Themenübersicht
Mit dem Tool „Festlegungen der Berechtigungen ändern“ (chgarlprm, change authorization role permission) ändern Sie für eine oder mehrere Berechtigungsrollen die Festlegungen zu den erlaubten oder unterbundenen Fähigkeiten der jeweiligen Berechtigungsobjekte.
Zielgruppe
Administratoren
Technische Berater
Begriffsbestimmung
Benutzer
Die Bezeichnung „Benutzer“ trifft zu auf eine Person, die ein Comarch-ERP-Enterpise-System benutzt, und ein System, das mit einem Comarch-ERP-Enterpise-System kommuniziert. Mit der Anlage eines Benutzers in einem beliebigen Comarch-ERP-Enterpise-System wird ihm ein Zugang zum System ermöglicht. Dieser Zugang erfolgt z. B. aufgrund eines Zertifikates, welches die Echtheit eines Benutzers überprüft. Die Benutzerdaten werden in der Konfigurations-Datenbank gespeichert und sind für alle Comarch-ERP-Enterpise-Systeme gültig, die mit dieser Konfigurations-Datenbank arbeiten. Nachdem ein Benutzer erfasst wurde, ist ihm eine Berechtigungsrolle zuzuweisen, über die er Berechtigungen erhält.
Die Benutzergruppe fasst mehrere Benutzer zu einer Gruppe mit dem gleichen Merkmal zusammen. Die Benutzergruppe wird für die einfache Pflege der Berechtigungsrolle verwendet.
Berechtigung
Eine Berechtigung umfasst folgende Informationen: Welche Berechtigungsrolle darf auf welcher Berechtigungsebene welche Aktion für ein Objekt ausführen, oder nicht ausführen.
Berechtigungsobjekt
Das Berechtigungsobjekt ist ein Objekt, für das eine Berechtigung festgelegt werden kann. Dazu zählen z. B. Anwendungen, Berichte, ausgewählte Business Entitys, Knowledge-Store-Dateien und -Ordner. Auch gruppierende Objekte, wie Frameworks und Business-Entity-Gruppen, sind Berechtigungsobjekte.
Berechtigungsrolle
Damit ein Benutzer Zugriff auf Objekte im System erhält, ist er einer Berechtigungsrolle zuzuordnen. Einer Berechtigungsrolle werden Berechtigungen zugewiesen. Der Benutzer erhält also die gewünschten Berechtigungen über eine Berechtigungsrolle.
Fähigkeit
Eine Fähigkeit beschreibt eine Aktion für den Umgang mit einem bestimmten Objekt-Typ, die mit einer Berechtigung verknüpft ist. So sind zum Beispiel für ein Business Entity die Fähigkeiten „Öffnen”, „Neu”, „Ändern”, „Löschen” und „Berechtigungen anzeigen/ändern” definiert. Zusätzlich kann ein Anwendungsentwickler weitere Fähigkeiten definieren, wie zum Beispiel „Entwicklungsaufgabe aktivieren”, um ihnen eine Berechtigung zuzuweisen.
Fähigkeitsklasse
Die Fähigkeitsklasse umfasst eine Menge von Fähigkeiten. Sie wird gebildet, um die Pflege von Berechtigungen zu vereinfachen. Jede Fähigkeit ist genau einer Fähigkeitsklasse zugeordnet. Es gibt drei Fähigkeitsklassen: Standard, Erweitert, Administrativ. Erweitert umfasst alle Fähigkeiten von Standard und zusätzliche Fähigkeiten, wie zum Beispiel „Löschen”. Administrativ umfasst wiederum die Fähigkeitsklasse Erweitert und darüber hinaus beispielsweise die Fähigkeit „Berechtigungen ändern”.
Beschreibung
Das Tool dient dem Erzeugen oder Ändern der Festlegungen zu den jeweiligen Fähigkeiten der Berechtigungsobjekte, die einer Berechtigungsrolle zugewiesen sind.
Befehl
Nachfolgend finden Sie den Befehl inklusive aller möglichen Parameter.
| Chgarlprm | -authorizationRole:<id-1> …
-authorizationRole:<id-n>* [-sameSystemObjectReference:<text>] [-definitionLevel:<vs>] [-object:<text>] [-database:<id>] [-capability:<text>] [-capabilityClass:<vs>] [-jobQueueName:<id>] [-outputDeviceName:<id>] [-navigatorMenuName:<id>] [-filterName:<id>] [-categoryName:<id>] [-categoryType:<vs>] [-permission:<vs>] [-removePermission] [-visualPermissions:<str>] [-objectGuid:<guid>] [-objectType:<vs>] [-applicationName:<str>] [-applicationView:<short>] |
Parameter
Die Parameter des Befehls werden in der folgenden Tabelle erläutert. Die in eckigen Klammern gesetzten Parameter sind optional, die anderen hingegen sind Pflichtparameter. Für einige Parameter kann ein Stern (*) als Platzhalter angegeben werden, um damit alle möglichen Werte ausgeben zu können. Nicht alle Parameter können mehrfach genannt werden; nur die, die folgenden Zusatz an den Parametervariablen aufweisen, sind für die Mehrfachnennung zugelassen: „<id-1> … <id–n>“.
| Parameter | Erläuterung |
| -authorizationRole:
<id-1> … -authorizationRole: <id-n>* |
Name der Berechtigungsrolle, in der die Berechtigungen für Objekte geändert werden sollen. |
| [-sameSystemObjectReference:<text>] | Referenz auf eine Business-Entity-Instanz. Die Referenzen auf Business-Entity-Instanzen müssen vorher im gleichen System angelegt werden, in dem die Festlegungen der Berechtigungen geändert werden sollen.
Hinweis: Die Angabe der Referenz auf eine Business-Entity-Instanz wird in der Regel nur durch den Aufruf des Tools „Berechtigungsrolle exportieren“ festgelegt, welches allerdings zurzeit nur die Referenz auf Ausgabegeräte, Benutzer-Menüs und Verarbeitungs-Warteschlangen unterstützt. Dieser Parameter erlaubt Referenzen auf beliebige Instanzen. |
| [-definitionLevel: <vs>] |
Berechtigungsebene, welche die Ebene des Berechtigungsobjektes bestimmt. Die möglichen Werte sind:
1 = Alle Business-Entity-Gruppen 2 = Business-Entity-Gruppe 3 = Business Entity 4 = Business-Entity-Instanz 5 = Alle Frameworks 6 = Framework 7 = Anwendung 8 = Bericht 9 = Ordner 10 = Datei 11 = Oberflächen-Element 12 = Filter 13 = Datenschutz-Kategorie |
| [-object:<text>] | Berechtigungsobjekt, für das die Festlegung einer Fähigkeit geändert wird. Je nach Berechtigungsobjekt ist der vollständige Name anzugeben. Für die Berechtigungsebenen „Alle Frameworks“ und „Alle Business-Entity-Gruppen“ ist dieser Parameter nicht relevant. |
| [-database:<id>] | Name der Datenbank, der die Berechtigungsobjekte zugeordnet sind. Für die folgenden Berechtigungsebenen ist dieser Parameter nicht relevant: Alle Frameworks, Anwendung, Framework, Bericht, Datei, Ordner. |
| [-capability:<text>] | Fähigkeit, deren Festlegung geändert wird. |
| [-capabilityClass: <vs>] |
Fähigkeitsklasse, deren Festlegung geändert wird. Die möglichen Werte sind:
1 = Standard 2 = Erweitert 3 = Administrativ |
| [-jobQueueName: <id>] |
Name der Verarbeitungs-Warteschlange, die als weiteres Objekt zur Berechtigungsrolle zugeordnet werden kann. Die Angabe der Fähigkeit „Verarbeitungswarteschlange verwenden“ (com.cisag.sys.configuration.UseJobQueue.cap) und der Konfigurations-Datenbank sind in diesem Fall erforderlich. |
| [-outputDeviceName:<id>] | Name des Ausgabegerätes, das als weiteres Objekt zur Berechtigungsrolle zugeordnet werden kann. Die Angabe der Fähigkeit „Ausgabegerät verwenden“ (com.cisag.sys.services.output.UseOutputDevice.cap) und der Repository-Datenbank sind in diesem Fall erforderlich. |
| [-navigatorMenuName:<id>] | Name des Benutzermenüs, das als weiteres Objekt zur Berechtigungsrolle zugeordnet werden kann. Die Angabe der Fähigkeit „Benutzermenü verwenden“ (com.cisag.sys.preferences.UseNavigatorMenu.cap) und der Repository-Datenbank sind in diesem Fall erforderlich. |
| [-filterName:<id>] | Name des Filters, der als weiteres Objekt zur Berechtigungsrolle zugeordnet werden kann. Die Angabe einer filterbezogenen Fähigkeit ist in diesem Fall erforderlich. |
| [-categoryName: <id>] |
Name der benutzerdefinierten Kategorie, die als Datenschutz-Kategorie zur Berechtigungsrolle zugeordnet werden kann. Die Angabe einer kategoriebezogenen Fähigkeit ist in diesem Fall erforderlich.
Hinweis: Die Parameter -categoryName und -categoryType können nicht gleichzeitig verwendet werden. |
| [-categoryType: <vs>] |
Die möglichen Werte sind:
1 = Persönlich 2 = Sensibel <ref n=”com.cisag.sys.security.tools.ChangeAuthorizationRolePermissionCategoryType,18,31″/> Typ der speziellen Kategorie, die als Feld-Kategorie zur Berechtigungsrolle zugeordnet werden kann. Die Angabe einer kategoriebezogenen Fähigkeit ist in diesem Fall erforderlich. Die möglichen Werte sind: 1 = Persönlich <br/> 2 = Sensibel Hinweis: Die Parameter -categoryName und -categoryType können nicht gleichzeitig verwendet werden. |
| [-permission:<vs>] | Gewünschter Wert der Festlegung. Die möglichen Werte sind:
1 = Erlaubt 2 = Unterbunden Um eine Festlegung zu entfernen, verwenden Sie den Parameter „–removePermission“. |
| [-removePermission] | Bei der Angabe dieses Parameters wird die Berechtigungsfestlegung für das angegebene Berechtigungsobjekt entfernt. |
| [-visualPermissions: <str>] |
Komma-getrennte Liste der erlaubten Oberflächenelement-Berechtigungen. Mögliche Werte: visible, enabled, editable, none.
Beispiel: -visualPermissions:visible,enabled. Dieser Parameter ist nur für Oberflächenelemente erforderlich. |
| [-objectGuid: <guid>] |
GUID des Oberflächenelements. Die durch den Befehl gesetzten Berechtigungen haben nur dann eine Auswirkung, wenn die GUID im Zielsystem existiert. Dies kann durch den Befehl jedoch nicht überprüft werden und somit kann das System keine Fehlermeldung ausgeben.
Dieser Parameter ist nur für Oberflächenelemente erforderlich. |
| [-objectType:<vs>] | Typ des Oberflächenelements. Mögliche Werte:
1 = Kein 2 = Button 3 = Feld 4 = Tabellenspalte 5 = Karteireiter Dieser Parameter ist nur für Oberflächenelemente erforderlich. |
| [-applicationName: <str>] |
Vollständiger technischer Name der Anwendung. Dieser Parameter ist nur für Oberflächenelemente erforderlich. |
| [-applicationView: <short>] |
Nummer der Ansicht der Anwendung. Dieser Parameter ist nur für Oberflächenelemente relevant und optional. |
Berechtigungen
Das Berechtigungskonzept sowie die generellen anwendungsbezogenen und Entity-bezogenen Berechtigungen können Sie im Dokument „Berechtigungen“ nachlesen.
Zum Ändern von Berechtigungen sind bestimmte Fähigkeiten auf den berechtigten Objekten erforderlich, die Sie ändern möchten. Für Mitglieder der Benutzergruppe „Administratoren“ sind diese Fähigkeiten nicht erforderlich. Für jeden Berechtigungsobjekttyp besteht jeweils eine Fähigkeit zum Ändern der Berechtigungen: Anwendungsberechtigungen ändern, Berichtsberechtigungen ändern, Berechtigungen ändern (für Business Entitys), Dateiberechtigungen ändern.
Für Berechtigungsfestlegungen für das Tool „Festlegungen der Berechtigungen ändern“ ist das folgende Business Entity relevant:
com.cisag.sys.security.obj.AuthorizationRole