Nutzer- und Rechteverwaltung
Die nachfolgenden Ausführungen behandeln die Nutzer- und Rechteverwaltung.
Die unten aufgeführten Erläuterungen gelten für alle Web-Anwendungen der FORUM Gesellschaft für Informationssicherheit mbH.
technische Administratoren festlegen
Benutzerverwaltung
Die Kompetenzvergabe für Mitarbeiter erfolgt ausschließlich innerhalb der Anwendung.
Mitarbeiter importieren
Nur der Administrator hat innerhalb der Anwendung das Recht, Importe und Exporte durchzuführen.
Alternativ ist auch eine manuelle Erfassung von Mitarbeitern möglich – hierbei ist jedoch zu beachten, dass die Notes-Adresse / die Login-Kennung der Mitarbeiter korrekt hinterlegt werden muss und es im Domino Namens- und Adressbuch / AD oder LDAP einen korrespondierenden Eintrag unter dieser Adresse gibt.
Beachten Sie hierzu bitte die ausführlichen Hinweise im Kapitel Mitarbeiter des Anwenderhandbuchs.
Anlegen von Systemnutzern
Der Technische Administrator bekommt nach dem Öffnen der Anwendung im persönlichen Menü den Hinweis (ADMIN / KEIN ZUGRIFF).
Der Technische Administrator kann in der Benutzerverwaltung den Administrator der Anwendung, der eine Notes-Adresse / AD oder LDAP Kennung besitzt, einen sog. Systemnutzer anlegen und die entsprechende Berechtigungen vergeben.
Der Administrator der Anwendung legt nun die weiteren Systemnutzer für die Anwendung fest. Somit ist eine technische und fachliche Trennung für die Arbeit an und mit der Anwendung gegeben.
In diesem Modus sind keine weiteren Inhalte bzw. Schaltflächen sichtbar.
Als Anwendungsadministrator oder technischer Administrator können Sie die Benutzerverwaltung als Unterpunkt im persönlichen Menü rechts oben aufrufen und bearbeiten.
In der Übersicht werden die vorhandenen importierten und manuell erfassten Mitarbeiter Ihres Unternehmens angezeigt. Damit einzelne Personen die Anwendungen nutzen können, müssen für diese entsprechende Systemnutzer angelegt werden.
Verwenden Sie dazu die Schaltfläche
Gilt nur für HCL Domino Anwendungsserver:
Wird bei importierten Mitarbeitern der Hinweis „(kein gültiger Nutzer)“ angezeigt, so wurde für diese Personen noch kein Internetkennwort im Domino Verzeichnis hinterlegt.
Beachten Sie hierzu die Anweisungen im Bereich Voraussetzungen für den Betrieb - Webanwendungen im Bereich Hinterlegung von Internetkennwörtern.
Nach Hinterlegung eines Internetkennwortes nehmen Sie bitte einen erneuten Abgleich der Mitarbeiter über die Aktion Mitarbeiter aktualisieren
in der Ansicht Mitarbeiter im Bereich Grundlagen bzw. Stammdaten vor.
In der Benutzerverwaltung besteht die Möglichkeit, neue Benutzer per Auswahldialog zu übernehmen. Über die Schaltfläche Nutzer hinzufügen
(1) kommen Sie in den Auswahldialog der Nutzer, welche Sie hinzufügen möchten.
Die Checkboxen vor der den einzelnen Namen erlauben eine gezielte Auswahl neuer Nutzer. Über die Schaltfläche Alle
bzw. Keine
ist die Auswahl der neuen Nutzer schneller zu treffen.
Die Schaltfläche Invertieren
gestattet Ihnen eine einfache Umkehr der getroffenen Auswahl.
Die Auswahl der Nutzer bestätigen Sie über die Schaltfläche Nutzer hinzufügen
(2) und vergeben anschließend die entsprechenden Rechte.
Zuweisung von Rechten
Die Rechtezuweisung erfolgt pro Systemnutzer durch die Zuweisung einer der folgenden Rollen:
Administrator → Objekte bearbeiten + Benutzerverwaltung + Einstellungen
Bearbeiter → Objekte bearbeiten
Leser + Verantwortung → alle Objekte lesen + Objekte bearbeiten für die er als Verantwortlicher hinterlegt ist
Ist diese Option aktiv, kann der Nutzer diejenigen Objekte, für die er als Verantwortlicher hinterlegt ist, lesen und ändern und löschen.
Bitte beachten Sie den folgenden wichtigen Hinweis bei der Bearbeitung von Objekten durch Verantwortliche:
Werden durch einen Verantwortlichen neue Unterobjekte erstellt, so stehen einige Aktionen, wie z.B. die Erstellung von untergeordneten Objekten zu dem gerade neu erstellten Objekt, erst nach dem erstmaligen Speichern des Objekts zur Verfügung.
Leser
alle Objekte lesen (Ausnahme: ForumBCM → nur notfallreleveante Objekte lesen)
Das Anlegen eines Systemnutzers für einen Mitarbeiter muss nur einmalig erfolgen.
Die Vergabe von Rechten ist jedoch spezifisch für die jeweilige Anwendung.
Pflege von Gruppen für Berechtigungen
Soll in einer Anwendungen einer großen Anzahl von Nutzern ein bestimmtes Zugangsrecht ermöglicht werden, empfiehlt sich die Rechtevergabe über das Anlegen einer Benutzergruppe.
Im Notfallmanagement ForumBCM ist zum Beispiel ein lesender Zugriff auf notfallrelevante Daten für alle Nutzer im Unternehmen möglich.
Über die Schaltfläche Benutzergruppe anlegen
(1) können Sie eine neue Gruppe anlegen. Im Reiter Benutzergruppen (2) sind alle bereits angelegten Benutzergruppen zu finden und bei gewünschten Änderungen entsprechend bearbeitbar.
Ist ein Mitarbeiter einer Gruppe zugeteilt, bekommen Sie dies in der Übersicht der Mitarbeiterrechte unter Zugriffsrechte aus Gruppe (3) angezeigt.
Über die Schaltfläche Benutzergruppe anlegen
legen Sie eine Gruppe mit einer aussagekräftigen Bezeichnung an, um eine spätere Bearbeitung zu erleichtern.
Anschließend werden die für die Gruppe vorgesehenen Rechte vergeben und die betreffenden Mitarbeiter über die Schaltfläche Mitarbeiter hinzufügen oder entfernen ausgewählt.
Nach getroffener Auswahl wird über die Schaltfläche Übernehmen
der Auswahlvorgang beendet.
Für eine spätere Weiterverarbeitung der Benutzerverwaltung (CSV Export) ist das Hinterlegen einer externen Kennung für die Benutzergruppe möglich.
Das Erstellen der Benutzergruppe wird über die Schaltfläche Speichern und schließen
abgeschlossen.
Es ist empfehlenswert, für jede Anwendung der ForumSuite Gruppen mit einem Präfix der jeweiligen Anwendung - für welche die Gruppen gelten sollen - zu erstellen.
Beispiel für ForumBCM:
BCM-Manager (Recht: Administrator)
BCM-Bearbeiter (Recht: Bearbeiter)
BCM-Verantwortliche (Recht: Leser+Verantwortung)
BCM-Leser (Recht: Leser)
Die jeweils in einer Anwendung angelegte Gruppe ist in allen anderen Anwendungen der ForumSuite vertreten.
Die o.a. Beispielgruppen sollten nur in ForumBCM über Rechte verfügen, in allen anderen Anwendungen sollten die gezeigten Gruppen auf kein Zugriff
stehen.
Um die Benutzergruppe löschen zu können, muss in allen Apps explizit "kein Zugriff" gesetzt sein. Wenn überall "Kein Zugriff" steht, kann man die Benutzergruppe löschen.
Verwaiste Benutzer
In der Benutzerverwaltung kann zusätzlich der Reiter “verwaiste Benutzer” angezeigt werden.
Die Nutzer unter "Verwaiste Benutzer" sind Systemnutzer, welche keinem aktiven Mitarbeiter zugeordnet sind. Diese verwaisten Benutzer können Sie einfach löschen.
Verknüpfungen zu Objekten sollten nicht mehr vorliegen. Falls beim Löschversuch eine Fehlermeldung erscheint, dann sind noch bestehende Verknüpfungen vorhanden, die Sie zuerst lösen sollten.
Objektspezifische Rechtevergabe
Die allgemeinen Rechte aus den Rollen und Verantwortungen können pro Objekt durch sogenannte objektspezifische Berechtigungen übersteuert werden. Dies kann erforderlich sein, wenn z.B. bestimmte sensible Dokumente nur von bestimmten Nutzern gelesen oder bearbeitet werden sollen.
Praxisbeispiel aus ForumDSM: Bestimmte Verträge sollen nur einem kleinen Kreis von Nutzern zugänglich sein.
Bevor die Aktivierung der objektspezifischen Berechtigung aktiviert wird, werden Sie als Nutzer durch einen deutlichen Hinweis auf mögliche Folgen hingewiesen.
Die Bearbeitung durch Verantwortliche mit Leser-Rechten ist im Übrigen unterbunden.
Aktivierung
Um eine objektspezifische Berechtigung zu aktivieren, muss ein Nutzer Vollzugriff auf das betreffende Objekt haben, d.h. er muss es lesen, ändern und löschen dürfen.
Eine Bearbeitungsmöglichkeit über die Verantwortung ist für die Aktivierung nicht ausreichend.
Bei Aktivierung der objektspezifischen Berechtigung werden alle Rollenrechte anderer Nutzer übersteuert. Der aktivierende Benutzer kann über einen Dialog individuellen Zugriff auf das Objekt an Rollen und weitere Nutzer vergeben. Vergibt er Vollzugriff an andere Nutzer, können diese ebenfalls die objektspezifische Berechtigung ändern.
Bitte beachten Sie, dass Ansichten und Druckversionen durch die Vergabe von objektspezifischen Berechtigungen von Nutzer zu Nutzer abweichen!
Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren.
Über die Schaltfläche
und den Tab Berechtigungen...
gelangen Sie zu den Einstellungen der objektspezifischen Berechtigungen.Über den Schalter(1) oben links wird die objektspezifische Berechtigung aktiviert. Die im oberen Abschnitt aufgeführten Gruppen(2) repräsentieren die in der Anwendung existierenden globalen Rollen. An dieser Stelle kann durch die Vergabe kein Zugriff das Dokument vor allen Nutzern versteckt werden.
Im unteren Abschnitt Benutzer(3) können die Mitarbeiter mit Lese- und/oder Bearbeitungsrechten für das Dokument hinterlegt werden.
Ist ein Objekt mit objektspezifischen Berechtigungen versehen, können Sie dies in der Objektansicht an einem Schloss neben dem i
erkennen.
Deaktivierung und Löschung
Eine bestehende objektspezifische Berechtigung kann deaktiviert werden, sodass wieder die Rollenrechte in der betreffenden Anwendung gelten. Sofern gewünscht, kann die objektspezifische Berechtigung zu einem späteren Zeitpunkt im zuvor definierten Umfang wieder aktiviert werden. Für die Reaktivierung muss ein entsprechender Nutzer sowohl gemäß seiner Rolle, als auch gemäß der inaktiven privaten Berechtigung Vollzugriff auf das Objekt haben.
Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren. Alternativ kann eine bestehende objektspezifische Berechtigung auch komplett gelöscht werden. Anschließend kann ein beliebiger Nutzer, der aufgrund seiner Rolle Vollzugriff auf das Objekt hat, eine neue objektspezifische Berechtigung definieren.
Exportfunktion der Benutzerrechte
Es ist möglich, die Benutzerrechte für eine weitere Verwendung (z. B. Benutzerverwaltung) einen CSV-Export durchzuführen. Es werden drei verschiedene CSV-Datein für die weitere Bearbeitung zur Verfügung gestellt. Die Datei geben Inhalte zu Rollen, Rechten und Bezeichnungen aus.
Die drei verschieden Dateien werden abhängig vom Browser und den Einstellung am Arbeitsplatz geöffnet. Es kann durchaus erst nach dem Öffnen der ersten Datei das Öffnen der zweiten Datei usw. angeboten werden.