Benutzerverwaltung: Definieren und Verwalten des Berechtigungssystems

Die Aufstellung einer geeigneten Richtlinie für Berechtigungen ist einer der ersten Schritte beim Einrichten des Systems. Zu einem effizienten und sicheren Berechtigungssystem gehören die unten aufgeführten Objekte und Definitionen. Es ist nicht verpflichtend vorgeschrieben, sie allesamt zu verwenden. Abhängig von der Größe, Struktur und Richtlinie Ihres Unternehmens können Sie sich für eine der folgenden Optionen entscheiden:

• Ein einfaches Berechtigungssystem, bei dem Berechtigungen und Rechte auf Benutzerebene vergeben werden. Dies ist nur für sehr kleine Systeme mit einer geringen Anzahl von Benutzern und nur wenigen Rollen möglich.
• Komplexe Systeme, die Benutzergruppen verwenden, die Rollen im Unternehmen darstellen, Benutzerkataloge, um den Zugriff auf Funktionen zu erleichtern usw.
• Hochkomplexe Umgebungen, in denen zusätzliche Berechtigungen auf Objektebene definiert werden.

Tipps:

• Lesen Sie die Tipps und Tricks in AWI, um mehr über Funktionen zu erfahren, mit denen Sie Ihre Arbeit bequemer gestalten können.
• Sehen Sie sich auch Benutzerverwaltung: Sehen Sie sich die Videos an an.

Mandanten

Die Umsetzung der Berechtigungsrichtlinie beginnt bereits mit der Planung und Erstellung der Mandanten, denn hier werden bereits Benutzer, Benutzergruppen, Objekte usw. zugewiesen. Wie Sie Ihre Mandantenlandschaft definieren, hängt von der Struktur Ihres Unternehmens ab und davon, wie sie diese abbilden möchten.

Mandanten sind die größten Organisationseinheiten in einem Automation Engine-System, wobei außer den Agenten alle Parameter mandantenspezifisch sind (Agenten können auch mehreren Mandanten zugewiesen werden). Das bedeutet, dass Sie Ihre Mandanten frei konfigurieren können, um Ihr Unternehmen bestmöglich abzubilden.

Ein häufig verwendeter Ansatz sieht vor, dass man einen Mandanten pro Betriebsbereich, Abteilung usw. erstellt. Zum Beispiel:

• Mandant 1 für DEVELOPMENT (der alle Entwicklerbenutzer sowie die Ordner und Objekte enthält, mit denen sie arbeiten werden).
• Mandant 2 für HR OPERATIONS, der alle HR-Benutzer und deren Ordner und Objekte enthält.
• Mandant 3 für FINANCE OPERATIONS usw.

Eine andere Möglichkeit besteht darin, jeweils einen Mandanten pro Kunde oder pro Kundentyp zu erstellen.

Die Benutzer in einem Mandanten können alle Ordner und Objekte in diesem Mandanten öffnen und bearbeiten, wenn Sie keine entsprechenden Berechtigungen und Rechte definieren und verwalten.

Mandant 0

Mandant 0 (auch Systemmandant genannt) ist bereits verfügbar, wenn Sie die Automation Engine installieren. Sie verwenden ihn, um systemweite Einstellungen wie Login-Informationen, Kalender und Variablen zu verwalten, um Mandanten, Benutzer und Benutzergruppen zu erstellen, die Sie dann in andere Mandanten verschieben, um Agenten einzurichten usw.

Siehe Beispiel: Eine grundlegende Mandant-/Benutzer-Umgebung erstellen für Informationen zu den folgenden Vorgängen:

• Einrichten eines Systems mit Mandant 0 und zwei weiteren Mandanten
• Erstellen von Benutzergruppen und Benutzern in Mandant 0 und Zuordnen von Rechten
• Verschieben von Benutzern vom Mandanten 0 in den Mandanten, auf dem sie arbeiten werden

Benutzergruppen

Benutzergruppen bilden die Grundlage eines effizienten Berechtigungssystems. Sie weisen ihnen CRUD-Rechte für bestimmte Ordner und Objekte sowie Berechtigungen für Funktionen zu.

Wenn Sie beispielsweise Ihre Mandanten so einrichten, dass sie die Abteilungen in Ihrem Unternehmen abbilden, könnten die Benutzergruppen innerhalb eines Mandanten Gruppen von Benutzern darstellen, die dieselben Rollen haben und daher mit denselben (oder zumindest sehr ähnlichen) Rechten und Berechtigungen auf dieselben Ordner und Objekte zugreifen können müssen.

Wenn Sie diese Struktur auf Ihre Mandanten/Benutzergruppen anwenden, empfehlen wir dringend, dass Sie auch Namenskonventionen und Muster für Ihre Ordner- und Objektnamen definieren und vergeben. Damit lässt sich leicht erkennen, zu welcher Benutzergruppe ein Objekt oder Ordner gehört. So könnten Sie beispielsweise festlegen, dass Objekte und Ordner, die für die Entwickler in Ihrem Unternehmen relevant sind, immer mit dem Präfix DEV_ beginnen.

Benutzer

Sie können Benutzer entweder direkt in dem Mandanten erstellen, in dem sie arbeiten sollen, oder Sie erstellen sie in Mandant 0 und verschieben sie in einen anderen Mandanten. In jedem Fall sind alle Benutzer, die in einem Automation Engine-System definiert sind, auch in Mandant 0 verfügbar.

Beim Erstellen von Benutzern können Sie ihnen genauso wie bei Benutzergruppen Berechtigungen für bestimmte Ordner und Objekte, CRUD-Rechte und Berechtigungen für Funktionen einräumen. Wir raten jedoch dringend davon ab. Die Datenpflege ist weitaus weniger aufwendig, wenn Sie dies auf Ebene der Benutzergruppen tun (Sie müssen Rechte und Berechtigungen dann nur einmal festlegen und können die Benutzer anschließend einfach der Benutzergruppe zuordnen). Dies verbessert auch die Transparenz Ihrer Berechtigungsrichtlinie.

Mit Ihrer Automation Engine-Installation wird Ihnen ein Standardbenutzer in Mandant 0 zur Verfügung gestellt, der über alle vorhandenen Rechte und Berechtigungen verfügt. Dabei handelt es sich um den Benutzer "UC" (Benutzername) in der Abteilung "UC", dessen Passwort "UC" lautet. Diesen verwenden Sie, wenn Sie sich das erste Mal anmelden, um Ihr System zu konfigurieren.

My Catalog

Um den Zugriff Ihrer Benutzer auf Ordner und Objekte, für die sie über entsprechende Rechte verfügen, weiter zu vereinfachen, können Sie auf Basis der Benutzergruppendefinitionen auch Benutzerkataloge anlegen.

Wenn Sie eine Benutzergruppe zu Ihrem System hinzufügen, ist diese automatisch in der Liste Benutzerkatalog der Process Assembly-Perspektive verfügbar. Sie fügen die Ordner und Objekte hinzu, auf die dieser spezielle Benutzerkatalog zugreifen darf; die Berechtigungen und Rechte wurden bereits in der Benutzergruppendefinition festgelegt.

Damit wird festgelegt, welche Ordner und Objekte die Benutzer sehen können und was sie mit ihnen tun dürfen, wenn sie sie in ihrer Perspektive Mein Katalog öffnen.

Automation Engine : Ordnerberechtigungen

Ordner sind Objekte und somit können ihnen auch Rechte zugeordnet werden. Nichtsdestotrotz verhindert die Vergabe von Ordnerrechten nicht, dass jemand auf die darin gespeicherten Objekte zugreifen kann. Ein Benutzer, dem es nicht erlaubt ist, auf einen bestimmten Ordner zuzugreifen, könnte immer noch Zugriff auf ein Objekt dieses Ordners haben, wenn es beispielsweise in einem Workflow verwendet wird. Das Kommando Öffnen steht nahezu überall zur Verfügung, so auch in Workflows. Wenn es also Objekte gibt, auf die bestimmte Benutzer nicht zugreifen können sollen, müssen Sie auch diese Objekte schützen.

Automation Engine : Objektberechtigungen

Zusätzlich besteht die Möglichkeit, bestimmte CRUD-Rechte auf Objektebene zu definieren, die Sie entweder Benutzern oder Benutzergruppen zuweisen. Darüber können Sie die Rechte eines Benutzers oder einer Benutzergruppe in Bezug auf dieses spezielle Objekt ausdehnen. Die Rechte, die Sie auf Objektebene definieren, haben Vorrang vor denen auf Ebene der Benutzer oder der Benutzergruppen.

Wichtig! Beim Kombinieren von Benutzer- und Benutzergruppen-Rechten mit zusätzlichen Objektberechtigungen kann es zu widersprüchlichen Definitionen kommen. Verwenden Sie Objektberechtigungen sparsam.

Verwalten von Passwörtern

Als Systemadministrator definieren Sie die Kriterien, die Passwörter einhalten müssen, in der Variablen UC_CLIENT_SETTINGS. Weitere Informationen finden Sie unter UC_CLIENT_SETTINGS: Verschiedene Mandanteneinstellungen.

Passwörter gelten nicht für Logins über die LDAP-Verbindung.

Weitere Informationen finden Sie unter Verschleiern von Passwörtern und Externe Kennwortprüfung.