Nutzerverwaltung

Aus GeoMediaKommunal
Version vom 21. März 2024, 11:57 Uhr von Ggmuelle (Diskussion | Beiträge) (→‎Passwortrichtlinie)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

In der Nutzerverwaltung können Sie Nutzergruppen und Nutzer anlegen und verwalten. GeoMedia SmartClient Kommunal-Nutzer werden grundsätzlich als Mitglieder von Nutzergruppen verwaltet. Standardmäßig ist die Gruppe System-Administratoren mit einem Mitglied (System-Administrator) vordefiniert.

Hinweis: Nur der System-Administrator (User-ID 000) ist automatisch berechtigt, den Adminer zu öffnen und darin Elemente anzulegen, zu ändern oder zu löschen. Seine Rechte können nicht eingeschränkt, aber auch nicht auf andere Nutzer über die Funktion „Rechte übertragen“ übertragen werden! Der System-Administrator ist vergleichbar mit dem Windows-Administrator.


Freigabe und Berechtigung

Die Nutzerberechtigungen für Mappen und Projekte steuern Sie direkt über Rechtsklick auf das entsprechende Element im Explorer und die Funktion (Freigabe und Berechtigung).

Freigabe

Für die Freigabe des Elements wählen Sie in der Registerkarte "Freigabe" eine Nutzergruppe oder einen Nutzer unter verfügbare Nutzer/Nutzergruppen per Doppelklick aus oder ziehen sie diese per Drag&Drop nach zugewiesene Nutzergruppen/Nutzer . Der Status ist zunächst (keine Freigabe). Mit Klick auf das Symbol ändert sich der Status der Freigabe auf (Freigabe) und gegebenenfalls bei erneutem Klick wieder zurück. Per Doppelklick können zugewiesene Nutzer/Nutzergruppen wieder entfernt werden.

Die Zuweisungen können sodann gespeichert werden. Hat ein Nutzer oder eine Nutzergruppe die Freigabe für eine bestimmte Komponente, so ist diese für ihn nach dem Anmelden sichtbar und der Zugriff darauf gewährt.

Hinweis: Wenn eine Nutzergruppe einem bestimmten Element zugewiesen ist und dieses auch freigegeben wurde, gilt die Freigabe für alle Nutzer dieser Gruppe. Soll ein einzelner Nutzer dieser Gruppe keine Freigabe erhalten, müssen Sie diesen Nutzer hinzufügen und den Status der Freigabe auf (keine Freigabe) setzen.


Hoch zum Seitenanfang

Funktions- und Datenberechtigungen

Im Unterschied zu Mappen, gibt es bei Projekten im Fenster der Funktion (Freigabe und Berechtigung) zusätzlich die Registerkarten "Funktionsberechtigungen" und "Datenberechtigungen".

Funktionsberechtigungen

Unter "Funktionsberechtigungen" werden Funktionen verwaltet, die sich im Explorer oder in den Werkzeugleisten von Tabellen und Masken befinden. Auch Berichte zählen dazu. Klicken Sie hierzu zunächst auf die gewünschte Nutzergruppe bzw. den gewünschten Nutzer (in der Beispielabbildung unten: Anwender), klicken Sie dann auf ein Datenelement (im Beispiel: Explorer) und wählen Sie abschließend eine zugehörige Funktion aus (im Beispiel: CSV Import). Um den Status der Funktion zu ändern, klicken Sie in der Toolbar "Berechtigungen" auf (ausführbar) oder (nicht ausführbar).

Wenn Sie mehrere Berechtigungen gleichzeitig verändern wollen, markieren Sie die Funktionen mit Shift + linke Maustaste und ändern Sie dann den Status. Wenn sie alle Berechtigungen verändern wollen, klicken Sie unter "Berechtigungen" auf (alle auswählen) , um alle Funktionen zu markieren, und ändern Sie den Status. Um die Auswahl aller Funktionen aufzuheben, klicken Sie auf (Auswahl löschen). Um die ursprünglich gesetzten Rechte wieder herzustellen, markieren Sie zunächst die geänderten Funktionen und wählen anschließend die Funktion (Übergeordnete Gruppenrechte übernehmen).

Sobald Sie Berechtigungen verändert haben, wird dies auch im Feld "Typ" deutlich. Dort steht Nutzergruppenberechtigung, wenn Sie die Berechtigungen einer Gruppe verändert haben, und Nutzerberechtigungen, wenn Sie die Berechtigungen eines Nutzers verändert haben. Wenn Sie die ursprünglich gesetzten Rechte über (Übergeordnete Gruppenrechte übernehmen) wiederherstellen, ändert sich der Typ zu Standardberechtigung. Haben Sie nur die Berechtigung für einzelne Objekte einer bestimmten Funktion verändert (in der Beispiel-Abbildung unten wurde z.B. nur die Berechtigung einiger Teile der Arbeitssitzung-Funktion geändert), so wird der Status dieser Funktion als angezeigt, weil der Nutzer die Funktion nur teilweise nutzen kann.

Speichern Sie zum Abschluss Ihre Änderungen.


Freigabe und Rechtverwaltung in der geöffneten Mappe (ab Version 2020)

Bisher war die Freigabe und Rechtverwaltung nur im Adminer möglich. Ab Version 2020 kann der Administrator das auch in einer geöffneten Mappe vornehmen. Dabei steht zum einen der übliche Weg über das Kontextmenü des Explorers zur Verfügung. Zum anderen können aber einzelne Funktionen auch direkt in der Tabelle oder Maske administriert werden. Dazu klickt man mit der rechten Maustaste auf den entsprechenden Button in der Toolbar einer Tabelle oder eines Editors und wählt dann im Kontextmenü den Punkt „Freigabe und Berechtigung“.

Im sich öffnenden Dialog ist dann bei den Funktionsrechten nur die entsprechende Funktion des Buttons zu sehen. Für Funktionen, die keine Berechtigungen benötigen öffnet sich kein Kontextmenü sondern es wird direkt die Funktion ausgelöst.


Hoch zum Seitenanfang

Datenberechtigungen

In der Registerkarte "Datenberechtigungen" werden Datenfelder in Masken und Tabellen verwaltet. Hier kann bestimmt werden, welcher Nutzer welche Daten sehen und verändern darf. Klicken Sie hierzu zunächst auf die gewünschte Nutzergruppe bzw. den gewünschten Nutzer (in der Beispiel-Abbildung unten: Tester), klicken Sie dann auf ein Element unter "Die Objektklassen (gegliedert nach der Fachanwendung)" (im Beispiel: Baum) und wählen Sie abschließend eine zugehörige Objektklasse oder wahlweise ein bestimmtes Attribut dieser Objektklasse aus (im Beispiel: Baumbestand / Alter zum Zeitpunkt der Pflanzung).

Der Status kann auf (Schreiben), (Lesen) oder (Kein Zugriff) gesetzt werden. Die Vorgehensweise für das Ändern von Berechtigungen ist wie bei Funktionsberechtigungen. Mit Klick auf können für eine ausgewählte Objektklasse die verwendeten Sichten im Projekt angezeigt werden.



Hoch zum Seitenanfang

Datenberechtigungen Eigentümer

Unter dem Reiter "Funktionsberechtigungen" gibt es ein Datenelement Namens "Berechtigungsprofile". Dieser enthält die Funktion "Flurstückseigentümer anzeigen", was eine Sammlung von Berechtigungen eines Nutzers anzeigt bzw. dort verändern werden kann.

Das Berechtigungsprofil " Flurstückseigentümer anzeigen " ist standardmäßig nicht aktiv. Die Einzelberechtigungen des Profils können manuell aktiviert/deaktiviert werden, d.h. das Berechtigungsprofil ist nur zwingend, wenn keine Aussage z.B. über das Funktionsrecht bei dem Nutzer/der Nutzergruppe gemacht wurde (Einstellung als Standardberechtigung). Anders ausgedrückt, dient das Berechtigungsprofil als konfigurierbare Standardeinstellung für die Funktions- und Datenberechtigungen.

Folgende Einschränkungen erfolgen durch das deaktivierte Berechtigungsprofil:

  1. Herausfiltern aller Personenrollen mit Personenart = "Eigentümer"
  1. Ausblenden der Attribute
    1. Flurstück.Eigentuemer
    2. Flurstück.EigentuemerAmtlich
    3. Flurstück.EigentuemerGesamt
    4. Flurstück.EigentuemerGesamtAmtlichs
  1. kein Zugriff auf die Funktionen
    1. "Flurstücke suchen" in der Personentabelle
    2. "Eigentümer suchen" in der Flurstückstabelle
  1. Detailansicht
    1. keine Buchungsdaten in der Detailansicht des Flurstücks
    2. keine Eigentumsdaten in der Detailansicht einer Person


Hoch zum Seitenanfang

Passwortrichtlinie

(ab Version 2020)

Soll festgelegt werden, dass die Benutzer zwingend ein Passwort verwenden, so kann eine Passwortrichtlinie (gilt dann für alle Benutzer) definiert werden. Hierzu gehen Sie im Adminer mit einem Rechtsklick auf die Nutzerverwaltung und es öffnet sich die Maske zur Definition. Hier kann die Länge, Anzahl von Sonderzeichen etc. festgelegt werden, aber auch nach wie vielen Tagen das Passwort abläuft. Als Sonderzeichen gelten alle Zeichen, die keine Buchstaben (inkl. Umlaute) oder Zahlen sind. Ist das Passwort abgelaufen wird der Nutzer direkt bei der Anmeldung aufgefordert einen neues Passwort zu vergeben.

Hoch zum Seitenanfang

Nutzergruppe anlegen

Erweitern Sie im Explorer den Eintrag "Nutzerverwaltung" durch Anklicken des +. Rechtsklicken Sie auf Gruppen und wählen Sie (Nutzergruppe anlegen).

Tragen Sie in der Eingabemaske eine Nummer und den Namen der neuen Gruppe ein. Die Nummer ist im Nachhinein nicht änderbar, der Name hingegen schon. Speichern Sie die Eingaben über das Symbol (Speichern).

Um eine Nutzergruppe zu bearbeiten, rechtsklicken Sie auf die Gruppe und wählen Sie (Gruppe öffnen). Hier können Sie den Namen wieder ändern.

Um eine Nutzergruppe zu löschen, rechtsklicken Sie auf die Gruppe und wählen Sie (Nutzergruppe löschen).

Hinweis: Eine Nutzergruppe lässt sich nur dann löschen, wenn keine Nutzer mehr in der Gruppe enthalten sind!


Hoch zum Seitenanfang

Nutzer anlegen

Um einen Nutzer für eine Nutzergruppe anzulegen, rechtsklicken Sie auf die gewünschte Gruppe und wählen Sie (Nutzer anlegen).

Durch die Auswahl der Gruppe ist das Feld Nutzergruppe bereits gefüllt, kann aber auch durch Auswahl eines anderen Listeneintrags geändert werden.

Weiterhin sind folgende Felder auszufüllen:

  • Login-Name: Anmeldename für GeoMedia SmartClient Kommunal
  • Name: Vollständiger Name des Nutzers
  • Telefon: Telefonnummer des Nutzers (optional)
  • Abteilung: Abteilung des Nutzers (optional)
  • E-Mail-Adresse: E-Mail-Adresse des Nutzers (optional)
  • max. Dokumentengröße in MB: Die maximale Größe von Dokumenten, die der Nutzer hochladen darf (ab Version 2022, 12.09.2023)
  • Single Sign-On: Es handelt sich um einen Nutzer der per Single Sign-On angemeldet wird.

Zudem kann ein Passwort für den Login angegeben werden.

Abschließend können die Eingaben über (Speichern) gespeichert werden.

Um einen Nutzer zu bearbeiten, rechtsklicken Sie auf den entsprechenden Nutzer innerhalb einer Gruppe im Explorer und wählen Sie (Nutzer öffnen). Über (Nutzer löschen) kann der Nutzer gelöscht werden.

Rechte übertragen

Über Rechte übertragen können die für eine Nutzergruppe oder einen anderen Nutzer vergebenen Rechte für den gewählten Nutzer übertragen werden.



Hoch zum Seitenanfang

Rollenbasiertes Berechtigungssystem

(ab Version 2020)

Bisher wurden die Berechtigungen direkt für Nutzer oder Gruppen festgelegt. Ab der Version 2020 werden Rechte für Rollen definiert und diese Rollen werden Nutzern oder Gruppen zugeordnet. Eine Rolle kann dabei mehreren Nutzern oder Gruppen zugewiesen werden.

Bedienung: Im Adminer gibt es unter „Nutzerverwaltung“ nun den Ordner „Rollen“.

Hier können über das Kontextmenü neue Rollen angelegt werden. Die Zuordnung der Rollen erfolgt im Nutzer- bzw. Gruppeneditor durch einfaches Anhaken der Rollen und Speichern des Datensatzes.

Die Rechte werden der Rolle wie gehabt über den Punkt „Freigabe und Berechtigung“ im Kontextmenü der Mappe, des Projektes etc. zugewiesen, wobei im Berechtigungsdialog nun auf der linken Seite eine Liste aller Rollen anstelle der Gruppen und Nutzer zu sehen ist. Bei den Funktionsrechten entfällt die zweistufige Darstellung der Rechte mit jeweils Spalten für Gruppen- und Nutzerrecht.

Jeder User hat automatisch das Gruppenrecht (Standardberechtigung), was bedeutet, dass jede Gruppe mindestens einer Rolle zugeordnet sein muss. Sollen jetzt z.B. einem User weitere oder reduzierte Rechte zugewiesen werden, so kann diesem User eine weitere Rolle zugeordnet werden. Dies sind dann explizite Rollenrechte, welche die Standardrechte überschreiben.

Die Regeln zur Bestimmung eines konkreten Rechtes für einen Nutzer sind wie folgt:

- Rollen, die am Nutzer registriert sind haben Vorgang gegenüber den Rollen der Gruppe. - Kommt es innerhalb der Nutzerrollen oder der Gruppenrollen zu Überschneidungen zählt das stärkere Recht (im Sinne der Sicherheit), d.h. bei Funktionsrechten hat „nicht ausführbar“ Vorrang für „ausführbar“ und bei Datenrechten „lesen“ vor „schreiben“. - Gibt es für ein Recht keine explizite Angabe weder für Nutzer noch für Gruppe, greift das Standardrecht (erste Spalte in der Rechteübersicht).

Rollen sollten wenn möglich immer klar voneinander getrennt werden, d.h. das sich die Rechtedefinitionen nicht überschneiden.


Konvertierung von Version 2016 (oder älter auf Version 2020): Die Gruppen- und Nutzerrechte werden automatisch in das Rollenschema konvertiert. Dabei wird für jede Gruppe und jeden Nutzer mit Rechten, die von den Standardrechten abweichen, eine Rolle angelegt und automatisch der Gruppe oder dem Nutzer zugewiesen. Damit bleiben alle Rechte wie definiert erhalten. Der Administrator hat nun die Möglichkeit, die automatisch generierten Rollen umzubenennen, zusammenzufassen oder zu löschen.

Hoch zum Seitenanfang

Sitzungsmonitor

Mit dem Sitzungsmonitor können Sie sehen, welche Nutzer in GeoMedia SmartClient Kommunal angemeldet sind, und können Sitzungen beenden. Öffnen Sie den Sitzungsmonitor mit Rechtsklick auf (Sitzungsmonitor) im Explorer und anschließendem Klick auf Sitzungsmonitor öffnen.


Im sich öffnenden Fenster wird eine Tabelle mit Sitzungen und zugehörigen Details wie Login-Name, DNS/IP-Adresse und geöffnete Mappe angezeigt.


Über das Symbol (Aktualisieren) lässt sich die Tabelle auf den aktuellsten Stand bringen. Um eine Sitzung zu beenden, wählen Sie diese in der Liste aus und klicken Sie auf (Sitzung beenden).


Hoch zum Seitenanfang


Single-Sign-On

Single-Sign-On wird sowohl für die Kopplung mit dem GMSC als auch für GMSC-K direkt unterstützt.

Um GMSC-K mit Single-Sign-On zu starten muss in der Datei c:\Program Files\Intergraph\GeoMedia SmartClient Kommunal\Instances\Default\Client\config.json im der Parameter "sso" auf "true" gesetzt werden oder an die Aufruf-URL "sso=true" angehängt werden.

Im Single-Sign-On-Modus werden die Rollen des angemeldeten Nutzers zum einen im GMSC-K-Adminer festgelegt, zum anderen aber auch über Gruppenzuordnungen des Nutzers im Active Directory. D.h. wenn ein Nutzer im AD einer Gruppe zugehörig ist, wird ihm bei der Anmeldung an GMSC-K automatisch die GMSC-K-Rolle mit dem gleichen Namen zugeordnet. Gibt es keine Rolle mit dem Gruppennamen, wird das ignoriert. Falls der Nutzer mit dem SSO-Namen nicht in GMSC-K definiert ist, wird automatisch ein "virtueller" Nutzer in GMSC-K angelegt, der für die Dauer der Sitzung gültig ist. In dem Fall erfolgt die Rollenzuordnung ausschließlich über die Gruppen im AD.

Siehe auch https://supportsi.hexagon.com/s/article/Single-Sign-On?language=de.

Hoch zum Seitenanfang

Eigentümerdaten in Suchen ausblenden

Folgende Einstellungen müssen erfolgen um Eigentümerdaten auch in Suchen und Filtern auszublenden:

  • Berechtigungsprofil bei den Funktionsrechten wegschalten
  • Für Buchungsstelle und Buchungsblatt (Flurstücksverwaltung) die kompletten Rechte entziehen.
  • Für die zugeordneten Personen (Basis > Flurstück > zugeordnete Person) ebenfalls die Rechte entziehen, wenn diese in Suchen enthalten sind.
  • Filter in denen Namen verwendet werden, werden nicht mehr angezeigt, außer dieser ist als Standardfilter definiert. Hier muss der Admin aufpassen. Somit kann auch das Suchcenter verwendet werden. Auch hier werden die Filter ausgeblendet.


Hoch zum Seitenanfang

Datenberechtigungen auf Basis von Filtern definieren

(ab Version 2020)

GMSC-K bietet die Möglichkeit, die Datenberechtigungen Lesen, Schreiben und Löschen von Gruppen von Datensätzen für einen Rolle festzulegen. Damit kann z.B. eingestellt werden, dass ein Nutzer nur Bemerkungen einer bestimmten Kategorie bearbeiten darf. Die Festlegung erfolgt über einen Dialog, die aus den Sichteigenschaften oder einer Sichten-Tabelle geöffnet werden kann (Sicherheitssymbol - Tooltipp "Datenberechtigungen der Objektklasse konfigurieren"). In diesem Dialog können mehrere Regeln für die Objektklasse der Sicht definiert werden. Eine Regel besteht aus der Zuordnung einer Rolle, eines Filters (nur Filter mit konstanten Suchwerten sind zugelassen) und der Datenberechtigung (Lesen, Schreiben, Lödschen). Dabei können für eine Rolle jeweils eigene Regeln für Lesen, Schreiben oder Löschen angegeben werden. Beim Ausführen der jeweiligen Aktion wird dann zunächst die Regel mit dem entsprechenden Recht gesucht und, falls nicht vorhanden, die Regel mit dem nächsthöheren Recht. Ein Beispiel:

Die Objektklasse A hat das Attribut WERT. Es sind insgesamt vier Datensätze vorhanden:
D1 mit WERT = 'geheim'
D2 mit WERT = 'lesen'
D3 mit WERT = 'schreiben'
D4 mit WERT = 'löschen'

Nun werden drei Filter definiert, um jeweils Regeln für Lesen, Schreiben und Löschen festzulegen:
Filter 1: WERT ist null oder WERT ungleich 'geheim'
Filter 2: WERT gleich 'schreiben' oder WERT = 'löschen'
Filter 2: WERT = 'löschen'

Nun werden für die Rolle X folgende Regeln definiert:
Regel 1: Filter 1 mit Datenberechtigung Lesen
Regel 2: Filter 2 mit Datenberechtigung Schreiben
Regel 3: Filter 3 mit Datenberechtigung Löschen

Im Ergebnis haben nun alle Nutzer der Rolle X folgende Berechtigungen:
1. Es werden die Datensätze D2, D3 und D4 in der Tabelle angezeigt, aber nicht D1.
2. Die Nutzer dürfen die Datensätze D3 und D4 bearbeiten, aber nicht D1 und D2.
2. Die Nutzer dürfen den Datensatz D4 löschen, aber nicht D1, D2 und D3.

Diese Funktion steht für alle datenbankbasierenden Fachanwendungen zur Verfügung außer "Individuelle Stammdaten".

Hoch zum Seitenanfang