Zugriff

Ein effizientes und sicheres System zum Schutz des Datenzugriffs ist ein wesentlicher Bestandteil des Sicherheitskonzepts in AWA. Administratoren können Benutzern und Benutzergruppen Zugriff auf die Funktionen, Objekte und Ansichten gewähren, auf die sie aufgrund ihrer Rolle und Verantwortung in ihrem Unternehmen berechtigt sind.

Die Sicherheit auf Datenebene kann so umfassend sein wie der Administratorzugriff auf eine Rolle oder so hochdetailliert wie „Lesezugriff auf nur einen Job in einem bestimmten Ordner zwischen 8:00 und 16:00 Uhr am Dienstag“. Jede Benutzerinteraktion mit Jobs oder Workflows wird protokolliert, um die Anzeige und das Reporting zu vereinfachen.

Trennung von Inhalten durch Mandanten

Benutzer, Benutzergruppen und Objekte werden Mandanten zugeordnet, die die größten Organisationseinheiten eines Automation Engine-Systems sind. Jeder Mandant kann einen Administrator-Benutzer haben, der die erforderlichen Berechtigungen verwaltet. Nur Administratoren des Mandanten 0 (auch Systemmandant genannt) können weitere Mandanten anlegen und globale Konfigurations- und Wartungsaktivitäten durchführen.

Der Mandant 0 ist bereits nach der Installation verfügbar und der Systemadministrator kann sich mit dem UC/UC-Benutzerobjekt mit dem Passwort „UC“ anmelden. Es ist empfehlenswert, dieses Passwort nach der ersten Anmeldung zu ändern.

Sie können bis zu 9999 Mandanten erstellen und diese so konfigurieren, dass sie Ihr Unternehmen so darstellen, wie es Ihnen am besten passt. Ein häufig verwendeter Ansatz sieht vor, dass man einen Mandanten pro Betriebsbereich, Abteilung etc. erstellt. Beispiel: Mandant 1 für DEVELOPMENT (der alle Entwickler-Benutzer sowie die Ordner und Objekte enthält, mit denen sie arbeiten werden), Mandant 2 für HR OPERATIONS (mit allen HR-Benutzern sowie deren Ordnern und Objekten), Mandant 3 für FINANCE OPERATIONS etc. Eine andere Möglichkeit besteht darin, jeweils einen Mandanten pro Kunde oder pro Kundenart zu erstellen.

Die Planung einer effizienten Mandantenumgebung, die Inhalte und Zugriffsrechte trennt, ist die Basis für einen sicheren Zugriff auf Daten. Siehe Beispiel: Grundlegende Mandant-/Benutzer-Umgebung erstellen.

Zugriffsrechte basierend auf Benutzerrollen

Automatisierungsspezialisten, die Workflows entwerfen, benötigen Zugriff auf Login-Objekte, die Prozessen Zugriff auf Drittsysteme gewähren. Sie benötigen jedoch keine Rechte, um diese Login-Objekte zu erstellen und zu definieren. Operatoren, die aktive und beendete Aufgaben überwachen und analysieren, benötigen keine Rechte, um die zugrunde liegenden Objekte zu definieren und zu bearbeiten.

Das Berechtigungssystem unterstützt die Trennung von Administration, Design, Implementierung und Betrieb und fügt eine Sicherheitsschicht hinzu. Diese Trennung findet auf verschiedenen Ebenen statt:

• Automic Web Interface bietet eine visuelle und klare Trennung durch Perspektiven, d. h. Bereiche auf der Benutzeroberfläche, die den Zugriff auf Funktionen nach Funktionen und Rollen ermöglichen. Es ist möglich, Benutzern und Benutzergruppen den Zugriff auf Perspektiven zu gewähren oder zu verweigern. Siehe Perspektiven und Benutzerrollen.
• Ein Privilegiensystem gewährt oder verweigert den Zugriff auf ganze Bereiche der Automic Web Interface und auf rollenspezifische Funktionen. Siehe Automation Engine-Privilegien gewähren.
• Benutzergruppen können basierend auf den Funktionen und Objekten, auf die sie Zugriff haben sollen, definiert werden. Sie helfen Ihnen, die Verwaltung der Sicherheit und des Datenzugriffs überschaubar zu halten. Sie gewähren Benutzergruppen Zugriff auf bestimmte Ordner und Objekte sowie Privilegien für Funktionen.
• Die Zuordnung der Benutzer zu Benutzergruppen erfolgt rollenabhängig. Ein Benutzer kann Mitglied mehrerer Gruppen sein.

Basierend auf der Definition der Benutzergruppe können Administratoren dann Kataloge für Operatoren erstellen, die ihnen den Zugriff auf die Ansichten, Objekte und Funktionen erleichtern, für die sie Rechte haben. Benutzer können diese nur sehen und damit arbeiten und haben keinerlei Zugriff auf andere Bereiche des Systems. Siehe Beispiel: Den Benutzerkatalog konfigurieren.

ACL-Aggregation

Um den Aufwand für das Sicherheitsmanagement zu reduzieren, ermöglicht die Automation Engine die Gruppierung von Objekten durch intelligente Filterkriterien, z. B. über Objektnamenskonventionen. Siehe Automation Engine-Berechtigungen gewähren.

Einschränkungen auf Objekt- und Ordnerebene

Zusätzlich können Sie in jedem Mandanten Berechtigungen für Benutzer und Benutzergruppen auf Objektebene definieren. Auf diese Weise ist es möglich, bestimmten Benutzern exklusive Zugriffsrechte auf ein bestimmtes Objekt zu gewähren.

Da Ordner auch Objekte sind, können Sie auch den Benutzerzugriff darauf steuern. Beachten Sie jedoch, dass die Vergabe von Ordnerrechten nicht automatisch den Zugriff auf die darin gespeicherten Objekte verhindert. Wenn beispielsweise ein in einem geschützten Ordner abgelegtes Objekt in einem Workflow verwendet wird, können Benutzer, die das Recht haben, den Workflow zu bearbeiten, auch das eingebettete Objekt bearbeiten. Wenn es Objekte gibt, auf die bestimmte Benutzer nicht zugreifen sollen, müssen Sie sie schützen. Siehe Ordner (FOLD).

Siehe auch:

Benutzerverwaltung: Das Berechtigungssystem definieren und verwalten