Regeln für die Benutzerautorisierung
Problem
Im IGEL UMS sollen Administratoren nach verschiedenen Zuständigkeiten Berechtigungen oder Rollen zugewiesen werden.
Grund
In der IGEL UMS können Sie Benutzer- oder Administratorkonten erstellen und ihnen Regeln zuweisen, aber es ist nicht möglich, Rollen zuzuweisen.
Sie möchten Administratoren nach ihren Aufgaben gruppieren, um eine übersichtliche Verwaltung der Benutzerrechte zu erreichen.
In Ihrem Unternehmen verwalten Sie bereits Mitarbeiterkonten über ein Active Directory oder LDAP.
Lösung
Als Best Practice empfehlen wir, den UMS mit den Benutzerkonten des Active Directory zu verbinden. Sie pflegen die Benutzer- und Gruppenkonten nur im Active Directory. In der UMS weisen Sie den importierten Gruppen Rechte zu.
Übertragung von Active Directory-Gruppen auf UMS und Zuweisung von Berechtigungen und Rollen an diese Gruppen:
→ Klicken Sie auf UMS Administration > Global Configuration > Active Directory / LDAP, um Ihr Active Directory zu integrieren.
Sie können Administrative Benutzer / UMS Administratoren sowohl aus einem Active Directory als auch aus einem LDAP importieren.
→ Klicken Sie in der UMS Konsole auf System > Administratorkonten > Importieren, um Gruppen aus dem Baum Ihres Active Directory zu importieren.
Der erfolgreiche Import einer Gruppe kann nicht rückgängig gemacht werden. Sie müssen die fälschlicherweise angelegte Gruppe UMS in der Verwaltung "Administratorkonto" manuell löschen. Der Name der importierten Active Directory-Gruppe wird aus dem Konto übernommen.
→ Zuweisung von Rollen zu Gruppen im IGEL UMS auf Basis von Berechtigungsregeln:
Klicken Sie auf System > Administratorkonten > Gruppen > Bearbeiten, um allgemeine Gruppenrechte direkt zuzuweisen.
Zuweisung von objektbezogenen Zugriffsrechten über Objektberechtigungen, indem Sie Zugriffssteuerung im Kontextmenü eines beliebigen Objekts wählen.
Auf diese Weise können Sie Administratoren des UMS entsprechend ihrer Gruppenzugehörigkeit bestimmte Rollen zuweisen.
Bitte beachten Sie:
Berechtigungen werden von einem übergeordneten Verzeichnis an ein untergeordnetes Verzeichnis oder an ein untergeordnetes Objekt vererbt.
Es ist möglich, indirekte Rechte, d.h. Rechte, die durch Gruppenzuordnung vergeben werden, zu ändern. Direkt zugewiesene Rechte haben jedoch Vorrang vor indirekt zugewiesenen Rechten.
Ein Administrator kann Mitglied in verschiedenen Gruppen sein und erhält die entsprechenden Rechte. Widersprechen sich diese, hat der Entzug eines Rechts Vorrang vor der Erlaubnis. Wird ein Verbot für eine Aktion oder ein Objekt einer Gruppe ausgesprochen, setzt es beliebig viele Rechte aus anderen Gruppen außer Kraft.
Klicken Sie auf Wirksame Rechte, um weitere Details zur Regelsammlung zu erhalten, z.B. ob ein Recht direkt vergeben wurde oder ob es durch eine Gruppe oder durch eine Vererbung innerhalb einer Baumstruktur zugewiesen wurde.