Das im vorhergehenden Beispiel beschriebene Szenario wird so erweitert, dass nur der Kostenstellenverantwortliche das Austrittsdatum einer Identität sehen darf. Dazu erweitern Sie das Kontaktdatenformular um das Eingabefeld Austrittsdatum.
Die Steuerung der Sichtbarkeit und Bearbeitbarkeit erfolgt über die Berechtigungen. Richten Sie einen neuen Systembenutzer dlg_kst ein und nehmen Sie diesen in die Berechtigungsgruppen vi_DE-CentralPwd, vi_DE-ITShopOrder und WebShop_Customer_Grp auf. Dem Systembenutzer geben Sie zusätzlich die Sichtbarkeitsberechtigung und die Bearbeitungsberechtigung auf die Spalte Person.Exitdate.
Die Konfigurationsdaten der Anwendung erweitern Sie so, dass die Kostenstellenverantwortlichen den Systembenutzer dlg_kst zur Anmeldung verwenden. Alle anderen Identitäten nutzen den Systembenutzer dlg_all zur Anmeldung.
Die Konfigurationsdaten passen Sie wie folgt an:
<DialogUserDetect>
<Usermappings>
<Usermapping
DialogUser = "dlg_kst"
Selection = "select 1 where %uid% in (select uid_personhead from profitcenter)"
/>
<Usermapping
/>
</Usermappings>
</DialogUserDetect>
Für die Zuordnung von Funktionsgruppen zu Berechtigungsgruppen müssen Sie zwei Datenbanksichten definieren. Die erste Datenbanksicht liefert die Zuordnung der Identitäten zu Funktionsgruppen. Die Datenbanksicht enthält die zwei Spalten UID_Person und FunctionGroup.
Beispiel:
create view custom_Person2Fu as
select uid_personHead as UID_Person, 'Kostenstellenverantwortliche' as FunctionGroup
from Profitcenter
where isnull(uid_personHead, '') > ' '
union all
select uid_personHead, 'Abteilungsleiter' as FunctionGroup
from Department
where isnull(uid_personHead, '') > ' '
Die zweite Datenbanksicht nimmt die Zuordnung der Funktionsgruppen zu den Berechtigungsgruppen vor. Diese Datenbanksicht enthält die zwei Spalten FunctionGroup und DialogGroup.
Beispiel:
create view custom_Fu2D as
select 'Kostenstellenverantwortliche' as FunctionGroup, '<UID_Custom_Dialoggroup_ChefP>' as DialogGroup
union all select 'Abteilungsleiter', '<UID_Custom_Dialoggroup_ChefD>'as DialogGroup
Richten Sie rollenbasierte Berechtigungsgruppen mit den notwendigen Berechtigungen ein.
TIPP: Eine rollenbasierte Berechtigungsgruppe kann von nicht-rollenbasierten Berechtigungsgruppen erben. Somit können Sie eine Vererbungshierarchie aufbauen, um die Berechtigungen einfacher zu vergeben.
Die Konfigurationsdaten zur Zuordnung von Funktionsgruppen zu Berechtigungsgruppen passen Sie wie folgt an:
<DialogUserDetect>
<FunctionGroupMapping
PersonToFunction = "custom_Person2Fu"
FunctionToGroup = "custom_Fu2D"
/>
</DialogUserDetect>
Bei der Anmeldung eines Benutzers erfolgt eine Gültigkeitsprüfung. Über Einstellungen können Sie zusätzlich konfigurieren.
-
Um zu verhindern, dass Benutzer mit ihren bestehenden Verbindungen arbeiten, wenn sie seit ihrer Anmeldung deaktiviert wurden, führt das System zusätzliche Gültigkeitsprüfungen im definierten Zeitabstand aus. Die Prüfung erfolgt bei der nächsten Aktion auf der Verbindung nach einem festgelegten Intervall von 20 Minuten.
Das Intervall können Sie über den Konfigurationsparameter Common | Authentication | CheckInterval anpassen. Bearbeiten Sie den Konfigurationsparameter im Designer.
-
Die Anzahl der Sitzungen, die ein Benutzer innerhalb kurzer Zeit öffnen darf, ist begrenzt auf 10 Sitzungen in einer Minute.
Ist die Anzahl überschritten, erhält der Benutzer eine Fehlermeldung:
Sie haben sich in der letzten Minute zu häufig angemeldet. Bitte warten Sie einen Moment mit einer Neuanmeldung.
Bei lokaler Anmeldung erfolgt die Prüfung je Frontend. Bei Anmeldung über den Anwendungsserver erfolgt die Prüfung je Anwendungsserver.
Die Anzahl der Sitzungen können Sie über den Konfigurationsparameter Common | Authentication | SessionsPerUserAndMinute anpassen. Bearbeiten Sie den Konfigurationsparameter im Designer.
-
Legen Sie über den Konfigurationsparameter QBM | AppServer | SessionTimeout den Zeitraum in Stunden fest, nach dem nicht mehr benutzte Sitzungen eines Anwendungsservers geschlossen werden. Der Standardwert ist 24 Stunden. Bearbeiten Sie den Konfigurationsparameter im Designer.
Die Authentifizierungsmodule OAuth2.0/OpenID Connect und OAuth2.0/OpenID Connect (rollenbasiert) unterstützen den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.
Um die OAuth2.0/OpenID Connect Authentifizierung zu nutzen
-
Erstellen Sie im Designer den Identitätsanbieter und die OAuth2.0/OpenID Connect Anwendungen beim Identitätsanbieter. Dazu wird im Designer ein Assistent angeboten.
-
Weisen Sie den Webanwendungen die OAuth2.0/OpenID Connect Anwendung zu.