Beispiel: Berechtigungen auf Benutzergruppenebene definieren

Ein Berechtigungssystem auf Basis von Benutzergruppen zu definieren und zu pflegen, ist schneller, flexibler und effizienter als dies ausschließlich über die Benutzerdefinition zu tun. In diesem Thema ist beschrieben, wie man Zugriffsrechte und Berechtigungen an Benutzergruppen vergibt bzw. aufhebt und wie man ihnen Benutzer zuweist. Wenn Sie dieses Thema gelesen haben, sollten Sie sich im Anwendungsfall unter Beispiel: Den Benutzerkatalog konfigurieren ansehen, wie man Benutzerkataloge auf Basis von Benutzergruppen konfiguriert.

In diesem Beispiel legt ein Administrator zwei Benutzergruppen im Mandanten 100 an und räumt ihnen die Rechte und Berechtigungen ein, die sie benötigen, um entsprechend ihren Rollen mit den Ordnern und Objekten auf dem Mandanten arbeiten zu können:

• DEVELOPERS

  Benutzer in dieser Gruppe erstellen PromptSets, schreiben Scripts, setzen Workflows auf usw.

• OPERATORS

  Benutzer in dieser Gruppe arbeiten mit bereits erstellten Objekten; sie überwachen deren Leistungsfähigkeit, führen Reporting-Aktivitäten durch, registrieren Verarbeitungsfehler usw.

Tipps:

• Lesen Sie die Tipps und Tricks, um mehr über Funktionen zu erfahren, mit denen Sie Ihre Arbeit bequemer gestalten können.
• Aktivieren Sie den Parameter SECURITY_AUDIT_FAILURE im VARA-Objekt UC_CLIENT_SETTINGS. Auf diese Weise können Sie detaillierte Informationen über fehlgeschlagene Zugriffsversuche von Benutzern im Fensterbereich Meldungen anzeigen, und Sie können bei Bedarf einfach Rechte hinzufügen, die für einen bestimmten Benutzer fehlen.

Was werden Sie lernen?

• Wie man Benutzergruppen erstellt
• Wie man der Benutzergruppe CRUD-Rechte für die im Mandanten verfügbaren Objekte einräumt
• Wie man den Zugriff auf bestimmte Objekte und Ordner verweigern kann
• Das Einräumen/Verweigern von Zugriffsrechten auf Ordner hat Einfluss darauf, was Benutzer sehen und tun können
• Wie man Benutzer zur Benutzergruppe zuweist
• Wie man Berechtigungen auf Ebene der Benutzergruppe definiert

Übersicht

1. Erstellen Sie die Benutzergruppe DEVELOPERS
2. Erstellen der Benutzergruppe OPERATORS

Erstellen Sie die Benutzergruppe DEVELOPERS

1. Erweitern Sie in der Administration-Perspektive den Abschnitt Benutzerverwaltung, und wählen Sie Benutzergruppen aus.
2. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Liste, und wählen Sie aus dem Kontextmenü den Eintrag Benutzergruppe hinzufügen, oder klicken Sie in der Symbolleiste auf die Schaltfläche Benutzergruppe hinzufügen.
3. Geben Sie im Dialog Benutzer hinzufügen DEVELOPERS ein, und klicken Sie auf OK.
4. Die Seiten für die Objektdefinition werden auf der Seite Automation Engine- Berechtigungen geöffnet. An dieser Stelle geben Sie die Ordner, Objekttypen und (optional) die Objekte an, auf die die Benutzergruppe zugreifen darf, sowie die CRUD-Rechte, die Sie der Gruppe pro Ordner/Objekt zuweisen. Weitere Informationen zu den Berechtigungen der Benutzer finden Sie unter Automation Engine-Berechtigungen gewähren.

5. Weisen Sie DEVELOPERS volle Zugriffsrechte auf die Objekttypen zu, die sie benötigen. In der Abbildung unten ist eine mögliche Kombination von Rechten dargestellt, bei der die Benutzer in dieser Gruppe alle Rechte für das Arbeiten mit Scripts, Jobs, FileTransfers, Workflows, Schedules, PromptSets und Variablen haben.  Allerdings haben sie keine Zugriff auf Kalender:

    

   

   Hinweis: Wenn der Name leer bleibt, bedeutet das, dass Benutzer mit Berechtigungen für den in der Spalte Typ ausgewählten Objekttyp über die aktivierten CRUD-Rechte für sämtliche Objekte dieses Typs verfügen.

6. Um die Funktionsbereiche festzulegen, auf die Benutzer der Benutzergruppe DEVELOPERS zugreifen können, öffnen Sie die Seite Berechtigungen und aktivieren die Kontrollkästchen neben den Funktionen, für die Sie die Berechtigungen einräumen möchten. Weitere Informationen zu den Berechtigungen der Benutzer finden Sie unter Berechtigungen Automation Enginegewähren.

   In der Regel könnten Entwickler-Benutzer über die unten aufgeführten Berechtigungen verfügen, aber das hängt von den Richtlinien Ihres Unternehmens ab:

   Zugriff auf Explorer-Ordner

   Hierüber wird der Zugriff auf spezielle Ordner im Explorer-Navigationsbereich der Process Assembly-Perspektive  geregelt:

   • Zugriff auf <Kein Ordner>
   • Zugriff auf Papierkorb
   • Zugriff auf den Versionsmanagement-Ordner

   Administrator

   Hier kontrollieren Sie den Zugriff auf administrative Tätigkeiten. Die einzige Aufgabe, für die diese Benutzergruppe Rechte haben muss, ist das Starten von Objekten, ohne dafür ein Login-Objekt anzugeben (sie verfügen nicht über die Berechtigung, auf Login-Objekte zuzugreifen)

   • FileTransfer: Start ohne Login-Objekt angegeben

   AWI Access Control

   Hierüber wird der Zugriff auf Perspektiven und andere Arbeitsbereiche gesteuert. DEVELOPERS müssen auf die Perspektiven Process Assembly (wo sie Objekte gestalten) und Process Monitoring (wo sie das Verhalten ihre Objekte überprüfen) sowie auf die Meldungen (zur Fehlerbehebung) zugreifen können:

   • Zugriff auf Meldungen
   • Zugriff auf Process Assembly
   • Zugriff auf Process Monitoring

   Meldungen anzeigen

   Die Benutzer in dieser Gruppe müssen Ansichtsrechte für alle Meldungen erhalten mit Ausnahme derer, die sich nur an Systemadministratoren richten

   • Speicherdump erstellen
   • Alle Meldungen des zugehörigen Mandanten anzeigen
   • Meldungen für die jeweilige Benutzergruppe des Benutzers anzeigen
   • Sicherheitsmeldungen anzeigen

   Zugriffskontrolle

   Die Benutzer dieser Gruppe müssen auf deaktivierte Aufgaben zugreifen können. Sie sollten den Status von Aufgaben beeinflussen und die Verantwortung für Aufgaben übernehmen können:

   • Zugriff auf deaktivierte Aufgaben
   • Status einer Aufgabe manuell modifizieren
   • Aufgabe übernehmen

Erstellen der Benutzergruppe OPERATORS

1. Operatoren arbeiten mit denselben Objekttypen wie Entwickler, dürfen diese aber nicht ändern. Sie sollten in der Lage sein, diese auszuführen und abzubrechen sowie auf die zugehörigen Reports und Ausführungsdaten zuzugreifen. Ihre Berechtigungen könnten daher folgendermaßen aussehen:

   

2. Räumen Sie den Benutzern in der Benutzergruppe OPERATORS die Berechtigungen ein, die sie benötigen. Diese könnten folgendermaßen aussehen:

   AWI Access Control

   Operatoren müssen auf die Process Monitoring-Perspektive (wo sie die Leistungsfähigkeit des Objekts überprüfen) und auf Meldungen (zur Fehlerbehebung) zugreifen können:

   • Zugriff auf Meldungen
   • Zugriff auf Process Monitoring

   Meldungen anzeigen

   Die Benutzer in dieser Gruppe benötigen Leserechte für die Meldungen, die nur für ihre eigene Benutzergruppe bestimmt sind:

   • Meldungen für die jeweilige Benutzergruppe des Benutzers anzeigen
3. Speichern Sie Ihre Änderungen.

Es ist durchaus möglich, dass sich einige der Benutzergruppen, die Sie definieren müssen, sehr ähnlich sind. Statt diese komplett neu erstellen zu müssen, können Sie sie auch duplizieren und anschließend bearbeiten (siehe Benutzergruppe duplizieren).

Nächster Schritt:

Um Benutzern den Zugriff auf die Objekte, mit denen sie arbeiten dürfen, zu erleichtern, können Sie auch Benutzerkataloge erstellen. Sie sind die persönlichen und interaktiven Dashboards eines Benutzers.

Siehe Beispiel: Benutzerkataloge definieren.

Siehe auch:

• Wenn Sie neu im Automic Web Interface sind, werfen Sie einen Blick auf die Themen unter Erste Schritte, um sich damit vertraut zu machen.
• Benutzerverwaltung: Das Berechtigungssystem definieren und verwalten
• Mandanten
• Benutzer (USER)
• Benutzergruppen (USRG)