Versions Compared

Version Old Version 28 New Version 29
Changes made by

Former user

Silvan Grüter

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Table of Contents
maxLevel1
stylesquare
typeflat

...

Einer Core Identität kann eine oder mehrere Built-In CoreOne Suite Berechtigungsgruppen zugewiesen werden um die CoreOne Suite internen Berechtigungen zu steuern. Die Berechtigungen der Built-In CoreOne Suite Berechtigungsgruppen können bei Bedarf angepasst werden (nicht empfohlen).

...

Folgende Built-In CoreOne Suite Berechtigungsgruppen werden standardmässig und in Abhängigkeit der lizenzierten Module ausgeliefert:

...

Modul

...

CoreOne Suite Berechtigungsgruppe

...

Zugriff auf Elemente

...

Beschreibung

...

Basis

...

CoreOne Suite Administrator

...

Besitzt Schreibrechte auf alle Module und Elemente.

...

Basis

...

CoreOne Suite Service Desk

...

Besitzt Berechtigungen für die Ausführung von Service Desk Aufgaben

...

Basis

...

CoreOne Suite Self-Service User

...

Meine Daten

Meine Rollen

Meine Identitäten

Meine Anträge (Modul Shop)

Zu bewilligende Anträge (Modul Shop)

...

Besitzt Berechtigungen die persönlichen Daten zu bearbeiten und die ihm zugewiesenen Elemente anzuzeigen.

...

Basis

...

CoreOne Suite Security Supervisor

...

Audit-Trail

Dashboard

Anträge

Berichte

...

Besitzt Leserechte auf alle sicherheitsrelevanten Informationen und Funktionalitäten.

...

Basis

...

CoreOne Suite Stammdaten Manager

...

Stammdaten

...

Besitzt sämtliche Berechtigungen auf die Stammdaten (Meta Directory).

...

Patch Management Orchestrator

...

CoreOne Suite Patch Management Orchestrator Administrator

...

Besitzt Schreibrechte auf alle Elemente des Moduls Patch Management Orchestrator.

...

Patch Management Orchestrator

...

CoreOne Suite Patch Management Orchestrator User

...

Patch Management Orchestrator

...

Patch Management Orchestrator

...

Einsatzbereich

...

Nutzergruppe

...

Typ

...

Aktion

...

Beschreibung

...

Segragation of Duty

Lifecycle Management

...

SoD Rule Owner (Besitzer)

...

Gruppe

...

Bewilligt / verweigert Änderungen

...

Besitzer einer SoD Regel. Gibt Änderungen an einer SoD Rule frei.

Muss bei der Erstellung einer SoD Regel definiert werden.

Wird ein SoD Rule Owner definiert, erhält dieser eine Benachrichtigung, dass er SoD Rule Owner der entsprechenden SoD Rule wurde.

...

Segragation of Duty

...

SoD Rule Attestor (Beglaubiger)

...

Gruppe

...

Bewilligt / verweigert Attestierung

...

Attestieren (beglaubigen) periodisch eine SoD Rule.

Kann bei der Erstellung einer SoD Regel definiert werden. Standardmässig ist der SoD Rule Owner auch der SoD Rule Attestor, wenn er keinen explizieten SoD Rule Attestor definiert.

Wird ein SoD Rule Attestor definiert, erhält dieser eine Benachrichtigung, dass er SoD Rule Attestor der entsprechenden SoD Rule wurde.

...

Segragation of Duty

...

SoD Rule Exception Approver (Bewilliger)

...

Gruppe

...

Bewilligt / verweigert Konflikt

...

Bewilligen, verweigern oder lösen einen SoD Konflikt auf.

Die SoD Rule Exception Attestor werden global definiert - sprich eine oder mehrere Personen erhalten alle Benachrichtigungen über die Regelverletzungen.

Der SoD Rule Exception Approver wird automatisch zum SoD Rule Exception Attestor, wenn er keinen SoD Rule Exception Attestor definiert.

Wird ein SoD Rule Exception Attestor definiert, erhält dieser eine Benachrichtigung, dass er SoD Rule Exception Attestor des entsprechenden Konflikts wurde.

...

Segragation of Duty

...

SoD Rule Exception Attestor (Beglaubiger)

...

Gruppe

...

Bewilligt / verweigert Attestierung

...

Attestieren (beglaubigen) periodisch die SoD Regelverletzungen.

Der SoD Rule Exception Attestor ist eine globale IAM Rolle und wird explizit definiert.

...

Zertifizierung

Lifecycle Management

...

Role Owner (Besitzer)

...

Gruppe

...

Bewilligt / verweigert Änderung

...

Besitzer einer Rolle. Gibt Änderungen an einer Rolle frei, bewilligt Anträge für die Rolle.

...

Zertifizierung

...

Role Assignment Attestor (Beglaubiger)

...

Gruppe

...

Bewilligt / verweigert Attestierung

...

Attestieren (beglaubigen) periodisch die Rollenzuweisungen.

Wenn nicht definiert, ist Role Owner automatisch auch der Role Assignment Attestor und der Role Configuration Attestor.

Wird ein Role Assignment Attestor oder ein Role Configuration Attestor definiert, erhält dieser eine Benachrichtigung.

...

Zertifizierung

...

Role Configuration Attestor (Beglaubiger)

...

Gruppe

...

Bewilligt / verweigert Attestierung

...

Attestieren (beglaubigen) periodisch die Rollenkonfiguration (Inhalt).

...

Zertifizierung

Lifecycle Management

...

Resource Owner (Besitzer)

...

Gruppe

...

Bewilligt / verweigert Änderung

...

Besitzer einer Ressource.

Gibt Änderungen an einer Ressource frei und bewilligt Anträge für die Ressource.

...

Zertifizierung

...

Resource Assignment Attestor (Beglaubiger)

...

Gruppe

...

Bewilligt / verweigert Attestierung

...

Attestieren (beglaubigen) periodisch die Ressourcenzuweisungen.

Wenn nicht definiert, ist Ressource Owner automatisch auch der Ressource Assignment Attestor.

Wird ein Ressource Assignment Attestor definiert erhält dieser eine Benachrichtigung.

...

Zertifizierung

Lifecycle Management

...

Identity Owner (Besitzer)

...

Gruppe

...

Bewilligt / verweigert Änderung

...

Besitzer einer Identität. Gibt Änderungen an einer Identität frei.

Wenn nicht definiert, ist Identity Owner automatisch auch der Identity Attestor.

...

Zertifizierung

...

Identity Attestor (Beglaubiger)

...

Gruppe

...

Bewilligt / verweigert Attestierung

...

Attestieren (beglaubigen) periodisch eine technische Identität.

Wird ein Identity Attestor definiert, erhält dieser eine Benachrichtigung.

...

Zertifizierung

...

Scope Approver (Genehmiger)

...

Gruppe

...

Bewilligt / verweigert

...

Überwachen eine Gruppe von kritischen Berechtigungen

...

Access Approver (Genehmiger)

...

Gruppe

...

Bewilligt / verweigert Attestierung

...

Person welche beantragte Berechtigungen bewilligt oder ablehnt.

...

Access Requester (Antragsteller)

...

Person

...

Beantragt

...

Person welche Berechtigungen direkt über das CoreOne Portal beantragt. Die Auswahl der Berechtigungen (Aufgaben, Rollen, Ressourcen) können eingeschränkt sein.

...

Zertifizierung

...

Access Attestor (Beglaubiger)

...

Gruppe

...

Attestiert

...

Person (Bsp. Linienvorgesetzter) welche vergebene Berechtigungen einer Person oder Gruppe periodisch attestiert.

...

Delegated Access Requester (Antragsteller)

...

Person

...

Beantragt

...

Person welche für eine andere Person Berechtigungen beantragt (Bsp. der Vorgesetzte, Mitarbeiter, der für einer seiner Mitarbeiter Berechtigungen beantragt)

...

Delegated Access Approver (Genehmiger)

...

Person

...

Bewilligt / verweigert

...

Person welche für eine andere Person stellvertretend Berechtigungen bewilligt. Vorausgesetzt die Person delegiert diese Aufgabe für einen definierten Zeitraum an eine andere Person.

Die Auswahl der Personen können eingeschränkt sein (Bsp. nur an gleichgestellte Positionen).

...

Stellevertreter

...

Person

...

-

...

Stellvertreter einer Person. Die Person kann von den Stammdaten abgeleitet werden oder die Person bestimmt explizit und für einen definierten Zeitraum einen Stellvertreter.

...

Direkter Vorgesetzter

...

Person

...

-

...

Direkter Vorgesetzter einer Person.

...

Direkter Vorgesetzter Stellvertreter

...

Person

...

-

...

Stellvertretender, direkter Vorgesetzter einer Person.

...

Human Resources

...

Gruppe

...

-

...

CoreOne Administrator (Systemowner)

...

Administrator einer CoreOne Instanz

...

CoreOne Security Supervisor (Besitzer)

...

Person welche über definierte Vorkommnisse oder Konflikte informiert wird (Bsp. CISO)

...

CoreOne Supervisor (Besitzer)

...

Überwacht die Berechtigungsvergabe innerhalb der CoreOne Suite.

...

CoreOne Zielsystem Owner

...

Besitzer eines spezifischen Zielsystems. Bewilligt Änderungen am Zielsystem.

...

CoreOne Zielnetzwerk Owner

...

Besitzer eines spezifischen Zielnetzwerks. Bewilligt Änderungen am Zielnetzwerk.

...

CoreOne Stammdaten Owner

...

Introduction

The security within the the CoreOne Suite is handled by the CoreOne Security Roles. Those roles contain two things, the view permissions and the data access permission. The view permissions are used across all UIs to handle who has access to which views and which actions. The access permissions are used to determinate what data is available to the user or service within the views or APIs. This way you can give certain users access to view and limit them to a subset of the available data.

Those CoreOne Suite Security Roles are application roles. As such they will be represented as resources within the CoreOne Suite Access Management logic.

Built-In Security Roles

Out of the box the CoreOne Suite is deployed with three built-in security roles:

CoreOne Suite Security Role

Access

Desciption

CoreOne Suite Administrator

Full Access

Gives full access to the whole system

CoreOne Suite Service Desk

Access to basic Identity Management and Management Features

Can be used to give Service Desk employees basic rights such as see all employees, reset passwords and so on.

CoreOne Suite Self-Service User

Access to the Self-Service Portal

Access to his own Core Identity

Access to his own Identities

Access to orderings and approvals

Gives users basic rights to perform thins like password reset for his own accounts, ordering a role or approving an order where the user was configured to be an approver

When licences, the Advanced Permission Management Module allows you to create your own Security Roles. When doing so, you can configure the view permissions and the data access permission within the CoreOne Suite Admin UI.

View Permissions

The view permissions follow a basic naming concept which should indicate

Data Access Permission

Data Access Permission are stored as sets of entity permission. Each such permission consists of three things. The entity where access is given to, the security mode and a filter.

Entity

An entity is any object within the CoreOne Suite Meta Directory from a Core Identity, to a Target System Configuration, everything is stored in an entity and can therefore be selected. All available entities are presented to you in the UI and they follow the same logic naming as all the UI masks do.

Security Mode

The security mode defines wich actions are allowed on the entity where access is given to. The available rights are:

  • Read

  • Write

  • Update

  • Delete

  • All

Filter

If you do not set a filter, the chosen security mode is applied to all entities. If you set one, you can further filter the entities to which the current permission will apply to. To do so, there are a couple of filter available. If you apply them, the data will be filtered according the filter configuration.

GenericFullAccessFilter

When applied, this filter gives full access to all entities.

The following filter gives access to all configured attributes in the system:

Code Block
{
  "$type": "iTsense.Moving.Backend.DataHandling.Security.Filter.GenericFullAccessFilter`1[[iTsense.Moving.Backend.Services.DmcoreService.DataInterfaces.Servicedmcore.IAttribute, iTsense.Moving.Backend.Services.DmcoreService]], iTsense.Moving.Backend.DataHandling",
  "ElementType": "iTsense.Moving.Backend.Services.DmcoreService.DataInterfaces.Servicedmcore.IAttribute, iTsense.Moving.Backend.Services.DmcoreService"
}

GenericMyCoreIdentityFilter

When applied, you can filter entities based on the ownership. You can apply this filter to all entities that have a relation to a Core Identity and the filter on that property to only allow the permission to be applied when the current Core Identity is the owner of the object.

The filter below for example gives access to all role assignments that belong to the current user.

Code Block
{
  "$type": "iTsense.Moving.Backend.DataHandling.Security.Filter.GenericMyCoreIdentityFilter`1[[iTsense.Moving.Backend.Services.DmcoreService.DataInterfaces.Servicedmcore.IRoleAssignment, iTsense.Moving.Backend.Services.DmcoreService]], iTsense.Moving.Backend.DataHandling",
 "NotContains": false,
   "PropertyChain": {
    "$type": "System.String[], mscorlib",
   "$values": [
      "Role",
     "CoreIdentity",
     "Id"
      ]
 }
}

GenericNoAccessFilter

Denies access to all entities.

GenericSubFiltersFilter

Gives access to entities if a subset of filters apply.

For example the filter below gives access to all role assignments where the user has read rights to the role of the role assignment:

Code Block
{
  "$type": "iTsense.Moving.Backend.DataHandling.Security.Filter.GenericSubFiltersFilter`2[[iTsense.Moving.Backend.Services.DmcoreService.DataInterfaces.Servicedmcore.IRoleAssignment, iTsense.Moving.Backend.Services.DmcoreService],[iTsense.Moving.Backend.Services.DmcoreService.DataInterfaces.Servicedmcore.IRole, iTsense.Moving.Backend.Services.DmcoreService]], iTsense.Moving.Backend.DataHandling",
  "ReferenceDtoTypePropertyName": "Role",
  "ReferenceDtoTypeSecurityMode": 1
}

GenericPropertyChainFilter

Gives access to the selected entity if the chain of properties configured in the filter match.

The filter below gives access to the role type with ID 9:

Code Block
{
  "$type": "iTsense.Moving.Backend.DataHandling.Security.Filter.GenericPropertyChainFilter`2[[iTsense.Moving.Backend.Services.DmcoreService.DataInterfaces.Servicedmcore.IRoleType, iTsense.Moving.Backend.Services.DmcoreService],[System.UInt32, mscorlib]], iTsense.Moving.Backend.DataHandling",
  "FilterValues": {
    "$type": "System.UInt32[], mscorlib",
    "$values": [
      9
    ]
  },
  "NotContains": false,
  "PropertyChain": {
    "$type": "System.String[], mscorlib",
    "$values": [
      "Id"
    ]
  }
}