Was ist das Berechtigungskonzept?

Die Stärke von Password Safe in der Version 8 ist es, auf alle erdenklichen Anforderungen in Bezug auf Berechtigungsmanagement die richtige Antwort parat zu haben. Um den manuellen Aufwand so gering wie möglich halten zu können, ist die Zusammenfassung mehrerer Benutzer in Rollen das Mittel der Wahl. Diese Rollen kann man dann entweder manuell oder automatisiert berechtigen. Für beide Varianten existieren mehrere Varianten, welche in den nachfolgenden Kapiteln exakt erläutert werden.

Neben der Definition von manuellen und automatischen Berechtigungen ist das (optionale) Anbringen von Schutzmechanismen Teil des Berechtigungskonzeptes. Die Schutzmechanismen sind den Berechtigungen somit nachgelagert. In der folgenden Grafik ist das Zusammenwirken all dieser Elemente veranschaulicht.

Bevor die nachfolgenden Kapitel manuelles und automatisches Berechtigen sowie die möglichen Schutzmechanismen behandeln, soll hier noch die grundlegende Mechanik des Berechtigungskonzeptes erläutert werden. Diese drei Grundpfeiler sind nachfolgend unumstößlich und wirken sich stets auf Berechtigungen jeder Art aus.

Die drei Grundpfeiler des Berechtigungskonzeptes

Das Abbilden unternehmensspezifischer Berechtigungsstrukturen kann im Aufwand stark variieren. Kleine Arbeitsgruppen wie auch international agierende Konzerne unterliegen im Password Safe bezüglich der Administration jedoch grundsätzlich den gleichen Gesetzmäßigkeiten. Das Grundkonzept basiert an sich nur auf wenigen Regeln, welche ohne Ausnahme immer gelten. Trotz der unzähligen, individuellen Stellschrauben kann man diese Grundregeln in drei wesentlichen Schritten zusammenfassen.

1. Berechtigungen nur für Benutzer oder Rollen

Soll die Berechtigung für einen Datensatz festgelegt werden, existieren grundsätzlich nur zwei Möglichkeiten:

  1. Berechtigung für einen Benutzer
  2. Berechtigung für eine Rolle

Eine Rolle ist technisch nichts anderes, als eine Zusammenfassung mehrerer Benutzer mit gleichgearteten Berechtigungen. Es bietet sich hierbei natürlich an, diese gemäß Ihrer im Unternehmen ausgeübten Tätigkeit in Rollen zu verwalten. Die Rolle “Administratoren” kann demnach mit weitläufigeren Berechtigungen versehen werden, als z.B. die Rolle “Vertriebsassistenz”. Diese rollenbasierte Vererbung ermöglicht in größeren Unternehmensstrukturen die Bewahrung der Übersicht sowie einfaches Vorgehen beim Hinzufügen neuer Mitarbeiter. Statt ihn einzeln berechtigen zu müssen, fügt man diesen einfach seiner ihm angedachten Rolle zu.

Es ist naheliegend, bei der Organisation von Zugängen rollenbasiert vorzugehen und nur in Ausnahmefällen einzelnen Mitarbeitern Rechte zu gewähren. Auch nicht planbare Personalausfälle müssen in solchen Konzepten bedacht werden. Das Arbeiten mit Rollen entschärft solche Risiken signifikant.

2. Mitgliedschaft in Rollen

Der entscheidende Punkt ist die Mitgliedschaft in einer Rolle. Soll ein Mitarbeiter die Berechtigungen gemäß der ihm vorgesehenen Rolle nutzen können, muss dieser zwingend Mitglied dieser Rolle sein. Nur Mitglieder sehen diejenigen Datensätze, welche über die Rolle berechtigt wurden.

3. Mitgliedschaft vs. Rechte auf Rollen

Das Wechselspiel zwischen Benutzern und Rollen ist ein Thema, dem man als administrierender Benutzer im Password Safe maximale Aufmerksamkeit widmen muss. Diese Mechanik bildet das grundlegende Fundament, um das Berechtigungskonzept verstehen zu können um dann maximal von der individuellen Anpassbarkeit an beliebige Unternehmensstrukturen zu profitieren. Das folgende Schaubild soll dies anhand von zwei Benutzern verdeutlichen.

  • Benutzer 1 ist Mitglied der Rolle und dementsprechend berechtigt auf alle Datensätze, welche der Rolle angedacht sind. Auf die Rolle an sich besitzt er jedoch nur “Leserecht”. Das bedeutet, er kann die Rolle sehen, jedoch nicht “Bearbeiten, Verschieben oder gar Löschen”.
  • Benutzer 2 besitzt alle Rechte auf die Rolle. Er kann sogar durch “Berechtigen” weitere Benutzer der Rolle hinzufügen. Der entscheidende Punkt ist jedoch, dass er nicht Mitglied der Rolle ist. Er kann somit keine Datensätze einsehen, auf welche die Rolle berechtigt.

In der Praxis wäre der erste Benutzer ein klassischer User, der von Administratoren z.B. der Rolle Vertrieb zugeordnet wird und dementsprechend Datensätze einsehen kann. Der zweite Benutzer könnte der genannte Administrator sein. Dieser besitzt weitreichende Rechte auf die Rolle. Er kann diese beliebig bearbeiten und Benutzer hinzufügen. Er sieht jedoch keine Daten, welche dem Vertrieb zugeordnet sind. Hierzu fehlt ihm die Mitgliedschaft in der Rolle.

Konkretes Beispiel und Konfiguration

Analog zum vorherigen Kapitel (Mitgliedschaft vs. Rechte auf Rollen) soll die Konfiguration einer Rolle anhand zweier Benutzer veranschaulicht werden. Die Konfiguration wird im Client Modul Rollen vorgenommen. Durch Doppelklick auf die Rolle “IT-Consultants” in der Listenansicht öffnen wir deren Detailansicht.

  • Der Benutzer “Holste” ist Mitglied der Rolle und kann dementsprechend auf diejenigen Datensätze zugreifen, für die die Rolle berechtigt ist. Er besitzt das obligatorische Leserecht auf die Rolle, welches Grundvoraussetzung ist, um Mitglied sein zu können. Welche exakten Rechte er auf den Datensatz besitzt wird nicht innerhalb der Rolle definiert! Dies ist im Folgekapitel festgelegt.
  • Der Benutzer “Administrator” besitzt alle Rechte auf die Rolle, ist jedoch kein Mitglied! Er kann demnach keine Datensätze sehen, auf die die Rolle berechtigt. Er besitzt jedoch alle Rechte auf die Rolle und kann demnach Drucken, andere auf die Rolle berechtigen als auch diese löschen.

Anhand dieses Beispiels sieht man sehr gut, welche Vorteile das Konzept aufweist. Die komplette Trennung von administrativen Benutzern und Anwendern bringt erhebliche Vorteile mit sich. Natürlich muss das eine das andere nicht ausschließen. Ein Administrator kann natürlich vollen Zugriff auf die Rolle haben und ebenso Mitglied dieser sein! Die Grenzen sind fließend und im Password Safe beliebig definierbar.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.