Was sind Siegel?

Passwörter werden durch das Berechtigungskonzept selektiv den verschiedenen Benutzergruppen zur Verfügung gestellt. Dennoch existieren viele Szenarien, bei denen die Einsicht und Nutzung eines Datensatzes an eine im Vorfeld gewährte Freigabe gekoppelt sein soll. In diesem Zusammenhang stellt das Siegel einen effektiven Schutzmechanismus dar. Dieses Mehr-Augen-Prinzip schützt Passwörter, indem es diese durch granular definierbare Freigabemechanismen absichert. Will man ein Passwort einsehen, muss dies erst angefordert und freigegeben werden. Die erfolgte Freigabe kann auch temporärer Natur sein.

Benötigte Berechtigungen

Um Siegel anlegen zu können wird zwingend das Recht “Berechtigen” auf den Datensatz benötigt. Darüber hinaus benötigt man Leserecht auf alle Benutzer und Rollen, welche im Siegel enthalten sind. Die exakte Konfiguration von Sichtbarkeit und Berechtigungen auf Datensätze sind im Kapitel Berechtigungskonzept exakt aufgeschlüsselt.

Was wird genau versiegelt?

Auch bei versiegelten Datensätzen sind nicht alle Felder versiegelt. Dies trifft lediglich auf die schützenswerten Passwörter zu. Technisch gesehen wird nicht das Passwort selbst versiegelt. Es ist das Recht, ein Passwortfeld einzusehen, welches durch ein Siegel geschützt wird. Dies ermöglicht filigranste Konfigurationen, bei denen die eine Gruppe das Passwort ohne Einschränkungen benutzen kann, die andere Benutzergruppe jedoch das Passwort versiegelt vorfindet. Der Assistent unterstützt Benutzer beim Anbringen von Siegeln sowie der zukünftigen Pflege.

Siegelassistent

Sämtliche Siegel-Konfigurationen werden im Assistenten vorgenommen. Sowohl das Anbringen von neuen Siegeln als auch das Bearbeiten und Löschen sind hier möglich. Auch der aktuelle Zustand eines Siegels ist in einer Übersicht einsehbar, welche ebenso über den Button in der Ribbon erreicht wird. Beim Öffnen des Siegelassistenten über die Ribbon erscheint bei unversiegelten Datensätzen der Assistent, welcher in vier Schritten durch die Konfiguration des Siegels leitet.

1. Siegel anbringen

Eingangs werden alle Objekte angezeigt, welche versiegelt werden. Dies können je nach Datensatz eines, oder auch mehrere sein. Ebenso ist die Nutzung bereits bestehender Siegelvorlagen möglich. Optional kann für jedes Siegel eine Begründung eingegeben werden.

2. Mehr-Augen-Prinzip

Die Siegellogik ist der elementarste Bestandteil dieses Schutzmechanismus. Hier wird definiert, welche Benutzer oder Rollen zukünftig den Datensatz versiegelt vorfinden, bzw. hierfür freigabeberechtigt sein sollen. Für all diejenige, für die der Datensatz versiegelt sein soll, werden rot dargestellt, alle Freigabeberechtigten blau.

Um nicht jedwede Konfiguration manuell durchführen zu müssen, werden Rollen und Benutzer direkt aus den Berechtigungen des Datensatzes übernommen. Zum Vergleich die “Berechtigungen” für den Datensatz (einsehbar über die Ribbon).

Die Zusammenhänge sind offensichtlich. Es ist in der Regel gewünscht, dass Vorgesetzte die Freigaben für deren Mitarbeiter vergeben sollen. Demnach folgt auch die Siegellogik den vorhandenen Berechtigungen. Das folgende Schema wird angewandt:

Hier ein genauerer Blick auf die Berechtigungen der Rolle Administratoren auf den Datensatz:

Anpassungen an der Siegellogik

Obwohl standardmäßig die bereits existierenden Berechtigungen als Grundlage für das Versiegelungskonzept herangezogen werden, können diese natürlich angepasst werden. Die Anzahl der generell benötigten Freigaben ist genauso konfigurierbar wie auch die benötigte Anzahl an Freigaben aus einer Rolle. Im folgenden Beispiel wurde das Siegel insofern erweitert, dass insgesamt drei Freigaben notwendig sind, um eine Freigabe zu erhalten (Mehr-Augen-Prinzip). Die Rolle der Administratoren wurde in der Pflichtspalte markiert. Das bedeutet, dass diese mindestens eine Freigabe erteilen muss. Zusammengefasst: Es müssen insgesamt drei Freigaben erfolgen, wobei die Gruppe der Administratoren mindestens eine Freigabe erteilen muss.

Um nicht nur abhängig von bestehenden Berechtigungen auf den Datensatz zu sein, können gerne auch weitere Benutzer dem Siegel hinzugefügt werden. Nachfolgend wurde die Rolle Buchhaltung unter “versiegelt für” hinzugefügt.

3. Erweiterte Einstellungen

Erweiterte Siegeleinstellungen ermöglichen die weitere Anpassung des Mehr-Augen-Prinzips. Sowohl die zeitliche Gültigkeit einer Freigabeanfrage, wie auch einer gewährten Freigabe kann konfiguriert werden. Mehrfachbruch definiert, ob nach dem Brechen eines Siegels durch einen User auch weitere User dieses noch brechen dürfen.

4. Siegel Speichern

Vor dem Abschließen des Assistenten besteht die Möglichkeit, die vorgenommene Konfiguration direkt in Form einer Vorlage abzuspeichern und zukünftig weiter zu verwenden. Siegelvorlagen können zwecks Übersicht optional mit einer Beschreibung versehen werden.

Zusammenfassung

Die auf dem Datensatz bereits vorhandenen Rechte stellen die Basis für beliebig komplexe Siegelkonfigurationen. Es ist somit frei definierbar, welche Benutzer vor der Einsicht auf das Passwort einen Freigabemechanismus durchlaufen müssen. Auch die Rollen, welche Freigaben erteilen dürfen, sind frei definierbar. Eine stets zugängliche Siegelübersicht ermöglicht allen Freigabeberechtigten die Einsicht auf den aktuellen Zustand der Siegel. Das Kapitel Freigabemechanismus behandelt detailliert die einzelnen Schritte von der ersten Freigabeanfrage bis hin zur endgültigen Erteilung einer Freigabe.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.