Vorgaben für Zugriffsrollen
Mit der Sitevorgabe Zugriffsrollen können Sie Zugriffsrollen erstellen und die Mitgliedschaft der einzelnen Zugriffsrollen verwalten.
Standardzugriffsrollen
Standardzugriffsrollen steuern den Zugriff auf Verwaltungsfunktionen und spezifische Workflowwerkzeuge. Standardzugriffsrollen werden erstellt, wenn die Anwendung installiert wird. Sie können die Standardzugriffsrollen umbenennen und Mitglieder hinzufügen oder entfernen. Standardzugriffsrollen können nicht gelöscht werden.
Jede Standardzugriffsrolle steuert den Zugriff auf eine bestimmte Funktion oder ein bestimmtes Werkzeug. Außerden können Sie die Standardzugriffsrollen anderen Ansichten und Aktionen zuweisen.
- Application Engine-Administratoren - Mit dieser Einstellung wird festgelegt, welche Benutzer Sitevorgaben festlegen und auf die Verwaltungstools zugreifen können. Nur Mitglieder, die diese Zugriffsrolle innehaben, können Zugriffsrollen und Mitgliedschaften definieren.
- Mitglieder, die diese Zugriffsrolle innehaben, sind gleichzeitig Mitglieder, die von allen definierten Zugriffsrollen Gebrauch machen können.
- Für diese Zugriffsrolle muss mindestens ein Mitglied definiert sein.
- Dem Benutzer, der die Bootstrap-Vorgaben festlegt, wird automatisch die Zugriffsrolle des Application Engine-Administrators zugewiesen. Dieser Benutzer wird zum Ersteller/Eigentümer von benutzerdefinierten Objekten in der Content Engine, die zur Anzeige und Sicherung der im Objektspeicher abgelegten Zugriffsrollen dienen. Diesem Benutzer kann der Zugriff auf Standardzugriffsrollen nicht verwehrt werden, es sei denn, ein anderer Benutzer wird mit Hilfe von Enterprise Manager Eigentümer der entsprechenden benutzerdefinierten Objekte der Zugriffsrolle.
- Sie können kein Mitglied, das diese Zugriffsrolle innehat, auf Zugriff verweigern setzen. Sie können den Zugriff nur verweigern, indem Sie dieser Zugriffsrolle keinen Benutzer zuweisen.
- PSConsole - Mit dieser Einstellung wird festgelegt, welche Benutzer auf die Simulationskonsole zugreifen können. Standardmäßig sind dieser Zugriffsrolle keine Mitglieder zugewiesen.
- PSDesigner - Mit dieser Einstellung wird festgelegt, welche Benutzer auf den Simulations-Designer zugreifen können. Standardmäßig sind dieser Zugriffsrolle keine Mitglieder zugewiesen.
- PWAdministrator - Mit dieser Einstellung wird festgelegt, welche Benutzer auf Process Administrator zugreifen können. Standardmäßig sind dieser Zugriffsrolle keine Mitglieder zugewiesen.
- PWConfiguration - Mit dieser Einstellung wird festgelegt, welche Benutzer auf die Prozesskonfigurationskonsole zugreifen können. Standardmäßig sind dieser Zugriffsrolle keine Mitglieder zugewiesen.
- PWDesigner - Mit dieser Einstellung wird festgelegt, welche Benutzer auf Process Designer und den Assistenten für Workflowsubskriptionen zugreifen können. Standardmäßig sind dieser Zugriffsrolle keine Mitglieder zugewiesen.
HINWEIS Damit Benutzer auf den Assistenten für Workflowsubskriptionen zugreifen können, müssen Sie dieser Zugriffsrolle die entsprechenden Mitglieder zuweisen und jedem Benutzer die Zugriffsrechte gewähren, die erforderlich sind, um mit Hilfe von Enterprise Manager Instanzen zu erstellen und Linkberechtigungen zu ändern, die sich auf die Standardberechtigungen für die Klasse der Workflowsubskriptionen beziehen. Weitere Informationen finden Sie in Sicherheitsskript-Assistent.
- PWDiagram - Mit dieser Einstellung wird festgelegt, welche Benutzer im Diagrammmodus auf Process Designer zugreifen können. Standardmäßig sind dieser Zugriffsrolle keine Mitglieder zugewiesen.
Benutzerdefinierte Zugriffsrollen
Sie können benutzerdefinierte Zugriffsrollen erstellen oder die Standardzugriffsrollen verwenden, um festzulegen, welche Benutzer auf bestimmte Funktionen und Befehle in Workplace XT zugreifen können. Sie können Zugriffsrollen mit den Vorgaben Eigener Workplace, Primäre Ansichten und Aktionen verwenden. Ist ein Benutzer nicht Mitglied der zugewiesenen Zugriffsrolle, kann er auf die Funktion nicht zugreifen. Ist ein Benutzer Mitglied einer bestimmten Zugriffsrolle, können Sie den Zugriff durch das Mitglied auf die zugeordnete Funktion gewähren oder verweigern.
Zuweisung von Zugriffsrollen
Benutzer können mehrere Zugriffsrollen innehaben, deren Berechtigungen manchmal miteinander in Konflikt stehen. Sie können einem Benutzer in bestimmten Fällen eine zusätzliche Mitgliedschaft gewähren, um sicherzustellen, dass der Benutzer vollen Zugriff auf die entsprechenden Funktionen und Aktionen erhält. Bei der Zuweisung von Rollen sowie von Berechtigungen für den Zugriff auf primäre Ansichten und Aktionen ist Folgendes zu beachten.
- Um allen Benutzern Zugriff zu gewähren, fügen Sie der Zugriffsrolle die Gruppe #Authenticated-Users hinzu. Sie können dieser Gruppe oder allen Benutzern den Zugriff gewähren oder verweigern.
- Wenn ein Benutzer einer Zugriffsrolle hinzugefügt wird, wird der Zugriff standardmäßig gewährt. Wenn es notwendig ist, den Zugriff zu verweigern, müssen Sie die entsprechende Einstellung manuell ändern.
- Wenn ein Benutzer mehrere Zugriffsrollen innehat und die Zugriffsberechtigungen der Zugriffsrollen miteinander in Konflikt stehen (bei manchen Zugriffsrollen wird Zugriff gewährt, bei anderen nicht), wird dem Benutzer der Zugriff gewährt. Wenn also für eine Zugriffsrolle Zugriff gewährt wird, wird damit eine andere Rolle außer Kraft gesetzt, für die der Zugriff verweigert ist.
- Objektspeicher-Administratoren, die in Content Engine definiert sind, können ungeachtet ihrer Zugriffsrollenmitgliedschaft alle Objekte im Objektspeicher anzeigen.
- Wenn einem Benutzer die Mitgliedschaft für die Zugriffsrolle PSConsole, PSDesigner oder PWDesigner gewährt wird und Sie die erweiterten Tools durch eine andere Zugriffsrolle gesichert haben, muss der Benutzer auch die Zugriffsrolle 'Erweitert - Autor' innehaben, um die erweiterten Tools anzeigen und die Tools für die Zugriffsrolle (Simulation Console, Simulation Designer, Process Designer oder Assistent für Workflowsubskriptionen) starten zu können.
- Wenn einem Benutzer die Mitgliedschaft für die Zugriffsrolle PWAdministrator oder PWConfiguration gewährt wird und Sie das Menü Verwaltung mit einer anderen Zugriffsrolle gesichert haben, muss der Benutzer auch die Zugriffsrolle 'Admin' innehaben, um die Seite oder das Menü für die Verwaltung anzeigen und die entsprechenden Werkzeuge für die Zugriffsrolle (Process Administrator oder Process Configuration Console) starten zu können.
Ändern einer Zugriffsrollen-Mitgliedschaft
Während einer Clientsitzung wird die Zugriffsrollenmitgliedschaft zwischengespeichert, Änderungen an Zugriffsrollezuweisungen werden jedoch sofort wirksam. Wenn Sie die Zugriffsrollen ändern, die für eine primäre Ansicht oder eine Aktion zugewiesen sind, werden die Änderungen bei den Benutzern, die angemeldet sind, sofort wirksam. Wenn Sie jedoch einem Benutzer eine Zugriffsrolle zuweisen oder entziehen, während der Benutzer angemeldet ist, werden die Änderungen wirksam, wenn sich Benutzer beim nächsten Mal anmeldet.
Der Benutzer, der die Zugriffsrollen erstellt, kann immer auf diese zugreifen. Dies ist selbst dann der Fall, wenn der Name des Benutzers aus der Zugriffsrolle entfernt wird. Der Benutzer behält die Eigentümer-Zugriffsrechte an den benutzerdefinierten Objekten, die die Zugriffsrolle im Objektspeicher darstellen. Wenn das Benutzerkonto vollständig aus der Zugriffsrolle entfernt werden soll, muss ein Objektspeicheradministrator mit Hilfe von Enterprise Manager den Eigentümer der benutzerdefinierten Objekte ändern, die die Zugriffsrolle darstellen.
So fügen Sie einer Zugriffsrolle Mitglieder hinzu:
- Klicken Sie neben dem Namen der entsprechenden Zugriffsrolle auf Neue Mitglieder hinzufügen. Die Seite Benutzer/Gruppen auswählen wird geöffnet.
- Wählen Sie entweder Benutzer oder Gruppen, um die entsprechende Liste anzuzeigen.
- Geben Sie ein oder mehrere Zeichen für die Namen der Benutzer oder Gruppen ein, nach denen gesucht werden soll. Wenn Sie beispielsweise nach Gruppen mit den Namen ProjektLeiter und ProgrammManager suchen möchten, geben Sie p ein. Daraufhin werden sämtliche Gruppennamen zurückgegeben, die mit p beginnen. Sie können die Suche einschränken, indem Sie weitere Zeichen eingeben. Beispiel: Durch Eingabe von proj wird nur ProjektLeiter, aber nicht ProgrammManager zurückgegeben.
- Klicken Sie auf Suchen. Nach kurzer Zeit werden die übereinstimmenden Namen angezeigt.
- Wenn die Anzahl der übereinstimmenden Namen das Limit für die Standardanzeige übersteigt, werden nicht alle Übereinstimmungen angezeigt. In diesem Fall müssen Sie die Suchkriterien ändern und dann erneut auf Suchen klicken, um weitere Ergebnisse anzuzeigen.
- Wenn die Ergebnisse Ihren Vorstellungen entsprechen, wählen Sie die entsprechenden Gruppenamen aus der Liste aus. Durch Klicken bei gedrückter Strg-Taste bzw. Umschalttaste können mehrere Namen aus der Liste ausgewählt werden.
- Klicken Sie auf Akzeptieren. Die Seite Sitevorgaben wird erneut angezeigt und unter Gewährter Zugriff wird der Name des neuen Benutzers oder der neuen Gruppe angezeigt, der für die entsprechende Zugriffsrolle zugewiesen ist.
- Klicken Sie bei Bedarf neben dem Namen des Benutzers oder der Gruppe auf Zugriff verweigern, um dem Benutzer oder der Gruppe die entsprechende Zugriffsrolle zu entziehen.
- Speichern Sie die Änderungen.
So entziehen Sie einem Benutzer oder einer Gruppe eine Zugriffsrolle:
Klicken Sie neben dem Namen des Benutzers oder der Gruppe, dem bzw. der die Zugriffsrolle entzogen werden soll, auf Entfernen und speichern Sie die Änderungen.
So stellen Sie die Zugriffseinstellung von Gewähren auf Verweigern um:
Klicken Sie neben dem Namen des Benutzers oder der Gruppe, dessen bzw. deren Zugriffsrolle geändert werden soll, auf Zugriff verweigern und speichern Sie die Änderungen.
So fügen Sie eine neue Zugriffsrolle hinzu:
- Klicken Sie auf Rolle hinzufügen, um die Seite Zugriffsrolle hinzufügen zu öffnen.
- Geben Sie einen Namen für die Zugriffsrolle ein.
- Geben Sie bei Bedarf unter Zugriffsrollenbeschreibung eine Beschreibung ein.
- Klicken Sie auf Akzeptieren. Die Seite Sitevorgaben wird geöffnet.
- Fügen Sie der neuen Zugriffsrolle Mitglieder hinzu und speichern Sie die Änderungen.
So entfernen Sie eine benutzerdefinierte Zugriffsrolle:
Klicken Sie unter dem Namen der Zugriffsrolle, die entfernt werden soll, auf Rolle löschen und speichern Sie die Änderungen.
So benennen Sie eine Zugriffsrolle um:
- Klicken Sie neben dem Namen der entsprechenden Zugriffsrolle auf Rolle umbenennen.
- Geben Sie den Namen für die Zugriffsrolle ein.
- Geben Sie gegebenenfalls eine Beschreibung ein.
- Übernehmen und speichern Sie die Änderungen.