Gestisci gli accessi al tuo sistema di prenotazione online

SuperSaaS ti dà ampio controllo su chi può utilizzare il tuo sistema, quali informazioni può vedere e cosa può modificare. Il sosfisticato modello di accesso è uno dei capitoli più complessi di SuperSaaS, quindi cominciamo con un pò di background.

Ruoli: utente, superuser e amministratore

Un account ha un amministratore, di solito tu, e svariati utenti, gli utenti finali del tuo calendario, tipicamente i tuoi clienti o studenti. In aggiunta puoi creare uno o più ‘superuser’ con privilegi e compiti supplementari. Per esempio, nella tua organizzazione puoi nominare un superuser che si occupi di modificare gli appuntamenti per conto di coloro che non hanno accesso al computer.

Per quanto riguarda l'accesso al sistema, le impostazioni di SuperSaaS sono suddivise in due categorie logiche: ‘Chi può registrarsi come utente?’ e ‘Cosa può fare un utente?’. Puoi anche permettere agli utenti di utilizzare il tuo sistema senza alcuna forma di registrazione. Questa soluzione può andare bene se non permetti loro alcuna modifica, o se comunque hai altri modi per identificarli, ad esempio l'indirizzo IP.

Controllo Accessi

Chi può registrarsi come utente?

La prima domanda trova risposta nella sezione ‘Controllo accessi’ raggiungibile dal menu a destra nel cruscotto amministrativo. Qui hai diverse opzioni a disposizione.

L'opzione predefinita è di lasciare che il cliente crei il proprio username e password. Questa soluzione è soddisfacente per tutti ma ha un risvolto da valutare con attenzione: chiunque può registrarsi, anche persone indesiderate. Ci sono diversi modi per scoraggiare visitatori indesiderati, ad esempio richiedere loro di confermare il proprio indirizzo email, oppure di effettuare un (parziale) pagamento prima di fissare un appuntamento. Puoi anche evitarli del tutto filtrando gli indirizzi IP o consentendo l'accesso solo su invito.

Di fatto, l'opzione predefinita ‘chiunque può registrarsi’ raramente dà luogo a problemi. Ai motori di ricerca non viene permesso, deliberatamente, di indicizzare i calendari prenotazioni SuperSaaS, quindi i visitatori vi arrivano dal tuo sito o da eventuali link nelle email. Se un utente dovesse comportarsi scorrettamente, puoi sempre bloccare il suo account.

In qualsiasi momento puoi cambiare la tua policy di accesso per renderla più o meno restrittiva. Ogni volta che selezioni un'opzione, in calce alla pagina compariranno informazioni e impostazioni aggiuntive. Nello scenario più restrittivo i clienti non possono creare un account e devi essere tu a farlo per loro (a mano, o caricando un file con tutti i nomi utente).

Associato al tuo account hai un database utenti unico. Questo significa che se all'interno di quell'account crei molteplici calendari prenotazioni, un cliente con il suo username e password può accedere a tutti. Se questo non è ciò che vuoi, la soluzione è creare un account separato per ciascun calendario.

Personalizza la procedura di registrazione

Di default SuperSaaS utilizza l'indirizzo email come username. Se viene utilizzato in un contesto dove già esistono altri username, puoi disattivare l'opzione "Utilizza l'indirizzo email come nome utente" in modo da lasciare ai tuoi utenti un unico username per più applicazioni.

I campi che selezioni nel secondo paragrafo di questa pagina sono quelli che appariranno sul form di registrazione per nuovi utenti. Lo status ‘Obbligatorio’ indica che il campo non può essere lasciato vuoto, ‘Opzionale’ indica che il campo viene visualizzato ma non è obbligatorio completarlo, e ‘Non chiedere’ indica che il campo non verrà visualizzato. Anche il campo ‘Password’ può essere disattivato, e questo modifica la finestra di login.

Puoi sempre controllare, più in basso nella pagina, il diagramma di flusso per capire come appare ai tuoi utenti la procedura di registrazione. Il diagramma riflette tutte le modifiche fatte in questa pagina. Nella prossima sezione vedremo come verificare se la procedura di registrazione si sviluppa secondo le nostre intenzioni.

Cosa può fare un utente?

Scheda Accesso

Ciò che gli utenti possono fare lo imposti nella scheda ‘Accesso’, raggiungibile mediante il bottone 'Configura' del tuo calendario. E' importante ricordare che tale scheda apparirà leggermente diversa nel caso stiamo configurando un sistema ‘a risorse’ o uno ‘a capacità’.

Le impostazioni di accesso standard consentono a chiunque di leggere il calendario prenotazioni, ma richiedono di fare login per inserire o modificare un appuntamento. Se intendi mantenere riservate le informazioni presenti nel tuo sistema di prenotazione, puoi cambiare le impostazioni di default e richiedere il login anche per la semplice lettura.

Puoi anche permettere di apportare modifiche senza richiedere alcuna registrazione. In questo caso, però, non hai modo di bloccare eventuali malintenzionati, quindi ti consigliamo questa opzione solo se sei sicuro di non correre alcun rischio, per esempio perché hai attivato un filtro sugli indirizzi IP. Se consenti di apportare modifiche senza alcuna registrazione, potresti anche deselezionare la check-box "Utilizza l'indirizzo email come nome utente" alla pagina 'Controllo Accessi' vista in precedenza, e lasciare il campo email opzionale nella finestra di inserimento appuntamenti.

La pagina impedisce in automatico la scelta di opzioni conflittuali dal punto di vista logico. Per esempio, se scegli che solo tu, in quanto amministratore, puoi apportare modifiche al calendario, l'opzione più in basso ‘Chiunque può aggiornare le prenotazioni’ verrà disattivata.

Prevenire e gestire gli abusi

SuperSaaS impedisce ai motori di ricerca come Google di indicizzare le pagine dei calendari prenotazioni. Lo facciamo per due ragioni: la prima è che a un motore di ricerca, il sistema di prenotazione SuperSaaS appare come un agglomerato di numeri e date che cambiano quotidianamente, quindi non gli dà un posizionamento appropriato. La seconda è che ciò rende più difficile il lavoro degli spammer che navigano il web alla ricerca di siti dove registrarsi e inserire domini di dubbia provenienza. Naturalmente puoi sempre far indicizzare da Google o da altri motori la pagina del tuo sito che contiene il link al tuo sistema di prenotazione. Questo può aiutare i tuoi clienti a trovarti, anche se ti espone a un minimo rischio di attirare dei malintenzionati.

Nella pratica, molti spammer vengono dissuasi dalla semplice richiesta di registrazione, quindi la prima cosa che puoi fare è richiedere ai tuoi clienti di registrarsi. Come estremo rimedio, nel caso gli abusi dovessero continuare, puoi attivare l'opzione “Invia una email di conferma contenente un link di attivazione” presente alla pagina Controllo Accessi. Questo dovrebbe risolvere la maggior parte degli abusi.

Se un utente registrato si comporta in modo improprio ti consigliamo di non cancellare il suo account, in quanto ciò gli permetterebbe di riregistrarsi; invece puoi bloccare il suo account dalla pagina 'Gestione utente' accessibile dal menu a destra del cruscotto amministrativo. Cliccando sulla lente di ingrandimento a fianco di ciascun utente puoi vedere la sua attività (storico + pianificato) e quindi rimediare a eventuali danni fatti.

Una volta configurata la policy di accesso ti consigliamo di verificare se, quando un utente fa login, il sistema si comporta secondo le attese.


Prossimo capitolo: Controlla il risultato finale | Torna a indice dei tutorial