Bevezető
Egy vállalat HR rendszere nemcsak dolgozói adatokat tárol — bizalmat is kezel. Ha a jogosultságkezelésben hiba van, az nem csupán technikai probléma: adatvédelmi incidens, reputációs kár és jogi következmény is lehet belőle.
Ebben az esettanulmányban bemutatjuk, hogyan zajlott egy valós, összetett tesztelési projekt, ahol a cél az volt, hogy a HR rendszer új, LDAP- és RBAC-alapú jogosultságkezelése hibátlanul működjön.
Háttér
Egy 800 főt foglalkoztató vállalat döntött úgy, hogy megújítja belső HR rendszerét. A korábbi, sok kézi beállítást igénylő jogosultságkezelés helyett szerepkör-alapú (RBAC) modellt vezettek be, LDAP integrációval.
Ez több mint ötven különböző szerepkört jelentett – a gyakornoktól a HR-vezetőig –, mindegyikhez eltérő hozzáférési szabályokkal. A cél egy átlátható, szabályozott rendszer volt, amely megfelel a GDPR és a belső auditkövetelmények előírásainak.
Ez egy „nem hibázhatunk” típusú projekt volt. Egy rossz jogosítás akár több száz dolgozó béradatait is láthatóvá tehette volna.”
A tesztelési csapat
A projektben tizenegyen dolgoztunk a tesztelési oldalon. A csapat nemcsak tesztelőkből állt: üzleti elemzők, HR-esek, biztonsági szakértő és DevOps kolléga is részt vett benne.
A tesztelés így valódi keresztfunkcionális együttműködéssé vált.
- Tesztvezető – stratégia, ütemezés, riportálás
- Manuális tesztelők (5 fő) – valós élethelyzetek modellezése
- Automata tesztelő – API-szintű jogosultságvizsgálat
- Biztonsági szakértő – GDPR és hozzáférési audit
- DevOps – környezetek, adatvisszaállítás
- HR szakértők (2 fő) – üzleti logika és szerepkörvalidálás
A HR csapat bevonása különösen fontos volt: ők pontosan tudták, ki mit láthat, és mi számít tiltott adatnak.
