Objektberechtigung
iQ-BASIS verfügt über ein umfassendes Berechtigungskonzept. Darin kann festgelegt werden, ob ein angemeldeter Benutzer aufgrund seiner Zugehörigkeit zu Berechtigungsgruppen im Kontext einer Maske Daten bearbeiten, diese nur einsehen oder gar nicht auf sie zugreifen darf. Allerdings bietet dieser Ansatz noch keine Antwort auf die Fragestellung, dass Benutzer lediglich bestimmte Objekte sehen oder bearbeiten dürfen, möglicherweise aber keine anderen.
Das Modul iT-OBJEKTE bietet die Möglichkeit, das Berechtigungskonzept auf die Datenebene auszudehnen, um Fragestellungen wie diese im Zusammenspiel mit den Maskenberechtigungen umfassend zu lösen.
Workflow
Im Mittelpunkt der Objektberechtigung steht das Objekt. Hierbei handelt es sich um einen Datensatz aus einer iQ-BASIS-Datentabelle, für die Objektberechtigungen definiert wurden. Die Definition erfolgt über ein sogenanntes Objektmodell, in dem die Daten der fraglichen Tabelle nach einem bestimmten Kriterium gruppiert werden. Dieses Kriterium wird durch eine Objektnummer ausgedrückt. Ein sehr häufig anzutreffendes Kriterium ist beispielsweise das Werk mit der Werks-ID als Objektnummer, um die Zugehörigkeit des Objekts zu einem Werk festzulegen.
)
Die Objektberechtigung bezieht sich auf die Objektnummer. Um die Verbindung zum aktiven Benutzer zu schaffen, werden in der Systemkonfiguration für jede Objektnummer ein oder mehrere Personengruppen mit Rechten hinterlegt, die definieren, was Mitglieder dieser Personengruppen mit Objekten, die diese Nummer enthalten, machen dürfen. Beim Zugriff auf jedes einzelne Objekt, sei es zu Bearbeitungs- oder reinen Ansichtszwecken, wird überprüft, ob der Benutzer zu einer angegebenen Personengruppe gehört, und dann entschieden, ob der Datensatz zum Beispiel bearbeitet werden darf oder vielleicht auch gar nicht angezeigt wird. Da zu jeder Objektnummer beliebig viele Personengruppen angegeben und mit Rechten versehen werden können, lässt sich jedes datenbezogene Sicherheitskonzept umsetzen.
In der Anwendung bedeutet dies, dass zum Zeitpunkt der Erstellung eines Datensatz zu einer Tabelle, für die Objektberechtigungen definiert wurden, in diesem eine passende Objektnummer gespeichert werden muss. Wird keine Objektnummer angegeben, ist das Objekt öffentlich verfügbar! Kann ein Benutzer aufgrund seiner Zugehörigkeit zu mehreren Personengruppen Datensätze zu mehreren Objektnummern anlegen, wird er beim Speichern des neuen Datensatzes aufgefordert, diesem eine der für ihn verfügbaren Objektnummern manuell zu vergeben, so dass auch in diesem Fall eine korrekte Handhabung der Daten gewährleistet ist.
Wichtige Details im Überblick
Definition
Modell
- Es können Modelle zu nahezu jeder iQ-BASIS-Tabelle angelegt werden.
- Grundsätzlich kann jede beliebige Form der Gruppierung gewählt werden (etwa eine Werksabgrenzung über die Werks-ID oder eine funktionale Trennung).
- Das Definieren von Standardgruppierungen wie z. B. bei der Werksabgrenzung wird durch Automatismen unterstützt.
- Personengruppen können sein: Werk (alle Kostenstellen, alle Personen des Werkes), Kostenstelle (alle Personen der Kostenstelle), Personenkreis (alle enthaltenen Personen), einzelne Personen
- Die Definition für eine Personengruppe lässt sich automatisch in alle Objektnummern übernehmen.
- Berechtigungsstufen sind (mit zunehmender Wertigkeit): Anzeigen, Ändern, Hinzufügen, Objektnummer ändern und Löschen
- Pro Personengruppe wird eine dieser Stufen festgelegt.
- Für den angemeldeten Benutzer gilt die höchste Berechtigung, wenn er zu mehreren definierten Personengruppen gehört.
- Die höherwertigen Berechtigungsstufen enthalten die mit geringerer Wertigkeit.
- Bei Prozessen, die Daten im Hintergrund erzeugen, können Objektnummern automatisch vergeben werden.
- Beim manuellen Anlegen von Datensätzen wird die Objektnummer automatisch vergeben, wenn der angemeldete Benutzer nur Mitglied genau einer Personengruppe für das Objekt ist.
- Wenn der Benutzer mehreren Personengruppen angehört, wählt er die passende Objektnummer manuell aus.
- Für das Anlegen neuer Objekte ist das Recht Hinzufügen erforderlich.
- Soll ein Objekt eine neue Nummer erhalten, weil es zum Beispiel eine neue Werkszugehörigkeit hat, muss ein Benutzer dafür das Recht Objektnummer ändern für sowohl die alte als auch die neue Objektnummer besitzen.
- Das Recht zum Ändern von Objektnummern kann durch Maskenberechtigungen auf der dafür herangezogenen Maske weiter verfeinert werden.
- Die Prüfung erfolgt beim Einlesen jedes Datensatzes aus einer Tabelle, für die Objektberechtigungen definiert sind.
- Wird beim Prüfen festgestellt, dass der angemeldete Benutzer keiner der Personengruppen angehört, die der Objektnummer zugeordnet sind, so wird die Anzeige des Datensatzes mit einer entsprechenden Information unterdrückt.
- Wird hingegen festgestellt, dass der Benutzer einer oder mehreren Personengruppen angehört, so wird das höchste Recht für diese Gruppen ermittelt und auf den Datensatz bzw. die Tabelle angewandt.
- iQ-KONFIG für die Verwaltung von Benutzern und Berechtigungen sowie anderen administrativen Daten
- iQ-GL zur zentralen Pflege der in allen Modulen relevanten Stammdaten
Objektnummern
Personengruppen
Berechtigungen
Anwendung
Vergabe der Objektnummer
Prüfung der Berechtigung
Schnittstellen zu anderen Modulen