Document toolboxDocument toolbox

(12.04.120-de_orig) Regeln für die Benutzerautorisierung

Problem

In der IGEL UMS möchten Sie Administratoren Berechtigungen oder Rollen entsprechend den verschiedenen Verantwortlichkeiten zuweisen.

Grund

In der IGEL UMS können Sie Benutzer- oder Administratorkonten erstellen und ihnen Regeln zuweisen, aber es ist nicht möglich, Rollen zuzuordnen.

Sie möchten Administratoren nach ihren Aufgaben gruppieren, um eine klar strukturierte Verwaltung der Benutzerrechte zu erreichen.

In Ihrem Unternehmen führen Sie bereits Mitarbeiterkonten über ein Active Directory oder LDAP.

Lösung

Wir empfehlen, die UMS mit den Benutzerkonten des Active Directory zu verbinden. Sie pflegen die Benutzer- und Gruppenkonten nur im Active Directory. Im UMS weisen Sie den importierten Gruppen Rechte zu.


Übertragen von Active Directory-Gruppen an die UMS und Zuweisen von Berechtigungen und Rollen:

Klicken Sie UMS Administration > Globale Konfiguration > Active Directory /LDAP um Ihr Active Directory zu integrieren.

Sie können Administrative Benutzer / UMS-Administratoren sowohl aus einem Active Directory als auch aus einem LDAP importieren.

Klicken Sie in der UMS Konsole System > Administratorkonten > Importieren, um Gruppen aus der Struktur Ihres Active Directory zu importieren.

Der erfolgreiche Import einer Gruppe kann nicht rückgängig gemacht werden. Sie müssen eine falsch angelegte UMS-Gruppe in der Verwaltung "Administratorkonto" manuell löschen. Der Name der importierten Active Directory-Gruppe wird aus dem Konto übernommen.

Zuordnung von Rollen zu Gruppen in der IGEL UMS auf Basis von Berechtigungsregeln:

  • Klicken Sie System > Administratorkonten > Gruppen > Bearbeiten um allgemeine Gruppenrechte direkt zuzuweisen.
  • Vergeben Sie objektbezogene Zugriffsrechte über Objektberechtigungen und wählen Sie Zugriffskontrolle im Kontextmenü eines beliebigen Objekts.

Auf diese Weise können Sie den Administratoren der UMS bestimmte Rollen entsprechend ihrer Gruppenzugehörigkeit zuweisen.

Bitte beachten Sie:

  • Berechtigungen werden von einem übergeordneten Verzeichnis an ein Unterverzeichnis oder an ein untergeordnetes Objekt vererbt.

  • Es ist möglich, indirekte Rechte zu ändern, d. h. Rechte, die durch Gruppenzuordnung vergeben werden. Direkt zugewiesene Rechte haben jedoch Vorrang vor indirekt zugewiesenen Rechten.

  • Ein Administrator kann Mitglied verschiedener Gruppen sein und erhält die entsprechenden Rechte. Sind sie widersprüchlich, hat der Entzug eines Rechts Vorrang vor der Erlaubnis. Wenn ein Verbot für eine Klage oder einen Gegenstand einer Gruppe erlassen wird, überschreibt es eine beliebige Anzahl von Rechten anderer Gruppen.

  • Klicken Sie auf Effektive Rechte, um weitere Details zur Regelbestimmung zu erhalten, z. B. wenn eine Berechtigung direkt erteilt wurde oder wenn sie von einer Gruppe oder durch eine Vererbung innerhalb einer Baumstruktur zugewiesen wurde.