Data Management Zugriffsverwaltung

Diese Seite beschreibt Organisationen, Rollen und Rechte, die Zugriff auf verschiedene Daten und Funktionen dieses Moduls bieten.

Für mehr Informationen siehe Identity Provider / Zugriffsverwaltung.

Die Groß-/Kleinschreibung ist bei Organisationen, Rollen und Rechten nicht relevant. Das BPC unterscheidet beispielsweise nicht zwischen Rolle1 und ROLLE1.

Damit ein Benutzer dieses Modul verwenden darf, benötigt er zunächst das Recht loadModule_vam.
Siehe auch loadModule_MODULE_ID

Außerdem wird das Recht loadModule_backendconnection benötigt, sowohl für Modul-Admins als auch für Modulnutzer.

Organisation

Ist ein User Mitglied einer Organisation im BPC, hat er im Data Management entsprechend Zugriff auf diese Organisation.

Organisationen

Rollen und Rechte

VAM_organization_$ID

Im Template definierte Rolle für Lese-/Schreibzugriff auf das Template der angegebenen ID und alle abgeleiteten Templates.

VAM-Administrator

Universeller Administrator für alle Organisationen, Templates und Assets im Data Management.

Die Rolle "VAM-Administrator" kann keine Konfigurationen im BPC Modul "Data Management" vornehmen. Um Änderungen des gesamten Data Management Moduls durchzuführen, wird “bpcadmin” benötigt.
Diese enthält dann im Data Management automatisch die Rolle "VAM-administrator".

Templates

Für Templates sind die jeweiligen Rechte und Rollen am Template selbst unter use zu definieren. Das Recht muss dabei mit entsprechenden Rollen besetzt werden.

Die Definition von use am Template wird unverändert gespeichert (Kurzformen werden nicht aufgelöst).
Dafür gibt es zusätzlich computedUse - hier sind “write” und “any” aufgelöst und jeweils alle zusätzlich implizierten Rollen aufgenommen.

Mögliche Rechte unter use:

  • read
    Templates/Assets öffnen und ansehen

  • create
    Templates/Assets erstellen, impliziert automatisch read

  • update
    Templates/Assets bearbeiten, impliziert automatisch read

  • delete
    Templates/Assets löschen, impliziert automatisch read

  • write
    Vereinigung von create, update und delete

  • executeAction
    Aktionen in Templates/Assets ausführen, impliziert automatisch read

  • any
    Vereinigung von write und executeAction bzw. Vereinigung aller denkbaren Berechtigungen

Beispiel:

<use>
    <read>
        <role>DM_reader</role>
    </read>
    <write>
        <role>DM_writer</role>
    </write>
</use>

Aktionen

Für Aktionen sind die Rechte/Rollen an der jeweiligen Aktion über executeUse zu definieren. Es wird mindestens eine Rolle verlangt.

Anwendungsbeispiele und Fallback-Lösungen

  • Berechtigungen für "alle" erteilen

    • allen Benutzern die Rolle "VAM-administrator" geben
      Problem: erlaubt nicht, zwei verschiedene VAM-Organisationen unterschiedlich zu behandeln

    • Rolle “bpcuser” verwenden
      Diese Rolle besitzt jeder BPC-Nutzer und kann daher verwendet werden, wenn etwas für alle erlaubt sein soll (sofern sie die betroffene Organisation überhaupt aufrufen können).

  • Organisationsspezifische Berechtigungen
    An der Organisation eine “any”-Rolle definieren und allen potenziellen Benutzern diese geben:

    <use>
        <any>
            <role>MCS-administrator</role>
        </any>
    </use>
  • Manche Benutzer sollen nur lesen können
    An der Organisation oder an den Templates eine “any”-Rolle definieren:

    <use>
        <read>
            <role>MCS-read</role>
        </read>
        <any>
            <role>MCS-administrator</role>
        </any>
    </use>
  • Berechtigungen für alle Templates gleich einstellen
    use im INUBIT in der Configuration der Organisation einstellen:

    Dort definierte Berechtigungen gelten automatisch für alle Templates - so, als wären die Rollen zusätzlich an jeder Stelle einzeln eingefügt worden.

Aktionen

  1. Bestimmte Rollen für alle Aktionen freischalten
    Es ist möglich, im Template use/executeAction Rollen zu definieren, sodass diese Rollen für alle Aktionen dieses Templates gelten.

In diesem Fall ist das Template auch automatisch für diese Rollen sichtbar, denn die Berechtigung executeAction impliziert die Berechtigung read, siehe Templates.

  • Rollen für alle Aktionen in allen Templates freischalten
    use/executeAction in der Organisations-Configuration (INUBIT) einstellen: