Administration - Rollen & Berechtigungen
Einleitung
Unter dem Themenbereich der Rollen & Berechtigungen wird festgelegt, welche Berechtigungen den Rollen zugeteilt werden. Die Rollen können dann Benutzern zugeordnet werden bzw. die Benutzer den Rollen (aus beiden Richtungen möglich). Sofern Benutzern mehrere Rollen zugeordnet wurden, ergänzen sich die Rechte aus den Berechtigungen der einzelnen Rollen.
Beispiel: Ein Benutzer hat über die Rolle A keine Berechtigung den Menüpunkt "Serviceportfolio" zu nutzen und über die Rolle B hat er die Berechtigung den Menüpunkt "Serviceportfolio" zu nutzen. Als Summe der Berechtigung hat er damit die Berechtigung den Menüpunkt "Serviceportfolio" zu nutzen.
Grundsätzlich gilt:
Eine Person, die im dot4-Mandanten als Benutzer freigeschaltet wurde, benötigt mindestens eine Rolle mit Berechtigungen, um im Mandanten eine Funktion nutzen zu können.
In dot4 gibt es Berechtigungen, aber keine Verbote. Dies ist wichtig bei der Kumulation von Berechtigungen.
Ein dot4-Mandant wird per Default mit diversen Standard-Rollen (System-Rollen) ausgeliefert, denen bereits Rechte zugeordnet sind und die den Benutzern zugeordnet werden können. Dies vereinfacht die initiale, aber auch fortführende Konfiguration. Den Standard-Rollen können Berechtigungen entzogen und hinzugefügt werden. Die Rollen haben, mit Ausnahme der Rolle "Portal", keine fest mit der Rolle verbundenen Funktionen.
Grundsätzlich können beliebige eigene Rollen anlegen werden (siehe Administration > Rollen & Berechtigungen > Rollen). Diese verfügen nach der initialen Erstellung über keine Berechtigungen.
Hinweise:
Auf einem dot4-System können mehrere dot4-Mandanten betrieben werden. In den meisten Fällen hat ein Kunde einen dot4-Mandanten abonniert (SaaS) oder betreibt diesen (On-Premises). Einige Kunden verfügen über mehrere dot4-Mandanten.
Alle nachfolgend beschriebenen Konfigurationen im Bereich der Administration beziehen sich immer auf einen dot4-Mandanten. Da dot4-Mandanten aus Sicherheitsgründen immer voneinander getrennt sind (getrennte Datenbanken) gibt es keine mandantenübergreifende Konfiguration.
Übersicht
Unter Administration > Rollen & Berechtigungen stehen folgende Administrationsbereiche zur Verfügung:
Benutzerkonten (Benutzer und Benutzerkonten erstellen/bearbeiten/verwalten)
Rollen (Rollen erstellen/bearbeiten/verwalten)
Personengruppen (Personengruppen erstellen/bearbeiten/verwalten)
Authentifizierung (Externe Benutzerauthentifizierung ein-/ausschalten, Authentifizierungs-Provider festlegen)
Allgemeine Berechtigungen (Rollen Berechtigungen für dot4-Bereiche erteilen/entziehen)
CMDB Berechtigungen (Rollen Berechtigungen für den Zugriff auf die Configuration Items erteilen/entziehen)
API Authentifizierung (API-Keys für den Zugriff von externen Applikationen auf dot4 erstellen und löschen)
Sicherheitsgruppen (Sicherheitsgruppen erstellen und verwalten, Berechtigung von Rollen auf Sicherheitsgruppen verwalten)
Benutzerkonten
Ein Benutzer ist eine Person, also ein Configuration Item vom CI-Typ "Person", mit aktiviertem Benutzerkonto. Benutzer können sich einloggen und je nach zugewiesener/n Rolle/n und damit verbundenen Berechtigungen auf Funktionen im Mandanten zugreifen können.
Hinweise:
Benutzer sind grundsätzlich CIs vom CI-Typ "Person" bei denen der Haken "Benutzerkonto" aktiviert ist.
Personen / Benutzer haben die Pflichtfelder "Name", "Vorname", "E-Mail-Adresse". Die E-Mail-Adresse muss innerhalb des Mandanten eindeutig sein.
Beim Erstellen eines dot4-Mandanten wird lediglich ein Benutzerkonto mit den Daten des Mandanten-Erstellers angelegt, dieser erhält automatisch die Rolle "Administrator", welche per Default über umfangreiche Berechtigungen verfügt.
Die Aktivierung eines Benutzerkontos führt zum Versenden einer E-Mail an den Benutzer. Über den Link in der E-Mail wird dieser auf den korrekten dot4-Mandanten geleitet und muss dort sein initiales Passwort vergeben. Ist dieses Verfahren nicht gewünscht, weil die Benutzer sich z.B. per SingleSignOn (SSO) authentifizieren sollen, so kann diese E-Mail-Benachrichtigung unterbunden werden (hierzu bitte Rücksprache mit Realtech).
Unter Administration > Rollen & Berechtigungen > Benutzerkonten können in dot4 mandantengebunden dot4-Benutzer erstellt, eingesehen, bearbeitet und verwaltet werden.
Die Übersichtsseite
Auf der Übersichtsseite werden alle auf dem Mandanten vorhandenen Personen tabellarisch dargestellt. Dabei werden alle Configuration Items vom CI-Typ "Person" berücksichtigt, unabhängig davon, ob diese als Benutzer aktiviert sind oder nicht. In der Spalte "Benutzerkonto" (Werte: Ja/Nein) wird angezeigt, ob eine Person als Benutzer aktiviert ist.
Detailansicht zu einem Benutzerkonto
Ein Klick in die eben beschriebene Tabelle führt zur Detailansicht eines möglichen Benutzers, in der alle CI-Attribute und Beziehungen sowie Berechtigungen gelistet werden.
Speziell erwähnenswert sind hier:
Zugriff und Rechte
Der Benutzer darf seine Rollen deaktivieren: Bei Aktivierung erhält der Benutzer die Möglichkeit, seine Zugriffsmöglichkeiten auf weniger als alle ihm zugewiesenen Rollen einzuschränken. Dies ist insbesondere zum Testen von Rollenzuweisungen sehr hilfreich und nimmt jeder Benutzer selbst in seinem Profil vor.
Rollen
In dieser Tabelle sind alle dem Benutzer zugewiesenen Rollen gelistet. Die Spalte aktiv gibt zu erkennen, ob der Benutzer momentan bestimmte Rollen deaktiviert hat.
Benutzerkonto aktivieren bei vorhandener Person
Wenn eine Person bereits als CI vom CI-Typ "Person" angelegt wurde ist bei diesem CI der Haken "Benutzerkonto" zu aktivieren.
Wird diese Konfiguration bei einer einzelnen Person durchgeführt, so wurde dieses CI im Modus "CI-Detail-Sicht" geöffnet. In diesem Fall erscheinen bei Aktivierung des Hakens "Benutzerkonto" automatisch zwei zusätzlich Attributgruppen "Rollen" und "Benutzerkonto". Unter "Rollen" können gleich die Rollen verknüpft werden, die dieser Benutzer nutzen können soll.
Wird die Konfiguration per Mehrfachselektion für mehrere Person gleichzeitig durchgeführt, so im folgenden Dialog das Attribut "Benutzerkonto" wählen und aktivieren. Damit werden alle gewählten Personen zu Benutzern. Die Einstellung der Rolle muss dann gesondert durchgeführt werden.
Hinweis:
Die Verknüpfung von Rolle und Benutzer kann aus beiden Richtungen erfolgen. Einem Benutzer können Rollen zugeordnet werden, einer Rolle können Benutzer zugeordnet werden.
Benutzerkonto neu erstellen
Klicken Sie auf der Übersichtsseite auf die Schaltfläche "Erstellen". Damit öffnet sich die Maske zum Erstellen eines neuen CI, vom CI-Typ "Person".
Für die zu erstellende Person/Benutzer mindestens die Pflichtfelder "Name", "Vorname", "E-Mail-Adresse" ausfüllen. Weitere Attribute können optional jetzt oder später ausgefüllt werden.
Wählen Sie unter der Attributgruppe "Region" die "Sprache" und "Zeitzone" des Benutzers. Wenn der Benutzer sich in dot4 anmeldet, wird dem Benutzer die Oberfläche in der hier eingestellten Sprache angezeigt, er hat jedoch die Möglichkeit, die Sprache über sein Benutzermenü zu ändern. Die eingestellte Zeitzone dient der Berechnung der UTC-Zeitstempel für diesen Benutzer (z. B. um Zeit-Irritationen bei zeitzonenübergreifenden Benutzer-Zeitstempeln zu vermeiden). Hinweis: Die Zeitangaben in der Nutzeroberfläche werden den Benutzern basierend auf den Zeitangaben des verwendeten Browsers angezeigt (Zeitzone, Datum und Uhrzeit).
Bei aktivierten Haken "Benutzerkonto" kann unter der Attributgruppe "Rollen" die Verknüpfung mit den Rollen erfolgen, die dem Benutzer zugewiesen werden sollen. Hinweis: Die Rollen müssen ggf. vorher angelegt werden. Es ist jederzeit möglich, dem Benutzer weitere Rollen zuzuweisen oder zu entziehen.
Speichern Sie das erstellte CI vom Typ "Person".
Hinweis:
Da es pro Mandant immer einen Benutzer mit der Rolle "Administrator" geben muss, ist ein nicht möglich einem Benutzer die Administrator-Rolle zu entziehen, sofern es keinen zweiten Administrator gibt.
Tipp: Die Aktivierung/Deaktivierung des Attributs "Benutzerkonto" ist über den Workflow-Baustein "Aktion - Änderung" bzgl. des CI-Typ "Person" möglich. Somit ist die Steuerung von Benutzern aus Prozessen heraus automatisiert möglich.
Rollen
Eine Rolle wird in dot4 nicht als CI geführt, sondern ist eine rein administrative Funktion. Einer Rolle können einerseits die Berechtigungen im Mandanten zugeordnet werden und anderseits die Benutzer (Anmerkung: keine Personen). Die Rollen sind somit die Verbindungsstücke zwischen Benutzern und Berechtigungen. Hat ein Benutzer mehrere Rollen, verhalten sich die aus den Rollen resultierenden Berechtigungen kumulativ.
Unter Administration > Rollen & Berechtigungen > Rollen können in dot4 Rollen erstellt, bearbeitet, deaktiviert bzw. aktiviert und gelöscht werden. Im Bearbeitungs-Dialog können einer Rolle Benutzerkonten zugewiesen bzw. entzogen werden.
Hinweis:
Alle Änderungen im Bereich "Rollen" sind nach Speicherung sofort gültig, wirken sich aber bei zum Zeitpunkt der Speicherung auf dem Mandanten eingeloggten Benutzern erst aus, sobald diese sich erneut einloggen.
Die Übersichtsseite
Auf der Übersichtsseite werden alle auf dem Mandanten verfügbaren Rollen tabellarisch dargestellt. Ob die Rolle aktiviert ist, kann über die Spalte "Aktiv" (Werte: Ja/Nein) erkannt werden. Über die Spalte "System" (Werte: Ja/Nein) ist ersichtlich, ob es sich um eine mit dem System ausgelieferte System-Rolle handelt.
Hinweise:
System-Rollen können weder deaktiviert noch gelöscht werden
Neu angelegte Rollen sind per Default immer aktiviert
System-Rollen
Einige Rollen werden bereits systemseitig bereitgestellt. Diese System-Rollen können nicht deaktiviert und teils nur eingeschränkt bearbeitet werden.
Folgende Rollen werden als System-Rollen mit ausgeliefert:
Access-Manager (Diese Rolle hat Zugriff auf die Funktionen zur Verwaltung von Benutzern und Rollen).
Administrator (Diese Rolle hat Zugriff auf alle Funktionen des Systems, bis auf das Revisionslog).
Change-Manager (Diese Rolle hat Zugriff auf die Funktionen zur Verwaltung von Changes).
Configuration-Analyst (Diese Rolle hat Zugriff auf alle Funktionen zur Verwaltung von Configuration Items und der Configuration-Management-Administration).
Configuration-Verantwortliche (Diese Rolle hat Zugriff auf alle Funktionen zur Verwaltung von Configuration Items).
Incident-Manager (Diese Rolle hat Zugriff auf die Funktionen zur Verwaltung von Incidents).
Portal (Diese Rolle hat Zugriff auf das Portal und einige fest definierte Sonderrechte).
Problem-Manager (Diese Rolle hat Zugriff auf die Funktionen zur Verwaltung von Problemen).
Revisor (Diese Rolle hat Zugriff auf das Revisionslog).
Service-Manager (Diese Rolle hat Zugriff auf die Funktionen zur Verwaltung von Services).
Supporter (Diese Rolle hat Zugriff auf Seiten, die das Bearbeiten von Tickets ermöglicht).
Wissens-Manager (Wird benötigt, um Wissensdatenbankeinträge und Neuigkeiten zu verfassen, verwalten und veröffentlichen).
Hinweise:
System-Rollen können generell nicht deaktiviert werden
Name und Beschreibung von System-Rollen können nicht geändert werden
Die Rolle "Portal" hat teilweise fest mit dieser Rolle verbundene Berechtigungen und Funktionen
Die Rolle "Administrator" stellt eine besondere Rolle im Mandanten dar
Tipp: Sofern bestimmte System-Rollen nicht verwendet werden sollen, verknüpfen Sie diese nicht mit Benutzern.
Rolle erstellen
Klicken Sie auf der Übersichtsseite auf die Schaltfläche "Erstellen". Damit öffnet sich die Maske zum Erstellen einer neuen Rolle.
Vergeben Sie einen eindeutigen Namen und ggf. ein Beschreibung und Speichern die Rolle.
Der Rolle können dann unter der Attributgruppe "Benutzerkonten" die gewünschten Benutzer hinzugefügt werden.
Hinweis:
Die Berechtigungen der Rollen können an dieser Stelle nicht eingesehen oder zugeordnet werden.
Rolle bearbeiten / Benutzer-Zuweisung hinzufügen oder entfernen
Klicken Sie auf der Übersichtsseite mit einem Doppelklick auf die zu bearbeitende Rolle.
Im Detailfenster in den Bearbeitungs-Modus wechseln.
Unter der Attributgruppe "Benutzerkonten" die gewünschten Benutzer über die Schaltfläche "Zuweisen" hinzufügen oder vorhandenes Benutzerkonto auswählen und über die Schaltfläche "Löschen" die Zuweisung entfernen.
Die angepasste Rolle speichern.
Rolle löschen
Eine Rolle kann gelöscht werden, sofern es sich nicht um eine System-Rolle handelt. Sofern die Berechtigung "Löschen" unter Allgemeine Berechtigungen/ Administration/ Rollen & Berechtigungen/ Rollen gesetzt ist, erscheint bei Linksklick auf die Rolle in der Rollenübersicht der Lösch-Button. Die Rolle kann nur gelöscht werden, wenn es keine Abhängigkeiten wie z. B. zugeordnete Sicherheitsgruppen mehr gibt. Solange noch Abhängigkeiten existieren, werden diese bei der Löschanfrage detailliert gelistet und der Löschvorgang verhindert.
Sonderstellung der Rolle "Portal"
Die Rolle "Portal" hat eine Sonderstellung in einem dot4-Mandanten, da diese über fest verbundene Berechtigungen und Funktionen verfügt.
Bedingung: Benutzer mit "Portal"-Rolle ist kein Co- oder Key-User
Benutzer kann alle Tickets sehen und bearbeiten für die er als Anwender (Beziehung: „Person ist Anwender von Service Operation Ticket„) eingetragen ist.
Achtung: Portal Benutzer braucht für seine Tickets keine Ticket-Berechtigung (korrekt: CMDB-Berechtigungen)!
Bedingung: Benutzer mit "Portal"-Rolle ist Co- oder Key-User
Co- oder Key User können zu ihren eigenen Tickets auch alle Tickets von den Anwendern sehen und bearbeiten, für die sie als Co- oder Key- User eingetragen sind.
Benutzer mit "Portal"-Rolle kann in Ticket-Masken alle Select-Boxen und Relationsattribute ansehen und bearbeiten, wenn er zusätzlich für diese CIs die Anzeige-Rechte erhalten hat.
Hinweis: Entsprechende CMDB-Berechtigungen anlegen.
Benutzer mit "Portal"-Rolle kann im Profil alle Benutzer-Namen selektieren, die er als Co- User eintragen will
Achtung: Im Profil Portal ist deshalb das Anzeige-Recht für den CI-Typ "Person" als Default eingeschaltet
Benutzer mit "Portal"-Rolle kann im Arbeitsplatz alle CIs sehen, für die er als Endpunkt einer Beziehung definiert wurde.
Personengruppen
Personengruppen dienen der Gruppierung von Personen. Prozessual wird die beispielsweise dann relevant, wenn eine Aufgabe, eine Störung, ein Change o.ä. nicht einer einzelnen Person zugewiesen werden soll, sondern einer Gruppe von Personen.
Hinweis:
Personen, die zu einer Personengruppe zugeordnet werden, müssen nicht über ein aktiviertes Benutzerkonto verfügen. Damit eine Person sich allerdings am dot4-Mandanten anmelden und darin arbeiten kann, ist ein aktiviertes Benutzerkonto notwendig.
Die M:N-Beziehung "Personengruppe hat zugeordnet Person" ist von Relevanz im Kontext Personengruppe.
Unter Administration > Rollen & Berechtigungen > Personengruppen können in dot4 Personengruppen erstellt, bearbeitet und gelöscht werden.
Hinweis:
Die unter Administration > Rollen & Berechtigungen > Personengruppen aufgeführten CIs sind identisch mit den in der CMDB unter "Alle/Organisationen/Personengruppe".
Die Übersichtsseite
Auf der Übersichtsseite werden alle auf dem Mandanten vorhandenen Personengruppen tabellarisch dargestellt. Die entspricht den Configuration Items vom CI-Typ "Personengruppe".
Hinweis:
Systemseitig werden keine Personengruppen bereitgestellt
Es können beliebig viele Personengruppen benutzerseitig erstellt werden
Personengruppe erstellen
Klicken Sie auf der Übersichtsseite auf die Schaltfläche "Erstellen". Damit öffnet sich die Maske zum Erstellen eines neuen CI vom CI-Typ "Personengruppe".
Für die zu erstellende Personengruppe mindestens das Pflichtfeld "Name" ausfüllen. Weitere Attribute können optional jetzt oder später ausgefüllt werden.
Die erstellte Personengruppe speichern.
Tipp: Wählen Sie einen aussagekräftigen Namen für die Gruppe und beschreiben Sie die Personengruppe kurz (z. B. Zweck/Funktion der Personengruppe).
Personengruppe bearbeiten
Klicken Sie auf der Übersichtsseite mit einem Doppelklick auf die zu bearbeitende Personengruppe.
Im Detailfenster in den Bearbeitungs-Modus wechseln.
Änderungen in Detailfenster vornehmen z.B. Personen über die Beziehung "Personengruppe hat zugeordnet Person" verknüpfen.
Die angepasste Personengruppe speichern.
Tipp: Es ist möglich, mehrere Personengruppen gleichzeitig per Mehrfach-Selektion zu bearbeiten.
Person zu Personengruppe zuordnen
Personen stehen über die M:N-Beziehung "Personengruppe hat zugeordnet Person" in Beziehung zu Personengruppen.
Klicken Sie auf der Übersichtsseite mit einem Doppelklick auf die zu bearbeitende Personengruppe.
Im Detailfenster in den Bearbeitungs-Modus wechseln.
Unter der Attributgruppe "Beziehungen" mit der Schaltfläche "Erstellen" den Dialog zur Auswahl einer Beziehung wählen.
Die Beziehung "Personengruppe hat zugeordnet Person" auswählen
Per Einzel- oder Mehrfachselektion die Personen wählen, die der Personengruppe hinzugefügt werden sollen und Speichern.
Die angepasste Personengruppe speichern.
Hinweise:
Personen, die zu einer Personengruppe zugeordnet werden, müssen nicht über ein aktiviertes Benutzerkonto verfügen. Damit eine Person sich allerdings am dot4-Mandanten anmelden und darin arbeiten kann, ist ein aktiviertes Benutzerkonto notwendig.
Unter einer Personengruppe kann im Detailfenster unter der Attributgruppe "Beziehungen" auf die Beziehung "Personengruppe hat zugeordnet Person" gefiltert werden, um zu sehen, welche Person zugeordnet sind. Alternativ kann die grafische Beziehungsansicht zur nutzbar.
Die Zuweisung einer Person zu einer Personengruppe kann auch über die Person erfolgt.
Person aus Personengruppe entfernen
Personen stehen über die M:N-Beziehung "Personengruppe hat zugeordnet Person" in Beziehung zu Personengruppen.
Klicken Sie auf der Übersichtsseite mit einem Doppelklick auf die zu bearbeitende Personengruppe.
Im Detailfenster in den Bearbeitungs-Modus wechseln.
Unter der Attributgruppe "Beziehungen" auf die Beziehung "Personengruppe hat zugeordnet Person" filtern.
Eintrag für zu entfernende Person selektieren und über Schaltfläche "Löschen" die Beziehung entfernen
Die angepasste Personengruppe speichern.
Personengruppe löschen
Selektieren Sie auf der Übersichtsseite per Einfach- oder Mehrfach-Selektion die zu löschenden Personengruppe(n).
Über die Schaltfläche "Löschen" im Objekt-Menü die Personengruppe(n) löschen.
Es wird ein Warnhinweis angezeigt in dem Sie das Löschen nochmals bestätigen müssen.
Hinweis:
Bei Löschen einer Personengruppe werden die Beziehungen zu den Personen als auch weitere Beziehungen der Personengruppe ebenfalls gelöscht.
Beziehungen zu Personengruppe
Im Zusammenhang mit dem CI-Typ "Personengruppe" stehen folgende System-Beziehungstypen, die im Zusammenhang mit Funktionalitäten in den Prozessen verwendet werden:
Personengruppe bearbeitet Aufgabe
Personengruppe bearbeitet Change
Personengruppe bearbeitet Service Operation Ticket
Personengruppe bearbeitet Service Transition
Personengruppe hat Zugang zu Wissen
Authentifizierung
In diesem Bereich kann festgelegt werden, wie Benutzer (Hinweis: Person mit aktiviertem Benutzerkonto) sich am dot4-Mandanten authentifiziert. In einem dot4-Mandanten kann für jeden Benutzer die für ihn gültige Authentifizierungsmethode eingestellt werden.
Folgende Methoden stehen zur Verfügung:
Authentifizierung gegen dot4-DB mit Login per E-Mail-Adresse und Passwort (Default). Hinweis: Die Passwörter werden verschlüsselt in der dot4-Datenbank abgespeichert.
Externe Authentifizierung gegen Azure-AD und dann Single Sign On (SSO). Hinweis: Wenn dot4 als SaaS in der Cloud betrieben wird.
Externe Authentifizierung gegen ADFS und dann Single Sign On (SSO). Hinweis: Wenn dot4 On-Premises betrieben wird.
Hinweis:
Bei Nutzung von mehreren Mandanten auf einem dot4-System durch den gleichen Benutzer kann dieser in jedem Mandanten eine individuelle Authentifizierung haben.
Die Übersichtsseite
Auf der Übersichtsseite werden alle auf dem Mandanten aktivierten Benutzer dargestellt. Über die Spalte "Externe Authentifizierung" (Werte: Ja/Nein) ist erkenntlich, ob eine externe Authentifizierung für den Benutzer eingestellt ist. Wenn diese der Fall ist, ist in der Spalte "Authentifizierung durch" zu erkennen, ob per Entra ID oder Active Directory Federation Services (ADFS).
Authentifizierung für Benutzer festlegen
Benutzer in der Übersichtsseite per Einzel- oder Mehrfach-Selektion auswählen und über das Objekt-Menü "Ausgewählte Einträge bearbeiten" die Festlegung der Authentifizierung vornehmen.
Hinweise:
Bei einer On-Premises-Installation werden zur Anbindung von dot4 an ADFS folgende Parameter benötigt: AdfsAuthority (URL zu ADFS) und AdfsClientId
Bei einem SaaS-Mandanten muss die dot4-Applikation zusammen mit einem Azure-Administrator einmal als "trusted" im Entra ID des Kunden festgelegt werden, damit der dot4-Mandant die Benutzer-Logins gegen Entra ID verifizieren darf.
CMDB Berechtigungen
Die CMDB eines dot4-Mandanten beinhaltet eine Vielzahl unterschiedlicher CI-Kategorien und CI-Typen für diverse Anforderungen und Anwendungsfälle. In Umsetzung der ITIL-Anforderungen werden hier alle Objekte/Assets berücksichtigt, die im Rahmen eines IT Service Management (ITSM) oder gar Enterprise Service Management (ESM) eine Rolle spielen. So werden neben klassischen Assets wie Hardware und Software auch Organisationen (Firmen, Personen, Org-Einheiten,…), Services, Wissen (z.B. KB-Artikel), Dokumente (Verträge, Dokumentationen,…), Standorte (Räume, Gebäude, …) sowie prozessorientierte Objekte wie Tickets, Störungen, Changes, Aufgaben bereitgestellt. Die CMDB-Struktur ist dabei in jeglicher Hinsicht sowohl horizontal als auch vertikal anpassbar.
Neben der Möglichkeit, die bereits bei Auslieferung sehr ausgeprägte CMDB-Struktur an die Nutzeraufforderungen anzupassen, muss selbstverständlich auch die Zugriffsberechtigung der Benutzer auf diese Informationen gesteuert werden.
Unter Administration > Rollen & Berechtigungen > CMDB-Berechtigungen können mandantengebunden die rollenspezifischen Berechtigungen für die Configuration Items verwaltet werden. CMDB-Berechtigungen lassen sich auf den Ebenen der CI-Kategorien und/oder CI-Typen pro Rolle definieren.
Folgende vier Berechtigungen stehen für CI-Kategorien und CI-Typen zur Verfügung:
Anzeigen (Berechtigung zur Anzeige von CIs dieses CI-Typen)
Erstellen (Berechtigung zum Erstellen von CIs dieses CI-Typen)
Bearbeiten (Berechtigung zum Bearbeiten/Editieren von CIs dieses CI-Typen)
Löschen (Berechtigung zum Löschen von CIs dieses CI-Typen)
Hinweis: Bei Aktivierung der Berechtigungen "Erstellen", "Bearbeiten" und "Löschen" wird implizit die Berechtigung "Anzeigen" mit aktiviert. Verfügt eine Rolle neben der "Anzeigen"-Berechtigung über weitere Berechtigungen, kann die "Anzeigen"-Berechtigung dieser Rolle erst nach Entziehen aller anderen Berechtigungen entzogen werden.
CMDB-Berechtigungen vererben sich in der CMDB-Struktur stets von oben nach unten, also z. B. von CI-Oberkategorie zu CI-Unterkategorie zu CI-Typ. Die Vererbung kann jedoch unterbrochen werden, in dem auf unterliegender CI-Kategorie oder CI-Typ die Berechtigung anders eingestellt wird.
Bei Selektion einer CI-Kategorie oder eines CI-Typen in der CMDB-Struktur sind im rechten Fenster die Berechtigungen der jeweiligen Rollen einzusehen bzw. festzulegen. Weiterhin ist dort ersichtlich, ob die Berechtigungen von einer darüber liegenden CI-Kategorie geerbt wurden und von welcher oder ob auf der selektierten Ebene eine Individualisierung der Berechtigungen erfolgt ist.
Beispiel: CI-Typ/Kategorie Berechtigung geerbt von 'Alle'
Beispiel: CI-Typ/Kategorie Berechtigungen (Bedeutet: Individualisierung auf CI-Typ "Anforderungen")
Um die Einstellung der Berechtigungen auf einer selektiertern Ebene wieder auf den Defaultwert zurückzusetzen, mit dem Mauszeiger im linken Fenster (CMDB-Struktur) auf die selektierte Ebene zeigen. Über das dann angezeigte Symbol "Berechtigungen für diesen Typ oder diese Kategorie zurücksetzen" kann die Berechtigung zurückgesetzt werden. Damit wird dann wieder die Vererbung von der nächst höher liegenden CI-Kategorie übernommen.
Hinweis:
System-Rollen verfügen bereits per Default über CMDB-Berechtigungen, die dem Kontext der Rolle entsprechen.
Nutzerseitig erstellten Rollen müssen Berechtigungen zugewiesen werden.
Die CMDB-Berechtigungen für alle Rollen können frei definiert werden.
Wichtig:
Die CMDB-Berechtigungen ergänzen sich in UND-Knüpfung mit den Lebenszyklusklassen-Berechtigungen und (sofern aktiviert) den Sicherheitsgruppen-Berechtigungen.
Hat ein Benutzer mehrere Rollen, verhalten sich die aus den Rollen resultierenden Berechtigungen kumulativ.
CMDB Berechtigungen erteilen/entziehen
Unter Administration > Rollen & Berechtigungen > CMDB-Berechtigungen im Feld CI-Typen und -Kategorien das Datenmodell-Element selektieren, für das eine Berechtigung angepasst werden soll.
Klicken Sie auf "Bearbeiten".
Nehmen Sie durch Klicken der Berechtigungen-Symbole die Änderung(en) vor.
Speichern Sie die Änderung(en).
Hinweis:
Änderungen der Berechtigungen sind nach Speichern sofort gültig, wirken sich bei zum Zeitpunkt der Änderung auf dem Mandanten eingeloggten Benutzern aber erst aus, sobald diese sich erneut eingeloggt haben bzw. im Browser die Seite aktualisiert haben (z.B. per F5-Taste)
Allgemeine Berechtigungen
Unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen kann mandantengebunden eingesehen und konfiguriert werden, welche Rollen auf die berechtigungsrelevanten dot4-Bereiche im Einzelnen Zugriff haben. Überwiegend orientiert sich die dargestellte Struktur an der Menüstruktur von dot4.
Folgende vier Berechtigungen stehen in diesem Bereich zur Verfügung:
Anzeigen (Berechtigung zur Anzeige eines Menüpunkts und ggf. darunter verfügbarer Informationen/Elemente. Beispiel: Anzeige und Nutzung einer Berichtsvorlage)
Erstellen (Berechtigung zum Erstellen. Beispiel: Erstellen einer neuen Berichtsvorlage)
Bearbeiten (Berechtigung zum Bearbeiten/Editieren. Beispiel: Bearbeiten einer vorhandenen Berichtsvorlage)
Löschen (Berechtigung zum Löschen. Beispiel: Löschen einer vorhandenen Berichtsvorlage)
Hinweis: Bei Aktivierung der Berechtigungen "Erstellen", "Bearbeiten" und "Löschen" wird implizit die Berechtigung "Anzeigen" mit aktiviert. Verfügt eine Rolle neben der "Anzeigen"-Berechtigung über weitere Berechtigungen, kann die "Anzeigen"-Berechtigung dieser Rolle erst nach Entziehen aller anderen Berechtigungen entzogen werden.
Für die Menüpunkte unter folgenden Top-Level-Menüpunkten besteht die Möglichkeit, zu steuern, ob der Menüpunkt der jeweiligen Rolle zur Verfügung steht (also angezeigt wird) oder nicht:
"Launchpad"
"Portal"
"Task Management"
"Service Management"
"Service Operations"
"Changes"
"Knowledge Management"
"Configuration Management" (einige Menüpunkte haben erweiterte Berechtigungen)
"Berichte"
"Administration"
"Spezielle Berechtigungen"
Die Verfügbarkeit ("Anzeige") eines Menüpunkts umfasst oftmals nicht nur die Sichtbarkeit sondern ggf. auch eine weitere Berechtigung. Beispiel: Der Menüpunkt "Service Operations > Ticket erstellen" ermöglich für die betroffene Rolle das Erstellen von Tickets.
Für die Menüpunkte unter dem Top-Level-Menüpunkt "Berichte" stehen alle vier Berechtigungen zu Verfügung.
Unter dem Top-Level-Menüpunkt "Administration" stehen die Funktionen zur Administration/Konfiguration des dot4-Mandanten zur Verfügung. Es besteht keine Notwendigkeit "normalen" Endanwendern Berechtigungen in diesem Bereich über eine Rolle zu erteilen. Je nach Untermenüpunkt und entsprechender Funktionaliät steht hier die einfache "Anzeige"-Berechtigung bis hin zu allen vier Berechtigungen zur Verfügung.
Spezielle Berechtigung
Unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Spezielle Berechtigung erfolgt die Berechtigungsvergabe für Funktionen, die sich nicht direkt an der Menüstruktur von dot4 festmachen lässt.
Spezielle Berechtigung - Lebenszyklusklasse
Die, unter Administration > Configuration Management > CI-Lebenszyklusmodelle erstellbaren Lebenszyklusmodelle umfassen jeweils übergeordnete Lebenszyklusphasen und darunter die Lebenszyklusstatus. Lebenszyklusphasen und -status sind frei konfigurierbar und können damit pro dot4-Mandant sehr individuell sein. Jeder Lebenszyklusstatus muss einer der fünf fest vorgegebenen Lebenszyklusklassen ("Offen", "Neutral", "Aktiv", "Final", "Archiv", "Vorbereitung") zugeordnet werden.
Unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Spezielle Berechtigung > Lebenszyklusklasse kann pro Lebenszyklusklasse und Rolle festgelegt werden, ob mit dieser Rolle auf die Configuration Items (CIs) zugegriffen werden darf, die einer bestimmten Lebenszyklusklasse angehören. Dabei stehen die Berechtigungen "Anzeigen", "Bearbeiten" und "Löschen" zur Verfügung.
Beispiel: Die Rolle hat die Berechtigung, alle CIs für die sie berechtigt ist und die den Lebenszyklusklassen "Offen", "Neutral", "Aktiv" angehören, anzuzeigen und zu bearbeiten. Die CIs mit den Lebenszyklusklassen "Final" und "Archiv" darf diese Rolle nicht mehr anzeigen und hat auch sonst kein Recht auf diese CIs. Weiterhin hat die Rolle in allen Lebenszyklusklassen keine Berechtigung zum Löschen von CIs.
Hinweise:
Die Berechtigungen über die Lebenszyklusklassen beziehen sich auf Configuration Items und nicht auf Funktionen oder Menüpunkte in dot4.
Für CIs ohne zugeordnetes Lebenszyklusmodell greifen die hier definierten Berechtigungen nicht.
Das "Erstellen"-Recht ist nicht über die Lebenszyklusklassen steuerbar, da ein CI vor dem Erstellen noch keinen Lebenszyklus hat, der eine Berechtigungssteuerung übernehmen könnte.
Wichtig:
Die Lebenszyklusklassen-Berechtigungen ergänzen sich in UND-Knüpfung mit den sogenannten CMDB-Berechtigungen und (sofern aktiviert) den Sicherheitsgruppen-Berechtigungen.
Spezielle Berechtigung - CI Aktionen
Die Berechtigungen unter CI Aktionen beziehen sich vorwiegend auf das Ein/Ausblenden von Schaltflächen (Buttons) in Tabellen und den CI-Detailansichten. Somit kann pro Rolle gesteuert werden, ob bestimmte Funktionen/Schaltflächen den Benutzern mit dieser Rolle zur Verfügung gestellt werden. Folgende Berechtigungen können an dieser Stelle gesteuert werden:
Prozess erstellen und verknüpfen
Wirkung:
Aktiviert: In den CI-Details ist der Button für die "Prozess erstellen und verknüpfen" verfügbar.
Deaktiviert: In den CI-Details ist der Button für die "Prozess erstellen und verknüpfen" nicht verfügbar.
Anmerkung:
Ob und welche Prozesse dann für den Benutzer im folgenden Dialog zur Verfügung stehen wird an anderer Stelle konfiguriert
Bei Nutzung der Funktion "Prozess erstellen und verknüpfen" wird für das betroffene CI die Relation "CI startet Prozess" automatisch angelegt.
Beziehungsansicht anzeigen
Wirkung:
Aktiviert: In den Tabellenansichten (z.B. CMDB) und den CI-Details ist der Button für die grafische Beziehungsansicht verfügbar.
Deaktiviert: In der Tabellenansichten (z.B. CMDB) und den CI-Details ist der Button für die grafische Beziehungsansicht nicht verfügbar.
Folgen
Wirkung:
Aktiviert: In den Tabellenansichten (z.B. CMDB) und den CI-Details ist der Button für die Folgen-Funktion verfügbar.
Deaktiviert: In den Tabellenansichten (z.B. CMDB) und den CI-Details ist der Button für die Folgen-Funktion nicht verfügbar.
Starte Genehmigung
Wirkung:
Aktiviert: Oberhalb der CI-Details eines Changes oder Service Operration Tickets ist der Button für die "Genehmigung starten" verfügbar.
Deaktiviert: Oberhalb der CI-Details eines Changes oder Service Operration Tickets ist der Button für die "Genehmigung starten" nicht verfügbar.
Anmerkung:
Bei Nutzung der Funktion "Genehmigung starten" wird für das betroffene CI (Change) die Relation "Genehmigung genehmigt Configuration Item" automatisch angelegt.
Kopieren
Wirkung:
Aktiviert: In Tabellenansichten (z.B. CMDB, Service Operations, Service Portfolio, Knowledge Management) und den CI-Details ist der Button für die Kopieren-Funktion verfügbar.
Deaktiviert: In Tabellenansichten (z.B. CMDB, Service Operations, Service Portfolio, Knowledge Management) und den CI-Details ist der Button für die Kopieren-Funktion nicht verfügbar.
Vorlage hinzufügen
Wirkung:
Aktiviert: Oberhalb der CI-Details ist der Button für "Vorlage hinzufügen" verfügbar.
Deaktiviert: Oberhalb der CI-Details ist der Button für "Vorlage hinzufügen" nicht verfügbar.
Anmerkung:
Über die Funktion "Vorlage hinzufügen" kann sich der Benutzer die CI Detailansicht als persönlichen Favorit anlegen.
CI Typ ändern
Wirkung:
Aktiviert: Oberhalb der CI-Details ist der Button für "CI Typ ändern" verfügbar.
Deaktiviert: Oberhalb der CI-Details ist der Button für "CI Typ ändern" nicht verfügbar.
Anmerkung:
Die Funktion "CI Typ ändern" steht aber grundsätzlich für ein CI nur zur Verfügung, wenn dies auf der übergeordneten CI-Kategorie durch die Konfiguration festgelegt wurde.
Löschen
Wirkung:
Aktiviert: In Tabellenansichten (z.B. CMDB, Service Operations, Service Portfolio, Knowledge Management) und den CI-Details ist der Button für die Löschen-Funktion verfügbar.
Deaktiviert: In Tabellenansichten (z.B. CMDB, Service Operations, Service Portfolio, Knowledge Management) und den CI-Details ist der Button für die Löschen-Funktion nicht verfügbar.
Anmerkung:
Ob ein Benutzer tatsächlich ein CI löschen darf, wird über die CMDB-Berechtigungen, die Lebenszyklusklassen-Berechtigung und die Sicherheitsgruppen-Berechtigung gesteuert. Die hier beschriebene Berechtigung bezieht sich auch die Bereitstellung der Schaltfläche in der Oberfläche.
Sicherheitsgruppenzuordnung
Wirkung:
Aktiviert: In der Tabellenansichten (z.B. CMDB) und den CI-Details (unter der Attributgruppe "Sicherheitsgruppen") ist die Funktion für die Sicherheitsgruppen-Zuordnung verfügbar.
Deaktiviert: In der Tabellenansichten (z.B. CMDB) und den CI-Details (unter der Attributgruppe "Sicherheitsgruppen") ist die Funktion für die Sicherheitsgruppen-Zuordnung nicht verfügbar.
Anmerkung:
Die Berechtigung für die Kachel "Sicherheitsgruppen" unter "Administration > Rollen & Berechtigungen" wird an anderer Stelle konfiguriert.
Die Berechtigung für den Menüpunkt "Configuration Management > Sicherheitsgruppen" wird an anderer Stelle konfiguriert.
In Service Request umwandeln
Wirkung:
Aktiviert: Oberhalb der CI-Details ist der Button für "In Service Request umwandeln" verfügbar.
Deaktiviert: Oberhalb der CI-Details ist der Button für "In Service Request umwandeln" nicht verfügbar.
Anmerkung:
Diese Berechtigung wirkt sich auf die Schaltfläche "In Service Request umwandeln" aus. Die Berechtigung, dass der Benutzer einen Service Request oder Service erstellen darf, wird an anderer Stelle durch die Konfiguration festgelegt.
CI Lock
Wirkung:
Aktiviert: Der Benutzer hat das Recht, gesperrte Cis zu entsperren.
Deaktiviert: Der Benutzer hat kein Recht, gesperrte Cis zu entsperren.
Anmerkung:
Sollte ein CI in den CI-Details als "Gesperrt" angezeigt werden, so kann der Benutzer bei Klick auf den "Gesperrt"-Button einsehen, durch wenn das CI gesperrt ist. In diesem Dialog steht dann auch die Schaltfläche zum Entsperren zur Verfügung, wenn aktiviert.
Die grundsätzliche Funktion "CI Lock" wird an anderer Stelle konfiguriert.
Artikel aus Ticket erstellen
Wirkung:
Aktiviert: Oberhalb der CI-Details eines Service Operation Tickets ist der Button für die "Artikel aus aktuellem Ticket erstellen" verfügbar.
Deaktiviert: Oberhalb der CI-Details eines Service Operation Tickets ist der Button für die "Artikel aus aktuellem Ticket erstellen" nicht verfügbar.
Anmerkung:
Mit der Funktion "Artikel aus Ticket erstellen" kann aus einem Ticket ein KB-Artikel erstellt werden.
CI drucken
Wirkung:
Aktiviert: Oberhalb der CI-Details ist der Button für "Drucken" verfügbar.
Deaktiviert: Oberhalb der CI-Details ist der Button für "Drucken" nicht verfügbar.
Anmerkung:
Die Erstellung von Druckvorlagen wird an anderer Stelle durch die Konfiguration festgelegt.
Aufgabenplan starten
Wirkung:
Aktiviert: Oberhalb der CI-Details unter "Aktionen" ist der Button für "Aufgabenplan starten" verfügbar.
Deaktiviert: Oberhalb der CI-Details unter "Aktionen" ist der Button für "Aufgabenplan starten" nicht verfügbar.
Anmerkung:
Die Erstellung von Aufgabenplänen wird an anderer Stelle durch die Konfiguration festgelegt.
Spezielle Berechtigung - Arbeitszeiten
Die Erfassung von Arbeitszeiten steht bei Aktivierung bei allen CI-Typen über die Attributgruppe "Arbeitszeiten" zur Verfügung. Die grundsätzliche Aktiverung für eine Rolle kann unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Spezielle Berechtigung > Arbeitszeiten erfolgen.
Hinweis:
Damit die Attributgruppe und die zugehörigen Attribute in den CI-Details zur Verfügung stehen, sind diese in den CI-Ansichten für den gewünschten CI-Typ zu aktivieren.
Das Führen von Arbeitszeiten wird überwiegend für prozessbezogene CIs (Tickets, Aufgaben) genutzt, kann aber auch bei anderen CI-Typen je nach Anforderung genutzt werden.
Spezielle Berechtigung - SmartChange
Hier können die Berechtigungen für "Transport anlegen", "Neu zuweisen" und "Genehmigung" definiert werden.
Spezielle Berechtigung - Suche
Hier kann die Berechtigung, eine "Suche in allen Artikeln" durchführen zu dürfen, festgelegt werden.
Spezielle Berechtigung - Ticket-Listen automatisch aktualisieren
Unter Umständen kann es sinnvoll sein, die Ticket-Listen (Tabellenansichten) nach einigen Minuten bei bestimmten Benutzern automatisch neu laden zu lassen, zum Beispiel auf einem zentralen Bildschirm, auf dem direkt abteilungsweit kritische Tickets hochpoppen sollen.
Hierfür kann für die benötigte Rolle die spezielle Berechtigung "Ticket-Listen automatisch aktualisieren" vergeben werden. Die Dauer, nach wie vielen Minuten der Reload stattfindet, ist nicht konfigurierbar, sondern wird von REALTECH verwaltet.
API Authentifizierung
Die Rest-API-Endpunkte der dot4-Applikation sind vor unauthentifizierten Zugriffen geschützt. API-Keys werden benötigt, wenn externe Applikationen über Rest-API-Endpunkte auf einen dot4-Mandanten zugreifen möchten. API-Keys können ergänzend auf zugelassene Benutzer und dem Gültigkeitsende eingeschränkt werden.
Wichtig: Diese Schlüssel ersetzen die Authentifizierung durch Benutzerkonto/Kennwort; bewahren Sie deswegen die generierten Schlüssel sorgfältig und vor unbefugtem Zugriff geschützt auf.
Unter Administration > Rollen & Berechtigungen > API Authentifizierung können API Authentifizierung erstellt, bearbeitet und gelöscht werden.
Die Übersichtsseite
Auf der Übersichtsseite werden alle auf dem Mandanten erstellten API-Authentifizierungen tabellarisch aufgelistet. Über die Spalte "Typ" ist erkennbar, für welche Gruppe von Rest-API-Endpunkten des dot4-Mandanten der API-Key gültig ist. Weiterhin ist das "Ablaufdatum" sowie der Ersteller und das Erstelldatum einsehbar.
API Key erstellen
Klicken Sie auf der Übersichtsseite auf die Schaltfläche "Erstellen". Damit öffnet sich die Maske zum Erstellen eines neuen API Key.
Wählen Sie einen aussagekräftigen Namen für den API Key
Wählen Sie den Typ des API Keys
"Dot4Cmdb* für den Zugriff auf die CMDB durch z.B. den dot4EventClient
"Dot4Ticket" für den Zugriff auf die Rest-API-Endpunkte für das Ticket-Handling
Optional können Sie das Ablaufdatum des API Key festlegen (Hinweis: kann auch später geändert werden)
nach Verstreichen dieses Datums ist der Schlüssel nicht mehr gültig
bei leerem Feld ist der Schlüssel zeitlich unbeschränkt gültig.
Bei den API Keys vom Typ "Dot4Ticket" und "Dot4CMDB" können Sie optional einen oder mehrere Benutzer hinzufügen auf die die Nutzung des API Keys beschränkt wird.
Hinweis: Beim Zugriff auf die Rest-API-Endpunkte muss dann neben dem API Key auch die Benutzer-Authentifizierung mit einem hier angegebenen Benutzerkonto erfolgen.
Dann über die Schaltfläche "API Key erzeugen" den API Key erstellen. Im folgenden Fenster wird der Key einmalig angezeigt und kann dort kopiert werden.
Hinweis: Kopieren Sie den Schlüssel und bewahren Sie ihn sicher auf, da er nicht wieder abgerufen werden kann.
Hinweise:
Beim Zugriff auf die Rest-API-Endpunkte muss neben dem API Key auch der Benutzer (mit aktivem Benutzerkonto) mitgegeben werden. Erster Grund: falls der API-Key für die Nutzung auf bestimmte Benutzer eingeschränkt wurde. Zweiter Grund: damit für den mitgegebenen Benutzer für Ausführung der Funktionen geprüft werden kann, ob dieser auch die entsprechenden Berechtigungen hat.
API Key bearbeiten und löschen
Sie können beim Bearbeiten
den Namen ändern
den Typ ändern
das Ablaufdatum ändern
den/die Benutzer ändern Bestätigen Sie die Änderungen mit "OK".
API Key löschen
API Key in der Übersichtsseite selektieren und über das Objekt-Menü über die Schaltfläche "Löschen" löschen. Vor dem tatsächlichen Löschen des Schlüssels wird eine Warnung angezeigt, dass nach dem Löschen der gelöschte Schlüssel nicht mehr verfügbar ist.
Sicherheitsgruppen
Sicherheitsgruppen ermöglichen einerseits die reine Gruppierung von Configuration Items (Anmerkung: also ohne Sicherheits-Aspekt) als auch eine Erweiterung der Zugriffsteuerung von Benutzern auf Configuration Items (Anmerkung: also mit Sicherheits-Aspekt).
Hinweis:
Sicherheitsgruppen sind per Default in einem dot4-Mandanten nicht aktiviert und sollten wohl überlegt zum Einsatz kommen, da diese ggf. die Komplexität der Konfiguration/Zugriffsteuerung erhöhen.
Wichtig:
Die Sicherheitsgruppen-Berechtigungen, die CMDB-Berechtigungen und die Lebenszyklusklassen-Berechtigungen ergänzen sich in UND-Knüpfung.
Hat ein Benutzer mehrere Rollen, verhalten sich die aus den Rollen resultierenden Berechtigungen kumulativ.
Konfigurationsrechte bzgl. Sicherheitsgruppen
Im Zusammenhang mit Sicherheitsgruppen stehen drei Berechtigungen, die per Default nicht aktiviert sind.
Berechtigung "Sicherheitsgruppenadministration"
Berechtigung "Sicherheitsgruppenzuordnung"
Menüpunkt "Configuration Management > Sicherheitsgruppen"
Berechtigung "Sicherheitsgruppenadministration"
Welche Berechtigung eine Rolle bei der Verwaltung von Sicherheitsgruppen hat, muss vorab festgelegt werden unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Administration > Rollen & Berechtigungen > Sicherheitsgruppenadministration. Damit werden die Berechtigungen für die Verwaltung von Sicherheitsgruppen unter der Kachel "Administration > Rollen & Berechtigungen > Sicherheitsgruppen" festgelegt.
Folgende vier Berechtigungen zur Verwaltung von Sicherheitsgruppen stehen zur Verfügung:
Anzeigen (Berechtigung zur Anzeige von Sicherheitsgruppen)
Erstellen (Berechtigung zum Erstellen von Sicherheitsgruppen)
Bearbeiten (Berechtigung zum Bearbeiten/Editieren von Sicherheitsgruppen)
Löschen (Berechtigung zum Löschen von Sicherheitsgruppen)
Hinweis:
Bei Aktivierung der Berechtigungen "Erstellen", "Bearbeiten" und "Löschen" wird implizit die Berechtigung "Anzeigen" mit aktiviert. Verfügt eine Rolle neben der "Anzeigen"-Berechtigung über weitere Berechtigungen, kann die "Anzeigen"-Berechtigung dieser Rolle erst nach Entziehen aller anderen Berechtigungen entzogen werden.
Wichtiger Hinweis:
Es wird empfohlen, die Berechtigung zur Sicherheitsgruppenadministration nur Rollen zu erteilen, die den dot4-Mandanten konfigurieren sollen z.B. der Rolle Administrator.
Berechtigung "Sicherheitsgruppenzuordnung"
Diese Berechtigung steuert, dass in Tabellenansichten (z.B. CMDB) und den CI-Details (unter der Attributgruppe "Sicherheitsgruppen") die Funktion für die Sicherheitsgruppen-Zuordnung verfügbar ist.
Hinweis:
Ist diese Berechtigung aktiviert, kann der Benutzer ein CI einer Sicherheitsgruppen zuordnen, zu der er eine Berechtigung hat.
Unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Spezielle Berechtigung > CI Aktionen > Sicherheitsgruppenzuordnung kann die Berechtigung pro Rolle verwaltet werden.
Verwaltung von Sicherheitsgruppen
Sofern entsprechende Berechtigung vorhanden sind (s.o.), können unter der Kachel "Administration > Rollen & Berechtigungen > Sicherheitsgruppen" die Sicherheitsgruppen angezeigt, stellt, gelöscht, aktiviert/deaktiviert werden.
Anzeige von Sicherheitsgruppen
Auf der Übersichtsseite werden alle auf dem Mandanten erstellten Sicherheitsgruppen tabellarisch aufgelistet. Über die Tabellenansicht kann über die Schaltfläche "Details" im Objekt-Menü oder per Doppelklick in die Detailansicht einer Sicherheitsgruppe gewechselt werden.
Hinweis:
Die Kachel "Sicherheitsgruppen" sowie Tabelle werden nur angezeigt, wenn unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Configuration Management > Sicherheitsgruppen die Anzeige-Berechtigung erteilt wurde.
Erstellen einer Sicherheitsgruppe
Über die "Erstellen"-Schaltfläche oberhalb der Tabelle kann eine neue Sicherheitsgruppe erstellt werden. dargestellt.
Hinweis:
Die "Erstellen"-Schaltfläche steht nur zur Verfügung, wenn unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Configuration Management > Sicherheitsgruppen die Erstellen-Berechtigung erteilt wurde.
Löschen von Sicherheitsgruppen
Auf der Übersichtsseite können in der Tabellenansicht eine oder mehrere Sicherheitsgruppen über die Schaltfläche "Löschen" im Objekt-Menü gelöscht werden.
Hinweis:
Die "Löschen"-Schaltfläche steht nur zur Verfügung, wenn unter Administration > Rollen & Berechtigungen > Allgemeine Berechtigungen > Configuration Management > Sicherheitsgruppen die Löschen-Berechtigung erteilt wurde.
Bearbeiten von Sicherheitsgruppen
In der Tabellenansicht über die Schaltfläche "Bearbeiten" im Objekt-Menü oder per Doppelklick in die Detailansicht einer Sicherheitsgruppe wechselt.
Pro Rolle können für die bearbeitete Sicherheitsgruppe folgende Berechtigungen festgelegt werden:
Anzeigen (Berechtigung zur Anzeige von CIs, die dieser Sicherheitsgruppe zugeordnet sind)
Bearbeiten (Berechtigung zum Bearbeiten/Editieren von CIs, die dieser Sicherheitsgruppe zugeordnet sind)
Löschen (Berechtigung zum Löschen von CIs, die dieser Sicherheitsgruppe zugeordnet sind)
Initiale Gruppenzuordnung (Berechtigung zur Zuordnung von CIs zu dieser Sicherheitsgruppe bei der Erstellung von CIs)
Hinweis:
Bei Aktivierung der Berechtigungen "Bearbeiten" und "Löschen" wird implizit die Berechtigung "Anzeigen" mit aktiviert. Verfügt eine Rolle neben der "Anzeigen"-Berechtigung über weitere Berechtigungen, kann die "Anzeigen"-Berechtigung dieser Rolle erst nach Entziehen aller anderen Berechtigungen entzogen werden.
Die Berechtigung "Initiale Gruppenzuordnung" beinhaltet nicht implizit die Berechtigung "Anzeigen". So könnte ein Benutzer ein CI erzeugen und dabei einer Sicherheitsgruppe zuweisen, ohne das er nach dem Speichern selber diese CI anzeigen kann.
Wichtiger Hinweis:
Es wird empfohlen, der Rolle Administrator keinerlei Berechtigungen auf eine der Sicherheitsgruppen zu geben, da damit die Berechtigungen auf alle CIs, die nicht dieser Sicherheitsgruppe zugeordnet sind, für diese Rolle sofort verloren gehen. Damit wäre die Rolle Administrator sehr eingeschränkt in der Anzeige und Zuweisung von CIs zu Sicherheitsgruppen
Zuordnung von CIs zu Sicherheitsgruppen
Die Zuordnung von CIs zu Sicherheitsgruppen kann (bei entsprechender Berechtigung) über folgende Wege erfolgen:
Ein vorhandenes CI wird manuell durch einen Benutzer einer (weiteren) Sicherheitsgruppe zugeordnet oder die Zuordnung entzogen.
Beim Import von CI werden diese einer (weiteren) Sicherheitsgruppe zugeordnet oder die Zuordnung entzogen. Die Zuordnung kann so gesteuert werden, dass diese nur beim Neuerstellen des CIs über den Import erfolgt oder auch beim wiederholten Import des CIs. Anmerkung: Hierbei wird keine Rolle/Benutzer-Berechtigung berücksichtigt.
Über den Workflow-Baustein "Aktion Sicherheitsgruppen" kann ein CI einer (weiteren) Sicherheitsgruppe zugeordnet werden, eine komplett neue Sicherheitsgruppen-Zuordnung erfolgen oder alle Sicherheitsgruppen-Zuordnungen gelöscht werden. Anmerkung: Hierbei wird keine Rolle/Benutzer-Berechtigung berücksichtigt.
Über die Zuständigkeiten-Zuordnung im Bereich Service Operations kann eine automatische Zuordnung von Cis (Tickets) zu Sicherheitsgruppen erfolgen.
_______________
Co- und Key-User-Funktionalität
Co- und Key-User sind Anwender, die auf Anwenderebene die Berechtigung haben, andere Tickets als ihre eigenen zu sehen und zu editieren:
Co-User: Ist berechtigt, die Tickets eines anderen Anwenders zu sehen und zu editieren
Key-User: Ist berechtigt, die Tickets der Anwender einer bestimmten Organisation (z.B. Unternehmen, Abteilung, Personengruppe) zu sehen und zu editieren.
Ein Benutzer, der berechtigt ist, Benutzerkonten zu editieren, kann für einen beliebigen Benutzer Co-User und/oder Key User definieren. Ein Co- bzw. Key-User kann alle Tickets des Benutzers in seinem Portal sehen und editieren.
Ein Co-User wird über die Beziehung "ist Co-User von" definiert. Die Beziehung ist von Person zu Person (Co-User) N:M.
Ein Key-User wird über die Beziehung "ist Key-User von" definiert. Die Beziehung ist von Person(Key-User) zu Organisation N:M.
Achtung
Die User, für die ein Key-User zuständig ist, werden nur über die Relationen
- Unternehmen hat Mitarbeiter Person
- Abteilung beinhaltet Person
- Personengruppe hat zugeordnet Person
Co- und Key-User erhalten alle Mails, die der Benutzer des Tickets auch bekommt.
Co-User einrichten/zuweisen
Gehen Sie in das Benutzerkonto
Öffnen Sie in den Bearbeiten-Modus. Klicken Sie hierfür auf den Button "Bearbeiten".
Scrollen Sie nach unten zu den Beziehungen und fügen Sie über "+" eine neue Beziehung hinzu.
Wählen Sie die Beziehung "Person ist Co-User für Person" aus und bestätigen Sie Ihre Auswahl mit "Speichern".
Speichern Sie Ihre Einstellungen im Benutzerkonto über "Speichern" ab.
Key User einrichten/zuweisen
Gehen Sie in das Benutzerkonto.
Öffnen Sie in den Bearbeiten-Modus. Klicken Sie hierfür auf auf den Button "Bearbeiten".
Scrollen Sie nach unten zu den Beziehungen und fügen Sie über "+" eine neue Beziehung hinzu.
Wählen Sie die Beziehung "Person ist Key User für Organisation" aus und bestätigen Sie Ihre Auswahl mit "Speichern".
Speichern Sie Ihre Einstellungen im Benutzerkonto über "Speichern" ab.