Definition
Ein Rolle ist ein Element, dem auf der einen Seite Berechtigungen und auf der anderen Seite Benutzer zugeordnet werden können. Sie bündelt ein Set von Berechtigungen in einem logischen, zuweisbaren Element. Bei den Berechtigungen kann es sich um Ressourcen und Rollen (Subrollen) handeln. Bei den Benutzern kann es sich um Core Identitäten (natürliche Personen) und Stammdatenelemente handeln.
Verwendung
Neue Rollen werden benannt, einer verantwortlichen Identität zugeordnet und kategorisiert. Bei einer spezifischen Rolle werden die damit verbundenen Ressourcen, die Core Identitäten, denen die Rolle zugewiesen wurde und die verantwortlichen Approval Groups abgebildet (optional).
Ein Benutzer kann seine Rollen delegieren: Unter My Data → My Roles findet sich das Feld Delegate. Unter Angabe einer anderen Coreidentität, der Begründung und eines Zeitintervalls kann somit die jeweilige Rolle jemand anderem zugewiesen werden. Die Zuweisung ist dabei durch den zuständigen Benutzer, bzw. Approval Group, zu genehmigen.
Bei jeder Rolle lässt sich im Menü unter Member eine ChildRole einfügen. Diese Parent – Child Beziehung führt zur Vererbung von Ressourcen: jede Ressource, über die die Parent-Rolle verfügt, wird automatisch auch der Child-Rolle zugewiesen.
Rollen Attribute
Folgende Standard- und modulabhängige Attribute sind vorhanden:
Standard Attribut | Beschreibung |
|---|---|
Name | Anzeigename der Rolle |
Beschreibung | Beschreibung der Rolle |
Besitzer | Besitzer der Rolle |
Kategorie | Kategorie der Rolle |
Zuweisung von Rollen
Eine Rolle kann Core Identitäten (natürliche Person) und Stammdatenelementen (Organisationseinheiten, Mandanten, Funktionen, etc.) zugewiesen werden.
Es lässt sich hier konfigurieren, welche Rolle unter welcher Bedingung welchem Coreidentitätstypen zugewiesen wird. Dabei sind Angaben über das massgebende Attribut und die Bedingung zu definieren: Beispielsweise kann die Regel definiert werden, dass nur deutschsprechende externe Mitarbeiter eine gegebene Rolle erhalten. Dabei können auch anspruchsvolle Regeln mittels Regex erstellt werden.
Rollen verschachteln
Rollen können logisch ineinander verschachtelt werden. Hierzu gibt es auf der Rolle die folgenden Beziehungen:
Beziehung | Beschreibung |
|---|---|
Mitglieder | Eine Liste von Rollen, die Mitglied der aktuellen Rolle sind |
Mitglied von | Eine Liste von Rollen, in welcher die aktuelle Rolle Mitglied ist |
Anhand eines Beispiels kann diese Beziehung weiter verdeutlicht werden. Die Rolle "Webshop - All Tenants" ist Mitglied von "Webshop - Tenant Contoso" und "Webshop - Tenant Bestrun". Durch die Zuweisung eines Benutzers zur Rolle "Webshop - All Tenants", wird der Benutzer automatisch auch Mitglied der Rollen "Webshop - Tenant Contoso" und "Webshop - Tenant Bestrun".