Rollen- und Rechteverwaltung

Das AHP Portal bietet eine integrierte Rollen- und Rechteverwaltung, über die eine einfache Administration möglich ist. Basierend auf ein Rollen-Gruppen-Rechtekonzept kann der Zugriff und die Nutzung des AHP Portals kontrolliert und die Konfiguration von Benutzerkonten vorgenommen werden.

Zwischen Administratoren und Benutzern ist eine klare Trennung vorgesehen. Benutzer können nur Benutzergruppen zugewiesen werden und sich über das AHP User Portal anmelden, während Administratoren nur Administratorengruppen zugewiesen und sich nur am AHP Management Portal anmelden können. Unterschieden wird dies durch die Präfixe Mgmt für AHP Management Portal und User für das AHP User Portal.

Ein Benutzer kann grundsätzlich zugleich Mitglied von mehreren Gruppen sein. Die Rechte werden entsprechend addiert. Unter Berechtigungen wird die zuvor festgelegte Rolle zusammen mit den zuzuweisenden Gruppen auf die einzelnen Organizational Unit (OU) Container als Access Control List (ACL) berechtigt. Jede OU hat einzelne ACLs, es gibt hier kein grundsätzliches Rechte-Vererbungssystem. Innerhalb des AHP Portals können aber zusätzliche Berechtigungen und Optionen auf OU-Ebene eingestellt werden. Diese Berechtigungen einer OU können darunterliegenden Sub-Container hinzugefügt bzw. vererbt werden..

Damit Berechtigungen aktiv werden, ist eine erneute Anmeldung am AHP Portal erforderlich.

 
Vorsicht

Eine alphabetische Auflistung aller Rechte finden Sie hier.

Rollen

Eine Rolle fasst eine Auswahl von Rechten zusammen. So ist es möglich verschiedene Rollen mit unterschiedlichen Rechten zu definieren. Entsprechend können, je nach Definition der Rolle, Aktionen ausgeführt oder nicht ausgeführt werden.

Rechte

Rechte bestimmen, welche Aktionen ein Benutzer am System ausführen kann, wie beispielsweise Kennwort zurücksetzen, Anwendungen buchen oder eine virtuelle Maschine (VM) erstellen.

Jedes Recht, damit jede Aktion, kann granular über die Unterkategorien Erstellen, Ändern, Lesen und Löschen zugewiesen werden.

Gruppen

Gruppen erleichtern die Verwaltung von Rollen und den damit einhergehenden Rechten. Die Benutzer werden in Gruppen zusammengefasst bzw. einer oder mehreren Gruppen zugeordnet und erhalten damit die entsprechenden Rechte. Zugewiesen werden die Berechtigungen auf OU-Ebene.

Mit dem konfigurierten Standard sind die wesentlichen Rechte und Rollen zur Verwaltung und Konfiguration von Benutzern bereits abgebildet und können genutzt werden. Es ist aber ebenso möglich das Grundkonzept nach Kundenanforderung weiter auszubauen.

Das Grundkonzept sieht Folgendes vor:

  1. Ein Rechte-Set wir definiert.
  2. Eine Gruppe mit Mitgliedern wird definiert.
  3. Ein Container der Gruppe/OU wird auf das Rechteset berechtigt.

Übersicht konfigurierter Standard

  1. Öffnen Sie im Navigationsbereich Plattform die Kachel Rollen Verwaltung.
  2. Die Übersicht der Rollenverwaltung mit den Kategorien Rollen, Gruppen, Berechtigungen und Effektive Rechte öffnet sich.

Rollen

Der Reiter Rollen zeigt die konfigurierten Standard-Rollen an. Bei Auswahl einer Rolle werden die Berechtigungen dieser Rolle angezeigt.

 
Warnung

Bitte beachten Sie, die Verwaltung von Rollen ist ausschließlich Mitgliedern der Gruppe MgmtAdministrator vorbehalten und kann nicht delegiert werden. Geregelt wird dies über die Rechte Role_Create, Role_Delete und Role_Modify.

Über die Plus-Schaltfläche kann eine neue Rolle über einen entsprechenden Workflow erstellt werden.

Rollen und Rechte_DE
Abbildung: Rollenverwaltung > Rollen

Grundsätzlich werden die Rollentypen unterschieden in:

  • SystemRole - Systemrollen sind administrative Rollen, die während der Installation vom System erstellt werden. Sie können nicht gelöscht, bearbeitet und neu erstellt werden.
  • AdminRole - Administratorrollen umfassen die administrativen Rollen mit Berechtigungen zur Arbeit am AHP Management Portal. Sie können gelöscht, bearbeitet und neu erstellt werden.
  • UserRole - Benutzerrollen umfassen die Berechtigungen für Benutzer zur Arbeit am AHP User Portal. Sie können gelöscht, bearbeitet und neu erstellt werden.

Bei einer Installation der AHP Multi Tenant Edition können neue Rollen auf Plattform-Ebene, mit Gültigkeit für alle Mandanten angelegt werden oder explizit auf Mandanten (Tenant)-Ebene. Im letzten Fall werden die Rollen mandantenspezifisch, mit der Tenant-ID als Präfix des Rollennamens, angelegt und stehen auch nur für diesen Mandanten zur Verfügung.

Neue Rolle_Mandant
Abbildung: Dialogbox: Neue Rolle erstellen
  1. Durch Klicken des Plus-Icons öffnen Sie die Dialogbox Neue Rolle erstellen.
  2. Wählen Sie den Rollentyp aus: AdminRole oder UserRole.
  3. Entscheiden Sie, ob die Rolle auf Plattform-Ebene oder für einen bestimmten Mandanten angelegt werden soll.
  4. Vergeben Sie den Rollennamen und klicken Sie die Erstellen-Schaltfläche.
  5. Die neue Rolle wird angelegt und nach Aktualisierung der Rollen angezeigt.

Gruppen

Der Reiter Gruppen zeigt die konfigurierten Standard-Gruppen an. Bei Auswahl einer Gruppe werden die Mitglieder dieser Gruppe und der Status der Benutzer-Objekte angezeigt.

Rollenverwaltung Gruppen_DE
Abbildung: Rollenverwaltung > Gruppen

Grundsätzlich werden die Gruppentypen unterschieden in:

  • DefaultApproverGroup - Sie kann nicht gelöscht, bearbeitet und neu erstellt werden.
  • ApproverGroup - Genehmiger Gruppe kann gelöscht, bearbeitet und neu erstellt werden.
  • AdminGroup - Administratoren Gruppe kann gelöscht, bearbeitet und neu erstellt werden.
  • UserGroup - Benutzer Gruppe kann gelöscht, bearbeitet und neu erstellt werden.

Über die Plus-Schaltfläche kann eine Gruppe über einen entsprechenden Workflow erstellt werden.

Wie auch bei den Rollen können neue Gruppen bei einer AHP Multi Tenant Edition auf Plattform-Ebene, mit Gültigkeit für alle Mandanten angelegt werden oder explizit auf Mandanten (Tenant)-Ebene. Im letzten Fall werden die Gruppen mandantenspezifisch, mit der Tenant-ID als Präfix des Gruppennamens, angelegt und stehen auch nur für diesen Mandanten zur Verfügung.

  1. Durch Klicken des Plus-Icons öffnen Sie die Dialogbox Neue Gruppe erstellen.
  2. Wählen Sie den Gruppentyp aus: AdminGroup, ApproverGroup oder UserGroup
  3. Entscheiden Sie, ob die Gruppe auf Plattform-Ebene oder für einen bestimmten Mandanten angelegt werden soll.
  4. Vergeben Sie den Gruppennamen und optional eine Gruppenbeschreibung und klicken Sie die Erstellen-Schaltfläche.
  5. Die neue Gruppe wird angelegt und nach Aktualisierung der Gruppen angezeigt.
 
Vorsicht

In Abhängigkeit des Gruppentyps und ob die Gruppe auf Plattform-Ebene oder mandantenspezifisch angelegt wurde, haben Sie die Möglichkeit Benutzer der Gruppe hinzuzufügen. Für mandantenspezifische Gruppen gilt für die Filterung:

  • Für Gruppen auf Plattform-Ebene gilt für die Filterung:
  • AdminGroup - alle Administratoren stehen zur Auswahl
  • UserGroup - alle Benutzer stehen zur Auswahl
  • ApproverGroup - alle Administratoren und alle Benutzer stehen zur Auswahl.
  • Für mandantenspezifische Gruppen gilt für die Filterung:
  • AdminGroup - alle Administratoren stehen zur Auswahl
  • UserGroup - ausschließlich Benutzer der zugeordneten Tenant-ID stehen zur Auswahl
  • ApproverGroup - alle Administratoren; Benutzer der zugeordneten Tenant-ID stehen zur Auswahl.

Über die Stift-Schaltfläche haben Sie die Möglichkeit Rollen und Gruppen umzubenennen (1) und über das X (2) diese zu löschen.

Rolle umbenennen Q1 2023
Abbildung: Rolle editieren/umbenennen und löschen

Berechtigungen

Der Reiter Berechtigungen zeigt die OU's an, die über den AD Sync aktiviert sind. Bei Auswahl einer OU werden die Berechtigungen dieser OU angezeigt.

Rollenverwaltung Berechtigungen_DE
Abbildung: Rollenverwaltung > Berechtigungen

Auch die Filterung der Zuordnung von Berechtigungen ist in einer AHP Multi Tenant Edition abhängig von Plattform- und/oder Mandanten-Ebene. Bei einer Zuordnung werden alle Gruppen angezeigt, die auf Plattform-Ebene erstellt wurden und zusätzlich die, die mandantenspezifisch angelegt wurden.

Berechtigung Zuordnung Q2 2023
Abbildung: Rollen Verwaltung > Neue Zuordnung erstellen

Effektive Rechte

Der Reiter Effektive Rechte zeigt die OU Mitgliedschaften eines ausgewählten Benutzers an. So ist es möglich sich dessen Berechtigungen anzeigen zu lassen.

  1. Geben Sie den Benutzer (1) ein, dessen Berechtigungen Sie überprüfen möchten.
  2. Wählen Sie aus der Auflistung der Rechte (2) ein Recht (3) aus.
  3. Unter den effektiven Rechten werden Ihnen in schwarzer Farbe die OU's angezeigt, die Gruppen haben, denen das ausgewählte Recht zugewiesen und der ausgewählte Benutzer Mitglied ist.
Rollenverwaltung Effektive Rechte_DE
Abbildung: Rollenverwaltung > Effektive Rechte

Weitergehende Informationen finden Sie in den Artikeln: