980.3 JobAD forbedringer - user stories
Status
Nye features
VIR-1285 JobAD: Logo på jobannoncer
Som eksternt system ønsker jeg at kunne knytte et logo direkte til en jobannonce, så logo ikke afhænger af CVR-nummer eller P-nummer.
Acceptkriterier:
Der tilføjes nyt felt i JobAD version 3 i struktur "JobAdDetails" (se nuværende specifikation her: JobAdService (Version 2, 2018-2)):
| Base64 | 0-1 | Logo i et af følgende formater: JPG, PNG. Størrelse max. 200x135px / 100KB. Hvis logo er vedhæftet jobannoncen, præsenteres dette logo. Hvis logo ikke er defineret her, anvendes i prioriteret rækkefølge a) logo fra PNR (fra JobAG), b) logo fra CVR-nummer (fra JobAG), c) udelades. |
Det er fortsat muligt at anvende default logo, som er lagt ind via JobAG.
Noter:
Jf. FB 133168
JOB-3356 Visning af annoncespecifikt logo på Jobnet
https://starwiki.atlassian.net/browse/JOB-3356
Ac 1) Såfremt et logo er knyttet direkte til annoncen jf [AMS_PDB].[dbo].[JobAdLogo], er det dette logo der skal vises.
Hvis ikke, træder følgende gamle regler i kraft, i hvilke der ikke skal ændres:
hvis der er logo på P-nummer vises dette logo på jobannoncen på Jobnet (gammel regel). Hvis ikke så
hvis der er logo på CVR-nummer vises dette logo på jobannoncen på Jobnet (gammel regel). Hvis ikke så
vises der ikke logo (gammel regel).
Ac 2) Logo vises følgende steder, når det er sat:
Jobadteasers: Automatch på indlogget forside, Listevisning (Find Job), Kortvisning (Find Job), Gemte Job (Find Job)
Internt jobopslag (detaljesiden i Find Job).
Side for visning af ikke publiceret internt jobopslag, der tilgås fra JobAG med token.
Work in Denmark instans af Find Job.
VIR-1286 JobAD: Validering af CVR-nummer / PNR ved ikke-anonyme jobannoncer
Som STAR ønsker jeg at ikke-anonyme jobannoncer skal have både CVR-nummer og P-nummer
Acceptkriterier:
Ved ikke-anonyme jobannoncer skal både CVR-nummer og PNR angives
Gælder ikke kladder
Anonym styres af felt “IsAnonymousEmployer”
CVR-Nummer angives i felt: “CvrNumber”
P-nummer angives i felt: “PNumber”
Note: Der er ingen ændringer i hvilke roller, der kan oprette anonyme jobannoncer
Noter:
Jf. FB 175322, FB 213667
Bemærk: Det skal fortsat være muligt for jobcentre at oprette anonyme jobannoncer. Men det skal øvrige eksterne systemer ikke kunne.
VIR-1287 JobAD: Validering af timetal på deltidsjob
Som STAR ønsker jeg at der er strammere forretningsregler på deltidsjob
Acceptkriterier:
Minimum >= 0 og < 37
Maksimum > 0 og >= Minimum og < 37
Gælder ikke kladder
Dokumentation er opdateret
Noter:
Jf. FB 177897
Sikkerhed
VIR-2196 Forbedret sikkerhed på JobAD
Som STAR ønsker jeg forbedret sikkerhed på JobAD baseret på eksternt review
Acceptkriterier:
Det er ikke muligt at se JobAD ressourcer (web.config eller andre filer) udefra
Noter:
Kravet stammer fra eksterne sikkerhedsreview
Kan testes ved at navigere til https://jobt12.jobnettest.dk/JobAdService/
VIR-2197 Bedre adgangskontrol til JobAD
Som STAR og som eksternt system ønsker jeg bedre adgangskontrol til JobAD ved gentagne forsøg på login på en JobAD konto
Acceptkriterier:
Ved 5 fejlagtige forsøg på at logge ind på JobAD konto i træk inden for 6 timer, spærres adgangen til JobAD kontoen i 6 timer fra spærringstidspunktet
Tælleren til 5 nulstilles ved login med succes
Det er ikke muligt at kalde JobAD med korrekt userid/password i spærringsperioden
Det er muligt at kalde JobAD med korrekt userid/password efter spærringsperioden
Spærringer logges med ip-adresse på kalder, så SF kan følge op
Ved spærring sendes mail til STARs FB med indhold:
FB e-mail: star-systemforvaltning@startest.dk,
Titel: “Gentagne forsøg på uautoriseret adgang til JobAD”
Indhold:
”JobAD konto <kontonavn> er midlertidigt spærret pga. gentagne loginforsøg med forkert password i miljø <miljø>. Systemforvalter bør undersøge om der er tale om forsøg på at opnå ulovlig adgang til JobAD kontoen.”Note: Der sendes kun én mail, når tidslåsen aktiveres, dvs. hvis der er 10 forsøg i træk på ikke-autoriseret login så sendes der kun én. mail. Når låsen ophæves startes der forfra og der kan blive sendt en ny mail, hvis der igen kommer ikke-autoriserede login, der igen udløser en ny tidslås.
Noter:
Kravet stammer fra eksternt sikkerhedsreview
Løsningen er aftalt med STARs arkitekt (Kasper 2021-03-08). På den ene side må hackere ikke kunne prøve gentagne gange. På den anden side skal vi ikke spærre eksternes adgang, og nyt password vil ikke løse noget. Vi bør ikke introducere “denial of service” attach på en kendt konto. Forslag: At gøre JobAD kontoen utilgængelig i en periode med en særlig fejlkode.
Jobkon
VIR-2108 JobKon anvender JobAD version 3
Acceptkriterier:
JobKon anvender JobAD version 3 og bruger ikke længere JobAD version 2
Tekst på stillingsbetegnelser vises ved opslag i Taxonomy silo med OccupationConceptURI
GET /v1/EscoStar/occupations/{conceptUri}
Type-ahead på stillingsbetegnelse søger i stillingsbetegnelser fra Taxonomy silo
Kun aktive stillingsbetegnelser
Liste hentes med: GET /v1/EscoStar/occupations
Inkl. aktive alias - vises som “<stillingsbetegnelse> (<alias>)- valg oversættes til stillingsbetegnelse
Aktive stillingsbetegnelser og alias opfylder følgende kriterie:
EscoStarStatus = 1 OG validFrom <= data dato <= validTo
Note: Ikke-aktive stillingsbetegnelser kan anvendes til visning, men ikke til valg
Type-ahead felter
Søgning:
Stillingsbetegnelser:
Det er ikke muligt at vælge stillingsbetegnelse fra hierarki
Sparet væk
Ved redigering af en eksisterende jobannonce skal brugen vælge en aktiv stillingsbetegnelse, hvis den tidligere stillingsbetegnelse ikke længere er aktiv. En ikke-aktiv stillingsbetegnelse skal give en valideringsfejl
Hvis der er logo på en jobannonce, slettes logo ikke ved opdatering
Note: Logo på jobannonce vises ikke i Jobkon. Løsningsmulighed: logo er med i annoncedafta som skjult felt
Stillingsbetegnelser fra Taxonomy silo er cachede (evt. kun relevante attributter)
Kilde GET /v1/EscoStar/occupations jf. https://starwiki.atlassian.net/wiki/spaces/GI/pages/2352480306
Note: STARs arkitekter har besluttet, at applikationer ikke må lave direkte opslag. Det er OK at refreshe cache én gang i døgnet (man kan også abonnere på ændringer i eventbroker, men det forekommer for kompliceret). Jobnet har en cache, som evt. kan anvendes.
VIR-2618 Jobkon anvender ikke CVServiceForDFDG
Acceptkriterier:
JC kan ikke se om borger har skjulte oplysninger. “*” markeringer fjernes og den gulmarkerede tekst erstattes med:
“BEMÆRK: Jobkon kan ikke længere vise om borger har skjult oplysninger for arbejdsgiver! Du bør derfor sikre dig (eks. via “sagsbehandleradgang til JobNet” eller direkte kontakt til borgeren), at borgeren ikke har skjult disse, inden du videregiver oplysningerne til arbejdsgiveren!”
Noter:
CPO: Vi har ikke længere information om hvilke felter, der er skjult for arbejdsgiver. Ovenstående er VirkSags bud på en minimal løsning.
Initieret af FB 217111
VIR-1288 kom ikke i mål mht. CVServiceForDFDG: https://starwiki.atlassian.net/wiki/spaces/ISB/pages/2026537731