>> Inhaltsverzeichnis >> Artikel

Element Grant

  ELEMENT grant EMPTY
  ATTRIBUTE
       role        string
       user        string
       level       integer
       select      bool
       insert      bool
       update      bool
       delete      bool
       grant       bool
  
Attribute
Attribut Typ Pflicht Default Beschreibung
role string - n/a Die Rolle die ein Benutzer innerhalb einer Benutzergruppe spielt.
user string - n/a Die Gruppe zu der ein Benutzer gehört.
level integer - n/a Das Sicherheitslevel ist eine ganze Zahl zwischen 0 und 100. Dies kann als ein Wert von 0-100 Prozent verstanden werden, wobei 0 dem niedrigsten und 100 dem höchsten Zugang entspricht.
select bool - yes Gibt Auskunft ob der Nutzer Select-Abfragen auf dem Datenbankobjekt ausführen darf.
insert bool - yes Gibt Auskunft ob der Nutzer Insert-Anweisungen auf dem Datenbankobjekt ausführen darf.
update bool - yes Gibt Auskunft ob der Nutzer Update-Anweisungen auf dem Datenbankobjekt ausführen darf
delete bool - yes Gibt Auskunft ob der Nutzer Delete-Anweisungen auf dem Datenbankobjekt ausführen darf
grant bool - yes Gibt Auskunft ob der Nutzer seine Sicherheitsprivilegien vorübergehend anderen Nutzern gewähren darf.
Beschreibung

Die Rechteverwaltung bietet 3 Schichten, wovon in diesem Dokument alle optional sind. Eine Implementierung muss jedoch mindestens eine oder mehrere dieser Möglichkeiten umsetzen.

Nutzergruppen
wie Sales, Human Resources
Nutzerrollen
wie der Project Manager
Sicherheitslevel
eine ganze Zahl von 0 bis 100

In Analogie zu Datenbanken gibt es auch eine "grant"-Option, welche es Nutzern gestattet, Sicherheitsprivilegien, welche sie besitzen, vorübergehend anderen Nutzern zu gewähren. Folglich kann ein Manager alle seine Rechte auf einen Assistenten übertragen (und dies später widerrufen), während er im Urlaub ist.

Beispiele

Sie können festlegen, dass jeder Manager des Bereichs Human Resources mit einem Sicherheitslevel von 50 oder höher, einen neuen Mitarbeiter anlegen und Lohndaten einsehen kann, aber mindestens ein Manager der Gruppe Human Resources mit einem Sicherheitslevel von 80 erforderlich ist, um diese Daten nachträglich zu verändern.

Sie können auch einige der Angaben auslassen, um vielleicht jedem Nutzer mit einem Sicherheitslevel von 1 das Anzeigen eines Katalogformulars zu gestatten, oder allen Mitgliedern der Verkaufsabteilung Zugriff auf Verkaufsdaten zu erlauben.

Sie können genau festlegen, was ein Nutzer tun darf oder auch nicht: select (anzeigen), insert (erstellen), update (editieren), delete (löschen).

Beachten Sie, dass mehrere Grant-Elemente angegeben werden können, um mehrere Alternativen zu definieren. Z.Bsp. können Nutzer entweder ein Mitglied der Gruppe Sales, oder in der Rolle eines Geschäftsleiters sein, um Verkaufsinformationen abrufen und editieren zu können.

Implementierung

Wenn kein Grant-Element vorhanden ist, soll das Element öffentlich sein. Dies bedeutet, dass keine Sicherheitsüberprüfung durchgeführt wird. Wenn mindestens 1 Grant-Element existiert, darf keinem Benutzer erlaubt sein eine Operation auszuführen, sofern kein Grant existiert welcher ihm dies ausdrücklich erlaubt.

Das Yana Framework implementiert zusätzlich zu den genannten Einstellungen ein System von Anwendungsprofilen. Anwendungsprofile können verschiedene Tochtergesellschaften innerhalb Ihrer Firma definieren. Z.Bsp. Europa oder Asien. Falls Implementierungen, die Verwaltung mehrerer unabhängiger Mandanten auf einer gemeinsamen Installation unterstützen sollen, wird empfohlen ein vergleichbares System zu übernehmen.

Autor: Thomas Meyer, www.yanaframework.net