Accesso Supporto e Manutenzione: Guida Admin
Panoramica
Il sistema di accesso supporto consente ai tecnici manutentori di intervenire sui dati del punto vendita in modo controllato e tracciato. Ogni sessione e limitata nel tempo, registrata in un audit log immutabile e revocabile in qualsiasi momento dall'amministratore.
Sessioni di Supporto
Come Funziona
Quando un tecnico necessita di accedere al sistema:
- Il tecnico richiede una sessione di supporto specificando la durata
- Il sistema genera un token JWT dedicato (HS256, issuer
pos-backend-support) - La sessione viene attivata con scadenza automatica
- Il tecnico opera con permessi limitati allo scope definito
- Al termine, la sessione si chiude automaticamente o viene revocata manualmente
Limiti e Protezioni
Il sistema implementa diversi meccanismi di sicurezza:
| Protezione | Dettaglio |
|---|---|
| Sessioni concorrenti | Massimo 3 per tecnico (configurabile) |
| Rate limiting orario | Massimo 10 sessioni/ora per tecnico |
| Heartbeat | Ping ogni 30 secondi dal client, validato dal server |
| Idle timeout | Sessione terminata dopo 20 minuti di inattivita |
| Scadenza naturale | Chiusura automatica al raggiungimento del tempo limite |
| Device binding | Il token e vincolato al dispositivo tramite header X-Device-ID |
Monitoraggio Sessioni Attive
Dalla sezione Supporto > Sessioni della console admin e possibile:
- Visualizzare tutte le sessioni attive con tecnico, dispositivo, durata rimanente e ultimo heartbeat
- Consultare lo storico delle sessioni passate con stato di chiusura (scaduta, revocata, idle timeout)
- Filtrare per tecnico, periodo e stato
Per ogni sessione attiva viene mostrato un contatore con i secondi rimanenti, aggiornato in tempo reale.
Audit Log
Ogni azione eseguita durante una sessione di supporto viene registrata in un audit log immutabile nel database pos_platform.audit_log. Il log non puo essere modificato ne cancellato.
Per ogni voce vengono registrati:
- Timestamp dell'azione
- Identificativo del tecnico
- Tipo di azione eseguita (lettura, scrittura, eliminazione)
- Servizio e azione Moleculer invocati
- Dettaglio dei parametri (dove applicabile)
- Risultato dell'operazione (successo o errore)
L'audit log e consultabile dalla sezione Supporto > Audit con filtri per tecnico, periodo, tipo di azione e servizio.
Revoca Accesso
Per revocare immediatamente una sessione attiva:
- Accedere a Supporto > Sessioni
- Individuare la sessione da revocare
- Cliccare il pulsante Revoca
- Confermare l'operazione
La revoca e immediata: il JTI del token viene inserito in una blacklist e qualsiasi richiesta successiva con quel token viene rifiutata. Il tecnico riceve una notifica di sessione terminata.
Notifiche Email
Il sistema invia notifiche automatiche via email all'amministratore del tenant per i seguenti eventi:
- Sessione avviata: quando un tecnico inizia una nuova sessione
- Sessione terminata: alla chiusura (naturale, idle o revoca)
- Alert critico: in caso di anomalie rilevate dal sistema di monitoraggio
Monitoraggio Anomalie
Il servizio support-monitor esegue controlli periodici (ogni 10 minuti) per rilevare comportamenti anomali:
- Accessi fuori orario: sessioni attivate in orari insoliti
- Scritture eccessive: numero anomalo di operazioni di modifica
- Sessioni concorrenti: stesso tecnico connesso da piu dispositivi contemporaneamente
Le anomalie vengono deduplicate (finestra di 2 ore) e, se critiche, generano un'email all'amministratore della piattaforma.
FAQ
D: Come verifico cosa ha fatto un tecnico durante una sessione? R: Accedere a Supporto > Sessioni, selezionare la sessione desiderata e consultare il tab "Dettaglio". Il report mostra tutte le azioni eseguite, raggruppate per tipo, con durata totale e conteggio errori.
D: Posso impedire l'accesso supporto in determinati orari? R: Attualmente l'accesso non puo essere bloccato per fascia oraria, ma il monitoraggio anomalie segnala automaticamente le sessioni fuori orario. Una funzionalita di whitelist oraria e in roadmap.
D: L'audit log occupa molto spazio? R: L'audit log cresce proporzionalmente al numero di sessioni. Il sistema implementa TTL su MongoDB per archiviare automaticamente i record piu vecchi di un anno.
Vedi Anche
- Panoramica Console -- Navigazione console admin
- Flusso di Autenticazione -- Dettagli tecnici autenticazione
- API Gateway -- Validazione token supporto