InhaltsverzeichnisArtikel
ELEMENT grant EMPTY ATTRIBUTE role string user string level integer select bool insert bool update bool delete bool grant bool
| Attribut | Typ | Pflicht | Default | Beschreibung |
|---|---|---|---|---|
| role | string | - | n/a | Die Rolle die ein Benutzer innerhalb einer Benutzergruppe spielt. |
| user | string | - | n/a | Die Gruppe zu der ein Benutzer gehört. |
| level | integer | - | n/a | Das Sicherheitslevel ist eine ganze Zahl zwischen 0 und 100. Dies kann als ein Wert von 0-100 Prozent verstanden werden, wobei 0 dem niedrigsten und 100 dem höchsten Zugang entspricht. |
| select | bool | - | yes | Gibt Auskunft ob der Nutzer Select-Abfragen auf dem Datenbankobjekt ausführen darf. |
| insert | bool | - | yes | Gibt Auskunft ob der Nutzer Insert-Anweisungen auf dem Datenbankobjekt ausführen darf. |
| update | bool | - | yes | Gibt Auskunft ob der Nutzer Update-Anweisungen auf dem Datenbankobjekt ausführen darf |
| delete | bool | - | yes | Gibt Auskunft ob der Nutzer Delete-Anweisungen auf dem Datenbankobjekt ausführen darf |
| grant | bool | - | yes | Gibt Auskunft ob der Nutzer seine Sicherheitsprivilegien vorübergehend anderen Nutzern gewähren darf. |
Die Rechteverwaltung bietet 3 Schichten, wovon in diesem Dokument alle optional sind. Eine Implementierung muss jedoch mindestens eine oder mehrere dieser Möglichkeiten umsetzen.
In Analogie zu Datenbanken gibt es auch eine "grant"-Option, welche es Nutzern gestattet, Sicherheitsprivilegien, welche sie besitzen, vorübergehend anderen Nutzern zu gewähren. Folglich kann ein Manager alle seine Rechte auf einen Assistenten übertragen (und dies später widerrufen), während er im Urlaub ist.
Sie können festlegen, dass jeder Manager des Bereichs Human Resources mit einem Sicherheitslevel von 50 oder höher, einen neuen Mitarbeiter anlegen und Lohndaten einsehen kann, aber mindestens ein Manager der Gruppe Human Resources mit einem Sicherheitslevel von 80 erforderlich ist, um diese Daten nachträglich zu verändern.
Sie können auch einige der Angaben auslassen, um vielleicht jedem Nutzer mit einem Sicherheitslevel von 1 das Anzeigen eines Katalogformulars zu gestatten, oder allen Mitgliedern der Verkaufsabteilung Zugriff auf Verkaufsdaten zu erlauben.
Sie können genau festlegen, was ein Nutzer tun darf oder auch nicht: select (anzeigen), insert (erstellen), update (editieren), delete (löschen).
Beachten Sie, dass mehrere Grant-Elemente angegeben werden können, um mehrere Alternativen zu definieren. Z.Bsp. können Nutzer entweder ein Mitglied der Gruppe Sales, oder in der Rolle eines Geschäftsleiters sein, um Verkaufsinformationen abrufen und editieren zu können.
Wenn kein Grant-Element vorhanden ist, soll das Element öffentlich sein. Dies bedeutet, dass keine Sicherheitsüberprüfung durchgeführt wird. Wenn mindestens 1 Grant-Element existiert, darf keinem Benutzer erlaubt sein eine Operation auszuführen, sofern kein Grant existiert welcher ihm dies ausdrücklich erlaubt.
Das Yana Framework implementiert zusätzlich zu den genannten Einstellungen ein System von Anwendungsprofilen. Anwendungsprofile können verschiedene Tochtergesellschaften innerhalb Ihrer Firma definieren. Z.Bsp. Europa oder Asien. Falls Implementierungen, die Verwaltung mehrerer unabhängiger Mandanten auf einer gemeinsamen Installation unterstützen sollen, wird empfohlen ein vergleichbares System zu übernehmen.
Thomas Meyer, www.yanaframework.net
Element Table