Berechtigungen zum Ausführen von Methoden
Wird eine Methodendefinition mit einer Programmfunktion (Tabelle QBMMethodHasFeature) versehen, so kann ein Benutzer diese Methode nur noch ausführen, wenn er auch die nötige Programmfunktion über seine Berechtigungsgruppen besitzt. Besitzt der Benutzer die Programmfunktion nicht, so wird beim Ausführungsversuch eine Fehlermeldung geworfen.
Um eine Methodendefinition über eine Programmfunktion an Benutzer zur Verfügung zu stellen
-
Erstellen Sie eine neue Programmfunktion.
-
Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.
-
Wählen Sie den Menüeintrag Objekt > Neu.
-
Erfassen Sie die folgenden Informationen:
-
Programmfunktion: Bezeichnung der Programmfunktion.
-
Beschreibung: Kurze Beschreibung der Programmfunktion.
-
Funktionsgruppe: Merkmal zu Gruppierung von Programmfunktionen.
-
Verbinden Sie die Programmfunktion mit den Methodendefinitionen, die die Benutzer auslösen sollen.
-
Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.
-
Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle QBMMethodHasFeature.
-
Wählen Sie im Listeneditor die neu erstellte Programmfunktion.
-
Weisen Sie in der Bearbeitungsansicht Methoden die Methodendefinitionen zu.
-
Weisen Sie die Programmfunktion an die kundenspezifische Berechtigungsgruppe zu, deren Systembenutzer die Methoden ausführen sollen.
-
Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.
-
Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogGroupHasFeature.
-
Wählen Sie im Listeneditor Ihre neu erstellte Programmfunktion.
-
Weisen Sie in der Bearbeitungsansicht Berechtigungsgruppe die Berechtigungsgruppe zu.
-
Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.
Verwandte Themen
Berechtigungen zum Auslösen von Prozessen
Die grundlegende Berechtigung zum Auslösen von Prozessen erhält der angemeldete Benutzer über die Programmfunktion Common_TriggerEvents.
Im One Identity Manager ist das Auslösen von Ereignissen an den hinterlegten Prozessen mit dem Berechtigungskonzept verbunden. Benutzer dürfen nur an solchen Objekten Ereignisse auslösen, für die Sie auch Bearbeitungsberechtigungen besitzen. Dies kann dazu führen, dass Benutzer an Tabellen, für die nur Sichtbarkeitsberechtigungen definiert sind, keine zusätzlichen Ereignisse für Prozesse auslösen können.
Für diesen Fall gibt es die Möglichkeit die Objektereignisse (Tabelle QBMEvent) mit einer Programmfunktion (Tabelle QBMFeature) zu verbinden. Ein Ereignis (Tabelle JobEventGen), welches für einen Prozess definiert wird, wird mit einem Objektereignis (Spalte JobEventGen.UID_QBMEvent) verknüpft. Das Objektereignis wird mit einer Programmfunktion (Tabelle QBMEventHasFeature) verbunden. Benutzer mit dieser Programmfunktion können, unabhängig von ihren Berechtigungen, das Objektereignis und damit auch den Prozess auslösen.
TIPP: Die Programmfunktion Common_TriggerSpecificEvents ermöglicht das Auslösen bestimmter Ereignisse vom Frontend aus. Diese Programmfunktion können Sie an kundenspezifische Objektereignissen zuweisen, die jeder Benutzer auslösen können soll. Die Programmfunktion ist der Berechtigungsgruppe QBM_BaseRight zugewiesen.
Um das Auslösen eines Prozesses über eine Programmfunktion zu steuern
-
Erstellen Sie eine neue Programmfunktion.
-
Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.
-
Wählen Sie den Menüeintrag Objekt > Neu.
- Erfassen Sie die folgenden Informationen:
-
Programmfunktion: Bezeichnung der Programmfunktion.
-
Beschreibung: Kurze Beschreibung der Programmfunktion.
-
Funktionsgruppe: Merkmal zu Gruppierung von Programmfunktionen.
-
Verbinden Sie die Programmfunktion mit den Objektereignissen, die die Benutzer auslösen sollen.
-
Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.
-
Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle QBMEventHasFeature.
-
Wählen Sie im Listeneditor die neu erstellte Programmfunktion.
-
Weisen Sie in der Bearbeitungsansicht Objektereignis die Objektereignisse zu.
-
Weisen Sie die benötigten Programmfunktionen an die kundenspezifische Berechtigungsgruppe zu, deren Systembenutzer die Ereignisse auslösen sollen.
-
Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.
-
Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogGroupHasFeature.
-
Wählen Sie im Listeneditor mit Strg + Auswahl Ihre neu erstellte Programmfunktion und die Programmfunktion Common_TriggerEvents.
-
Weisen Sie in der Bearbeitungsansicht Berechtigungsgruppe die Berechtigungsgruppe zu.
-
Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.
Verwandte Themen
Berechtigungen zum Ausführen von Aktionen im Launchpad
One Identity Manager liefert eine Reihen von Launchpad Aktionen, die Sie zum Starten von Anwendungen über das Launchpad verwenden können. Bei Bedarf können Sie auch eigene Anwendungen über Launchpad Aktionen starten.
Sollen Aktionen im Launchpad nicht für alle Benutzer verfügbar sein, steuern Sie die Berechtigungen über die Zuweisung von Launchpad Aktionen an Programmfunktionen (Tabelle QBMLaunchActionHasFeature). Es werden nur die Aufgaben im Launchpad angezeigt, deren Aktionen ein Benutzer über seine Programmfunktion ausführen darf.
Um eine Programmfunktion an Launchpad Aktionen zuzuweisen
-
Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.
-
Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle QBMLaunchActionHasFeature.
-
Wählen Sie im Listeneditor die Programmfunktion.
-
Weisen Sie in der Bearbeitungsansicht Launchpad Aktion die Aktionen zu.
-
Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.
One Identity Manager Authentifizierungsmodule
Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Berechtigungsgruppen die Benutzeroberfläche und die Berechtigungen auf Ressourcen der Datenbank.
-
Für die Anmeldung an den One Identity Manager-Werkzeugen mit einem Authentifizierungsmodul, das einen definierten Systembenutzer erwartet, werden die Berechtigungen aus den Berechtigungsgruppen ermittelt, die dem Systembenutzer zugewiesen sind.
-
Für die Anmeldung an den One Identity Manager-Werkzeugen mit rollenbasierten Authentifizierungsmodulen werden dynamische Systembenutzer verwendet. Bei der Anmeldung einer Identität werden zunächst die Mitgliedschaften der Identität in den One Identity Manager Anwendungsrollen ermittelt. Über die Zuordnung der Berechtigungsgruppen zu One Identity Manager Anwendungsrollen wird bestimmt, welche Berechtigungsgruppen für die Identität gültig sind. Aus diesen Berechtigungsgruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Identität benutzt wird.
Um ein Authentifizierungsmodul zur Anmeldung zu verwenden, sind folgende Voraussetzungen zu erfüllen:
-
Das Authentifizierungsmodul muss aktiviert sein.
-
Das Authentifizierungsmodul muss der Anwendung zugewiesen sein.
-
Die Zuweisung des Authentifizierungsmoduls zur Anwendung muss aktiviert sein.
Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenen Anwendungen möglich. Stellen Sie sicher, dass die Benutzer, die durch das Authentifizierungsmodul ermittelt werden, auch die benötigten Programmfunktionen besitzen, die Anwendung zu benutzen.
HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die Authentifizierungsmodule Systembenutzer und Component Authenticator sowie die rollenbasierten Authentifizierungsmodule aktiviert.
Für die Anmeldung am Designer verwenden Sie nicht-rollenbasierte Authentifizierungsmodule. Rollenbasierte Authentifizierungsmodule werden für die Anmeldung am Designer nicht unterstützt.
HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.
Verwandte Themen