Quản lý tài khoản

Quản lý danh sách tài khoản người dùng trên hệ thống, bao gồm tạo mới, xem chi tiết, khóa/mở khóa, xóa và xuất dữ liệu.

Quyền truy cập: Cần quyền Xem danh sách tài khoản, Tìm kiếm tài khoản, Tạo tài khoảnĐiều hướng: Tài khoản > Quản lý tài khoản hoặc /manage/account/client

---

Tổng quan

Trang Quản lý tài khoản là nơi quản trị viên quản lý toàn bộ tài khoản người dùng trên hệ thống. Giao diện cung cấp danh sách tài khoản dạng bảng với các chức năng tìm kiếm, lọc nâng cao, thao tác hàng loạt, xuất dữ liệu CSV và liên kết tới cài đặt chi tiết từng tài khoản.

---

Giao diện

Trang quản lý tài khoản gồm:

• Tab Danh sách: Hiển thị bảng tài khoản.
• Nút "Tạo tài khoản": Chuyển đến trang tạo tài khoản mới (yêu cầu quyền Tạo tài khoản).
• Nút "Import": Chuyển đến trang nhập tài khoản hàng loạt.
• Bộ lọc nâng cao (Smart Filter): Lọc theo tên, số điện thoại, email, nhóm tài khoản, khóa học, đơn vị/phòng ban.
• Bộ lọc thời gian: Lọc theo khoảng thời gian tạo tài khoản.
• Dropdown "Thao tác": Thao tác hàng loạt trên các tài khoản đã chọn.
• Nút "Xuất Dữ liệu": Xuất danh sách tài khoản ra file CSV.
• Bảng dữ liệu: Cột STT, Avatar, Họ và tên, Email, Hồ sơ, Nhóm, Ngày tạo, Khóa học, Đơn vị, Cài đặt.

---

Tạo tài khoản mới

Các bước

1. Nhấn nút Tạo tài khoản trên trang danh sách.
2. Điền thông tin bắt buộc trong form tạo tài khoản.
3. Tùy chọn bật "Gửi email thông báo tạo tài khoản".
4. Nhấn TẠO TÀI KHOẢN.

Trường	Bắt buộc	Mô tả
Họ và tên	Co	Tên đầy đủ của người dùng
Email	Co	Địa chỉ email, phải đúng định dạng và chưa tồn tại trên hệ thống
Username	Co	Tên đăng nhập, 3-20 ký tự chữ và số, không có ký tự đặc biệt, viết liền
Số điện thoại	Khong	Số điện thoại liên hệ
Mật khẩu	Co	Tối thiểu 6 ký tự
Xác nhận mật khẩu	Co	Phải trùng với mật khẩu
Loại tài khoản	Không	Nội bộ hoặc Bên ngoài. Mặc định: Nội bộ. Xác định phạm vi truy cập mặc định
Gửi email thông báo	Khong	Bật để gửi email thông báo tạo tài khoản cho người dùng

Hệ thống sẽ kiểm tra giới hạn số lượng tài khoản cho phép theo gói dịch vụ. Nếu đã hết hạn mức, hệ thống hiển thị hộp thoại yêu cầu nâng cấp gói và không cho phép tạo thêm.

---

Xem chi tiết tài khoản

Nhấn vào tên hoặc email của tài khoản trong bảng để mở hàng chi tiết. Thông tin hiển thị:

• Thông tin user: Họ tên, Username, Số điện thoại, Email, Đăng nhập gần nhất, Lần xem gần nhất.
• Nhóm: Danh sách nhóm mà tài khoản thuộc về.
• Khóa học: Danh sách khóa học đã ghi danh, ngày kích hoạt.
• Đơn vị: Đơn vị, phòng ban (chỉ hiển thị ở chế độ Internal Training).

---

Cài đặt tài khoản

Nhấn biểu tượng ba chấm ở cột Cài đặt để truy cập menu:

• Tạo hồ sơ nhân viên: Liên kết tài khoản với hồ sơ nhân viên trong hệ thống HR.
• Tạo hồ sơ ứng viên: Liên kết tài khoản với hồ sơ ứng viên tuyển dụng.
• Cài đặt: Chuyển đến trang cài đặt chi tiết tài khoản (đổi mật khẩu, khóa/mở khóa, xác minh email).
• Thêm vào nhóm: Thêm tài khoản vào một nhóm tài khoản.
• Thêm vào đơn vị, phòng ban: Gán tài khoản vào đơn vị (chỉ ở chế độ Internal Training).
• Nhắn tin / Thêm vào Chat Room: Tương tác qua hệ thống tin nhắn (nếu tính năng Chat Room được bật).

---

Trang cài đặt chi tiết

Khi nhấp "Cài đặt" trên một tài khoản, trang chi tiết hiển thị các phần sau:

Loại tài khoản

Mỗi tài khoản có một loại xác định phạm vi truy cập mặc định:

Loại	Mô tả
Nội bộ	Nhân viên chính thức trong tổ chức, có quyền truy cập đầy đủ theo vai trò
Bên ngoài	Nhân viên tạm thời, đối tác, contractor - quyền truy cập hạn chế hơn

Để thay đổi loại tài khoản: chọn loại mới từ danh sách thả xuống → nhấp "Cập nhật".

Chính sách truy cập

Phần này hiển thị danh sách chính sách đã gán cho tài khoản. Mỗi chính sách hiển thị tên, danh mục và mô tả.

• Gán chính sách: Chọn chính sách từ danh sách thả xuống → nhấp "Gán"
• Gỡ chính sách: Nhấp nút xoá bên cạnh chính sách muốn gỡ

Lưu ý: Chính sách là gói quyền tạm thời bổ sung cho vai trò. Xem Chính sách truy cập để biết cách tạo và quản lý chính sách.

Vai trò

Phần vai trò hiển thị danh sách vai trò vĩnh viễn đã gán. Quản trị viên có thể thêm hoặc gỡ vai trò từ đây. Xem Vai trò và phân quyền.

---

Thao tác hàng loạt

Chọn nhiều tài khoản bằng checkbox, sau đó nhấn dropdown Thao tác:

• Thêm vào nhóm: Thêm các tài khoản đã chọn vào một nhóm.
• Thêm vào phòng ban: Gán vào đơn vị/phòng ban (chế độ Internal Training).
• Thêm vào Chat Room: Thêm vào hệ thống tin nhắn (nếu được bật).
• Xóa hàng loạt: Xóa tất cả tài khoản đã chọn. Hành động này đồng thời xóa các khóa học, tiến trình học và thông tin liên quan, không thể khôi phục.

---

Tìm kiếm và lọc

Bộ lọc nâng cao hỗ trợ các tiêu chí:

Tiêu chí lọc	Toán tử	Mô tả
USER_NAME	Bằng, Chứa	Tìm theo tên người dùng
USER_PHONE	Bằng, Chứa	Tìm theo số điện thoại
USER_EMAIL	Bằng, Chứa	Tìm theo địa chỉ email
USER_GROUP	Bằng	Lọc theo nhóm tài khoản
COURSE_TITLE	Bằng, Chứa	Lọc theo tên khóa học
COURSE_COUNT	Bằng, Nhỏ hơn, Lớn hơn, Khác	Lọc theo số lượng khóa học
COMPANY_STRUCTURE	Bằng	Lọc theo đơn vị (Internal Training)
COMPANY_POSITION	Bằng	Lọc theo vị trí
COMPANY_POSITION_GROUP	Bằng	Lọc theo nhóm vị trí
COMPANY_COMPETENCY	Bằng	Lọc theo năng lực

---

Xuất dữ liệu

Các bước

1. Nhấn nút Xuất Dữ liệu.
2. Chọn các trường dữ liệu cần xuất: Tên người dùng, Ngày tạo, Email, Số điện thoại, Khóa học, Nhóm tài khoản, Đơn vị/Phòng/Ban.
3. Chọn khoảng thời gian xuất (Từ thời điểm - Đến thời điểm).
4. Chọn loại thời điểm: "Thời điểm tạo tài khoản" hoặc "Thời điểm kích hoạt khóa học".
5. Tùy chọn "Giữ kết quả bộ lọc" để xuất theo bộ lọc hiện tại.
6. Nhấn XUẤT DỮ LIỆU. File CSV sẽ được tải xuống.

Giới hạn: Tối đa 5,000 bản ghi mỗi lần xuất.

---

Tài khoản tạo qua SSO / LDAP (JIT Provisioning, 8.11)

Từ phiên bản 8.11, ngoài tạo thủ công và import, hệ thống còn hỗ trợ JIT Provisioning - tự tạo tài khoản khi user đăng nhập lần đầu qua SSO hoặc LDAP.

Cách hoạt động

1. User nhấp nút SSO trên trang đăng nhập (hoặc nhập email/password LDAP)
2. IdP/LDAP xác thực thành công, trả về claim/assertion
3. Noova tìm trong Meteor.users theo email:
   • Đã tồn tại: link provider vào tài khoản, cấp token, đăng nhập
   • Chưa tồn tại: kiểm tra chế độ provisioning:
     • JIT: tạo mới Meteor.users với email + emailVerified=true; gán role mặc định (per-provider defaultRole hoặc policyForm.defaultNewUserRole); nếu provider có autoCreateEmployee=true, insert thêm bản ghi Employees
     • PRE_PROVISIONED: từ chối login, trả về error JIT_REQUIRES_PRE_PROVISIONING - yêu cầu admin tạo tài khoản trước

Nhận biết tài khoản JIT-provisioned

Trên trang danh sách tài khoản, các tài khoản tạo qua SSO/LDAP có dấu hiệu:

• Cột "Provider" (nếu có) hiển thị badge SSO: Azure AD, LDAP, SAML: Okta...
• Cài đặt > Tài khoản > tab Bảo mật có liên kết "Đăng nhập qua: <provider>" và nút Gỡ liên kết SSO
• services.sso trong Meteor.users chứa array [{providerId, externalSubjectId, linkedAt}]

Vai trò mặc định cho JIT

Vai trò gán tự động khi tạo user JIT được giới hạn theo whitelist bảo mật:

Vai trò	Cho JIT?
employee	Có
user	Có
candidate	Có
viewer	Có
guest	Có
admin, owner, super-admin	KHÔNG - phải gán thủ công sau khi tạo

Lý do: ngăn ngừa privilege escalation qua IdP bị compromise.

Liên kết tài khoản cũ với SSO

Nếu user đã tồn tại trên Noova (tạo qua tạo tài khoản hoặc import) và sau đó IT bật SSO, có 2 cách liên kết:

• Tự động: lần đầu user đăng nhập qua SSO bằng email khớp, hệ thống tự link provider vào user hiện có
• Thủ công: Admin vào trang Cài đặt tài khoản của user → tab Bảo mật → Liên kết SSO → chọn provider

Tắt SSO cho một tài khoản

Vào Cài đặt tài khoản → tab Bảo mật → Gỡ liên kết SSO. User sau đó chỉ login được qua password/LDAP (tuỳ chính sách).

Tham khảo thêm: SSO - Đăng nhập một lần, LDAP / Active Directory.

---

Lưu ý

• Xóa tài khoản là hành động không thể hoàn tác. Toàn bộ dữ liệu liên quan (khóa học, tiến trình học, chứng chỉ) sẽ bị xóa.
• Số lượng tài khoản cho phép phụ thuộc vào gói dịch vụ. Khi hết hạn mức, cần nâng cấp gói.
• Quyền Tạo tài khoản cần thiết để tạo tài khoản. Quyền Xem danh sách tài khoản để xem danh sách. Quyền Tìm kiếm tài khoản để tìm kiếm.

---

Xem thêm

• Nhóm tài khoản - Quản lý nhóm tài khoản
• Vai trò và phân quyền - Quản lý vai trò và quyền hạn