Benutzerverwaltung: Das Berechtigungssystem definieren und verwalten

Die Aufstellung einer geeigneten Richtlinie für Berechtigungen ist einer der ersten Schritte beim Einrichten des Systems. Zu einem effizienten und sicheren Berechtigungssystems gehören die unten aufgeführten Objekte und Definitionen. Es ist nicht verpflichtend vorgeschrieben, sie allesamt zu verwenden. Abhängig von der Größe, Struktur und Richtlinie Ihres Unternehmens können Sie sich für eine der folgenden Optionen entscheiden:

Ein einfaches Berechtigungssystem, bei dem Berechtigungen und Rechte auf Benutzerebene vergeben werden. Dies ist nur für sehr kleine Systeme mit einer kleinen Anzahl von Benutzern mit ebenfalls wenigen Rollen möglich.
Komplexe Systeme, die Benutzergruppen verwenden, die Rollen im Unternehmen darstellen, Benutzerkataloge, um den Zugriff auf Funktionen zu erleichtern usw.
Hochkomplexe Landschaften, in denen zusätzliche Berechtigungen auf Objektebene definiert werden.

Tipps:

Lesen Sie die Tipps und Tricks, um mehr über Funktionen zu erfahren, mit denen Sie Ihre Arbeit bequemer gestalten können
Achten Sie vor allem auf Benutzerverwaltung: Sehen Sie sich die Videos an

Diese Seite beinhaltet Folgendes:

Mandanten

Die Umsetzung der Berechtigungsrichtlinie beginnt bereits mit der Planung und Erstellung der Mandanten, denn hier werden bereits Benutzer, Benutzergruppen, Objekte usw. zugewiesen. Wie Sie Ihre Mandantenlandschaft definieren, hängt von der Struktur Ihres Unternehmens ab, und wie sie diese abbilden möchten.

Mandanten sind die größten Organisationseinheiten in einem Automation Engine-System, wobei außer den Agenten alle Parameter mandantenspezifisch sind (Agenten können auch mehreren Mandanten zugewiesen werden). Das bedeutet, dass Sie Ihre Mandanten frei konfigurieren können, um Ihr Unternehmen bestmöglich abzubilden.

Ein häufig verwendeter Ansatz sieht vor, dass man einen Mandanten pro Betriebsbereich, Abteilung usw. erstellt. Zum Beispiel.

Mandant 1 für DEVELOPMENT (der alle Entwickler-Benutzer sowie die Ordner und Objekte enthält, mit denen sie arbeiten werden).
Mandant 2 für HR OPERATIONS, der alle HR-Benutzer und deren Ordner und Objekte enthält.
Kunde 3 für FINANCE OPERATIONS usw..

Eine andere Möglichkeit besteht darin, jeweils einen Mandanten pro Kunde oder pro Kundenart zu erstellen.

Die Benutzer in einem Mandanten können alle Ordner und Objekte in diesem Mandanten öffnen und bearbeiten, wenn Sie keine entsprechenden Berechtigungen und Rechte definieren und verwalten.

Mandant 0

Der Mandant 0 (auch Systemmandant genannt) ist bereits verfügbar, wenn Sie die Automation Engine installieren. Sie verwenden diesen, um systemweite Einstellungen wie Anmeldedaten, Kalender, Variablen zu verwalten und um Mandanten, Benutzer und Benutzergruppen zu erstellen, die Sie dann in andere Mandanten verschieben, um Agenten einzurichten usw.

Siehe Beispiel: Eine grundlegende Mandant-/Benutzer-Umgebung erstellen für Informationen zu den folgenden Vorgängen:

Einrichten eines Systems mit Mandant 0 und zwei weiteren Mandanten
Benutzergruppen und Benutzer im Mandanten 0 anlegen und ihnen Rechte zuweisen
Verschieben von Benutzern vom Mandanten 0 in den Mandanten, auf dem sie arbeiten werden

Benutzergruppen

Benutzergruppen bilden die Grundlage eines effizienten Berechtigungssystems. Sie weisen ihnen CRUD-Rechte für bestimmte Ordner und Objekte sowie Berechtigungen für Funktionen zu.

Wenn Sie beispielsweise Ihre Mandanten so einrichten, dass sie die Abteilungen in Ihrem Unternehmen abbilden, könnten die Benutzergruppen innerhalb eines Mandanten Gruppen von Benutzern darstellen, die dieselben Rollen haben und daher mit denselben (oder zumindest sehr ähnlichen) Rechten und Berechtigungen auf dieselben Ordner und Objekte zugreifen können müssen.

Wenn Sie diese Struktur auf Ihre Mandanten/Benutzergruppen anwenden, empfehlen wir dringend, dass Sie auch Namenskonventionen und Muster für Ihre Ordner- und Objektnamen definieren und vergeben. Damit lässt sich leicht erkennen, zu welcher Benutzergruppe ein Objekt oder Ordner gehört. So könnten Sie beispielsweise festlegen, dass Objekte und Ordner, die für die Entwickler in Ihrem Unternehmen relevant sind, immer mit dem Präfix DEV_ beginnen.

Benutzer

Sie können Benutzer entweder direkt in dem Mandanten erstellen, in dem sie arbeiten sollen, oder Sie erstellen sie im Mandanten 0 und verschieben sie auf einen anderen Mandanten. In jedem Fall sind alle Benutzer, die in einem Automation Engine-System definiert sind, auch im Mandanten 0 verfügbar.

Beim Erstellen von Benutzern können Sie ihnen außerdem genauso wie bei Benutzergruppen Berechtigungen für bestimmte Ordner und Objekte, CRUD-Rechte und Berechtigungen für Funktionen einräumen. Wenn Ihr System sehr klein und nur mit wenigen Benutzern ausgestattet ist, könnten Sie es vorziehen, Berechtigungen und Rechte auf Benutzerebene zu definieren. Allerdings ist die Datenpflege weitaus weniger aufwändig, wenn Sie dies auf Ebene von Benutzergruppen tun (man muss Rechte und Berechtigungen nur einmal festlegen und kann sie dann den Benutzern in einer Benutzergruppe zuordnen), und es erhöht auch die Transparenz Ihrer Berechtigungsrichtlinie.

Mit Ihrer Automation Engine-Installation wird Ihnen ein Standardbenutzer in Mandant 0 zur Verfügung gestellt, der über alle vorhandenen Rechte und Berechtigungen verfügt. Dabei handelt es sich um dem Benutzer UC (Benutzername) in der Abteilung UC, dessen Passwort UC lautet. Diesen verwenden Sie, wenn Sie sich das erste Mal anmelden, um Ihr System zu konfigurieren.

My Catalog

Um den Zugriff Ihrer Benutzer auf Ordner und Objekte, für die sie über entsprechende Rechte verfügen, weiter zu vereinfachen, können Sie auf Basis der Definitionen von Benutzergruppen auch Benutzerkataloge anlegen.

Wenn Sie eine Benutzergruppe zu Ihrem System hinzufügen, ist diese automatisch in der Liste Benutzerkatalog der Perspektive Process Assembly verfügbar. Sie fügen die Ordner und Objekte hinzu, auf die dieser spezielle Benutzerkatalog zugreifen darf; die Berechtigungen und Rechte wurden bereits in der Benutzergruppen-Definition festgelegt.

Damit wird festgelegt, welche Ordner und Objekte die Benutzer sehen können, und was sie mit ihnen tun dürfen, wenn sie sie in ihrer Perspektive Mein Katalog öffnen.

Automation Engine Ordner-Berechtigungen

Ordner sind Objekte und somit können ihnen auch Rechte zugeordnet werden. Nichtsdestotrotz verhindert die Vergabe von Ordnerrechten nicht, dass jemand auf die darin gespeicherten Objekte zugreifen kann. Ein Benutzer, dem es nicht erlaubt ist, auf einen bestimmten Ordner zuzugreifen, könnte immer noch Zugriff auf ein Objekt dieses Ordners haben, wenn es beispielsweise in einem Workflow verwendet wird. Das Kommando Öffnen steht nahezu überall zur Verfügung, so auch in Workflows. Wenn es also Objekte gibt, auf die bestimmte Benutzer nicht zugreifen können sollen, müssen Sie sie schützen

Automation Engine Objektberechtigungen

Zusätzlich besteht die Möglichkeit, bestimmte CRUD-Rechte auf Objektebene zu definieren, die Sie entweder Benutzern oder Benutzergruppen zuweisen. Darüber können Sie die Rechte eines Benutzers oder einer Benutzergruppe in Bezug auf dieses spezielle Objekt ausdehnen. Die Rechte, die Sie auf Objektebene definieren, haben Vorrang vor denen auf Benutzer- oder Benutzergruppen-Ebene.

Wichtig! Beim Kombinieren von Benutzer- und Benutzergruppen-Rechten mit zusätzlichen Objektberechtigungen kann es zu widersprüchlichen Definitionen kommen. Verwenden Sie Objektberechtigungen sparsam.

Passwörter verwalten

Als System Administrator definieren Sie die Kriterien, mit denen Passwörter in der UC_CLIENT_SETTING-Variablen übereinstimmen müssen. Weitere Informationen finden Sie unter UC_CLIENT_SETTINGS - Verschiedene Client-Einstellungen.

Passwörter gelten nicht für Anmeldungen über die LDAP-Verbindung.

Weitere Informationen finden Sie unter Passwörter codieren und Externe Passwortprüfung.

Siehe auch: