Nutzer- und Rechteverwaltung
Die nachfolgenden Ausführungen behandeln die Nutzer- und Rechteverwaltung.
Die unten aufgeführten Erläuterungen gelten für alle Web-Anwendungen der FORUM Gesellschaft für Informationssicherheit mbH.
technische Administratoren festlegen
Allgemeine Zugriffskontrollliste Frontend
| Benutzer/Gruppe | Benutzertyp | Zugriff | Rolle(n) | Erläuterung |
|---|---|---|---|---|
| SERVER | Server oder Servergruppe | Manager | [ADMIN] | Server |
ADMINS | Person oder Personengruppe | Manager | [ADMIN] | Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL) sowie zur Änderung der Anwendungskonfiguration (technische Administratoren) |
| SIGNIERER | Person | Manager | [ADMIN] | Signierer der Anwendung (wenn nicht durch Server signiert) |
| Default oder -Default- | unbestimmt | kein Zugriff | am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung | |
| Anonymous | unbestimmt | kein Zugriff | am Domino Web Server nicht angemeldete Benutzer | |
| MITARBEITER | Person oder Personengruppe | Leser | Mitarbeiter mit Anmeldeberechtigung in der Anwendung |
Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor
Allgemeine Zugriffskontrollliste Backend
| Benutzer/Gruppe | Benutzertyp | Zugriff | Rolle(n) | Erläuterung |
|---|---|---|---|---|
| SERVER | Server oder Servergruppe | Manager | [ADMIN] | Server |
ADMINS | Person oder Personengruppe | Manager | [ADMIN] | Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL) sowie zur Änderung der Anwendungskonfiguration (technische Administratoren) |
| SIGNIERER | Person | Manager + Dokumente replizieren oder kopieren | [ADMIN] | Signierer der Anwendung (wenn nicht durch Server signiert) |
| Default oder -Default- | unbestimmt | kein Zugriff | am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung | |
| Anonymous | unbestimmt | kein Zugriff | am Domino Web Server nicht angemeldete Benutzer | |
| MITARBEITER | Person oder Personengruppe | kein Zugriff + Öffentliche Dokumente lesen | Mitarbeiter innerhalb der Anwendungen | |
| technischer Benutzer | Person | kein Zugriff + Öffentliche Dokumente lesen | Benutzer für die zeitgesteuerte Verarbeitung von Aufgaben (u.a. Versand von Nachrichten) |
Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor
Allgemeine Zugriffskontrollliste Log-Datenbank
| Benutzer/Gruppe | Benutzertyp | Zugriff | Rolle(n) | Erläuterung |
|---|---|---|---|---|
| SERVER | Server oder Servergruppe | Manager | Server | |
| ADMINS | Person oder Personengruppe | Manager | Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL) | |
| SIGNIERER | Person | Manager | Signierer der Anwendung (wenn nicht durch Server signiert) | |
| Default oder -Default- | unbestimmt | Autor | am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung | |
| Anonymous | unbestimmt | kein Zugriff | am Domino Web Server nicht angemeldete Benutzer |
Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor
Allgemeine Zugriffskontrollliste Vorschläge/Kataloge
| Benutzer/Gruppe | Benutzertyp | Zugriff | Rolle(n) | Erläuterung |
|---|---|---|---|---|
| SERVER | Server oder Servergruppe | Manager | Server | |
| ADMINS | Person oder Personengruppe | Manager | Administratoren mit Berechtigung zur Anpassung der Zugriffskontrollliste (ACL) | |
| SIGNIERER | Person | Manager | Signierer der Anwendung (wenn nicht durch Server signiert) | |
| Default oder -Default- | umbestimmt | kein Zugriff | am Domino Web Server angemeldete Benutzer ohne explizite Zuordnung durch eine Gruppe/eines Personeneintrages in der Zugriffskontollliste der Anwendung | |
| Anonymous | unbestimmt | kein Zugriff | am Domino Web Server nicht angemeldete Benutzer |
Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Leser
ForumISM Zugriffskontrollliste (optional)
Die nachfolgende Kontrolle ist nur notwendig, wenn Sie ForumISM nutzen und Daten aus der Anwendung ForumISM importieren/exportieren möchten.
| Benutzer/Gruppe | Benutzertyp | Zugriff | Rolle(n) | Erläuterung |
|---|---|---|---|---|
| SIGNIERER | Person oder Personengruppe | Manager | [ADMIN] | Der Signierer der ForumSuite benötigt die Rechte auf der Anwendung ForumISM für den Import/Export von Daten aus/nach ForumISM. |
Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor
Einzelnutzer
Beispiel; technische Administratoren in Datei config\application.poperties
application.adminusers=nutzer-01,nutzer-02,nutzer-03An dieser Stelle legen Sie alle technischen Administratoren fest. Tragen Sie dazu alle Login-Kennungen derjenigen Nutzer aus Ihrem konfigurierten Verzeichnisdienst (siehe oben) ein, die mit dem entsprechenden Recht ausgestattet werden sollen. Trennen Sie mehrere Einträge mit Komma und fügen Sie keine zusätzlichen Leerzeichen ein.
Die technischen Administratoren haben zunächst keine Zugriffsberechtigung auf Inhalte der ForumSuite. Sie sind aber berechtigt, Mitarbeiter und Nutzer anzulegen sowie Zugriffsrechte zu erteilen.
Beispiel: application.adminusers=anton.admin,siegbert.sicher
ActiveDirectory (AD) Gruppe (Version > 2022-12.1)
Es kann auch eine Active Directory (AD) Gruppe mit technischen Administratoren in der Datei application.properties hinterlegt werden.
Dies hat den Vorteil, das technische Administratoren an zentraler Stelle gepflegt werden können.
Beispiel; Gruppe mit technischen Administratoren in Datei config\application.properties
#Beispiel AD Gruppen-Parameter für technische Administratoren in der Datei application.properties
#Hier wurde eine Gruppe App-ForumSuite-techAdmins im ActiveDirectory angelegt und Mitarbeitern zugeordnet.
application.admingroups=App-ForumSuite-techAdmins
Die hinterlegte Gruppe darf am jeweiligen Benutzer nicht als primäre Standardgruppe hinterlegt sein.
Benutzerverwaltung
Die Kompetenzvergabe für Mitarbeiter erfolgt ausschließlich innerhalb der Anwendung.
Im HCL Domino Umfeld müssen für Nutzer der Anwendungen folgende Rechte in der ACL vergeben werden (Auszug aus der Installationsanleitung HCL Domino):
Zugriffskontrollliste Frontend
Benutzer/Gruppe | Benutzertyp | Zugriff | Rolle(n) | Erläuterung |
|---|---|---|---|---|
MITARBEITER | Person oder Personengruppe | Leser | - | Mitarbeiter mit Anmeldeberechtigung in den Anwendungen |
Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor
Zugriffskontrollliste Backend
Benutzer/Gruppe | Benutzertyp | Zugriff | Rolle(n) | Erläuterung |
|---|---|---|---|---|
MITARBEITER | Person oder Personengruppe | kein Zugriff + Öffentliche Dokumente lesen | - | Nutzer innerhalb der Anwendungen |
Erweiterte Zugriffskontrollliste: maximaler Internetnamens- und Kennwortzugriff = Editor
Import von Mitarbeitern
Um einzelnen Personen innerhalb einer Anwendung Rechte zuzuweisen, werden im ersten Schritt alle Mitarbeiter aus dem Notes-Adressbuch / dem AD oder LDAP des Unternehmens importiert. Über die Schaltfläche Mitarbeiter aktualisieren aktivieren Sie den Import.
Mitarbeiter importieren
Nur der Administrator hat innerhalb der Anwendung das Recht, Importe und Exporte durchzuführen.
Alternativ ist auch eine manuelle Erfassung von Mitarbeitern möglich – hierbei ist jedoch zu beachten, dass die Notes-Adresse / die Login-Kennung der Mitarbeiter korrekt hinterlegt werden muss und es im Domino Namens- und Adressbuch / AD oder LDAP einen korrespondierenden Eintrag unter dieser Adresse gibt.
Beachten Sie hierzu bitte die ausführlichen Hinweise im Kapitel Mitarbeiter des Anwenderhandbuchs.
Anlegen von Systemnutzern
Der Technische Administrator bekommt nach dem Öffnen der Anwendung im persönlichen Menü den Hinweis (ADMIN / KEIN ZUGRIFF).
Der Technische Administrator kann in der Benutzerverwaltung den Administrator der Anwendung, der eine Notes-Adresse / AD oder LDAP Kennung besitzt, einen sog. Systemnutzer anlegen und die entsprechende Berechtigungen vergeben.
Der Administrator der Anwendung legt nun die weiteren Systemnutzer für die Anwendung fest. Somit ist eine technische und fachliche Trennung für die Arbeit an und mit der Anwendung gegeben.
In diesem Modus sind keine weiteren Inhalte bzw. Schaltflächen sichtbar.
Als Anwendungsadministrator oder technischer Administrator können Sie die Benutzerverwaltung als Unterpunkt im persönlichen Menü rechts oben aufrufen und bearbeiten.
In der Übersicht werden die vorhandenen importierten und manuell erfassten Mitarbeiter Ihres Unternehmens angezeigt. Damit einzelne Personen die Anwendungen nutzen können, müssen für diese entsprechende Systemnutzer angelegt werden.
Verwenden Sie dazu die Schaltfläche
Gilt nur für HCL Domino Anwendungsserver:
Wird bei importierten Mitarbeitern der Hinweis „(kein gültiger Nutzer)“ angezeigt, so wurde für diese Personen noch kein Internetkennwort im Domino Verzeichnis hinterlegt.
Beachten Sie hierzu die Anweisungen im Bereich Voraussetzungen für den Betrieb - Webanwendungen im Bereich Hinterlegung von Internetkennwörtern.
Nach Hinterlegung eines Internetkennwortes nehmen Sie bitte einen erneuten Abgleich der Mitarbeiter über die Aktion Mitarbeiter aktualisieren in der Ansicht Mitarbeiter im Bereich Grundlagen bzw. Stammdaten vor.
In der Benutzerverwaltung besteht die Möglichkeit, neue Benutzer per Auswahldialog zu übernehmen. Über die Schaltfläche Nutzer hinzufügen (1) kommen Sie in den Auswahldialog der Nutzer, welche Sie hinzufügen möchten.
Die Checkboxen vor der den einzelnen Namen erlauben eine gezielte Auswahl neuer Nutzer. Über die Schaltfläche Alle bzw. Keine ist die Auswahl der neuen Nutzer schneller zu treffen.
Die Schaltfläche Invertieren gestattet Ihnen eine einfache Umkehr der getroffenen Auswahl.
Die Auswahl der Nutzer bestätigen Sie über die Schaltfläche Nutzer hinzufügen (2) und vergeben anschließend die entsprechenden Rechte.
Zuweisung von Rechten
Die Rechtezuweisung erfolgt pro Systemnutzer durch die Zuweisung einer der folgenden Rollen:
Administrator → Objekte bearbeiten + Benutzerverwaltung + Einstellungen
Bearbeiter → Objekte bearbeiten
Leser + Verantwortung → alle Objekte lesen + Objekte bearbeiten für die er als Verantwortlicher hinterlegt ist
Ist diese Option aktiv, kann der Nutzer diejenigen Objekte, für die er als Verantwortlicher hinterlegt ist, lesen und ändern und löschen.
Bitte beachten Sie den folgenden wichtigen Hinweis bei der Bearbeitung von Objekten durch Verantwortliche:
Werden durch einen Verantwortlichen neue Unterobjekte erstellt, so stehen einige Aktionen, wie z.B. die Erstellung von untergeordneten Objekten zu dem gerade neu erstellten Objekt, erst nach dem erstmaligen Speichern des Objekts zur Verfügung.
Leser
alle Objekte lesen (Ausnahme: ForumBCM → nur notfallreleveante Objekte lesen)
Das Anlegen eines Systemnutzers für einen Mitarbeiter muss nur einmalig erfolgen.
Die Vergabe von Rechten ist jedoch spezifisch für die jeweilige Anwendung.
Pflege von Gruppen für Berechtigungen
Soll in einer Anwendungen einer großen Anzahl von Nutzern ein bestimmtes Zugangsrecht ermöglicht werden, empfiehlt sich die Rechtevergabe über das Anlegen einer Benutzergruppe.
Im Notfallmanagement ForumBCM ist zum Beispiel ein lesender Zugriff auf notfallrelevante Daten für alle Nutzer im Unternehmen möglich.
Über die Schaltfläche Benutzergruppe anlegen (1) können Sie eine neue Gruppe anlegen. Im Reiter Benutzergruppen (2) sind alle bereits angelegten Benutzergruppen zu finden und bei gewünschten Änderungen entsprechend bearbeitbar.
Ist ein Mitarbeiter einer Gruppe zugeteilt, bekommen Sie dies in der Übersicht der Mitarbeiterrechte unter Zugriffsrechte aus Gruppe (3) angezeigt.
Über die Schaltfläche Benutzergruppe anlegen legen Sie eine Gruppe mit einer aussagekräftigen Bezeichnung an, um eine spätere Bearbeitung zu erleichtern.
Anschließend werden die für die Gruppe vorgesehenen Rechte vergeben und die betreffenden Mitarbeiter über die Schaltfläche Mitarbeiter hinzufügen oder entfernen ausgewählt.
Nach getroffener Auswahl wird über die Schaltfläche Übernehmen der Auswahlvorgang beendet.
Für eine spätere Weiterverarbeitung der Benutzerverwaltung (CSV Export) ist das Hinterlegen einer externen Kennung für die Benutzergruppe möglich.
Das Erstellen der Benutzergruppe wird über die Schaltfläche Speichern und schließen abgeschlossen.
Es ist empfehlenswert, für jede Anwendung der ForumSuite Gruppen mit einem Präfix der jeweiligen Anwendung - für welche die Gruppen gelten sollen - zu erstellen.
Beispiel für ForumBCM:
BCM-Manager (Recht: Administrator)
BCM-Bearbeiter (Recht: Bearbeiter)
BCM-Verantwortliche (Recht: Leser+Verantwortung)
BCM-Leser (Recht: Leser)
Die jeweils in einer Anwendung angelegte Gruppe ist in allen anderen Anwendungen der ForumSuite vertreten.
Die o.a. Beispielgruppen sollten nur in ForumBCM über Rechte verfügen, in allen anderen Anwendungen sollten die gezeigten Gruppen auf kein Zugriff stehen.
Um die Benutzergruppe löschen zu können, muss in allen Apps explizit "kein Zugriff" gesetzt sein. Wenn überall "Kein Zugriff" steht, kann man die Benutzergruppe löschen.
Verwaiste Benutzer
In der Benutzerverwaltung kann zusätzlich der Reiter “verwaiste Benutzer” angezeigt werden.
Die Nutzer unter "Verwaiste Benutzer" sind Systemnutzer, welche keinem aktiven Mitarbeiter zugeordnet sind. Diese verwaisten Benutzer können Sie einfach löschen.
Verknüpfungen zu Objekten sollten nicht mehr vorliegen. Falls beim Löschversuch eine Fehlermeldung erscheint, dann sind noch bestehende Verknüpfungen vorhanden, die Sie zuerst lösen sollten.
Objektspezifische Rechtevergabe
Die allgemeinen Rechte aus den Rollen und Verantwortungen können pro Objekt durch sogenannte objektspezifische Berechtigungen übersteuert werden. Dies kann erforderlich sein, wenn z.B. bestimmte sensible Dokumente nur von bestimmten Nutzern gelesen oder bearbeitet werden sollen.
Praxisbeispiel aus ForumDSM: Bestimmte Verträge sollen nur einem kleinen Kreis von Nutzern zugänglich sein.
Bevor die Aktivierung der objektspezifischen Berechtigung aktiviert wird, werden Sie als Nutzer durch einen deutlichen Hinweis auf mögliche Folgen hingewiesen.
Die Bearbeitung durch Verantwortliche mit Leser-Rechten ist im Übrigen unterbunden.
Aktivierung
Um eine objektspezifische Berechtigung zu aktivieren, muss ein Nutzer Vollzugriff auf das betreffende Objekt haben, d.h. er muss es lesen, ändern und löschen dürfen.
Eine Bearbeitungsmöglichkeit über die Verantwortung ist für die Aktivierung nicht ausreichend.
Bei Aktivierung der objektspezifischen Berechtigung werden alle Rollenrechte anderer Nutzer übersteuert. Der aktivierende Benutzer kann über einen Dialog individuellen Zugriff auf das Objekt an Rollen und weitere Nutzer vergeben. Vergibt er Vollzugriff an andere Nutzer, können diese ebenfalls die objektspezifische Berechtigung ändern.
Bitte beachten Sie, dass Ansichten und Druckversionen durch die Vergabe von objektspezifischen Berechtigungen von Nutzer zu Nutzer abweichen!
Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren.
Über die Schaltfläche
und den Tab Berechtigungen...gelangen Sie zu den Einstellungen der objektspezifischen Berechtigungen.
Über den Schalter(1) oben links wird die objektspezifische Berechtigung aktiviert. Die im oberen Abschnitt aufgeführten Gruppen(2) repräsentieren die in der Anwendung existierenden globalen Rollen. An dieser Stelle kann durch die Vergabe kein Zugriff das Dokument vor allen Nutzern versteckt werden.
Im unteren Abschnitt Benutzer(3) können die Mitarbeiter mit Lese- und/oder Bearbeitungsrechten für das Dokument hinterlegt werden.
Ist ein Objekt mit objektspezifischen Berechtigungen versehen, können Sie dies in der Objektansicht an einem Schloss neben dem i erkennen.
Deaktivierung und Löschung
Eine bestehende objektspezifische Berechtigung kann deaktiviert werden, sodass wieder die Rollenrechte in der betreffenden Anwendung gelten. Sofern gewünscht, kann die objektspezifische Berechtigung zu einem späteren Zeitpunkt im zuvor definierten Umfang wieder aktiviert werden. Für die Reaktivierung muss ein entsprechender Nutzer sowohl gemäß seiner Rolle, als auch gemäß der inaktiven privaten Berechtigung Vollzugriff auf das Objekt haben.
Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren. Alternativ kann eine bestehende objektspezifische Berechtigung auch komplett gelöscht werden. Anschließend kann ein beliebiger Nutzer, der aufgrund seiner Rolle Vollzugriff auf das Objekt hat, eine neue objektspezifische Berechtigung definieren.
Exportfunktion der Benutzerrechte
Es ist möglich, die Benutzerrechte für eine weitere Verwendung (z. B. Benutzerverwaltung) einen CSV-Export durchzuführen. Es werden drei verschiedene CSV-Datein für die weitere Bearbeitung zur Verfügung gestellt. Die Datei geben Inhalte zu Rollen, Rechten und Bezeichnungen aus.
Die drei verschieden Dateien werden abhängig vom Browser und den Einstellung am Arbeitsplatz geöffnet. Es kann durchaus erst nach dem Öffnen der ersten Datei das Öffnen der zweiten Datei usw. angeboten werden.