1 Themenübersicht
Dieses Dokument beschreibt die Funktionsweise der Authentifizierung und der Berechtigungen in Comarch ERP Enterprise.
- Authentifizierung:
Mit der Authentifizierung wird die Identität eines Benutzers bei der Anmeldung an das ERP-System überprüft. Die Überprüfung findet durch den ERP-System-Application-Server (SAS) statt.
- Berechtigungen:
Durch Berechtigungen wird im ERP-System für einen angemeldeten Benutzer festgelegt, welche Funktionen im System aufgerufen und welche Objekte mit diesen Funktionen bearbeitet werden können. Berechtigungen können für die Benutzer individuell eingerichtet werden. Mit Berechtigungen können Sie die Verwendung von Anwendungen, Berichten, Business Entitys und des Knowledge Stores steuern. Mit Oberflächenelement-Berechtigungen können Sie den Zugriff auf Elemente der grafischen Oberfläche einschränken.
Hinweis:
Authentifizierung und Berechtigungen sind nicht notwendigerweise miteinander verknüpft. Dadurch ist möglich, dass ein Benutzer sich anmelden, jedoch nach der Anmeldung keine Anwendung öffnen kann. In diesem Fall ist der Authentifizierungsprozess erfolgreich verlaufen, jedoch fehlen dem Benutzer Berechtigungen für Anwendungen.
Hinweis:
Zum Einrichten von Berechtigungen steht Ihnen die Dokumentation „Berechtigungselemente zur Vergabe von Berechtigungen für Mitarbeiter und Geschäftspartner“ zur Verfügung. Darin finden Sie Hinweise zu den verschiedenen Elementen, mit denen Sie Berechtigungen vergeben können, und erforderlichen Berechtigungen, damit ein Benutzer die gewünschten Anwendungen und Daten sehen oder bearbeiten kann.
2 Zielgruppe
- Administratoren
- Technische Berater
- Datenschutzbeauftragte
3 Begriffsbestimmung
Authentifizierung
Für den Umgang mit Comarch ERP Enterprise muss ein Benutzer dem System bekannt sein, sodass bei einer System-Anmeldung seine Identität geprüft werden kann. Bei der Anmeldung an den ERP-System-Application-Server erfolgt die Authentifizierung durch ein Client-Zertifikat, einen Windows-Benutzernamen oder Ähnliches. Authentifizierte Benutzer erhalten eine Session. Bei einer fehlerhaften Authentifizierung kann der Benutzer Comarch ERP Enterprise nicht starten.
Benutzer
Die Bezeichnung „Benutzer“ trifft zu auf eine Person, die ein Comarch-ERP-Enterpise-System benutzt, und ein System, das mit einem Comarch-ERP-Enterpise-System kommuniziert. Mit der Anlage eines Benutzers in einem beliebigen Comarch-ERP-Enterpise-System wird ihm ein Zugang zum System ermöglicht. Dieser Zugang erfolgt z. B. aufgrund eines Zertifikates, welches die Echtheit eines Benutzers überprüft. Die Benutzerdaten werden in der Konfigurations-Datenbank gespeichert und sind für alle Comarch-ERP-Enterpise-Systeme gültig, die mit dieser Konfigurations-Datenbank arbeiten. Nachdem ein Benutzer erfasst wurde, ist ihm eine Berechtigungsrolle zuzuweisen, über die er Berechtigungen erhält.
Benutzergruppe
Die Benutzergruppe fasst mehrere Benutzer zu einer Gruppe mit dem gleichen Merkmal zusammen. Die Benutzergruppe wird für die einfache Pflege der Berechtigungsrolle verwendet.
Berechtigung
Eine Berechtigung umfasst folgende Informationen: Welche Berechtigungsrolle darf auf welcher Berechtigungsebene welche Aktion für ein Objekt ausführen, oder nicht ausführen.
Berechtigungsebene
Comarch ERP Enterprise arbeitet mit einem mehrstufigen Berechtigungskonzept. Berechtigungen sind generell auf verschiedenen Ebenen zu vergeben. Dadurch können für einzelne oder mehrere Objekte Berechtigungen gleichzeitig vergeben werden.
Beispiel:
Für Anwendungen stehen drei Ebenen für die Berechtigungsvergabe zur Verfügung: die Ebene „Anwendung”, die Ebene „Framework” und die Ebene „Alle Frameworks”. Dadurch kann eine Berechtigung nur für einzelne Anwendungen oder für alle Anwendungen eines Frameworks oder für alle Anwendungen in allen Frameworks vergeben werden.
Berechtigungsobjekt
Das Berechtigungsobjekt ist ein Objekt, für das eine Berechtigung festgelegt werden kann. Dazu zählen z. B. Anwendungen, Berichte, ausgewählte Business Entitys, Knowledge-Store-Dateien und -Ordner. Auch gruppierende Objekte, wie Frameworks und Business-Entity-Gruppen, sind Berechtigungsobjekte.
Berechtigungsrolle
Damit ein Benutzer Zugriff auf Objekte im System erhält, ist er einer Berechtigungsrolle zuzuordnen. Einer Berechtigungsrolle werden Berechtigungen zugewiesen. Der Benutzer erhält also die gewünschten Berechtigungen über eine Berechtigungsrolle.
Business-Entity-Gruppe
Eine Business-Entity-Gruppe umfasst mehrere Business Entitys. Sie dient der vereinfachten Vergabe von Berechtigungen. Eine Berechtigung gilt dann für alle Business Entitys dieser Gruppe. Alle Business Entitys einer Gruppe existieren auf den gleichen Datenbanken. Ein Business Entity kann ausschließlich zu einer Business-Entity-Gruppe gehören.
Fähigkeit
Eine Fähigkeit beschreibt eine Aktion für den Umgang mit einem bestimmten Objekt-Typ, die mit einer Berechtigung verknüpft ist. So sind zum Beispiel für ein Business Entity die Fähigkeiten „Öffnen”, „Neu”, „Ändern”, „Löschen” und „Berechtigungen anzeigen/ändern” definiert. Zusätzlich kann ein Anwendungsentwickler weitere Fähigkeiten definieren, wie zum Beispiel „Entwicklungsaufgabe aktivieren”, um ihnen eine Berechtigung zuzuweisen.
Fähigkeitsklasse
Die Fähigkeitsklasse umfasst eine Menge von Fähigkeiten. Sie wird gebildet, um die Pflege von Berechtigungen zu vereinfachen. Jede Fähigkeit ist genau einer Fähigkeitsklasse zugeordnet. Es gibt drei Fähigkeitsklassen: Standard, Erweitert, Administrativ. Erweitert umfasst alle Fähigkeiten von Standard und zusätzliche Fähigkeiten, wie zum Beispiel „Löschen”. Administrativ umfasst wiederum die Fähigkeitsklasse Erweitert und darüber hinaus beispielsweise die Fähigkeit „Berechtigungen ändern”.
Framework
Für den Benutzer symbolisiert ein Framework ein Themengebiet, in dem verwandte Anwendungen und Berichte gruppiert sind. Zum Beispiel gehören die Anwendungen Beschaffungsaufträge und Beschaffungs-Auftragsarten zum Framework Beschaffung.
Aus der Sicht des Anwendungsentwicklers definiert ein Framework eine abstrakte Software-Architektur, die als Lösung für eine Gruppe von verwandten Problemen wieder verwendet werden kann. Ein Framework bestimmt entscheidend die Architektur einer Anwendung. Dazu bietet ein Framework einen Entwicklungsrahmen mit besonders großen wieder verwendbaren Einheiten. Der Anwendungsentwickler beschränkt sich darauf, einzelne Bestandteile zu modifizieren oder Erweiterungen hinzuzufügen. Die Steuerung der Anwendungsabläufe bleibt dem Framework gemäß Hollywood-Prinzip („Don’t call us, we call you”) vorbehalten.
4 Authentifizierung
Die Authentifizierung eines Benutzers erfolgt unter Verwendung von Zertifikaten oder Kennworten. Der ERP-System-Application-Server authentifiziert sich gegenüber dem Client mit einem Server-Zertifikat. Ein Benutzer authentifiziert sich gegenüber dem Server mit einem Zertifikat oder mit einem Benutzernamen und Kennwort. Bei der Verwendung von Zertifikaten wird der öffentliche Teil eines Zertifikats in der Systemkonfiguration hinterlegt. Bei der Verwendung von Kennworten wird ein Digest aus Benutzer und Kennwort in der Systemkonfiguration hinterlegt. Über den Authentifizierungsvorgang wird die Zuordnung zwischen einem erfassten Benutzer im System und einem Benutzer, der sich an das ERP-System anmeldet, vorgenommen. Die Daten von Benutzern und Benutzergruppen sind in der Systemkonfigurations-Datenbank gespeichert.
Benutzer und Benutzergruppen werden mithilfe der Anwendung „Systemcockpit“ festgelegt und in der Systemkonfigurations-Datenbank abgelegt. Die Daten der Systemkonfigurations-Datenbank stehen allen angeschlossenen Systemen zur Verfügung. Benutzer können dabei beliebig vielen Benutzergruppen zugeordnet sein. Durch die Verwendung von Benutzergruppen können Sie Benutzer systemübergreifend zusammenfassen. In jedem System können Sie diese Benutzergruppen bei der Festlegung von Berechtigungsrollen verwenden.
Die Systemkonfigurations-Datenbank enthält bereits einen ausgezeichneten Benutzer „ADMINISTRATOR“ und eine ausgezeichnete Benutzergruppe „ADMINISTRATORS“. Der Benutzer „ADMINISTRATOR“ bzw. die Mitglieder der Benutzergruppe „ADMINISTRATORS“ besitzen auf allen Systemen, denen sie zugeordnet sind, alle Rechte, unabhängig von den im jeweiligen System festgelegten Berechtigungen. Der Benutzer „ADMINISTRATOR“ und die Benutzergruppe „ADMINISTRATORS“ können nicht gelöscht werden. Dem Benutzer „ADMINISTRATOR“ kann aber ein neues Zertifikat zugeordnet werden.
Die Systemkonfigurations-Datenbank der Standardauslieferung umfasst neben dem Benutzer „ADMINISTRATOR“ und der Benutzergruppe „ADMINISTRATORS“, noch den Benutzer „DEMOUSER“ und dessen Benutzergruppe „DEMOUSERS“.
5 Berechtigungen
Mit Berechtigungen legen Sie fest, welche Benutzer welche Funktionen im System aufrufen dürfen. Sie können individuell einstellen, welche Funktionen erlaubt sind und welche nicht erlaubt sind.
Im Kapitel „Berechtigungssystem“ wird zunächst das Berechtigungssystem beschrieben, das für Anwendungen, Berichte, Filter, Business Entitys, den Knowledge Store und weitere Objekte verwendet wird. Die Berechtigungen auf Oberflächen-Elementen werden im Kapitel „Berechtigungen für Oberflächenelemente“ gesondert beschrieben.
5.1 Berechtigungssystem
Im Folgenden wird beschrieben, woraus eine Berechtigung besteht und wie sie mit dem Benutzer verknüpft ist.
5.1.1 Berechtigungsobjekte
Berechtigungsobjekte sind diejenigen Objekte im ERP-System, denen Sie Berechtigungen zuweisen können. Berechtigungsobjekte sind:
- Anwendungen
- Berichte
- Filter
- Business Entitys
- Business-Entity-Instanzen
- Knowledge-Store-Ordner
- Knowledge-Store-Dateien
- Datenschutz-Kategorien
- Weitere Objekte
Auf diesen Objekten wirken sich Berechtigungen aus. Des Weiteren können Sie Berechtigungen auch auf Objektgruppen festlegen. Die Objektgruppen sind:
- Frameworks
- Business-Entity-Gruppen
Diese Objekte zählen ebenfalls zu den Berechtigungsobjekten. Berechtigungen wirken sich allerdings nur auf die in der Gruppe enthaltenen Objekte aus.
5.1.1.1 Anwendungen
Berechtigungen zu einer Anwendung beziehen sich nur auf die Anwendung. Anwendungsberechtigungen haben keinerlei Auswirkungen auf Business-Entity-Berechtigungen. Um mit Anwendungen arbeiten zu können, werden zusätzlich Berechtigungen für das von der Anwendung primär betrachtete Business Entity benötigt.
Anwendungsberechtigungen werden einer Berechtigungsrolle hinzugefügt, ohne Einschränkung auf eine Datenbank. Sie gelten also für alle Datenbanken, denen der Benutzer oder die Benutzergruppe der Berechtigungsrolle zugeordnet ist.
5.1.1.2 Berichte
Berechtigungen auf Berichte beziehen sich nur auf das Ausführen von Berichten. Business-Entity-Berechtigungen werden nicht berücksichtigt.
Berichtsberechtigungen werden einer Berechtigungsrolle hinzugefügt, ohne Einschränkung auf eine Datenbank. Sie gelten also für alle Datenbanken, denen der Benutzer oder die Benutzergruppe der Berechtigungsrolle zugeordnet ist.
5.1.1.3 Business Entitys
Um mit Anwendungen arbeiten zu können, werden Business-Entity-Berechtigungen benötigt. Diese bestimmen die Aktionen, die mit einem Business Entity durchgeführt werden dürfen.
5.1.1.4 Filter
Zum Exportieren oder Importieren von Daten benötigen Sie einen Filter. Filter legen Sie in den Anwendungen „Daten importieren“ und „Daten exportieren“ fest. Mithilfe eines Filters bestimmen Sie darüber, welche Daten eines Business Entitys ex- oder importiert werden sollen.
Die Verwendung eines Filters können Sie in den Berechtigungsrollen mit der Fähigkeit „Filter verwenden“ erlauben oder unterbinden. Bei der Vergabe dieser Berechtigung sind zusätzlich folgende Berechtigungen zu beachten und bei Bedarf festzulegen:
- Berechtigung zum Öffnen oder Ändern des Business Entitys, welches im- oder exportiert werden soll:
Daten von Business-Entity-Instanzen lassen sich nur exportieren bzw. importieren, wenn der Benutzer die entsprechenden Berechtigungen zum Öffnen bzw. Ändern für das betroffene Business Entity besitzt. - Berechtigung zum Erfassen neuer Filter oder zum Öffnen oder Ändern bestehender Filter:
Diese Berechtigung wird für das Business Entity „Filter“ (cisag.sys.tools.bi.obj.FilterDefinition) vergeben, um den Im- oder Export überhaupt durchführen zu können.
Berechtigung zum Verwenden beliebiger oder einzelner Filter:
Die kombinierten Berechtigungen für Business Entitys und das Business Entity „Filter“ für einen einzelnen Filter führt z. B. zu folgendem Ergebnis: Ein Benutzer, der mindestens einen Filter für einen Datenexport ändern darf, kann automatisch sämtliche Business Entitys exportieren, für die er die Berechtigung zum Öffnen besitzt. Beachten Sie dabei, dass die Berechtigungen für Business Entitys gleichzeitig das Exportieren von Massendaten erlaubt. Dem wirken Sie z. B. entgegen, indem Sie für Benutzer festlegen, dass sie das Business Entity „Filter“ weder erfassen noch verändern dürfen.
Beachten Sie folgende Berechtigungsvergaben und Fähigkeiten:
- Berechtigung für die Verwendung beliebiger Filter
Mithilfe der Fähigkeit „Filter verwenden“ vergeben Sie die Berechtigung, beliebige Filter verwenden zu dürfen. Diese Fähigkeit legen Sie in der Anwendung „Berechtigungsrollen“, Karteireiter „Anwendungen und Berichte“, Unterkarteireiter „Frameworks“ für das Framework „System-Management“ mit der Aktion „Sonstige“ fest.
- Berechtigung für die Verwendung einzelner Filter
Mithilfe der Fähigkeit „Filter verwenden“ vergeben Sie die Berechtigung, einen einzelnen Filter in der Anwendung „Daten importieren“ oder „Daten exportieren“ verwenden zu dürfen. Diese Fähigkeit legen Sie in der Anwendung „Berechtigungsrollen“, Karteireiter „Anwendungen und Berichte“, Unterkarteireiter „Filter“ für einen Filter mit der Aktion „Filter verwenden“ fest.
5.1.1.5 Knowledge-Store-Ordner und -Dateien
Berechtigungen, die auf einem Ordner vergeben werden, werden auf die Unterordner und Dateien vererbt.
Da beim Zugriff auf den Knowledge Store via WebDav keine Anmeldung an eine OLTP-Datenbank erfolgt, muss die Zuordnung des Benutzers oder der Benutzergruppe zur Berechtigungsrolle ohne OLTP-Datenbank erfasst werden. Aus diesem Grund kann sinnvoll sein, eine spezielle Berechtigungsrolle für Berechtigungen auf Knowledge-Store-Ordnern und -Dateien zu erfassen.
5.1.1.6 Datenschutz-Kategorien
Um schützenswerte Daten als solche zu kennzeichnen, können Business-Object-Attribute zu Datenschutz-Kategorien zugeordnet werden (Anwendung „Datenschutz-Kategorien-Zuordnungen“). Die Berechtigungen zu einer Datenschutz-Kategorie beziehen sich auf die Business-Object-Attribute, denen die Datenschutz-Kategorie zugeordnet ist. Die Berechtigungen bestimmen, welchen Zugriff ein Benutzer auf die Daten hat, die den Business-Object-Attributen entsprechen.
Hinweis:
Die Berechtigungen zu den Datenschutz-Kategorien wirken sich nur aus auf die Suche und Anzeige von Daten in anpassbaren Cockpit-Anwendungen, den Import und Export über die Anwendungen „Daten importieren“ und „Daten exportieren“ sowie die Datenausgabe über Hintergrund-Anwendungen.
Die Berechtigungen zu den Datenschutz-Kategorien wirken sich nicht aus auf Anwendungen zur Erfassung von Stammdaten, auf Beleg-Anwendungen sowie den Export von Daten über Cockpit-Anwendungen („REST“).
5.1.1.7 Weitere Objekte
Für einige Objekte kann die Verwendung durch eine besondere Berechtigung gesteuert werden. Diese besonderen Objekte und die entsprechenden Fähigkeiten sind:
- Benutzermenüs Benutzermenü verwenden
- Ausgabegeräte Ausgabegerät verwenden
- Verarbeitungs-Warteschlangen Verarbeitungswarteschlange verwenden
Die Berechtigungen für „Weitere Objekte“ sind besondere Berechtigungen auf Ebene von Business-Entity-Instanzen. Diese Berechtigungen können nur direkt auf dieser Ebene vergeben werden. Dies bedeutet:
- Die Vergabe von Berechtigungen auf gruppierenden Ebenen (Fähigkeitsklasse, Business Entity-Gruppe etc.) ist nicht möglich.
- Die Bearbeitung der Berechtigungen für weitere Objekte durch Toolshell-Befehle ist nicht möglich.
5.1.2 Berechtigungsebenen
Mit der Vergabe von Berechtigungen auf einem gruppierenden Objekt können Sie mit einem Schritt Berechtigungen auf mehreren Objekten vergeben, da sich die Berechtigungen auf die gruppierten Objekte auswirken. Das Ziel von Berechtigungsebenen ist die Minimierung des Bearbeitungsaufwandes bei der Festlegung von Berechtigungsfestlegungen für große Mengen von Objekten. Wenn Sie z. B. Anwendungsberechtigungen für ein Framework festlegen, dann gelten die Berechtigungen für alle Anwendungen in dem Framework. Das berechtigte Objekt ist in diesem Fall das Framework.
Je nach dem, auf wie vielen Objekten eine festgelegte Berechtigung gleichzeitig gilt, werden mehrere Berechtigungsebenen unterschieden. Für jeden Objekttyp werden im Folgenden die verfügbaren Berechtigungsebenen dargestellt, beginnend jeweils mit der obersten Ebene.
Für Anwendungen bestehen folgende Berechtigungsebenen:
- Alle Frameworks:
Berechtigungen gelten für alle Anwendungen, unabhängig vom Framework.
- Framework:
Berechtigungen gelten für alle Anwendungen in einem Framework.
- Anwendung:
Berechtigungen gelten für eine Anwendung.
Für Berichte bestehen folgende Berechtigungsebenen:
- Alle Frameworks:
Berechtigungen gelten für alle Berichte, unabhängig vom Framework.
- Framework:
Berechtigungen gelten für alle Berichte in einem Framework.
- Bericht:
Berechtigungen gelten für einen Bericht.
Für Business Entitys bestehen folgende Berechtigungsebenen:
- Alle Business-Entity-Gruppen:
Berechtigungen gelten für alle Business Entitys einer Datenbank.
- Business-Entity-Gruppe:
Berechtigungen gelten für alle Business Entitys einer Business-Entity-Gruppe auf einer Datenbank.
- Business Entity:
Berechtigungen gelten für ein Business Entity auf einer Datenbank.
- Business-Entity-Instanz:
Berechtigungen gelten für eine Instanz eines Business Entitys.
Für den Knowledge Store bestehen folgende Berechtigungsebenen:
- Ordner:
Berechtigungen gelten für den Ordner, seine Unterordner und alle darin befindlichen Dateien. Es kann sich auch um den Wurzelordner eines Arbeitsbereiches handeln.
- Datei:
Berechtigungen gelten für eine Datei im Knowledge Store.
Für Filter, Datenschutz-Kategorien und „Weitere Objekte“ bestehen keine zusätzlichen Berechtigungsebenen.
Berechtigungen, die auf einer höheren Ebene festgelegt werden, gelten standardmäßig für alle Objekte auf den niedrigeren Ebenen. Jedoch haben Berechtigungen, die auf einer niedrigeren Ebene festgelegt sind, grundsätzlich Vorrang gegenüber Berechtigungen auf einer höheren Ebene. Die genauen Vorrangregeln sind im Kapitel „Vorrangregeln“ erklärt.
5.1.3 Fähigkeiten
Eine Fähigkeit beschreibt eine Funktion, die auf einem Berechtigungsobjekt ausführbar ist. Berechtigungen werden nicht nur auf dem Berechtigungsobjekt vergeben, sondern zusätzlich mit Angabe der Fähigkeit versehen. Damit ist möglich, Berechtigungen nur für bestimmte Fähigkeiten eines Objektes zu vergeben.
5.1.3.1 Beschreibung der Fähigkeiten
Für Anwendungen bestehen die folgenden Fähigkeiten:
| Fähigkeit | Erläuterung |
| Öffnen | Öffnen der Anwendung |
| Anwendungsberechtigungen anzeigen | Anzeigen von Berechtigungen für Anwendungen |
| Anwendungsberechtigungen ändern | Ändern von Berechtigungen für Anwendungen. Enthält auch die Fähigkeit „Anwendungsberechtigungen anzeigen“ |
Des Weiteren bestehen spezielle Fähigkeiten, die sich auf Funktionen in bestimmten Anwendungen beziehen. Diese Fähigkeiten werden im Kapitel „Spezielle Fähigkeiten“ erläutert.
Für Berichte bestehen die folgenden Fähigkeiten:
| Fähigkeit | Erläuterung |
| Ausführen | Ausführen eines Berichts |
| Berichtsberechtigungen anzeigen | Anzeigen von Berechtigungen für Berichte |
| Berichtsberechtigungen ändern | Ändern von Berechtigungen für Berichte. Enthält auch die Fähigkeit „Berichtsberechtigungen anzeigen“. |
Für Filter bestehen die folgenden Fähigkeiten:
| Fähigkeit | Erläuterung |
| Filter verwenden | Verwenden eines Filters für den Import oder Export. |
Für Business Entitys bestehen die folgenden Fähigkeiten:
| Fähigkeit | Erläuterung |
| Öffnen | Anzeigen der Daten einer Business-Entity-Instanz. |
| Neu | Erfassen einer neuen Business-Entity-Instanz. Enthält auch die Fähigkeit „Ändern“. |
| Ändern | Verändern von Daten in einer vorhandenen Business-Entity-Instanz.
Diese Fähigkeit enthält nicht die Fähigkeit „Öffnen“. |
| Löschen | Löschen einer vorhandenen Business-Entity-Instanz. Enthält auch die Fähigkeit „Ändern“. |
| ODBC-Zugriff | Erlaubt den Zugriff auf das Business Entity über das ODBC-Protokoll. |
| Änderungsinformationen anzeigen | Erlaubt, Änderungsinformationen in Business Entitys anzuzeigen. Zusätzlich beeinflusst diese Fähigkeit, ob das Änderungsjournal eines Business Entitys angezeigt werden darf. Um das Änderungsjournal anzuzeigen, müssen zusätzlich die folgenden Voraussetzungen erfüllt sein:
· Der Benutzer besitzt die Fähigkeit „Öffnen“ für dieses Business Entity. · Der Benutzer darf die Berichtsanwendung „Änderungsjournal ausgeben“ öffnen. |
| Berechtigungen anzeigen | Anzeigen von Berechtigungen für Business Entitys. |
| Berechtigungen ändern | Ändern von Berechtigungen für Business Entitys. Das umfasst auch die Fähigkeit „Berechtigungen anzeigen“. |
| Weitere Felder ändern | Hinzufügen von weiteren Feldern in Business Entitys. |
Für den Knowledge Store bestehen die folgenden Fähigkeiten:
| Fähigkeit | Erläuterung |
| Ordnerinhalt lesen | Auflisten der Dateien in einem Ordner |
| Datei lesen | Lesen einer Datei |
| Datei schreiben | Beschreiben einer Datei |
| Dateiberechtigungen anzeigen | Anzeigen von Berechtigungen für den Knowledge Store |
| Dateiberechtigungen ändern | Ändern von Berechtigungen für den Knowledge Store; umfasst auch die Fähigkeit „Dateiberechtigungen anzeigen“. |
Für Datenschutz-Kategorien bestehen folgende Fähigkeiten:
| Fähigkeit | Erläuterung |
| Öffnen | Anzeigen der Felder, denen die Datenschutz-Kategorie zugeordnet ist. |
| Ändern | Verändern von Daten in Feldern, denen die Datenschutz-Kategorie zugeordnet ist. |
| Importieren | Import von Daten in Felder, denen die Datenschutz-Kategorie zugeordnet ist. |
| Exportieren | Export von Daten aus Feldern, denen die Datenschutz-Kategorie zugeordnet ist. |
Hinweis:
Die Festlegung der Fähigkeiten zu den Datenschutz-Kategorien wirken sich nur aus auf die Suche und Anzeige von Daten in anpassbaren Cockpit-Anwendungen, den Import und Export über die Anwendungen „Daten importieren“ und „Daten exportieren“ sowie die Datenausgabe über Hintergrund-Anwendungen.
Die Festlegungen wirken sich nicht aus auf Anwendungen zur Erfassung von Stammdaten, auf Beleg-Anwendungen sowie den Export von Daten aus Cockpit-Anwendungen („REST“).
Für „Weitere Objekte“ bestehen die folgenden Fähigkeiten:
| Fähigkeit | Erläuterung |
| Benutzermenü verwenden | Ermöglicht die Verwendung eines Benutzermenüs im Navigationsbereich und in den Benutzereinstellungen. |
| Ausgabegerät verwenden | Ermöglicht die Auswahl eines Ausgabegerätes auf dem Ausgabedialog und in den Benutzereinstellungen. |
| Verarbeitungs-Warteschlange verwenden | Ermöglicht die Auswahl einer Verarbeitungs-Warteschlange beim Erstellen eines Verarbeitungsauftrages und in den Benutzereinstellungen. |
5.1.3.2 Spezielle Fähigkeiten
Für einzelne Frameworks und Anwendungen bestehen spezielle Fähigkeiten, die sich nur auf das jeweilige Framework bzw. die jeweilige Anwendung beziehen, z. B. die Fähigkeit „Benutzereinstellungen anderer Benutzer anzeigen“ im Framework „System-Management“. Diese Fähigkeiten können genau wie die oben beschriebenen Fähigkeiten in Berechtigungen verwendet werden. Sie lassen sich allerdings nicht auf beliebigen Anwendungen setzen. Die speziellen Fähigkeiten beziehen sich immer auf eine bestimmte Anwendung oder ein Framework und stehen dementsprechend nur auf den Berechtigungsebenen „Framework“ oder „Anwendung“ zur Verfügung.
5.1.3.3 Fähigkeitsklassen
Die Fähigkeiten sind für eine einfache Vergabe von Berechtigungen in Fähigkeitsklassen zusammengefasst. Bei der Vergabe von Berechtigungen können Sie anstatt einer Fähigkeit auch eine Fähigkeitsklasse angeben. Die Berechtigung umfasst dann alle Fähigkeiten, die in der Fähigkeitsklasse enthalten sind.
Die Fähigkeitsklassen „Standard“, „Erweitert“ und „Administrativ“ werden angeboten. In der folgenden Tabelle ist aufgeführt, welche Fähigkeiten für die unterschiedlichen Objekttypen in den Fähigkeitsklassen enthalten sind.
| Berechtigungsebene | Standard | Erweitert | Administrativ |
| Anwendung | Öffnen | Anwendungsberechtigungen anzeigen | Anwendungsberechtigungen ändern |
| Bericht | Ausführen | Berichtsberechtigungen anzeigen | Berichtsberechtigungen ändern |
| Business Entity | Öffnen | · Neu
· Ändern · Löschen · ODBC-Zugriff · Änderungsinformationen anzeigen · Berechtigungen anzeigen |
· Berechtigungen ändern
· Weitere Felder ändern |
| Knowledge Store | · Ordnerinhalt lesen
· Datei lesen |
· Datei schreiben
· Dateiberechtigungen anzeigen |
Dateiberechtigungen ändern |
| Datenschutz-Kategorie | Öffnen | · Ändern
· Importieren · Exportieren |
|
| Weitere Objekte | Verwenden |
Die speziellen Fähigkeiten für Anwendungen sind ebenfalls in einer Fähigkeitsklasse enthalten. Wenn Sie für eine Berechtigung eine Fähigkeitsklasse angeben, sind auch diese Fähigkeiten enthalten.
In der Fähigkeitsklasse „Erweitert“ sind zusätzlich die Fähigkeiten aus der Fähigkeitsklasse „Standard“ enthalten. In der Fähigkeitsklasse „Administrativ“ sind zusätzlich die Fähigkeiten aus den Fähigkeitsklassen „Standard“ und „Erweitert“ enthalten.
Für den Objekttyp „Filter“ sind keine Fähigkeitsklassen festgelegt.
Hinweis:
Wenn Sie eine Fähigkeitsklasse bei der Festlegung einer Berechtigung verwenden, beachten Sie, dass die Berechtigung damit mehrere Fähigkeiten umfasst. Vergewissern Sie sich anhand der Tabelle, welche Fähigkeiten Sie jeweils vergeben.
5.1.4 Berechtigungen
Eine Berechtigung besteht aus folgenden Angaben:
- Berechtigungsebene, auf der die Festlegung erfolgt.
- Berechtigungsobjekt[1], für das die Berechtigung festgelegt wird.
- Fähigkeit oder Fähigkeitsklasse.
- Angabe, ob die Fähigkeit erlaubt oder unterbunden ist (Berechtigungsfestlegung).
Auf den Berechtigungsebenen „Alle Frameworks“ und „Alle Business-Entity-Gruppen“ wird kein berechtigtes Objekt angegeben.
Beispiel für eine Berechtigung:
Um alle Anwendungen im Framework „Basis“ öffnen zu können, ist die folgende Berechtigung ausreichend:
- Berechtigungsebene: Framework
- Berechtigtes Objekt: Framework „Basis“
- Fähigkeit: Öffnen
- Festlegung: Erlaubt
Hinweis:
Bei Business-Entity-Berechtigungen auf der Ebene „Business-Entity-Instanz“ stehen als Festlegung „Geerbt“ oder „Unterbunden“ zur Verfügung. Mit der Festlegung „Geerbt“ werden die Berechtigungen aus höheren Ebenen verwendet, mit „Unterbunden“ wird die Fähigkeit speziell für die Business-Entity-Instanz unterbunden. Für Business Entitys ist nicht möglich, eine Fähigkeit auf einer höheren Ebene zu unterbinden, sie jedoch für eine einzelne Instanz zu erlauben.
Berechtigungen werden in den nachfolgend beschriebenen Berechtigungsrollen mit Benutzern verknüpft.
5.1.5 Berechtigungsrollen und Benutzerzuordnung
Berechtigungen werden immer über eine Berechtigungsrolle an Benutzer vergeben. Dazu werden zum einen Benutzer oder Benutzergruppen der Berechtigungsrolle zugeordnet und zum anderen werden Berechtigungen in der Berechtigungsrolle festgelegt. Berechtigungsrollen sind damit die zentrale Einheit, mit der die Berechtigungen an die Benutzer zugewiesen werden.
Berechtigungsrollen und damit alle festgelegten Berechtigungen werden in der Repository-Datenbank gespeichert und gelten damit im gesamten ERP-System.
Einer Berechtigungsrolle können beliebig viele Benutzer oder Benutzergruppen zugeordnet werden. Umgekehrt ist auch möglich, dass ein Benutzer oder eine Benutzergruppe mehreren Berechtigungsrollen zugeordnet ist.
Die Gültigkeit von Berechtigungsrollen ist grundsätzlich an Zeiträume gebunden. Zum einen ist jede Berechtigungsrolle mit einem Gültigkeitszeitraum versehen. Zusätzlich ist jede Zuordnung eines Benutzers oder einer Benutzergruppe zu einer Berechtigungsrolle mit einem Gültigkeitszeitraum versehen. Außerhalb dieser Zeiträume sind die festgelegten Berechtigungen für den bzw. die zugeordneten Benutzer nicht wirksam.
Wird bei der Zuordnung eines Benutzers oder einer Benutzergruppe zu einer Berechtigungsrolle eine OLTP-Datenbank angegeben, so erhält der Benutzer bei der Anmeldung an das ERP-System diese OLTP-Datenbank zur Auswahl. Existiert eine Zuordnung ohne Angabe einer OLTP-Datenbank, dann kann sich der Benutzer auch ohne OLTP-Datenbank anmelden (URL-Parameter „oltp=none“).
Hinweis:
Im Fall der Anmeldung ohne OLTP-Datenbank wird die Berechtigungsrolle auch für den Zugriff auf den Knowledge Store ausgewertet, da für den Knowledge Store keine OLTP-Datenbank bei der Anmeldung ausgewählt werden kann.
Ein Benutzer oder eine Benutzergruppe kann einer Berechtigungsrolle mehrfach unter Verwendung unterschiedlicher Datenbanken oder Gültigkeitszeiträume zugeordnet sein.
Benutzerzuordnung und Datenbank
Grundsätzlich ist Folgendes zu beachten:
- Anmeldung:
Ist der Benutzer überhaupt berechtigt, sich an eine bestimmte OLTP-Datenbank „X“ anzumelden?
Ohne die Mitgliedschaft in einer Berechtigungsrolle mit der Angabe der OLTP-Datenbank „X“, ist eine Anmeldung an diese OLTP-Datenbank nicht möglich. - Berücksichtigte Berechtigungsfestlegungen:
Wird die Berechtigungsrolle und werden damit die darin enthaltenen Berechtigungsfestlegungen berücksichtigt?
Innerhalb einer Berechtigungsrolle kann festgelegt werden, ob die Berechtigungsfestlegungen für Benutzer und Benutzergruppen sowohl für eine bestimmte oder keine OLTP-Datenbank gelten sollen. Unabhängig dieser Zuordnung werden alle Berechtigungsfestlegungen dieser Berechtigungsrolle berücksichtigt und auf die jeweilig bei der Anmeldung ausgewählte OLTP-Datenbank angewendet.
Benutzer und Benutzergruppen können zu einer Berechtigungsrolle mit und ohne die Angabe einer OLTP-Datenbank zugeordnet werden. Entsprechend unterschiedlich sind die Auswirkungen bei der Anmeldung:
Auswirkungen der Zuordnung eines Benutzers oder einer Benutzergruppe mit angegebener OLTP-Datenbank:
- Der Benutzer kann sich an die angegebene OLTP-Datenbank anmelden. Eine Anmeldung ohne OLTP-Datenbank ist nur möglich, wenn er in dieser oder einer anderen Berechtigungsrolle auch eine Zuordnung ohne OLTP-Datenbank hat.
- Der Benutzer hat die Berechtigungen der Berechtigungsrolle nur, wenn er sich an die angegebene OLTP-Datenbank anmeldet.
- Die Berechtigungsrolle wird beim Knowledge-Store-Zugriff nicht berücksichtigt.
Auswirkungen der Zuordnung eines Benutzers oder einer Benutzergruppe ohne OLTP-Datenbank:
- Der Benutzer kann sich ohne OLTP-Datenbank anmelden. Eine Anmeldung mit OLTP-Datenbank ist nur möglich, wenn er in dieser oder einer anderen Berechtigungsrolle auch eine Zuordnung mit der OLTP-Datenbank hat.
- Die Berechtigungen, die der Berechtigungsrolle zugeordnet werden, gelten für alle Anmeldungen des Benutzers, unabhängig von der ausgewählten OLTP-Datenbank.
- Die Berechtigungsrolle wird beim Knowledge-Store-Zugriff berücksichtigt.
Hinweis:
Um sich überhaupt an ein ERP-System anmelden zu können, muss der Benutzer dem System über die Anwendung „Systemcockpit“ oder den Toolshell-Befehl „addsysusr“ zugeordnet werden. Bei dieser Zuordnung wird der Benutzer mit einem „Lizenztyp“ und einem „Zugriffsmodus“ klassifiziert. Diese beiden Einstellungen sind durch die Lizenz des Systems bestimmt und beschränken die möglichen Aktionen des Benutzers immer zusätzlich zu seinen Berechtigungsrollen. Beispielweise können Benutzer, die dem System als „Geschäftspartner“ zugeordnet sind, nur eine bestimmte Menge an Anwendungen öffnen“, auch wenn sie in einer Berechtigungsrolle über administrative Fähigkeiten verfügen.
Berechtigungsrollen-Vorlagen
Berechtigungsrollen enthalten die aktiven Zuweisungen von Berechtigungen an die Benutzer. Eine Berechtigungsrolle ist immer aktiv, enthält Berechtigungseinstellungen für konkrete Objekte und dient im laufenden Betrieb zur Ermittlung der Berechtigungen für die Benutzer.
Die Administration von Berechtigungsrollen über mehrere Systeme hinweg kann mithilfe von Berechtigungsrollen-Vorlagen erfolgen. Eine Berechtigungsrollen-Vorlage hat keinen Einfluss auf den laufenden Betrieb des Systems und die Ermittlung der Berechtigungen. Sie enthält teilweise Berechtigungseinstellungen für abstrakt beschriebene Objekte. Auf ihrer Basis kann eine Berechtigungsrolle erzeugt werden.
Berechtigungsrollen-Vorlagen sind im Dokument „Berechtigungsrollen“ beschrieben.
5.1.6 Prüfung von Berechtigungen
Für einen Benutzer wirken sich die Berechtigungen aus, sobald er sich an das ERP-System angemeldet hat. Die Berechtigungen, die für einen Benutzer maßgeblich sind, ergeben sich aus den Berechtigungsrollen, denen der Benutzer zugeordnet ist. Unabhängig davon, ob er der Berechtigungsrolle direkt oder über eine Benutzergruppe zugeordnet ist. Ohne Berechtigungen kann ein Benutzer keine Funktionen im ERP-System aufrufen.
Für Administratoren (Benutzer, die Mitglied der Benutzergruppe „ADMINISTRATORS“ sind) ist die Prüfung von Berechtigungen außer Kraft gesetzt. Administratoren dürfen alle Funktionen des Systems verwenden. Sie können nicht durch Berechtigungen gesperrt werden.
5.1.7 Vorrangregeln
Wenn Sie einem Benutzer mehrere Berechtigungsrollen zuordnen oder mehrere Berechtigungen, die sich auf ein Objekt auswirken, auf verschiedenen Berechtigungsebenen festlegen, dann ist möglich, dass sich für eine Fähigkeit auf einem Objekt mehrere, sich widersprechende Berechtigungsfestlegungen ergeben. Nach den folgenden Regeln wird festgestellt, welche Berechtigung tatsächlich auf einem Berechtigungsobjekt gilt. Die Regeln werden in der angegebenen Reihenfolge geprüft, bis die Berechtigung gefunden wurde, die Vorrang hat.
- Berechtigungen auf einer niedrigeren Berechtigungsebene haben Vorrang gegenüber Berechtigungen auf einer höheren Berechtigungsebene.
- Bei Berechtigungen, die auf der gleichen Berechtigungsebene festgelegt sind, wird verglichen, ob eine Fähigkeit oder eine der Fähigkeitsklassen eingetragen ist. Der Vorrang ergibt sich aus folgender Reihenfolge:
- Fähigkeit
- Fähigkeitsklasse „Standard“
- Fähigkeitsklasse „Erweitert“
- Fähigkeitsklasse „Administrativ“
- Die Berechtigungsfestlegung „Unterbunden“ hat Vorrang gegenüber der Berechtigungsfestlegung „Erlaubt“.
Beispiel:
In einer Berechtigungsrolle ist das Öffnen von Anwendungen auf der Berechtigungsebene „Alle Frameworks“ erlaubt. In derselben oder einer anderen Berechtigungsrolle ist jedoch das Öffnen einer bestimmten Anwendung unterbunden.
Für den Benutzer ist das Öffnen der Anwendung unterbunden, weil die unterbundene Berechtigung auf einer tieferen Berechtigungsebene festgelegt ist und daher Vorrang hat.
5.1.8 Folgeregeln
Neben den Vorrangregeln für die Auflösung der Berechtigung für eine einzelne Fähigkeit gelten noch einige weitere Regeln, die sich aus den einzelnen Fähigkeiten ergeben.
- Hat ein Benutzer die Berechtigung erhalten, die Berechtigungen für ein Objekt ändern zu dürfen, dann ergibt sich daraus auch, dieses Objekt anzeigen zu lassen.
- Hat ein Benutzer die Berechtigung erhalten, neue Instanzen eines Business Entitys zu erfassen oder bestehende zu löschen, dann ergibt sich daraus auch, diese Instanzen ändern zu dürfen.
Aufgrund dieser Folgeregeln müssen z. B. die Fähigkeiten „Neu“ und „Löschen“ auf einem Business Entity ausdrücklich unterbunden werden, damit ein Verbot von „Ändern“ auf der gleichen Ebene Wirkung zeigt.
5.2 Berechtigungen für Oberflächenelemente
Berechtigungen auf Oberflächenelemente ermöglichen, die Benutzung von Elementen der grafischen Oberfläche zu steuern. Dabei können die folgenden Eigenschaften von Oberflächenelementen gesteuert werden, sofern sie für das Oberflächenelement zur Verfügung stehen:
- Sichtbar:
Das Element wird angezeigt.
- Aktiv:
Ein Button oder Karteireiter kann verwendet werden oder ein Feld ist relevant für den Benutzer. Die Einstellung kann für Felder verwendet werden, ist aber normalerweise nicht sinnvoll.
- Editierbar:
Das Feld kann bearbeitet werden.
Bei Überschriften von Tabellen wirken sich diese Einstellungen auf die ganze Spalte aus. In Listen kann notwendig sein, die Überschrift und das dazugehörende Feld in der Liste zu berechtigen. Bei Karteireitern wirken sich diese Einstellungen sowohl auf den Karteireiter als auch auf die darunter liegende Karteikarte aus.
Ohne festgelegte Oberflächenelement-Berechtigungen sind diese Eigenschaften eingeschaltet (sichtbar, aktiv, editierbar), so dass alle Felder angezeigt werden und sich benutzen lassen.
Die Oberflächenelement-Berechtigungen werden immer für eine Berechtigungsrolle festgelegt und gelten für alle Benutzer, die der Berechtigungsrolle zugeordnet sind. Um die Oberflächenelement-Berechtigungen für die Oberflächenelemente einer Anwendung vergeben und verändern zu dürfen, müssen Sie für die jeweilige Anwendung die Fähigkeit „Anwendungs-Berechtigungen ändern“ besitzen. Wenn dies der Fall ist, dann wirken sich vorhandene Oberflächenelement-Berechtigungen nicht aus, d. h. Sie sehen alle Oberflächenelemente in der Anwendung. Über das Dialog-Fenster mit den technischen Eigenschaften des Oberflächenelements können Sie Folgendes einstellen:
- Berechtigte Oberflächenelemente markieren
Alle Oberflächenelemente, für die bereits Berechtigungen festgelegt sind, werden hellrot markiert, wenn Sie diese Funktion aktivieren. Diese Einstellung gilt für alle Anwendungen Ihrer aktuellen ERP-System-Sitzung.
- Mögliche Oberflächenelemente markieren
Alle Oberflächenelemente, für die Berechtigungen festgelegt werden können, werden grün markiert, wenn Sie diese Funktion aktivieren.
Diese Einstellung gilt für alle Anwendungen Ihrer aktuellen ERP-System-Sitzung.
- Oberflächenelement-Berechtigungen festlegen
Für das gewählte Oberflächenelement können Sie pro hinzugefügter Berechtigungsrolle die Eigenschaften „Sichtbar“, „Aktiv“ und „Editierbar“ festlegen.
Diese Festlegung gilt für das ausgewählte Oberflächenelement der aktuellen Anwendung. Ist dieses Element gemäß der Angabe unter dem Karteireiter „Allgemein“ einer Ansicht zugeordnet, dann gilt die Festlegung für diese Ansicht.
Um das Dialog-Fenster „Technische Eigenschaften“ zu öffnen, drücken Sie entweder Alt+F1, wenn das Feld die Einfügemarke hat, oder verwenden Sie die Direkthilfe-Funktion. Die Direkthilfe aktivieren Sie über das globale Menü oder die Tastenkombination Umschalt+F1. Anschließend halten Sie die Alt-Taste gedrückt und Klicken mit dem Mauszeiger auf das gewünschte Oberflächenelement, z. B. ein Feld oder einen Karteireiter. Daraufhin öffnet sich das Dialog-Fenster „Technische Eigenschaften“. Diese Vorgehensweise eignet sich besonders für Karteireiter und für Elemente, die deaktiviert sind oder nicht den Fokus erhalten können.
Weitere Informationen entnehmen Sie der Dokumentation „Technische Eigenschaften“.
5.3 Berechtigungen vergeben
Berechtigungen, mit Ausnahme von Berechtigungen auf Oberflächenelemente, vergeben Sie in der Anwendung „Berechtigungsrollen“. In dieser Anwendung können Sie die beschriebenen Berechtigungsrollen erfassen, ihnen Benutzer und Benutzergruppen zuordnen und Berechtigungen festlegen.
Weitere Informationen finden Sie in der Dokumentation „Berechtigungsrollen“.
Berechtigungen auf Oberflächenelemente vergeben Sie über das Dialog-Fenster „Technischen Eigenschaften“ des jeweiligen Oberflächenelementes. Die Berechtigungen werden unter dem Karteireiter „Berechtigungen“ im Dialog-Fenster eingestellt. In der Anwendung „Berechtigungsrollen“ können Sie lediglich die Anzahl der in einer Berechtigungsrolle vorhandenen Berechtigungsfestlegungen für Oberflächenelemente einsehen und die Festlegungen verändern.
5.4 Berechtigungen abfragen
Sie haben folgende Möglichkeiten, Berechtigungen abzufragen:
- Eigenschaften-Dialog-Fenster von Objekten
- Anwendung „Berechtigungen abfragen“
- Anwendung „Berechtigungen simulieren“
- Anwendung „Berechtigungsrollen“
Im Dialog-Fenster „Eigenschaften“ eines Objektes können Sie sich die Berechtigungen anzeigen lassen, die Sie auf einem berechtigten Objekt besitzen. Öffnen Sie dazu das Kontextmenü für das Objekt und wählen darin den Eintrag „Eigenschaften“. Im daraufhin geöffneten Dialog-Fenster „Eigenschaften“ finden Sie die Berechtigungen unter dem Karteireiter „Allgemein“ in der Rubrik „Ihre Berechtigungen für dieses Objekt“. Berechtigungen für Oberflächen-Elemente, also z. B. Buttons oder Karteireiter, können Sie sich mithilfe des Technischen-Eigenschaften-Dialogs anzeigen lassen.
Mit der Anwendung „Berechtigungen abfragen“ können Sie sich anzeigen lassen, welche Berechtigungen auf welchen Objekten festgelegt sind. Dabei können Sie auch die Berechtigungen anderer Benutzer abfragen. Weitere Informationen finden Sie in der Dokumentation „Berechtigungen abfragen“.
Mit der Anwendung „Berechtigungen simulieren“ können Sie sich anzeigen lassen, wie sich die festgelegten Berechtigungen auch auf Objekte auswirken, auf denen Berechtigungen nicht direkt festgelegt wurden. Weitere Informationen finden Sie in der Dokumentation „Berechtigungen simulieren“.
In der Anwendung „Berechtigungsrollen“ können Sie sich die festgelegten Berechtigungen in einer Berechtigungsrolle anzeigen lassen. Weitere Informationen finden Sie in der Dokumentation „Berechtigungsrollen“.
6 Toolshell-Befehle für Berechtigungen
Zum Einstellen von Berechtigungen bestehen neben den beschriebenen Anwendungen einige Befehle für die Toolshell des ERP-Systems. Mit ihrer Hilfe lassen sich, mit Ausnahme von Berechtigungen auf Business-Entity-Instanzen und weiteren Objekten, Berechtigungsrollen vollständig über die Toolshell bearbeiten. Dies ermöglicht über das Zusammenfassen von Befehlen in Skripten die einfache Einrichtung neuer ERP-Systeme und Datenbanken mit den zugehörigen Berechtigungsrollen. Über den Toolshell-Befehl „exparl“ (export authorization role) kann zudem zu einer bestehenden Berechtigungsrolle ein Skript von Toolshell-Befehlen erzeugt werden, die diese Rolle erstellen würden. Damit können Berechtigungsrollen über Datenbank- und Systemgrenzen hinweg weitergegeben werden.
Nachfolgend sind einige Befehle aufgelistet:
| Befehl | Dokumentation |
| Rgzsec | Berechtigungen reorganisieren |
| Wrksec | Mit Berechtigungen arbeiten |
| Crtarl | Berechtigungsrolle anlegen |
| Dsparl | Berechtigungsrolle anzeigen |
| Exparl | Berechtigungsrolle exportieren |
| Chgarl | Berechtigungsrolle ändern |
| Dltarl | Berechtigungsrolle löschen |
| Addarlmbr | Mitglieder der Berechtigungsrolle hinzufügen |
| Rmvarlmbr | Mitglieder aus der Berechtigungsrolle entfernen |
| Chgarlprm | Festlegungen der Berechtigungen ändern |
| Rmvarlprm | Festlegungen der Berechtigungen entfernen |
Im Zusammenhang mit Berechtigungen sind folgende weitere Toolshell-Befehle von Bedeutung:
| Befehl | Dokumentation |
| Addsysusr | Benutzer einem System hinzufügen |
| Crtusr | Benutzer anlegen |
| Crtusrgrp | Benutzergruppe anlegen |
| Dltusr | Benutzer löschen |
| Dltusrgrp | Benutzergruppe löschen |
| Dspsys | System anzeigen |
| Dspusr | Benutzer anzeigen |
| Dspusrgrp | Benutzergruppe anzeigen |
| Rmvsysusr | Benutzer von einem System entfernen |
Weitere Informationen über die Toolshell-Befehle erhalten Sie, indem Sie in der Toolshell help <Befehlsname> eingeben und in der Dokumentation „Toolshell“.
[1] Manche Berechtigungsobjekte können auf verschiedenen Datenbanken existieren.