Nutzerverwaltung: Unterschied zwischen den Versionen
Zeile 221: | Zeile 221: | ||
==Datenberechtigungen auf Basis von Filtern definieren (ab Version 2020)== | ==Datenberechtigungen auf Basis von Filtern definieren (ab Version 2020)== | ||
GMSC-K bietet die Möglichkeit, die Datenberechtigungen Lesen, Schreiben und Löschen von Gruppen von Datensätzen für einen Rolle festzulegen. Damit kann z.B. | GMSC-K bietet die Möglichkeit, die Datenberechtigungen Lesen, Schreiben und Löschen von Gruppen von Datensätzen für einen Rolle festzulegen. Damit kann z.B. eingestellt werden, dass ein Nutzer nur Bemerkungen einer bestimmten Kategorie bearbeiten darf. Die Festlegung erfolgt über einen Dialog, die aus den Sichteigenschaften oder einer Sichten-Tabelle geöffnet werden kann (Sicherheitssymbol - Tooltipp "Datenberechtigungen der Objektklasse konfigurieren"). In diesem Dialog können mehrere Regeln für die Objektklasse der Sicht festgelegt werden. Ein Regel besteht aus der Zuordnung einer Rolle, eines Filters (nur Filter mit konstanten Suchwerten sind zugelassen) und der Datenberechtigung (Lesen, Schreiben, Lödschen). Dabei können für eine Rolle jeweils eigene Regeln für Lesen, Schreiben oder Löschen angegeben werden. Beim Ausführen der jeweiligen Aktion wird dann zunächst die Regel mit dem entsprechenden Recht gesucht und, falls nicht vorhanden, die Regel mit dem nächsthöheren Recht. Ein Beispiel: | ||
Die Objektklasse A hat das Attribut WERT. Es sind insgesamt vier Datensätze vorhanden: | Die Objektklasse A hat das Attribut WERT. Es sind insgesamt vier Datensätze vorhanden: |
Version vom 11. November 2020, 14:22 Uhr
In der Nutzerverwaltung können Sie Nutzergruppen und Nutzer anlegen und verwalten. GeoMedia SmartClient Kommunal-Nutzer werden grundsätzlich als Mitglieder von Nutzergruppen verwaltet. Standardmäßig ist die Gruppe System-Administratoren mit einem Mitglied (System-Administrator) vordefiniert.
Freigabe und Berechtigung
Die Nutzerberechtigungen für Mappen und Projekte steuern Sie direkt über Rechtsklick auf das entsprechende Element im Explorer und die Funktion (Freigabe und Berechtigung).
Freigabe
Für die Freigabe des Elements wählen Sie in der Registerkarte "Freigabe" eine Nutzergruppe oder einen Nutzer unter verfügbare Nutzer/Nutzergruppen per Doppelklick aus oder ziehen sie diese per Drag&Drop nach zugewiesene Nutzergruppen/Nutzer . Der Status ist zunächst (keine Freigabe). Mit Klick auf das Symbol ändert sich der Status der Freigabe auf (Freigabe) und gegebenenfalls bei erneutem Klick wieder zurück. Per Doppelklick können zugewiesene Nutzer/Nutzergruppen wieder entfernt werden.
Die Zuweisungen können sodann gespeichert werden. Hat ein Nutzer oder eine Nutzergruppe die Freigabe für eine bestimmte Komponente, so ist diese für ihn nach dem Anmelden sichtbar und der Zugriff darauf gewährt.
Funktions- und Datenberechtigungen
Im Unterschied zu Mappen, gibt es bei Projekten im Fenster der Funktion (Freigabe und Berechtigung) zusätzlich die Registerkarten "Funktionsberechtigungen" und "Datenberechtigungen".
Funktionsberechtigungen
Unter "Funktionsberechtigungen" werden Funktionen verwaltet, die sich im Explorer oder in den Werkzeugleisten von Tabellen und Masken befinden. Auch Berichte zählen dazu. Klicken Sie hierzu zunächst auf die gewünschte Nutzergruppe bzw. den gewünschten Nutzer (in der Beispielabbildung unten: Anwender), klicken Sie dann auf ein Datenelement (im Beispiel: Explorer) und wählen Sie abschließend eine zugehörige Funktion aus (im Beispiel: CSV Import). Um den Status der Funktion zu ändern, klicken Sie in der Toolbar "Berechtigungen" auf (ausführbar) oder (nicht ausführbar).
Wenn Sie mehrere Berechtigungen gleichzeitig verändern wollen, markieren Sie die Funktionen mit Shift + linke Maustaste und ändern Sie dann den Status. Wenn sie alle Berechtigungen verändern wollen, klicken Sie unter "Berechtigungen" auf (alle auswählen) , um alle Funktionen zu markieren, und ändern Sie den Status. Um die Auswahl aller Funktionen aufzuheben, klicken Sie auf (Auswahl löschen). Um die ursprünglich gesetzten Rechte wieder herzustellen, markieren Sie zunächst die geänderten Funktionen und wählen anschließend die Funktion (Übergeordnete Gruppenrechte übernehmen).
Sobald Sie Berechtigungen verändert haben, wird dies auch im Feld "Typ" deutlich. Dort steht Nutzergruppenberechtigung, wenn Sie die Berechtigungen einer Gruppe verändert haben, und Nutzerberechtigungen, wenn Sie die Berechtigungen eines Nutzers verändert haben. Wenn Sie die ursprünglich gesetzten Rechte über (Übergeordnete Gruppenrechte übernehmen) wiederherstellen, ändert sich der Typ zu Standardberechtigung. Haben Sie nur die Berechtigung für einzelne Objekte einer bestimmten Funktion verändert (in der Beispiel-Abbildung unten wurde z.B. nur die Berechtigung einiger Teile der Arbeitssitzung-Funktion geändert), so wird der Status dieser Funktion als angezeigt, weil der Nutzer die Funktion nur teilweise nutzen kann.
Speichern Sie zum Abschluss Ihre Änderungen.
Freigabe und Rechtverwaltung in der geöffneten Mappe (ab Version 2020)
Bisher war die Freigabe und Rechtverwaltung nur im Adminer möglich. Ab Version 2020 kann der Administrator das auch in einer geöffneten Mappe vornehmen. Dabei steht zum einen der übliche Weg über das Kontextmenü des Explorers zur Verfügung. Zum anderen können aber einzelne Funktionen auch direkt in der Tabelle oder Maske administriert werden. Dazu klickt man mit der rechten Maustaste auf den entsprechenden Button in der Toolbar einer Tabelle oder eines Editors und wählt dann im Kontextmenü den Punkt „Freigabe und Berechtigung“.
Im sich öffnenden Dialog ist dann bei den Funktionsrechten nur die entsprechende Funktion des Buttons zu sehen. Für Funktionen, die keine Berechtigungen benötigen öffnet sich kein Kontextmenü sondern es wird direkt die Funktion ausgelöst.
Datenberechtigungen
In der Registerkarte "Datenberechtigungen" werden Datenfelder in Masken und Tabellen verwaltet. Hier kann bestimmt werden, welcher Nutzer welche Daten sehen und verändern darf. Klicken Sie hierzu zunächst auf die gewünschte Nutzergruppe bzw. den gewünschten Nutzer (in der Beispiel-Abbildung unten: Tester), klicken Sie dann auf ein Element unter "Die Objektklassen (gegliedert nach der Fachanwendung)" (im Beispiel: Baum) und wählen Sie abschließend eine zugehörige Objektklasse oder wahlweise ein bestimmtes Attribut dieser Objektklasse aus (im Beispiel: Baumbestand / Alter zum Zeitpunkt der Pflanzung).
Der Status kann auf (Schreiben), (Lesen) oder (Kein Zugriff) gesetzt werden. Die Vorgehensweise für das Ändern von Berechtigungen ist wie bei Funktionsberechtigungen. Mit Klick auf können für eine ausgewählte Objektklasse die verwendeten Sichten im Projekt angezeigt werden.
Datenberechtigungen Eigentümer
Unter dem Reiter "Funktionsberechtigungen" gibt es ein Datenelement Namens "Berechtigungsprofile".
Dieser enthält die Funktion "Flurstückseigentümer anzeigen", was eine Sammlung von Berechtigungen eines Nutzers anzeigt bzw. dort verändern werden kann.
Das Berechtigungsprofil " Flurstückseigentümer anzeigen " ist standardmäßig nicht aktiv. Die Einzelberechtigungen des Profils können manuell aktiviert/deaktiviert werden, d.h. das Berechtigungsprofil ist nur zwingend, wenn keine Aussage z.B. über das Funktionsrecht bei dem Nutzer/der Nutzergruppe gemacht wurde (Einstellung als Standardberechtigung). Anders ausgedrückt, dient das Berechtigungsprofil als konfigurierbare Standardeinstellung für die Funktions- und Datenberechtigungen.
Folgende Einschränkungen erfolgen durch das deaktivierte Berechtigungsprofil:
- Herausfiltern aller Personenrollen mit Personenart = "Eigentümer"
- Ausblenden der Attribute
- Flurstück.Eigentuemer
- Flurstück.EigentuemerAmtlich
- Flurstück.EigentuemerGesamt
- Flurstück.EigentuemerGesamtAmtlichs
- kein Zugriff auf die Funktionen
- "Flurstücke suchen" in der Personentabelle
- "Eigentümer suchen" in der Flurstückstabelle
- Detailansicht
- keine Buchungsdaten in der Detailansicht des Flurstücks
- keine Eigentumsdaten in der Detailansicht einer Person
Passwortrichtlinie (ab Version 2020)
Soll festgelegt werden, dass die Benutzer zwingend ein Passwort verwenden, so kann eine Passwortrichtlinie (gilt dann für alle Benutzer) definiert werden. Hierzu gehen Sie im Adminer mit einem Rechtsklick auf die Nutzerverwaltung und es öffnet sich die Maske zur Definition. Hier kann die Länge, Anzahl von Sonderzeichen etc. festgelegt werden, aber auch nach wie vielen Tagen das Passwort abläuft.
Nutzergruppe anlegen
Erweitern Sie im Explorer den Eintrag "Nutzerverwaltung" durch Anklicken des +. Rechtsklicken Sie auf Gruppen und wählen Sie (Nutzergruppe anlegen).
Tragen Sie in der Eingabemaske eine Nummer und den Namen der neuen Gruppe ein. Die Nummer ist im Nachhinein nicht änderbar, der Name hingegen schon. Speichern Sie die Eingaben über das Symbol (Speichern).
Um eine Nutzergruppe zu bearbeiten, rechtsklicken Sie auf die Gruppe und wählen Sie (Gruppe öffnen). Hier können Sie den Namen wieder ändern.
Um eine Nutzergruppe zu löschen, rechtsklicken Sie auf die Gruppe und wählen Sie (Nutzergruppe löschen).
Nutzer anlegen
Um einen Nutzer für eine Nutzergruppe anzulegen, rechtsklicken Sie auf die gewünschte Gruppe und wählen Sie (Nutzer anlegen).
Durch die Auswahl der Gruppe ist das Feld Nutzergruppe bereits gefüllt, kann aber auch durch Auswahl eines anderen Listeneintrags geändert werden.
Weiterhin sind folgende Felder auszufüllen:
- Login-Name: Anmeldename für GeoMedia SmartClient Kommunal
- Name: Vollständiger Name des Nutzers
- Telefon: Telefonnummer des Nutzers (optional)
Zudem kann ein Passwort für den Login angegeben werden.
Abschließend können die Eingaben über (Speichern) gespeichert werden.
Um einen Nutzer zu bearbeiten, rechtsklicken Sie auf den entsprechenden Nutzer innerhalb einer Gruppe im Explorer und wählen Sie (Nutzer öffnen). Über (Nutzer löschen) kann der Nutzer gelöscht werden.
Rechte übertragen
Über Rechte übertragen können die für eine Nutzergruppe oder einen anderen Nutzer vergebenen Rechte für den gewählten Nutzer übertragen werden.
Rollenbasiertes Berechtigungssystem (ab Vers. 2020)
Bisher wurden die Berechtigungen direkt für Nutzer oder Gruppen festgelegt. Ab der Version 2020 werden Rechte für Rollen definiert und diese Rollen werden Nutzern oder Gruppen zugeordnet. Eine Rolle kann dabei mehreren Nutzern oder Gruppen zugewiesen werden.
Bedienung: Im Adminer gibt es unter „Nutzerverwaltung“ nun den Ordner „Rollen“.
Hier können über das Kontextmenü neue Rollen angelegt werden. Die Zuordnung der Rollen erfolgt im Nutzer- bzw. Gruppeneditor durch einfaches Anhaken der Rollen und Speichern des Datensatzes.
Die Rechte werden der Rolle wie gehabt über den Punkt „Freigabe und Berechtigung“ im Kontextmenü der Mappe, des Projektes etc. zugewiesen, wobei im Berechtigungsdialog nun auf der linken Seite eine Liste aller Rollen anstelle der Gruppen und Nutzer zu sehen ist. Bei den Funktionsrechten entfällt die zweistufige Darstellung der Rechte mit jeweils Spalten für Gruppen- und Nutzerrecht.
Jeder User hat automatisch das Gruppenrecht (Standardberechtigung), was bedeutet, dass jede Gruppe mindestens einer Rolle zugeordnet sein muss. Sollen jetzt z.B. einem User weitere oder reduzierte Rechte zugewiesen werden, so kann diesem User eine weitere Rolle zugeordnet werden. Dies sind dann explizite Rollenrechte, welche die Standardrechte überschreiben.
Konvertierung von Version 2016 (oder älter auf Version 2020): Die Gruppen- und Nutzerrechte werden automatisch in das Rollenschema konvertiert. Dabei wird für jede Gruppe und jeden Nutzer mit Rechten, die von den Standardrechten abweichen, eine Rolle angelegt und automatisch der Gruppe oder dem Nutzer zugewiesen. Damit bleiben alle Rechte wie definiert erhalten. Der Administrator hat nun die Möglichkeit, die automatisch generierten Rollen umzubenennen, zusammenzufassen oder zu löschen.
Sitzungsmonitor
Mit dem Sitzungsmonitor können Sie sehen, welche Nutzer in GeoMedia SmartClient Kommunal angemeldet sind, und können Sitzungen beenden. Öffnen Sie den Sitzungsmonitor mit Rechtsklick auf (Sitzungsmonitor) im Explorer und anschließendem Klick auf Sitzungsmonitor öffnen.
Im sich öffnenden Fenster wird eine Tabelle mit Sitzungen und zugehörigen Details wie Login-Name, DNS/IP-Adresse und geöffnete Mappe angezeigt.
Über das Symbol (Aktualisieren) lässt sich die Tabelle auf den aktuellsten Stand bringen. Um eine Sitzung zu beenden, wählen Sie diese in der Liste aus und klicken Sie auf (Sitzung beenden).
Single-Sign-On
Single-Sign-On wird sowohl für die Kopplung mit dem GMSC als auch für GMSC-K direkt unterstützt (Vers. 2015 ab Juli 2016).
GMSC-K-Single-Sign-On: Voraussetzung ist, dass im GMSC-K ein Nutzer mit dem entsprechenden Windowsanmeldenamen als Loginname angelegt wird.
Um den GMSC-K mit Single-Sign-On zu starten muss in der Datei c:\Program Files\Intergraph\GeoMedia SmartClient Kommunal\Client\webapps\gmsck\WEB-INF\web.xml im Servlet-Abschnitt 'GMSCKServlet' der Parameter 'sso' hinzugefügt werden:
<init-param> <param-name>sso</param-name> <param-value>true</param-value> </init-param>
Eigentümerdaten in Suchen ausblenden
Folgende Einstellungen müssen erfolgen um Eigentümerdaten auch in Suchen und Filtern auszublenden:
- Berechtigungsprofil bei den Funktionsrechten wegschalten
- Für Buchungsstelle und Buchungsblatt (Flurstücksverwaltung) die kompletten Rechte entziehen.
- Für die zugeordneten Personen (Basis > Flurstück > zugeordnete Person) ebenfalls die Rechte entziehen, wenn diese in Suchen enthalten sind.
- Filter in denen Namen verwendet werden, werden nicht mehr angezeigt, außer dieser ist als Standardfilter definiert. Hier muss der Admin aufpassen. Somit kann auch das Suchcenter verwendet werden. Auch hier werden die Filter ausgeblendet.
Datenberechtigungen auf Basis von Filtern definieren (ab Version 2020)
GMSC-K bietet die Möglichkeit, die Datenberechtigungen Lesen, Schreiben und Löschen von Gruppen von Datensätzen für einen Rolle festzulegen. Damit kann z.B. eingestellt werden, dass ein Nutzer nur Bemerkungen einer bestimmten Kategorie bearbeiten darf. Die Festlegung erfolgt über einen Dialog, die aus den Sichteigenschaften oder einer Sichten-Tabelle geöffnet werden kann (Sicherheitssymbol - Tooltipp "Datenberechtigungen der Objektklasse konfigurieren"). In diesem Dialog können mehrere Regeln für die Objektklasse der Sicht festgelegt werden. Ein Regel besteht aus der Zuordnung einer Rolle, eines Filters (nur Filter mit konstanten Suchwerten sind zugelassen) und der Datenberechtigung (Lesen, Schreiben, Lödschen). Dabei können für eine Rolle jeweils eigene Regeln für Lesen, Schreiben oder Löschen angegeben werden. Beim Ausführen der jeweiligen Aktion wird dann zunächst die Regel mit dem entsprechenden Recht gesucht und, falls nicht vorhanden, die Regel mit dem nächsthöheren Recht. Ein Beispiel:
Die Objektklasse A hat das Attribut WERT. Es sind insgesamt vier Datensätze vorhanden: D1 mit WERT = 'geheim' D2 mit WERT = 'lesen' D3 mit WERT = 'schreiben' D4 mit WERT = 'löschen'
Nun werden drei Filter definiert, um jeweils Regeln für Lesen, Schreiben und Löschen festzulegen: Filter 1: WERT ist null oder WERT ungleich 'geheim' Filter 2: WERT gleich 'schreiben' oder WERT = 'löschen' Filter 2: WERT = 'löschen'
Nun werden für die Rolle X folgende Regeln definiert: Regel 1: Filter 1 mit Datenberechtigung Lesen Regel 2: Filter 2 mit Datenberechtigung Schreiben Regel 3: Filter 3 mit Datenberechtigung Löschen
Im Ergebnis haben nun alle Nutzer der Rolle X folgende Berechtigungen: 1. Es wenn die Datensätze D2, D3 und D4 in der Tabelle angezeigt, aber nicht D1. 2. Die Nutzer dürfen die Datensätze D3 und D4 bearbeiten, aber nicht D1 und D2. 2. Die Nutzer dürfen den Datensatz D4 löschen, aber nicht D1, D2 und D3.
Diese Funktion steht für alle datenbankbasierenden Fachanwendungen zur Verfügung außer "Individuelle Stammdaten".