebudou mít explicitně přiřazenou žádnou roli.

Řízení přístupu na data jiných uživatelů (tzv. řádková práva)

Nastavení provádí pouze administrátor KS Portálu. Typ řádkových práv může správce nastavit v parametrech KS Portálu (Nastavení / Parametry).

1. Standardní (výchozí nastavení) – přihlášený uživatel má povolen přístup jen na pevně daný výčet osobních čísel a středisek Výčet povolených osobních čísel a středisek se nastavuje v aplikaci KS Mzdy a KS Portál toto nastavení přebírá.
2. Dle systemizace – přihlášený uživatel má povolen přístup na sebe a své podřízené dle systemizace pracovních míst z aplikace KS Mzdy. V popisech pracovních míst u každého pracovního místa musí být vyplněno příslušné pracovní středisko.
3. Dle AD – přihlášený uživatel má povolen přístup na sebe a své podřízené dle hierarchie v Active Directory.

• TypRadPrav

Registrace nových uživatelů v KS Portálu

Tato kapitola platí jen v případě ověřování uživatelů v agendě Uživatelé KS portálu v těžkém klientovi (výchozí nastavení).

Aby uživatel získal přístup do KS Portálu, musí mít vytvořen účet v agendě Uživatelé KS Portálu. Účet mu může ručně vytvořit (nebo upravit) správce aplikace KS Mzdy.

Uživatelé se mohou registrovat sami

Je také možné povolit neregistrovaným uživatelům KS Portálu, aby se mohli sami zaregistrovat. V souboru web.config musí být v sekci <appSettings> následující řádky:

<add key="Registrace" value="user"/>

<add key="VychoziRole" value=""/>

První řádek povoluje uživatelům KS Portálu registraci. Druhý musí mít ve své hodnotě zadán název výchozí uživatelské role, do které se takto registrovaní uživatelé přiřadí.

• Registrace nového uživatele

Další možnosti nastavení

Základní nastavení aplikace KS Portál se provádí v souboru web.config, který se nachází v adresáři ksprtl (kořenovém adresáři aplikace).

Sekce <appSettings>

V této sekci se nacházejí parametry aplikace. Jejich pořadí není důležité. Zapisují se ve tvaru <add key="název" value="hodnota"/>.

Seznam parametrů sekce <appSettings>

Skupina	Název	Popis	Možné hodnoty (nebo příklad hodnoty)
Přihlášení	PasswordExpiration	Počet dnů do expirace hesla uživatele.	číslo
	WarningBeforePasswordExpiration	Kolik dnů před expirací hesla zobrazit upozornění.	číslo
	LockAfterWrongPasswords	Počet neplatných pokusů o zadání hesla, po kterém se uzamkne účet uživatele.	číslo
	MinPasswordLength	Minimální požadovaná délka hesla uživatele.	číslo
	LastPasswordsCheck	Počet minulých hesel kontrolovaných na odlišnost.	číslo
	CheckPasswordComplexity	Kontrolovat složitost hesla. Pravidlo 3/4. Pokud nastavena hodnota true, pak je vyžadováno následující: Heslo musí obsahovat minimálně 3 typy následujících znaků: číslice, malá písmena, velká písmena, speciální znaky.	true / false
	PasswordReset	Obnova zapomenutého hesla. Bez odblokování účtu, s odblokováním účtu. Zapomenuté heslo (správa)	0 - obnova hesla je zakázána (výchozí hodnota) 1 - obnova hesla je povolena, zamknuté účty zůstanou zamknuty 2 - obnova hesla je povolena, zamknuté účty budou odemknuty
	PasswordResetAuth	Způsob obnovy zapomenutého hesla (hd 53919)	1 - pomocí zadání pracovního e-mailu namísto loginu
	TypOvereni	Typ ověření uživatele pro formulářové přihlášení.	kspu (ks nebo nevyplněno)=ověření účtem z agendy Uživatelé KS portálu, ad=Active Directory, sql=ověření databázovým účtem
	ZdrojOsCisla	Udává odkud se zjišťuje osobní číslo pro login. Parametr je povinný pokud je TypOvereni nastaven na jinou hodnotu než kspu.	ks nebo kspu =Uživatelé KS portálu, ad=Active Directory, ez=evidence zaměstnanců/osobní údaje, az - osobní číslo je stejné jako login
	SkipLoginPage	Pokud se využívá SSO (Systém jednotného přihlášení) a má se přeskočit LoginPage, provede se automaticky přihlášení.	hodnota true / false
	NabizeniHeslaZakazat	Vypnout nabízení dříve použitého hesla na přihlašovací stránce pro uživatele a na přihlašovací stránce pro externí uživatele (hd 44956).	true
	SparovaniUziv	Povolí volnější kontrolu loginu, bez kontroly domény a velikosti písmen. Při formulářovém přihlášení a TypOvereni=ad by mělo být CI nebo CI-BezDomeny, neboť AD je case insenstive, tj. Domena\jiRI.novAK by se následně nespároval s loginem DOMENA\jiri.novak v DB.	BezDomeny, CI, CI-BezDomeny
	SparovaniUzivAD	Hodnota true umožní přihlášení loginem bez domény i pro ad_auth_type=basic. Uplatňuje se jen u formulářového přihlášení a TypOvereni=ad.	true
	Admins	Výčet loginů, které patří administrátorům aplikace. Jeden nebo více loginů oddělených středníkem.	admin;admin2;ksadmin
	ExterniUziv	Zda se do aplikace mohou přihlašovat externí uživatelé (tací, kteří nejsou v cílové databázi mezi zaměstnanci).	nevyplněno – přihlásit se mohou jen zaměstnanci True – přihlásit se mohou i externí uživatelé z agendy Uživatelé KS Portálu
	VychoziRole	Výchozí uživatelská role, pokud nemá uživatel explicitně definovanou žádnou roli.	portal
	VychoziRoleVedouci	Výchozí uživatelská role pro vedoucího pracovníka, pokud nemá explicitně definovanou (žádnou) roli. Je možné zadat více hodnot oddělených středníkem. Za vedoucího pracovníka je považován každý, kdo má nastaveno právo vidět i někoho jiného než sám sebe (neřídí se jen systemizací; pokud např. uživatel má výjimku z řádkových práv a má právo vidět někoho (kohokoliv) jiného, obdrží rovně roli pro vedoucího).
	VychoziRoleVzdy	Zda se má výchozí uživatelská role přiřadit i v případě, že má uživatel explicitně definovanou roli.	a / n (výchozí hodnota je n)
	VychoziProfil	Výchozí profil
	VychoziProfilVedouci	Výchozí profil pro vedoucího
	Registrace	Způsob registrace nových uživatelů. Pokud není vyplněn user, musí mít ve své hodnotě zadán název výchozí uživatelské role, do které se takto registrovaní uživatelé přiřadí.	user
	RegistraceRodneCislo	Hodnota true při registraci zapne kontrolu shody rodného čísla v evidenci zaměstnanců pro zadané osobní číslo.	true
	PocetMesicuRolePoVystupu	Počet měsíců platnosti role po ukončení pracovního poměru.	číslo
RolePoVystupu	Role po ukončení pracovního poměru.	poVystupu
PristupNaVsechnyPodniky	Zda má mít přihlášený uživatel přístup i na data zaměstnanců z jiných podniků v databázi (více IČ).	true - uživatel má přístup na zaměstnance ze všech podniků nevyplněno/false – uživatel má přístup pouze na zaměstnance ze stejného podniku
Prostředí	OptimalizaceMenu	Zda zobrazovat celé menu aplikace nebo jen přístupné položky.	nevyplněno – zobrazí se celé menu True / ano – zobrazí se jen přístupné položky menu
	ShowEmployeePhoto	Zobrazování fotek zaměstnanců.	true / false
Logování	ShowExceptionDetail	Zda se má zobrazit detailní výpis chyb.	true / false
	EmailChybyZobrazovat	Zda zobrazovat chyby vzniklé při pokusu odeslat email.	true
	AppAudit	Zapnutí logování činností uživatelů na KS portále.	true
	LogType	Způsob logování výjimek (chyb). Určuje, zda se mají zaznamenávat chyby vzniklé při běhu aplikace. Při hodnotě ""xml"" se chyby logují do Logs/Exceptions.xml, jinak do EventLogu.	nevyplněno – záznam se neprovádí Xml – provádí se záznam do souboru ksprtl/Logs/exceptions.xml
	SecurityQRKod	Chybové hlášení zobrazováno formou QR kódu.	a / n
Různé	CachedTables	Použito při optimalizacích načítání (hd 47235). Řešení některých problémů (KS portál)	názvy db tabulek
	Cache	Způsobí potlačení ukládání stránek („kešování“) na straně prohlížeče do temporary internet files.	nopage
	FormatDatumu	Datový typ pro datum v MSSQL DB.	nevyplněno – datum je char(10) yyyy-mm-dd datetime – datum je typu DateTime
	DbCmdTimeout	Maximální povolená doba pro vykonání jednoho Db příkazu, pokud překročena, objeví se hláška	Číslo znamenající délku timeoutu v sekundách
	NotSupBrowser	Blokování nepodporovaného prohlížeče	1 - výchozí hodnota (blokace), 2 - pouze upozornění
Active Directory	ad_connect_string	AD LDAP cesta ke kontejneru, ve kterém jsou hledány uživatelské účty.	LDAP://server/OU=Lokality,DC=ksprogram,DC=cz
	ad_user	AD přihlašovací jméno uživatele (včetně domény) mající právo číst informace z AD.	domena\user
	ad_password	Heslo uživatelského účtu zadaného v ad_user.
	ad_auth_type	(nepovinné) Možnost nastavení typu ověřování pro Active Directory , hodnoty=basic nebo secure (pokud secure nefunguje, může zpomalit přihlášení o 20 sekund).	basic / secure
	ad_search_in	(nepovinné) AD podkontejnery pro prohledávání , seznam cest oddělených středníkem (relativně k ad_connect_string). Použít v případě, kdy je zapotřebí prohledávání omezit na 2 a více kontejnerů. V opačném případě, kdy se má omezit vyhledávání na jeden kontejner, lze použít přímo parametr ad_connect_string.	OU=Aktivní,OU=CZ Pobocka;OU=Aktivní,OU=SK Pobocka
	ad_user_filter	AD Filtrovací výraz, omezující vyhledávání uživatelů v AD.	countryCode=203
	ad_atr_login	(nepovinné) AD název atributu, ve kterém jsou uloženy přihlašovací jména uživatelů pro Microsoft AD vždy "samAccountName".
	ad_atr_os_cislo_user	(povinný při ZdrojOsCisla=ad) AD název atributu, ve kterém jsou uloženy osobní čísla uživatelů.	employeeNumber, employeeId
	ad_atr_os_cislo_zastupce	(nepovinné) AD název atributu, ve kterém je uloženo DN zástupce.
	ad_groups	(nepovinné) AD role určené pro KS Portál (oddělené středníkem) - používá se jen v případě že je nastaven RoleProvider na ADRoleProvider. Pokud není vyplněno vezmou se všechny role, které existuji v KS.
Web proxy	proxyUrl	Název nebo IP adresa proxy serveru.	127.0.0.1
	proxyPort	Port proxy serveru.	8888
	proxyUsername	Login pro přístup k proxy.
	proxyPassword	Heslo pro přístup k proxy.
	portal_url	Řeší případy kdy např. kvůli přesměrovávání adresy KS portálu se ztratí skutečné jméno hosta, na kterého má být požadavek přesměrován a z toho důvodu se v odkazech generovaných v notifikačních emailech zobrazuje chybná adresa url. též hd 51506	Do hodnoty se zadává celá adresa url KS portálu.

Zašifrování vybraných sekcí web.config

Zašifrování sekce appSettings pro virtuální adresář ksprtl. Provádí se přes příkazovou řádku pod účtem administrátora následujícím příkazem C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -pe "appSettings" -app "/ksprtl"

Dešifrování stejné sekce se pak provede příkazem C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -pd "appSettings" -app "/ksprtl"

Následující příkaz přidělí účtu pod kterým běží asp.net právo dešifrovat zašifrované sekce web.config. V defaultním nastavením je tímto účtem "NETWORKSERVICE"

C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis -pa "NetFrameworkConfigurationKey" "NETWORKSERVICE"

Odkazy

• Příručka KS Portál
• Přístup i po ukončení pracovního poměru (KS portál)