Was ist das Berechtigungskonzept?

Die Stärke von Password Safe ist das Konzept der Berechtigungen. Benutzern wird dabei erlaubt, bei Datensätzen gewisse Aktionen durchzuführen. Um den Aufwand hier möglichst gering zu halten, bietet sich die Zusammenfassung mehrerer Benutzer in Rollen an. Diese Rollen können dann entweder manuell oder automatisiert auf Datensätze berechtigt werden. Dafür existieren mehrere Varianten, die folgend genauer erläutert werden.

Neben der Definition von manuellen und automatischen Berechtigungen ist das (optionale) Anbringen von Schutzmechanismen Teil des Berechtigungskonzeptes. Diese Schutzmechanismen sind – wie man in der folgenden Grafik erkennen kann – den Berechtigungen nachgelagert.

Das Berechtigungskonzept basiert auf drei Grundpfeilern, die Einfluss auf jede Art von Berechtigungen haben. Die Funktionsweise wird nachfolgend erklärt. Auf das manuelle und automatische Berechtigen sowie die möglichen Schutzmechanismen wird in den nächsten Kapiteln eingegangen.

Die drei Grundpfeiler des Berechtigungskonzeptes

Egal ob kleine Arbeitsgruppe oder international agierender Konzern – in Password Safe sind alle gleich. Es gibt einige wenige Regeln, die trotz der unzähligen, individuellen Stellschrauben immer und ohne Ausnahme gelten.

1. Berechtigungen nur für Benutzer oder Rollen

Es gibt zwei Möglichkeiten, die Berechtigung für einen Datensatz festzulegen:

  1. Berechtigung für einen Benutzer
  2. Berechtigung für eine Rolle

Eine Rolle ist technisch nichts anderes als eine Zusammenfassung mehrerer Benutzer mit gleichen Berechtigungen. Es bietet sich hier an, Benutzer entsprechend Ihrer Position oder Abteilung im Unternehmen in Rollen zu verwalten. Die Rolle “Administratoren” kann demnach mit weitläufigeren Berechtigungen versehen werden als z.B. die Rolle “Vertriebsassistenz”. Die rollenbasierte Vererbung der Berechtigungen ermöglicht eine bessere Übersicht bei größeren Unternehmensstrukturen sowie das einfache Hinzufügen neuer Mitarbeiter. Denn statt den Mitarbeiter einzeln berechtigen zu müssen, fügt man diesen einfach seiner ihm angedachten Rolle zu. Die Berechtigung für einen einzelnen Benutzer macht nur in Ausnahmesituationen Sinn.

2. Mitgliedschaft in Rollen

Soll ein Mitarbeiter die Berechtigungen gemäß der für ihn vorgesehenen Rolle nutzen können, muss er zwingend Mitglied dieser Rolle sein. Nur Mitglieder sehen die Datensätze, auf die eine Rolle berechtigt wurde.

3. Mitgliedschaft vs. Rechte auf Rollen

Das Wechselspiel zwischen Benutzern und Rollen ist ein Thema, bei dem es schnell zu Missverständnissen kommen kann. Daher muss man bei der Anwendung des Berechtigungskonzeptes an die eigene Unternehmensstruktur sehr aufmerksam sein. Das folgende Schaubild veranschaulicht den Unterschied anhand zweier Benutzer.

  • Benutzer 1 ist Mitglied der Rolle und dementsprechend berechtigt auf alle Datensätze, die der Rolle angedacht sind. Auf die Rolle an sich besitzt er jedoch nur “Leserecht”. Das bedeutet, er kann die Rolle sehen, jedoch nicht “bearbeiten, verschieben oder gar löschen”.
  • Benutzer 2 besitzt alle Rechte auf die Rolle. Er kann sogar durch “Berechtigen” weitere Benutzer der Rolle hinzufügen. Der entscheidende Punkt ist jedoch, dass er nicht Mitglied der Rolle ist. Er kann somit keine Datensätze einsehen, auf die die Rolle berechtigt.

In der Praxis wäre der erste Benutzer ein klassischer User, der z.B. der Rolle Vertrieb zugeordnet wird und dementsprechend Datensätze einsehen kann. Der zweite Benutzer könnte der Administrator sein. Dieser besitzt weitreichende Rechte auf die Rolle. Er kann diese beliebig bearbeiten und Benutzer hinzufügen. Er sieht jedoch keine Daten, die dem Vertrieb zugeordnet sind. Hierzu fehlt ihm die Mitgliedschaft in der Rolle.

Konkretes Beispiel und Konfiguration

Analog zum vorherigen Abschnitt (Mitgliedschaft vs. Rechte auf Rollen) soll die Konfiguration einer Rolle anhand zweier Benutzer veranschaulicht werden. Die Konfiguration wird im Client Modul Rollen vorgenommen. Durch Doppelklick auf die Beispiel-Rolle “IT-Consultants” in der Listenansicht wird die Detailansicht geöffnet

  • Der Benutzer “Holste” ist Mitglied der Rolle und kann auf die Datensätze zugreifen, auf die die Rolle berechtigt ist. Er besitzt das obligatorische Leserecht auf die Rolle – Grundvoraussetzung für die Mitgliedschaft. Welche exakten Rechte er auf den Datensatz besitzt, wird nicht innerhalb der Rolle definiert! Dies geschieht durch manuelles oder automatisches Berechtigen.
  • Der Benutzer “Administrator” besitzt alle Rechte auf die Rolle, ist jedoch kein Mitglied! Er kann demnach keine Datensätze sehen, auf die die Rolle berechtigt ist. Er besitzt jedoch alle Rechte auf die Rolle und kann demnach drucken, andere auf die Rolle berechtigen und diese löschen.

Anhand dieses Beispiels sieht man sehr gut, welche Vorteile das Konzept aufweist. Die komplette Trennung von administrativen Benutzern und Anwendern bringt erhebliche Vorteile mit sich. Natürlich muss das eine das andere nicht ausschließen: Ein Administrator kann natürlich vollen Zugriff auf die Rolle haben und ebenso Mitglied dieser sein! Die Grenzen sind fließend und in Password Safe beliebig definierbar.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.