Skip to main content
Skip table of contents

Nutzer- und Rechteverwaltung

Die nachfolgenden Ausführungen behandeln die Nutzer- und Rechteverwaltung.

Die unten aufgeführten Erläuterungen gelten für alle Web-Anwendungen der FORUM Gesellschaft für Informationssicherheit mbH.

Abbildung: Web-Anwendungen der FORUM

technische Administratoren festlegen

HCL Domino

Allgemeine Zugriffskontrollliste Frontend


Benutzer/Gruppe

Benutzertyp

ZugriffRolle(n)Erläuterung
SERVERServer oder ServergruppeManager[ADMIN]Server

ADMINS

Person oder PersonengruppeManager[ADMIN]Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL) sowie zur Änderung der Anwendungskonfiguration (technische Administratoren)
SIGNIERERPersonManager[ADMIN]Signierer der Anwendung (wenn nicht durch Server signiert)
Default oder
-Default-
unbestimmtkein Zugriff
am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung
Anonymousunbestimmtkein Zugriff
am Domino Web Server nicht angemeldete Benutzer
MITARBEITERPerson oder PersonengruppeLeser
Mitarbeiter mit Anmeldeberechtigung in der Anwendung

(Warnung)  Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor


Allgemeine Zugriffskontrollliste Backend


Benutzer/Gruppe

Benutzertyp

ZugriffRolle(n)

Erläuterung


SERVERServer oder ServergruppeManager[ADMIN]Server

ADMINS

Person oder PersonengruppeManager[ADMIN]Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL) sowie zur Änderung der Anwendungskonfiguration (technische Administratoren)
SIGNIERERPerson

Manager

+ Dokumente replizieren oder kopieren

[ADMIN]Signierer der Anwendung (wenn nicht durch Server signiert)
Default oder
-Default-
unbestimmt

kein Zugriff


am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung
Anonymousunbestimmtkein Zugriff
am Domino Web Server nicht angemeldete Benutzer
MITARBEITERPerson oder Personengruppe

kein Zugriff

+ Öffentliche Dokumente lesen


Mitarbeiter innerhalb der Anwendungen
technischer BenutzerPerson

kein Zugriff

+ Öffentliche Dokumente lesen


Benutzer für die zeitgesteuerte Verarbeitung von Aufgaben (u.a. Versand von Nachrichten)

(Warnung)  Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor


Allgemeine Zugriffskontrollliste Log-Datenbank


Benutzer/Gruppe

Benutzertyp

ZugriffRolle(n)Erläuterung
SERVERServer oder ServergruppeManager
Server
ADMINSPerson oder PersonengruppeManager
Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL)
SIGNIERERPersonManager
Signierer der Anwendung (wenn nicht durch Server signiert)
Default oder
-Default-
unbestimmtAutor
am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung
Anonymousunbestimmtkein Zugriff
am Domino Web Server nicht angemeldete Benutzer

(Warnung)  Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor


Allgemeine Zugriffskontrollliste Vorschläge/Kataloge

Benutzer/Gruppe

Benutzertyp

ZugriffRolle(n)Erläuterung
SERVERServer oder ServergruppeManager
Server
ADMINSPerson oder PersonengruppeManager
Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL)
SIGNIERERPersonManager

Signierer der Anwendung (wenn nicht durch Server signiert)

Default oder
-Default-
umbestimmtkein Zugriff

am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung
Anonymousunbestimmtkein Zugriff
am Domino Web Server nicht angemeldete Benutzer

(Warnung)  Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Leser

ForumISM Zugriffskontrollliste (optional)

Die nachfolgende Kontrolle ist nur notwendig, wenn Sie ForumISM nutzen und Daten aus der Anwendung ForumISM importieren/exportieren möchten.


Benutzer/GruppeBenutzertypZugriffRolle(n)Erläuterung
SIGNIERERPerson oder PersonengruppeManager[ADMIN]

Der Signierer der ForumSuite benötigt die Rechte auf der Anwendung ForumISM für den Import/Export von Daten aus/nach ForumISM.

(Warnung)  Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor

Java

Einzelnutzer

Beispiel; technische Administratoren in Datei config\application.poperties

TEXT
application.adminusers=nutzer-01,nutzer-02,nutzer-03

An dieser Stelle legen Sie alle technischen Administratoren fest. Tragen Sie dazu alle Login-Kennungen derjenigen Nutzer aus Ihrem konfigurierten Verzeichnisdienst (siehe oben) ein, die mit dem entsprechenden Recht ausgestattet werden sollen. Trennen Sie mehrere Einträge mit Komma und fügen Sie keine zusätzlichen Leerzeichen ein.

Die technischen Administratoren haben zunächst keine Zugriffsberechtigung auf Inhalte der ForumSuite. Sie sind aber berechtigt, Mitarbeiter und Nutzer anzulegen sowie Zugriffsrechte zu erteilen.

Beispiel:  application.adminusers=anton.admin,siegbert.sicher

ActiveDirectory (AD) Gruppe (Version > 2022-12.1)

Es kann auch eine Active Directory (AD) Gruppe mit technischen Administratoren in der Datei application.properties hinterlegt werden.
Dies hat den Vorteil, das technische Administratoren an zentraler Stelle gepflegt werden können.

Beispiel; Gruppe mit technischen Administratoren in Datei config\application.properties

TEXT
#Beispiel AD Gruppen-Parameter für technische Administratoren in der Datei application.properties
#Hier wurde eine Gruppe App-ForumSuite-techAdmins im ActiveDirectory angelegt und Mitarbeitern zugeordnet.
application.admingroups=App-ForumSuite-techAdmins

Die hinterlegte Gruppe darf am jeweiligen Benutzer nicht als primäre Standardgruppe hinterlegt sein.


Benutzerverwaltung


Die Kompetenzvergabe für Mitarbeiter erfolgt ausschließlich innerhalb der Anwendung.

Zugriffskontrollliste HCL Domino

Im HCL Domino Umfeld müssen für Nutzer der Anwendungen folgende Rechte in der ACL vergeben werden (Auszug aus der Installationsanleitung HCL Domino):

Zugriffskontrollliste Frontend

Benutzer/Gruppe

Benutzertyp

Zugriff

Rolle(n)

Erläuterung

MITARBEITER

Person oder Personengruppe

Leser

-

Mitarbeiter mit Anmeldeberechtigung in den Anwendungen

(Warnung) Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor

Zugriffskontrollliste Backend

Benutzer/Gruppe

Benutzertyp

Zugriff

Rolle(n)

Erläuterung

MITARBEITER

Person oder Personengruppe

kein Zugriff

Öffentliche Dokumente lesen

-

Nutzer innerhalb der Anwendungen

(Warnung) Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor

Import von Mitarbeitern

Um einzelnen Personen innerhalb einer Anwendung Rechte zuzuweisen, werden im ersten Schritt alle Mitarbeiter aus dem Notes-Adressbuch / dem AD oder LDAP des Unternehmens importiert. Über die Schaltfläche Mitarbeiter aktualisieren aktivieren Sie den Import.

Mitarbeiter importieren

Nur der Administrator hat innerhalb der Anwendung das Recht, Importe und Exporte durchzuführen.

Abbildung: Import von Mitarbeitern zur weiteren Bearbeitung in der Benutzerverwaltung

Alternativ ist auch eine manuelle Erfassung von Mitarbeitern möglich – hierbei ist jedoch zu beachten, dass die Notes-Adresse / die Login-Kennung der Mitarbeiter korrekt hinterlegt werden muss und es im Domino Namens- und Adressbuch / AD oder LDAP einen korrespondierenden Eintrag unter dieser Adresse gibt.
Beachten Sie hierzu bitte die ausführlichen Hinweise im Kapitel Mitarbeiter des Anwenderhandbuchs.

Anlegen von Systemnutzern

Der Technische Administrator bekommt nach dem Öffnen der Anwendung im persönlichen Menü den Hinweis (ADMIN / KEIN ZUGRIFF).
Der Technische Administrator kann in der Benutzerverwaltung den Administrator der Anwendung, der eine Notes-Adresse / AD oder LDAP Kennung besitzt, einen sog. Systemnutzer anlegen und die entsprechende Berechtigungen vergeben.
Der Administrator der Anwendung legt nun die weiteren Systemnutzer für die Anwendung fest. Somit ist eine technische und fachliche Trennung für die Arbeit an und mit der Anwendung gegeben.

Abbildung: Hinweis für den Technischen Adminsitrator

In diesem Modus sind keine weiteren Inhalte bzw. Schaltflächen sichtbar.

Als Anwendungsadministrator oder technischer Administrator können Sie die Benutzerverwaltung als Unterpunkt im persönlichen Menü rechts oben aufrufen und bearbeiten.

Abbildung: Benutzerverwaltung

In der Übersicht werden die vorhandenen importierten und manuell erfassten Mitarbeiter Ihres Unternehmens angezeigt. Damit einzelne Personen die Anwendungen nutzen können, müssen für diese entsprechende Systemnutzer angelegt werden.
Verwenden Sie dazu die Schaltfläche 

. Ein neuer Systemnutzer wird angelegt, dieser hat standardmäßig zunächst keinen Zugriff.

Gilt nur für HCL Domino Anwendungsserver:

Wird bei importierten Mitarbeitern der Hinweis „(kein gültiger Nutzer)“ angezeigt, so wurde für diese Personen noch kein Internetkennwort im Domino Verzeichnis hinterlegt.

Beachten Sie hierzu die Anweisungen im Bereich Voraussetzungen für den Betrieb - Webanwendungen im Bereich Hinterlegung von Internetkennwörtern.

Nach Hinterlegung eines Internetkennwortes nehmen Sie bitte einen erneuten Abgleich der Mitarbeiter über die Aktion Mitarbeiter aktualisieren in der Ansicht Mitarbeiter im Bereich Grundlagen bzw. Stammdaten vor.

In der Benutzerverwaltung besteht die Möglichkeit, neue Benutzer per Auswahldialog zu übernehmen. Über die Schaltfläche Nutzer hinzufügen (1) kommen Sie in den Auswahldialog der Nutzer, welche Sie hinzufügen möchten.
Die Checkboxen vor der den einzelnen Namen erlauben eine gezielte Auswahl neuer Nutzer. Über die Schaltfläche Alle bzw. Keine ist die Auswahl der neuen Nutzer schneller zu treffen.
Die Schaltfläche Invertieren gestattet Ihnen eine einfache Umkehr der getroffenen Auswahl.
Die Auswahl der Nutzer bestätigen Sie über die Schaltfläche Nutzer hinzufügen (2) und vergeben anschließend die entsprechenden Rechte.


Abbildung: Auswahldialog in der Benutzerverwaltung


Zuweisung von Rechten

Die Rechtezuweisung erfolgt pro Systemnutzer durch die Zuweisung einer der folgenden Rollen:

Administrator →
Objekte bearbeiten + Benutzerverwaltung + Einstellungen
Bearbeiter → Objekte bearbeiten
Leser + Verantwortung → alle Objekte lesen + Objekte bearbeiten für die er als Verantwortlicher hinterlegt ist

Ist diese Option aktiv, kann der Nutzer diejenigen Objekte, für die er als Verantwortlicher hinterlegt ist, lesen und ändern und löschen.

Bitte beachten Sie den folgenden wichtigen Hinweis bei der Bearbeitung von Objekten durch Verantwortliche:
Werden durch einen Verantwortlichen neue Unterobjekte erstellt, so stehen einige Aktionen, wie z.B. die Erstellung von untergeordneten Objekten zu dem gerade neu erstellten Objekt, erst nach dem erstmaligen Speichern des Objekts zur Verfügung.

Leser
alle Objekte lesen (Ausnahme: ForumBCM → nur notfallreleveante Objekte lesen)

Abbildung: Zuweisung von Rechten

Das Anlegen eines Systemnutzers für einen Mitarbeiter muss nur einmalig erfolgen.
Die Vergabe von Rechten ist jedoch spezifisch für die jeweilige Anwendung.

Pflege von Gruppen für Berechtigungen

Soll in einer Anwendungen einer großen Anzahl von Nutzern ein bestimmtes Zugangsrecht ermöglicht werden, empfiehlt sich die Rechtevergabe über das Anlegen einer Benutzergruppe.
Im Notfallmanagement ForumBCM ist zum Beispiel ein lesender Zugriff auf notfallrelevante Daten für alle Nutzer im Unternehmen möglich.

Über die Schaltfläche Benutzergruppe anlegen (1) können Sie eine neue Gruppe anlegen. Im Reiter Benutzergruppen (2) sind alle bereits angelegten Benutzergruppen zu finden und bei gewünschten Änderungen entsprechend bearbeitbar.
Ist ein Mitarbeiter einer Gruppe zugeteilt, bekommen Sie dies in der Übersicht der Mitarbeiterrechte unter Zugriffsrechte aus Gruppe (3) angezeigt.

Abbildung: Pflege von Gruppen in der Benutzerverwaltung.

Über die Schaltfläche Benutzergruppe anlegen legen Sie eine Gruppe mit einer aussagekräftigen Bezeichnung an, um eine spätere Bearbeitung zu erleichtern.
Anschließend werden die für die Gruppe vorgesehenen Rechte vergeben und die betreffenden Mitarbeiter über die Schaltfläche Mitarbeiter hinzufügen oder entfernen ausgewählt.
Nach getroffener Auswahl wird über die Schaltfläche Übernehmen der Auswahlvorgang beendet.
Für eine spätere Weiterverarbeitung der Benutzerverwaltung (CSV Export) ist das Hinterlegen einer externen Kennung für die Benutzergruppe möglich.
Das Erstellen der Benutzergruppe wird über die Schaltfläche Speichern und schließen abgeschlossen.

Abbildung: Anlegen einer Benutzergruppe - Einzelansicht

Es ist empfehlenswert, für jede Anwendung der ForumSuite Gruppen mit einem Präfix der jeweiligen Anwendung - für welche die Gruppen gelten sollen - zu erstellen.
Beispiel für ForumBCM:

BCM-Manager (Recht: Administrator)
BCM-Bearbeiter (Recht: Bearbeiter)
BCM-Verantwortliche (Recht: Leser+Verantwortung)
BCM-Leser (Recht: Leser)

Die jeweils in einer Anwendung angelegte Gruppe ist in allen anderen Anwendungen der ForumSuite vertreten.
Die o.a. Beispielgruppen sollten nur in ForumBCM über Rechte verfügen, in allen anderen Anwendungen sollten die gezeigten Gruppen auf kein Zugriff stehen.

Um die Benutzergruppe löschen zu können, muss in allen Apps explizit "kein Zugriff" gesetzt sein. Wenn überall "Kein Zugriff" steht, kann man die Benutzergruppe löschen.

Verwaiste Benutzer

In der Benutzerverwaltung kann zusätzlich der Reiter “verwaiste Benutzer” angezeigt werden.

Die Nutzer unter "Verwaiste Benutzer" sind Systemnutzer, welche keinem aktiven Mitarbeiter zugeordnet sind. Diese verwaisten Benutzer können Sie einfach löschen.

Verknüpfungen zu Objekten sollten nicht mehr vorliegen. Falls beim Löschversuch eine Fehlermeldung erscheint, dann sind noch bestehende Verknüpfungen vorhanden, die Sie zuerst lösen sollten.

Objektspezifische Rechtevergabe

Die allgemeinen Rechte aus den Rollen und Verantwortungen können pro Objekt durch sogenannte objektspezifische Berechtigungen übersteuert werden. Dies kann erforderlich sein, wenn z.B. bestimmte sensible Dokumente nur von bestimmten Nutzern gelesen oder bearbeitet werden sollen.

Praxisbeispiel aus ForumDSM: Bestimmte Verträge sollen nur einem kleinen Kreis von Nutzern zugänglich sein.

Bevor die Aktivierung der objektspezifischen Berechtigung aktiviert wird, werden Sie als Nutzer durch einen deutlichen Hinweis auf mögliche Folgen hingewiesen.

Abbildung: Hinweis auf objektspezifische Berechtigung

Die Bearbeitung durch Verantwortliche mit Leser-Rechten ist im Übrigen unterbunden.

Aktivierung

Um eine objektspezifische Berechtigung zu aktivieren, muss ein Nutzer Vollzugriff auf das betreffende Objekt haben, d.h. er muss es lesen, ändern und löschen dürfen.

Eine Bearbeitungsmöglichkeit über die Verantwortung ist für die Aktivierung nicht ausreichend.

Bei Aktivierung der objektspezifischen Berechtigung werden alle Rollenrechte anderer Nutzer übersteuert. Der aktivierende Benutzer kann über einen Dialog individuellen Zugriff auf das Objekt an Rollen und weitere Nutzer vergeben. Vergibt er Vollzugriff an andere Nutzer, können diese ebenfalls die objektspezifische Berechtigung ändern.

Bitte beachten Sie, dass Ansichten und Druckversionen durch die Vergabe von objektspezifischen Berechtigungen von Nutzer zu Nutzer abweichen!

Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren.

Abbildung: Der Weg zur objektspezifischen Berechtigungen - Beispiel ForumDSM

Über die Schaltfläche 

und den Tab Berechtigungen...gelangen Sie zu den Einstellungen der objektspezifischen Berechtigungen.

Abbildung: Einstellung der objektspezifischen Berechtigungen

Über den Schalter(1) oben links wird die objektspezifische Berechtigung aktiviert. Die im oberen Abschnitt aufgeführten Gruppen(2) repräsentieren die in der Anwendung existierenden globalen Rollen. An dieser Stelle kann durch die Vergabe kein Zugriff das Dokument vor allen Nutzern versteckt werden.

Im unteren Abschnitt Benutzer(3) können die Mitarbeiter mit Lese- und/oder Bearbeitungsrechten für das Dokument hinterlegt werden.

Ist ein Objekt mit objektspezifischen Berechtigungen versehen, können Sie dies in der Objektansicht an einem Schloss neben dem i erkennen.

Abbildung: Objekt mit objektspezifischen Benutzerrechten

Deaktivierung und Löschung

Eine bestehende objektspezifische Berechtigung kann deaktiviert werden, sodass wieder die Rollenrechte in der betreffenden Anwendung gelten. Sofern gewünscht, kann die objektspezifische Berechtigung zu einem späteren Zeitpunkt im zuvor definierten Umfang wieder aktiviert werden. Für die Reaktivierung muss ein entsprechender Nutzer sowohl gemäß seiner Rolle, als auch gemäß der inaktiven privaten Berechtigung Vollzugriff auf das Objekt haben.

Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren. Alternativ kann eine bestehende objektspezifische Berechtigung auch komplett gelöscht werden. Anschließend kann ein beliebiger Nutzer, der aufgrund seiner Rolle Vollzugriff auf das Objekt hat, eine neue objektspezifische Berechtigung definieren.

Exportfunktion der Benutzerrechte

Es ist möglich, die Benutzerrechte für eine weitere Verwendung (z. B. Benutzerverwaltung) einen CSV-Export durchzuführen. Es werden drei verschiedene CSV-Datein für die weitere Bearbeitung zur Verfügung gestellt. Die Datei geben Inhalte zu Rollen, Rechten und Bezeichnungen aus.

Abbildung: Benutzerrechte mit Exportfunktion

Die drei verschieden Dateien werden abhängig vom Browser und den Einstellung am Arbeitsplatz geöffnet. Es kann durchaus erst nach dem Öffnen der ersten Datei das Öffnen der zweiten Datei usw. angeboten werden.




JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.