1 Themenübersicht
Die Anwendung „Berechtigungen simulieren“ ermöglicht abzufragen, wie sich vergebene Berechtigungen auf bestimmte Berechtigungsobjekte auswirken. Dabei simuliert die Anwendung, ob die Verwendung der Berechtigungsobjekte in einem bestimmten Kontext erlaubt ist oder nicht. Im Unterschied zur Anwendung „Berechtigungen abfragen“ schließt die Simulation auch Objekte ein, auf denen keine Berechtigungen direkt vergeben wurden, sondern deren effektiven Berechtigungen sich aus Festlegungen für andere Objekte ergeben.
Mit der Anwendung können die Berechtigungen eines Benutzers simuliert werden, die er nach der Anmeldung an das System besitzt. Darüber hinaus können Berechtigungen simuliert werden, die sich aus Benutzergruppen oder Berechtigungsrollen ergeben, ohne dass ein Benutzer diesen Benutzergruppen oder Berechtigungsrollen bereits zugeordnet sein muss. Das ist nützlich, um die Auswirkungen einer Mitgliedschaft in Benutzergruppen oder Berechtigungsrollen hinsichtlich der Berechtigungen zu überprüfen.
Durch die Simulation ist auch möglich festzustellen, ob Berechtigungen, die auf einer höheren Berechtigungsebene vergeben wurden (z. B. einem Framework), sich für einen Benutzer auswirken, oder ob Berechtigungen auf einer tieferen Berechtigungsebene Vorrang haben. Dieser Fall kann z. B. dann eintreten, wenn ein Benutzer mehreren Berechtigungsrollen zugeordnet ist, und in diesen sich widersprechende Festlegungen enthalten sind.
Die Anwendung „Berechtigungen simulieren“ kann die effektiven Berechtigungen für Anwendungen, Berichte, Business Entitys, Filter, Datenschutz-Kategorien sowie Knowledge-Store-Ordner und -Dateien simulieren.
Das Ändern von Berechtigungen ist in dieser Anwendung nicht möglich, sondern kann mit der Anwendung „Berechtigungsrollen“ durchgeführt werden.
2 Zielgruppe
- Administratoren
- Technische Berater
3 Begriffsbestimmung
Benutzer
Die Bezeichnung „Benutzer“ trifft zu auf eine Person, die ein Comarch-ERP-Enterpise-System benutzt, und ein System, das mit einem Comarch-ERP-Enterpise-System kommuniziert. Mit der Anlage eines Benutzers in einem beliebigen Comarch-ERP-Enterpise-System wird ihm ein Zugang zum System ermöglicht. Dieser Zugang erfolgt z. B. aufgrund eines Zertifikates, welches die Echtheit eines Benutzers überprüft. Die Benutzerdaten werden in der Konfigurations-Datenbank gespeichert und sind für alle Comarch-ERP-Enterpise-Systeme gültig, die mit dieser Konfigurations-Datenbank arbeiten. Nachdem ein Benutzer erfasst wurde, ist ihm eine Berechtigungsrolle zuzuweisen, über die er Berechtigungen erhält.
Benutzergruppe
Die Benutzergruppe fasst mehrere Benutzer zu einer Gruppe mit dem gleichen Merkmal zusammen. Die Benutzergruppe wird für die einfache Pflege der Berechtigungsrolle verwendet.
Berechtigung
Eine Berechtigung umfasst folgende Informationen: Welche Berechtigungsrolle darf auf welcher Berechtigungsebene welche Aktion für ein Objekt ausführen, oder nicht ausführen.
Berechtigungsebene
Comarch ERP Enterprise arbeitet mit einem mehrstufigen Berechtigungskonzept. Berechtigungen sind generell auf verschiedenen Ebenen zu vergeben. Dadurch können für einzelne oder mehrere Objekte Berechtigungen gleichzeitig vergeben werden.Beispiel: Für Anwendungen stehen drei Ebenen für die Berechtigungsvergabe zur Verfügung: die Ebene „Anwendung”, die Ebene „Framework” und die Ebene „Alle Frameworks”. Dadurch kann eine Berechtigung nur für einzelne Anwendungen oder für alle Anwendungen eines Frameworks oder für alle Anwendungen in allen Frameworks vergeben werden.
Berechtigungsobjekt
Das Berechtigungsobjekt ist ein Objekt, für das eine Berechtigung festgelegt werden kann. Dazu zählen z. B. Anwendungen, Berichte, ausgewählte Business Entitys, Knowledge-Store-Dateien und -Ordner. Auch gruppierende Objekte, wie Frameworks und Business-Entity-Gruppen, sind Berechtigungsobjekte.
Berechtigungsrolle
Damit ein Benutzer Zugriff auf Objekte im System erhält, ist er einer Berechtigungsrolle zuzuordnen. Einer Berechtigungsrolle werden Berechtigungen zugewiesen. Der Benutzer erhält also die gewünschten Berechtigungen über eine Berechtigungsrolle.
Business-Entity-Gruppe
Eine Business-Entity-Gruppe umfasst mehrere Business Entitys. Sie dient der vereinfachten Vergabe von Berechtigungen. Eine Berechtigung gilt dann für alle Business Entitys dieser Gruppe. Alle Business Entitys einer Gruppe existieren auf den gleichen Datenbanken. Ein Business Entity kann ausschließlich zu einer Business-Entity-Gruppe gehören.
Fähigkeit
Eine Fähigkeit beschreibt eine Aktion für den Umgang mit einem bestimmten Objekt-Typ, die mit einer Berechtigung verknüpft ist. So sind zum Beispiel für ein Business Entity die Fähigkeiten „Öffnen”, „Neu”, „Ändern”, „Löschen” und „Berechtigungen anzeigen/ändern” definiert. Zusätzlich kann ein Anwendungsentwickler weitere Fähigkeiten definieren, wie zum Beispiel „Entwicklungsaufgabe aktivieren”, um ihnen eine Berechtigung zuzuweisen.
Fähigkeitsklasse
Die Fähigkeitsklasse umfasst eine Menge von Fähigkeiten. Sie wird gebildet, um die Pflege von Berechtigungen zu vereinfachen. Jede Fähigkeit ist genau einer Fähigkeitsklasse zugeordnet. Es gibt drei Fähigkeitsklassen: Standard, Erweitert, Administrativ. Erweitert umfasst alle Fähigkeiten von Standard und zusätzliche Fähigkeiten, wie zum Beispiel „Löschen”. Administrativ umfasst wiederum die Fähigkeitsklasse Erweitert und darüber hinaus beispielsweise die Fähigkeit „Berechtigungen ändern”.
Framework
Für den Benutzer symbolisiert ein Framework ein Themengebiet, in dem verwandte Anwendungen und Berichte gruppiert sind. Zum Beispiel gehören die Anwendungen Beschaffungsaufträge und Beschaffungs-Auftragsarten zum Framework Beschaffung.Aus der Sicht des Anwendungsentwicklers definiert ein Framework eine abstrakte Software-Architektur, die als Lösung für eine Gruppe von verwandten Problemen wieder verwendet werden kann. Ein Framework bestimmt entscheidend die Architektur einer Anwendung. Dazu bietet ein Framework einen Entwicklungsrahmen mit besonders großen wieder verwendbaren Einheiten. Der Anwendungsentwickler beschränkt sich darauf, einzelne Bestandteile zu modifizieren oder Erweiterungen hinzuzufügen. Die Steuerung der Anwendungsabläufe bleibt dem Framework gemäß Hollywood-Prinzip („Don’t call us, we call you”) vorbehalten.
4 Anwendungsbeschreibung
Die Anwendung ist eine Abfrageanwendung. Sie besteht aus einem Abfrage- und einem Arbeitsbereich. Im Abfragebereich können Sie Suchmerkmale für die Suche erfassen. Im Arbeitsbereich werden die gefundenen Berechtigungsobjekte und die darauf geltenden Berechtigungen angezeigt.
Für die verschiedenen Berechtigungsobjekte bestehen folgende Ansichten:
- Anwendungen
- Berichte
- Business Entitys
- Filter
- Knowledge Store
- Datenschutz-Kategorien
Für „Weitere Objekte“ besteht in dieser Anwendung keine Ansicht: Da keine übergeordnete Ebene existiert, auf der Berechtigungen für die „Weiteren Objekte“ festgelegt werden können, würde das Simulieren der Berechtigungen genau das gleiche Ergebnis liefern wie das Abfragen und wird deshalb nicht benötigt.
4.1 Abfragebereich
In den Feldern im Abfragebereich können Sie Suchmerkmale für die Suche erfassen. Die meisten Felder im Abfragebereich stehen in allen Ansichten zur Verfügung, weitere Felder werden je nach Anwendungsansicht dargestellt. Daher werden als erstes die Felder beschrieben, die in jeder Ansicht zu sehen sind, und danach die zu den einzelnen Ansichten spezifischen Felder.
4.1.1 Gemeinsame Felder aller Ansichten
Beachten Sie bitte, dass die Felder „Benutzer“, „Benutzergruppe“ und „Berechtigungsrolle“ nicht gleichzeitig als Suchmerkmale verwendet werden können.
Wenn Sie mehrere Benutzergruppen oder Berechtigungsrollen angeben, werden alle zugehörigen Zuordnungen ausgewertet. Damit können Sie simulieren, wie sich die Aufnahme eines Benutzers in eine Berechtigungsrolle auswirken würde, in dem Sie die bisherigen Berechtigungsrollen des Benutzers und die neu hinzuzunehmende Berechtigungsrolle zusammen angeben.
Von den Feldern „Fähigkeitsklasse“ und „Fähigkeit“ kann ebenfalls jeweils nur eines für eine Abfrage genutzt werden.
Die Felder im Einzelnen:
| Feld | Erläuterung |
| Benutzer | Erfassen Sie bei Bedarf den Benutzer als Suchmerkmal, für den Sie die Berechtigungen simulieren möchten.
Vorschlagswert ist der angemeldete Benutzer. Hinweis: Wenn Sie nicht die Berechtigung „Berechtigungen anderer Benutzer anzeigen“ besitzen, dann wird das Feld nicht eingabebereit sein. Sie würden in dem Fall nur eigene Berechtigungen abfragen dürfen. |
| Zeitpunkt | Geben Sie den Zeitpunkt an, für den die Berechtigungen simuliert werden sollen. Es werden nur die zu diesem Zeitpunkt gültigen Berechtigungsrollen und Zuordnungen der Benutzer bzw. Benutzergruppen zu Berechtigungsrollen berücksichtigt. Vorschlagswert ist die aktuelle Zeit. |
| Benutzergruppe | Erfassen Sie bei Bedarf die Benutzergruppe als Suchmerkmal, für die Sie die Berechtigungen simulieren möchten.
Hinweis: Wenn Sie nicht die Berechtigung „Berechtigungen anderer Benutzer anzeigen“ besitzen, dann wird das Feld nicht eingabebereit sein. Sie würden in dem Fall nur eigene Berechtigungen abfragen dürfen. |
| OLTP-Datenbank | Erfassen Sie bei Bedarf eine OLTP-Datenbank als Suchmerkmal, auf der die zu berücksichtigenden Zuordnungen des Benutzers oder der Benutzergruppe zur Berechtigungsrolle gelten.
Wenn Sie in dem Feld nichts angeben, dann werden nur Zuordnungen berücksichtigt, die auf allen OLTP-Datenbanken gelten. Das entspricht der Anmeldung an Comarch ERP Enterprise ohne OLTP-Datenbank. Wenn Sie eine OLTP-Datenbank angeben, wird die Abfrage auf Berechtigungen reduziert, bei denen die Zuordnungen nur auf dieser oder auf allen OLTP-Datenbanken des Systems gelten. Vorschlagswert ist die OLTP-Datenbank, die der Benutzer bei der Anmeldung ausgewählt hat. |
| Berechtigungsrolle | Erfassen Sie bei Bedarf die Berechtigungsrolle als Suchmerkmal, für die Sie die Berechtigungen simulieren möchten.
Hinweis: Wenn Sie nicht die Berechtigung „Berechtigungen anderer Benutzer anzeigen“ besitzen, wird das Feld nicht eingabebereit sein. Sie würden in dem Fall nur eigene Berechtigungen abfragen dürfen. |
| Festlegung | Wählen Sie bei Bedarf die anzuzeigenden Berechtigungen aus. Als Festlegung stehen „Erlaubt“ und „Unterbunden“ zur Verfügung. Vorschlagswert sind beide Festlegungen. |
| Fähigkeitsklasse | Wählen Sie bei Bedarf Fähigkeitsklassen als Suchmerkmal aus. Vorschlagswert sind alle vorhandenen Fähigkeitsklassen.
Für die Ansicht „Filter“ steht dieses Feld nicht zur Verfügung. |
| Fähigkeit | Wählen Sie bei Bedarf die Fähigkeiten als Suchmerkmal aus. |
4.1.2 Felder der Ansicht „Anwendungen“
Beachten Sie bitte, dass die Felder „Framework“ und „Anwendung“ nicht gleichzeitig verwendet werden können.
Die Felder im Einzelnen:
| Feld | Erläuterung |
| Framework | Geben Sie bei Bedarf ein Framework als Suchmerkmal an. Sie schränken damit die Simulation auf alle Anwendungen des angegebenen Frameworks ein. |
| Anwendung | Geben Sie bei Bedarf eine Anwendung als Suchmerkmal an. Sie schränken damit die Simulation der Berechtigungen auf die angegebene Anwendung ein. |
| Anwendungstyp | Geben Sie bei Bedarf den Typ der Anwendung als Suchmerkmal ein. Sie schränken damit die Simulation der Berechtigungen auf Anwendungen vom angegebenen Typ ein. |
4.1.3 Felder der Ansicht „Berichte“
Beachten Sie bitte, dass die Felder „Framework“ und „Bericht“ nicht gleichzeitig verwendet werden können.
Die Felder im Einzelnen:
| Feld | Erläuterung |
| Framework | Geben Sie bei Bedarf ein Framework als Suchmerkmal an. Sie schränken damit die Simulation auf alle Berichte des angegebenen Frameworks ein. |
| Bericht | Geben Sie bei Bedarf einen Bericht als Suchmerkmal an. Sie schränken damit die Simulation der Berechtigungen auf den angegebenen Bericht ein. |
4.1.4 Felder der Ansicht „Business Entitys“
Beachten Sie bitte, dass die Felder „Business Entity“ und „Business-Entity-Gruppe“ nicht gleichzeitig verwendet werden können.
Die Felder im Einzelnen:
| Feld | Erläuterung |
| Business-Entity-Datenbank | Erfassen Sie eine Datenbank als Suchmerkmal. Wenn Berechtigungen zu bestimmten Business Entitys vergeben werden, dann wird das jeweils für eine bestimmte Datenbank vorgenommen. Aus diesem Grund ist die Angabe einer Datenbank bei der Simulation von Berechtigungen für Business Entitys erforderlich.
Hinweis: Bitte beachten Sie Folgendes bei der Simulation von Berechtigungen für Business Entitys, die auf einer OLTP-Datenbank existieren: Die OLTP-Datenbank, auf der ein Benutzer angemeldet ist, und die OLTP-Datenbank, auf der die Berechtigungen für die Business Entitys festgelegt wurden, sollten übereinstimmen. Sie könnten Folgendes simulieren: „Darf der Benutzer auf Business Entitys der OLTP-Datenbank X zugreifen, wenn er sich an die OLTP-Datenbank Y angemeldet hat“. Das ist jedoch im Allgemeinen nicht sinnvoll und nicht beabsichtigt. |
| Business-Entity-Gruppe | Erfassen Sie bei Bedarf eine Business-Entity-Gruppe als Suchmerkmal. Sie reduzieren damit die Simulation der Berechtigungen auf alle Business Entitys der angegebenen Business-Entity-Gruppe. |
| Business Entity | Geben Sie bei Bedarf ein Business Entity als Suchmerkmal an. Sie schränken damit die Simulation der Berechtigungen auf das angegebene Business Entity ein. |
4.1.5 Felder der Ansicht „Knowledge Store“
Beachten Sie bitte, dass die Felder „Ordner“ und „Datei“ nicht gleichzeitig verwendet werden können.
Die Felder im Einzelnen:
| Feld | Erläuterung |
| Ordner | Erfassen Sie bei Bedarf einen Knowledge-Store-Ordner als Suchmerkmal. Die Simulation wird für den Ordner und die darin enthaltenen Dateien ausgeführt.
Vorschlagswert ist der Wurzelordner im Arbeitsbereich der angemeldeten OLTP-Datenbank. |
| Datei | Geben Sie bei Bedarf eine Knowledge-Store-Datei ein. Die Simulation wird nur für diese Datei ausgeführt. |
4.1.6 Felder der Ansicht „Filter“
| Feld | Erläuterung |
| Filter | Erfassen Sie bei Bedarf einen Filter als Suchmerkmal. Sie reduzieren damit die Simulation der Berechtigungen auf den angegebenen Filter. |
4.1.7 Felder der Ansicht „Datenschutz-Kategorien“
Die Angabe einer OLTP-Datenbank wirkt sich nicht auf die Kategorie-Definitionen aus, diese sind in der Repository-Datenbank abgelegt. Stattdessen werden lediglich die Berechtigungen der mit den zugeordneten Fähigkeiten verbundenen Lese- und Schreibaktionen simuliert. Beispiel: für die Fähigkeit „Attribut importieren“ werden die erforderlichen generellen Schreibrechte auf der angegebenen OLTP-Datenbank überprüft.
| Feld | Erläuterung |
| Kategorie-Typ | Wählen Sie den Typ der Datenschutz-Kategorie als Suchmerkmal aus. Sie schränken damit die Simulation der Berechtigungen auf Kategorien vom angegebenen Typ ein.
Hinweis: für die speziellen Kategorie-Typen „Persönlich” und „Sensibel” darf kein Name einer benutzerdefinierten Kategorie angegeben werden. |
| Kategorie | Geben Sie bei Bedarf eine benutzerdefinierte Kategorie ein. Die Simulation wird nur für diese Kategorie ausgeführt. |
Hinweis:
Beachten Sie bitte, dass die Felder „Kategorie-Typ“ und „Kategorie“ nur dann gleichzeitig verwendet werden können, wenn Sie als Kategorie-Typ „Benutzerdefiniert“ auswählen.
4.2 Arbeitsbereich
Im Arbeitsbereich stellt die Anwendung die Ergebnisse der Berechtigungssimulation dar.
Die Spalten der Liste im Einzelnen:
| Spalte | Erläuterung |
| Berechtigungsebene | Berechtigungsebene der simulierten Berechtigung. |
| Berechtigungsobjekt | Objekt, für das die Berechtigungssimulation durchgeführt wurde. |
| Fähigkeit | Simulierte Fähigkeit auf dem berechtigten Objekt. |
| Festlegung | Gibt an, ob die Fähigkeit erlaubt oder unterbunden ist. |
Die angezeigten Berechtigungsobjekte werden nach ihrer Berechtigungsebene gruppiert dargestellt.
In der Ansicht „Filter“ wird die Spalte „Fähigkeit“ um eine zusätzliche Informationsspalte ergänzt. Für jeden Filter kann einzeln festgelegt werden, ob die entsprechende Fähigkeit tatsächlich überprüft wird. Bei Einstellung „Nicht erforderlich“ hat die momentane Festlegung keine Auswirkung, sie kommt nur bei Einstellung „Erforderlich“ zum Tragen.
Die Symbolleiste über der Liste enthält folgende Buttons:
- Sortieren:
Legt die Sortierung der Liste fest.
- Technische Namen:
Schaltet für die angezeigten Berechtigungsobjekte zwischen der Bezeichnung und dem technischen Namen um.
- Definitionen:
Blendet in der Liste die Informationen über die definierte Berechtigung ein, die zu dem Simulationsergebnis geführt hat. Sie sehen damit, auf welcher Berechtigungsebene und auf welchem Berechtigungsobjekt die Berechtigung tatsächlich definiert ist. Daran können Sie auch erkennen, ob die Berechtigung direkt auf dem simulierten Berechtigungsobjekt oder auf einem anderen Berechtigungsobjekt definiert ist.
Siehe auch folgendes Kapitel: Button „Definitionen“
Button „Definitionen“
Wenn Sie sich zusätzlich die Definitionen der simulierten Berechtigungen anzeigen lassen, erhalten die Berechtigungen in der Liste dazu eine zweite Zeile mit den folgenden Spalten:
| Spalte | Erläuterung |
| Definiertes Berechtigungsobjekt | Das Berechtigungsobjekt der definierten Berechtigung. |
| Definierte Fähigkeit | Fähigkeit, die in der definierten Berechtigung angegeben wird. |
| Definierte Berechtigungsrolle | Berechtigungsrolle, in der die definierte Berechtigung enthalten ist. |
| Definierte Berechtigungsebene | Berechtigungsebene, auf der die definierte Berechtigung festgelegt ist. |
5 Customizing
Für die Anwendung „Berechtigungen simulieren“ sind in der Anwendung „Customizing“ keine Einstellungen festzulegen.
6 Business Entity
Für diese Anwendung ist kein Business Entity relevant.
7 Berechtigungen
Berechtigungen können sowohl mithilfe der Berechtigungsrollen als auch durch die Zuordnung einer Organisation vergeben werden. Das Berechtigungskonzept können Sie in der Technischen Dokumentation „Berechtigungen“ nachlesen.
7.1 Spezielle Fähigkeiten
Für die Anwendung „Berechtigungen simulieren“ bestehen keine speziellen Fähigkeiten.
7.2 Organisations-Zuordnungen
Für die Anwendung „Berechtigungen simulieren“ ist eine Organisations-Zuordnung nicht erforderlich.
7.3 Besonderheiten
Für die Anwendung „Berechtigungen simulieren“ sind folgende Besonderheiten zu berücksichtigten:
Der Umfang der angezeigten Abfrageergebnisse innerhalb dieser Anwendung hängt von Berechtigungen auf den anzuzeigenden Berechtigungsobjekten ab. Je nach Berechtigungsobjekt sind dafür folgende Fähigkeiten relevant:
- Anwendungsberechtigungen anzeigen
- Berichtsberechtigungen anzeigen
- Berechtigungen anzeigen (für Business Entitys)
- Dateiberechtigungen anzeigen
- Berechtigungen anderer Benutzer anzeigen
Sofern Sie nicht die Berechtigung zum Anzeigen der jeweiligen Berechtigungsobjekte besitzen, werden nicht alle der Suche entsprechenden Berechtigungen angezeigt. In diesem Fall erscheint eine Meldung.
7.4 Berechtigungen für Geschäftspartner
Die Anwendung „Berechtigungen simulieren“ ist für Geschäftspartner nicht freigegeben.
8 Vorgehensweise
Führen Sie zur Simulation von Berechtigungen folgende Schritte aus:
- Öffnen Sie die Anwendung „Berechtigungen simulieren“.
- Wählen Sie die gewünschte Ansicht über die Ansichtensteuerung in der Standard-Symbolleiste.
- Ändern Sie, falls gewünscht, die Suchmerkmale für die Berechtigungen im Abfragebereich.
- Wählen Sie in der Standard-Symbolleiste „Aktualisieren“.
Das System führt für jedes Objekt, das den Suchmerkmalen entspricht, die Berechtigungssimulationen durch und zeigt die Ergebnisse in der Liste an. Falls kein Berechtigungsobjekt die Suchmerkmale erfüllt, erscheint eine Meldung. Sollten Sie nicht berechtigt sein, alle simulierten Ergebnisse anzuzeigen, sind diese auch in der Ergebnisliste nicht zu sehen.
Hinweis:
Für jedes Objekt, das den Suchmerkmalen entspricht, wird die Simulation der Berechtigung durchgeführt. Das bedeutet bei einer Simulation für Business Entitys ohne Einschränkung der Suchmerkmale, dass für jedes Business-Entity der angegebenen Datenbank alle Berechtigungen ermittelt werden. Dieses kann je nach System sehr zeitaufwändig sein.