Planung eines Berechtigungssystems
Bevor wir im Detail erklären, wo Sie welche Einstellungen zu den Rechten vornehmen können, sind zunächst in diesem Dokument einige grundlegende Punkte aufgelistet.
Die folgenden Hinweise und Tipps helfen Ihnen bei der Planung Ihres Berechtigungssystemes:
- Erarbeiten Sie die Struktur Ihres Berechtigungssystems gleich nach der Installation und bevor die ersten Objekte angelegt werden.
- Schreiben Sie als erstes zusammen welche Bereiche Ihr Automation Engine System verwalten soll. Da ein Automation Engine System aus einzelnen Mandanten besteht, die untereinander keine Verbindung haben, sollten größere Bereiche in eigene Mandanten verlegt werden. Besonders sensible Bereichen lassen sich dadurch ausgliedern und nur bestimmten Benutzern zugänglich machen.
- Auf Mandantenebene werden auch die Rechte für die Agenten definiert. Sie entscheiden in welchen Mandanten ein Agent zugeordnet wird und für welche Tätigkeiten er eingesetzt werden darf.
- Innerhalb eines Mandanten können Sie weitere Teilbereiche definieren. Da die Rechte über den Objektnamen vergeben werden, ist eine durchgängige Namenskonvention von immenser Bedeutung! Sie erleichtert die Administration und minimiert das Risiko unbeabsichtigt zuviele Rechte zuzuteilen.
- Die Namenskonvention kann sich nach den Verarbeitungsprozessen, die Sie mit AE steuern möchten, richten. Sie können beispielsweise den Aufgabenbereich, Rechnernamen, Betriebsysteme oder firmeninterne Bezeichnungen in den Namen mitaufnehmen. So lassen sich Rechte beispielsweise für alle Objekte, deren Name mit "ADMIN" beginnt nur den Administratoren zuweisen.
- Benutzer spielen im Berechtigungssystem eine zentrale Rolle. Deren Administration sollte über BenutzerGruppen erfolgen. Dies spart Zeit, ist übersichtlicher und erhöht damit die Sicherheit Ihres Automation Engine Systems enorm. Die Berechtigungen, die für Benutzer vergeben werden können, teilen sich in Rechte für Objekte und Privilegien auf Funktionalitäten im UserInterface (z.B. Zugriff auf den Transportkoffer).
- Ordner gehören ebenfalls zu den Objekten. Deshalb lassen sich auch für sie Rechte definieren. Es sei jedoch ausdrücklich darauf hingewiesen, dass das Setzen von Ordnerrechten nicht verhindert, dass auf deren Objekte zugegriffen werden kann. Ein Benutzer, der in einen bestimmten Ordner nicht Einsicht nehmen darf, könnte trotzdem auf ein Objekt, das sich darin befindet, zugreifen, wenn Sie es nicht zusätzlich mit Rechten schützen. Der Befehl "Bearbeiten" z.B. kann nahezu von überall aufgerufen werden, d.h. also auch in Workflows. Daher sollten Objekte, auf die bestimmte Benutzer keinen Zugriff erhalten sollen, ebenfalls geschützt werden.
-
Verwenden Sie ausschließlich Rechte, die sich auf Objektnamen und -typen beziehen!
