Beispiel: Berechtigungen auf Benutzerebene definieren

In diesem Thema wird eine sehr grundlegende Möglichkeit beschrieben, wie man Berechtigungen definiert, d. h. wie Benutzern Zugriffsrechte auf Objekte und Privilegien direkt zugewiesen bzw. entzogen werden können.

In diesem Beispiel erstellt ein Administrator zwei Benutzer, JOHN und PETE, und weist ihnen im Mandanten 100 Rechte und Privilegien zu. Dies ist der Mandant, in dem die Entwickler des Unternehmens PromptSets einrichten, Jobs erstellen, Workflows aufsetzen etc. Die in diesem Mandanten verfügbaren Objekte werden in Ordnern gespeichert.

JOHN und PETE haben unterschiedliche Verantwortungsbereiche. Beide können die Ordner DATAWAREHOUSE und MAINTENANCE öffnen und lesen, aber abgesehen davon haben sie vollkommen andere Rechte.

Administratoren können Objekte nacheinander zur Liste der Benutzerberechtigungen hinzufügen und die entsprechenden Rechte aktivieren.

Tipps:

• Lesen Sie die Tipps und Tricks, um mehr über Funktionen zu erfahren, mit denen Sie Ihre Arbeit bequemer gestalten können.
• Aktivieren Sie den Parameter SECURITY_AUDIT_FAILURE im VARA-Objekt UC_CLIENT_SETTINGS. Auf diese Weise können Sie detaillierte Informationen über fehlgeschlagene Zugriffsversuche von Benutzern im Fensterbereich Meldungen anzeigen, und Sie können bei Bedarf einfach Rechte hinzufügen, die für einen bestimmten Benutzer fehlen.

Was werde ich lernen?

• Wie man Benutzerobjekte erstellt
• Wie man unterschiedlichen Benutzern unterschiedliche Rechte für die im Mandanten verfügbaren Objekte einräumt
• Wie man den Zugriff auf bestimmte Objekte und Ordner verweigern kann
• Das Einräumen/Verweigern von Zugriffsrechten auf Ordner hat Einfluss darauf, was Benutzer sehen und tun können
• Wie man Benutzern Privilegien für Perspektiven und Funktionen einräumt

Voraussetzungen

• Mandant 100 ist verfügbar und aktiv

• Er enthält die folgenden Ordner:

  • DATAWAREHOUSE
  • MAINTENANCE
  • ADMIN – keine Benutzer sollten Zugriff auf diesen Ordner haben.

• Der Ordner DATAWAREHOUSE enthält die folgenden Workflows:

  • #1DWH.UPDATE_DATAWAREHOUSE
  • #2DWH.SEND_REPORTS_TO_MANAGEMENT

• Der Ordner MAINTENANCE enthält die folgenden Workflows:

  • JOBP.AGENT.ONBOARDING
  • JOBP.REQUEST.LOGFILE.BACKUP

Übersicht

1. Erstellen Sie das erste Benutzerobjekt
2. Erstellen Sie das zweite Benutzerobjekt
3. Zuweisen der Benutzer-Berechtigungen

Erstellen Sie das erste Benutzerobjekt

JOHN erhält die Rechte zum Lesen (R), schreiben (W) und Löschen (D) von Objekten im DATAWAREHOUSE-Ordner. Er erhält vollständige Rechte für zwei spezifische Workflows, die im Ordner DATAWAREHOUSE gespeichert sind. Im Ordner MAINTENANCE erhält er das Recht, Objekte zu lesen. Er erhält eingeschränkte Rechte für zwei spezifische Objekte im Ordner MAINTENANCE. Ihm werden keine Zugriffsrechte auf den Ordner ADMIN erteilt.

1. Melden Sie sich mit Ihren Administrator-Anmeldedaten bei Mandant 100 an.
2. Wählen Sie in der Menüleiste oben im Fenster die Schaltfläche Plus (+) neben der Start-Schaltfläche aus.

3. Es öffnet sich ein Dropdown-Menü, das alle Perspektiven anzeigt.

4. Wählen Sie Administration aus, um die Administration-Perspektive zu öffnen.
5. Klicken Sie im Bereich Administration auf der linken Seite auf Benutzerverwaltung, um diese zu erweitern.
6. Klicken Sie auf Benutzer, um die Liste anzuzeigen.
7. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Liste, und wählen Sie aus dem Kontextmenü den Eintrag Benutzer hinzufügen, oder klicken Sie in der Symbolleiste auf Benutzer hinzufügen.
8. Geben Sie im Dialog Benutzer erstellen JOHN und, optional, die Abteilung des Benutzers ein (in unserem Fall DEVELOPMENT), und klicken Sie dann auf OK. Der Benutzer ist jetzt in der Automation Engine-Datenbank gespeichert.
9. Die Objektdefinitionsseiten werden auf der benutzerspezifischen Seite geöffnet. An dieser Stelle geben Sie die persönlichen Daten von JOHN, Anmeldeinformationen und weitere nützliche Einstellung an. Diese Felder müssen nicht zwingend ausgefüllt werden. Sie werden hier leer gelassen.

10. Erweitern Sie den Abschnitt Automation Engine im linken Fensterbereich, und wählen Sie Berechtigungen.

    An dieser Stelle geben Sie die Objekttypen und die Objekte an, auf die JOHN zugreifen darf, sowie die Rechte, die Sie ihm zuweisen. Weitere Informationen zu den Berechtigungen der Benutzer finden Sie unter Automation Engine-Berechtigungen gewähren.

11. Erteilen Sie JOHN R-, W- und D-Rechte auf den Ordner DATAWAREHOUSE (FOLD) sowie volle Rechte auf zwei spezifische Workflows (JOBP), die im Ordner DATAWAREHOUSE gespeichert sind.

Das bedeutet, Sie fügen die einzelnen Objekte hinzu und aktivieren die zugehörigen Kontrollkästchen dafür:



12. Gewähren Sie nun Lesezugriff auf den Ordner MAINTENANCE und auf zwei spezifische Objekte, die sich in diesem Ordner befinden. John soll in der Lage sein, den Ordner zu öffnen und anzuzeigen. Zusätzlich soll er in der Lage sein, die Reports und Ausführungsdaten von zwei Workflows anzuzeigen, soll sie aber nicht ändern können.



13. Verweigern Sie JOHN den Zugriff auf den Ordner ADMIN:

    

    Wichtig!

    • Sie sollten spezifisch die Objekte hinzufügen, die für bestimmte Benutzer nicht zugreifbar sein sollen. Siehe auch: Automation Engine Ordner-Berechtigungen
    • Der Ordner wird immer angezeigt, auch wenn Sie das Recht zum Lesen nicht explizit markieren.
      
14. Speichern Sie Ihre Änderungen.

Damit sehen die Berechtigungen von JOHN wie folgt aus:

Erstellen Sie das zweite Benutzerobjekt

PETE erhält die Rechte zum Lesen (R), Schreiben (W) und Löschen (D) von Objekten im Ordner MAINTENANCE sowie volle Rechte für die beiden Workflows, die im Ordner MAINTENANCE gespeichert sind. Er erhält Leseberechtigung für den DATAWAREHOUSE-Ordner und beschränkte Rechte für zwei spezifische Workflows. Er erhält keine Rechte für ADMIN.

1. Gewähren Sie PETE die Rechte R, W und D für den Ordner MAINTENANCE.
2. Gewähren Sie PETE volle Rechte für zwei spezifische Workflows, die im Ordner MAINTENANCE gespeichert sind.
3. Gewähren Sie PETE Leseberechtigung für den Ordner DATAWAREHOUSE.
4. Gewähren Sie PETE das Recht, die beiden Workflows im DATAWAREHOUSE -Ordner zu öffnen und zu lesen, sowie das Recht, die entsprechenden Reports und Ausführungsdaten anzuzeigen. Er sollte nicht in der Lage sein, sie zu ändern.
5. Verweigern Sie PETE den Zugriff auf den ADMIN-Ordner.
6. Speichern Sie Ihre Änderungen.

Damit sehen PETEs Berechtigungen folgendermaßen aus:

Zuweisen der Benutzer-Berechtigungen

Nachdem Sie die Zugriffsrechte auf Ordner und Objekte eingerichtet haben, müssen Sie dafür sorgen, dass die Benutzer über ausreichende Rechte für die Perspektive, mit der sie arbeiten, und die Funktionen, die sie ausführen werden, verfügen.

1. Wählen Sie im linken Fensterbereich Privilegien aus. Weitere Informationen zu den Berechtigungen der Benutzer finden Sie unter Berechtigungen Automation Enginegewähren.

2. In der Regel könnten Entwickler-Benutzer über die unten aufgeführten Privilegien verfügen, aber das hängt natürlich von den Richtlinien Ihres Unternehmens ab:

   Zugriff auf Explorer-Ordner

   • Zugriff auf Papierkorb
   • Zugriff auf den Versionsmanagement-Ordner

   AWI Access Control

   • Zugriff auf Dashboards
   • Zugriff auf Meldungen
   • Zugriff auf My Catalog
   • Zugriff auf Process Assembly
   • Zugriff auf Process Monitoring

   Meldungen anzeigen

   • Alle Meldungen des zugehörigen Mandanten anzeigen

Unabhängig davon, auf welchem Mandanten Sie einen Benutzer erstellen, ist er immer auch im Mandanten 0 verfügbar. Damit bietet Mandant 0 eine Übersicht über alle Benutzer in Ihrem Automation Engine-System. Das bedeutet, dass Sie Benutzer entweder in dem jeweiligen Ziel-Mandanten erstellen können, oder aber Sie erstellen sie auf Mandant 0 und verschieben sie dann auf den gewünschten Mandanten (siehe (nur Mandant 0) Benutzer verschieben).

Siehe auch:

• Benutzer (USER)
• Beispiel: Berechtigungen auf Benutzergruppenebene definieren

Siehe auch:

• Wenn Sie neu im Automic Web Interface sind, werfen Sie einen Blick auf die Themen unter Erste Schritte, um sich damit vertraut zu machen.
• Benutzerverwaltung: Das Berechtigungssystem definieren und verwalten
• Mandanten
• Benutzer (USER)
• Benutzergruppen (USRG)