Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Als erstes haben wir eine Übersicht der Verschiedenen verschiedenen Rollen erstellt.
Diese ist hierarchich hierarchisch aufgebaut: klicken Sie die Rolle auf und Sie sehen unterliegende(n) Rolle(n) zum Vorschein kommen:

...

Erweitern
titleIT Support
Erweitern
titleAdmin
Erweitern
titleEnduser

Erweitern
titleExpert
Erweitern
titleViewer
Erweitern
titleEnduser

Erweitern
titleCoordinator
Erweitern
titleEnduser

...

Die grossgeschriebenen Bezeichnungen (z.B. ENDUSER) kommen bei der Rechtesynchronisation via LDAP zum Tragen, siehe LDAP (Active Directory) Systemparameter, Parameter LDAP_SECURITY_GROUPS_MAPPING.

Übersicht:

BerechtigungEnduserViewer
Coordinator **
ExpertAdmin
*
IT Support
(ENDUSER)(VIEWER)(
COORDINATOR)(
EXPERT)(ADMIN)(IT_SUPPORT)
AnwendungsbeispielMitarbeiterinternal AuditIKS-VerantwortlicherAdmin für OESystem Verantwortlicher
Lesen Kontroll-Setup
XX
XX

9)
Bearbeiten Kontroll-Setup

X
X

9)
Lesen Kontroll-TaskX 11)XX
X

9)
X
Support leisten für Kontroll-Task 8)
X




9)
X
Bearbeiten eigener/delegierter Kontroll-TasksX



Abschliessen eigener/delegierter1) Kontroll-TasksX



Lesen BerichtX
13)14)14)
14)
XX
Bearbeiten Action/Bericht
XX


14)
14)
Erstellen Action
X
2)
XX

14)
14)
Lesen ActionX 11)
XXXX
14)14)
14)
Support leisten für Action 8)
XX




14)
Erfassen Implementierungs-
Forschritt
FortschrittX3)
XXX

14)
14)
Abschliessen ActionX4)
XX



14)
Lesen Risiko/Prozess
XX
X

9)
Bearbeiten Risiko/Prozess

X
X

9)
Verknüpfen Risiko/Prozess

X
X

9)
Lesen Risiko AssessmentXXX
X

9)
Bearbeiten Risiko Assessment

X
X

9)
Benutzer wechseln
XX




9)
Bearbeiten StellvertreterX

X
X
9)
X
Lesen Benutzerrechte


X
XX
9)
Bearbeiten Benutzerrechte


X
X
9)
Bearbeiten Mitarbeiter/Organisationseinheiten


X
XLesen BereichXXXErstellen BereichXX
9)
Bearbeiten
Bearbeiten BereichXXXBearbeiten
System Konfiguration


XX
Lesen System Parameter/BatchJobs


XX
Bearbeiten Workflows


XX
Bearbeiten System Parameter/BatchJobs



X
Lesen EreignisseX 11)X 12)X 12)
12)
Bearbeiten Ereignisse

X 12)
X

12)
Lesen Dokument
***
 9)X 11)XXX
X
9)
X
Bearbeiten (zentrales) Dokument
***
 9) 10)


X
X

...

9)


Weitere Rollen, feingranular aufgeteilt je nach Tätigkeitsgebiet:

Berechtigung


Control ExpertControl Viewer
Control Coordinator
Action ExpertAction Viewer
Action Coordinator
Risk ExpertRisk ViewerIncident ExpertIncident ViewerDocument AdminDocument ViewerUser Admin
System Admin
CoordinatorControl CoordinatorAction Coordinator

(CONTROL_
EXPERT)

(CONTROL_
VIEWER)

(

CONTROL

ACTION_

COORDINATOR

EXPERT)

(ACTION_

EXPERT

VIEWER)

(

ACTION

RISK_

VIEWER

EXPERT)

(

ACTION

RISK_

COORDINATOR

VIEWER)

(
RISK
INCIDENT_
EXPERT)
(
RISK
INCIDENT_
VIEWER)

(

INCIDENT

DOCUMENT_


EXPERT

ADMIN)*

(

INCIDENT

DOCUMENT_



ADMIN)

VIEWER)*

(USER_
ADMIN)
(COORDINATOR)(CONTROL_
COORDINATOR)
(
SYSTEM_
ACTION_
COORDINATOR)
HinweiseIKS (Interne Kontrollen)IA (Issues & Actions)RisikomanagementOperationelle EreignissseDMS (Dokumente)AdministrationSehr selten verwendet
Lesen Kontroll-SetupXX








XX
Bearbeiten Kontroll-SetupX












Lesen Kontroll-TaskXX








XX
Support leisten für Kontroll-Task 8)










XX
Bearbeiten eigener/delegierter Kontroll-Tasks













Abschliessen eigener/delegierter1) Kontroll-Tasks













Lesen Bericht
XX


14)14)









Bearbeiten Action/Bericht
X


14)










Erstellen Action
X


14)










Lesen Action
XXX


14)14)






X  14)
14)
Support leisten für Action 8)
X











14)
14)
Erfassen Implementierungs-Forschritt
XX


14)







14)
14)
Abschliessen Action
X











14)
14)
Lesen Risiko/Prozess



XX







Bearbeiten Risiko/Prozess



X








Verknüpfen Risiko/ProzessX
X
X








Lesen Risiko Assessment



XX







Bearbeiten Risiko Assessment



X








Benutzer wechseln










XXX
Bearbeiten Stellvertreter









XXX5)X6)
XBearbeiten BereichXXX
Lesen Benutzerrechte









XXXX
Bearbeiten Benutzerrechte









X


Bearbeiten Mitarbeiter/Organisationseinheiten









X
Lesen BereichXXXErstellen BereichX



Bearbeiten System Konfiguration
X














Lesen System Parameter/BatchJobs
X














Bearbeiten Workflows













Bearbeiten System Parameter/BatchJobs
 X














Lesen Ereignisse





X 12)X 12)





Bearbeiten Ereignisse





X 12)






Lesen Dokument
***
 9)XXXXXXXXXXXXXX
Bearbeiten (zentrales) Dokument
***
 9) 10)








X




*noch nicht umgesetzt in der Rechte-Synchronisation


Fussnoten und Details:

1) wenn delegiert mit Abschliessen
2) wenn der Actiontyp die Erstellung von Enduser erlaubt
3) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist
4) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist & Enduser = Primary Action Owner ist
5) nur für Kontrollen
6) nur für Action
7) inkl. Überwachung / Hochladen von Bewertungsgrundlagen
8) via Benutzer wechseln
9) Reichweiten sind: Area, OE, Employee
10) im Sinne von «zentralen» Dokumenten – bei Attachments (z.B. bei Tasks / Actions, ...) wird dieses Recht nicht abgefragt
11) mit eigener OE
12) geprüft werden OE UND Incident Type 
13) nur wenn der Enduser in einem spezifischen Bericht "zusätzliche Leseberechtigung" erhält
14) geprüft werden OE UND Action Type


Scopes bestimmen die Reichweiten der Berechtigungen

Je nach Rolle sind verschiedene Scope-Einschränkungen möglich. Scopes bestimmen die Reichweite / Gültigkeitsgebiet der Rechte.
So können Rechte nur für eine bestimmte OE vergeben und sehr fein granular gemäss "Need-to-know"-Prinzip vergeben werden. 

Nachfolgend die in der Applikation vorhandenen Scopes zur Übersicht. Hinweis: nicht alle Scopes sind für jede Rolle relevant. So sind beispielsweise die Administratoren des Systems nicht nach Typen getrennt und können alle Typen zu einem Themenbereich administrieren, während die Expertenrechte für bestimmte Typen vergeben werden können. Als Extremfall sei hier speziell die Rolle IT Support erwähnt: wenn man dieser Rolle keinerlei Scope zuteilt (weder OE noch Typen der verschiedenen Objekte), kann man einer Person die Systemkonfiguration ermöglichen, ohne dass sie irgendwo erfasste Daten sieht.


ScopeErklärungDetails und Hinweise
OEbestimmt für welche Organisationseinheiten die Rolle vergeben wirdDie genannte OE’s und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich.
Ereignis-Typenermöglicht die Einschränkung auf bestimmte Ereignistypen nur relevant für das Modul OpLoss (Operationelle Ereignisse)
Action-Typenermöglicht die Einschränkung auf bestimmte Actiontypen nur relevant für das Modul Action Tracking (IA), ab Release 2.24 möglich
Risiko Assessment-Typenermöglicht die Einschränkung auf bestimmte Risiko Assessment-TypenDiese Reichweite wird mit OE kombiniert - falls die OE nicht gefüllt oder das Dropdown bei "Nur ausgewählte RA-Typen" leer ist, erhält der Benutzer keine Rechte auf Risiko Assessments.
Dokument-Typenermöglicht die Einschränkung auf bestimmte Dokument-Typennur relevant für das Modul DMS, falls es relevante Dokumenten-Typen gibt
Workflow-Typenermöglicht die Einschränkung auf bestimmte Workflow-Typennur relevant für Workflows, ab Release 2.22 möglich
BCM-Zyklus-Typenermöglicht die Einschränkung auf bestimmte BCM-Zyklus-Typennur relevant für das Modul BCM


Zusatzinformationen und Spezialfälle

Es gibt an einzelnen Stellen zusätzliche Regelungen die betreffend Benutzer-Rechten relevant sein können:

  • In Produktionsumgebung kann ein Administrator seine eigenen Rechte nicht ändern, in den Test-Umgebungen hingegen schon. 
  • Einzelne Rollen / Scopes sind nur relevant wenn die entsprechenden Module genutzt werden
  • teilweise gibt es zusätzliche Einstellungen in den Konfigurationen um weitere Vertraulichkeitsstufen zu definieren, zwei Beispiele:
    • "Geschlossener Benutzerkreis" in den OE's
    • "Immer sichtbar für eigene OE" im Dokumenten-Typ (DMS)
    • "Eigene OE" im Benutzer / Mitarbeiter
  • Mit dem Release 2.25 wurde am 14.07.2023 die Rolle "System Admin" entfernt, sie kann identisch mit dem IT Support ohne Scopes abgebildet werden
  • Man kann IT Support ohne Scopes (OEs, Typen) vergeben. In dem Fall können die Leute mit dieser Rolle folgende Funktionalitäten ausführen: 
    • Editieren von allen System Parametern
    • Editieren von allen Code Tables (konfigurierbare Dropdowns und ihre Einträge)
    • Editieren von allen Texten
    • Editieren von Workflow-Konfiguration
    • Einsicht und Neustarten von Batch Jobs
    • Einsicht von nichtverschickten Emails
    • Excel-Import Funktionalität über alle Module
    • Konfigurieren der Dashboard-Menüs
    • Einsicht von technischen Errorlogs
    • Die Person hat aber insbesondere keine Rechte, Benutzerrechte zu sehen oder ändern. Und auch keine Rechte, Daten zu sehen über das hinaus, was sie bereits via ihren anderen Rollen sieht.


Info

Verwandte Seiten

Inhalt nach Stichwort
showLabelsfalse
max5
spacesKB
showSpacefalse
sortmodified
reversetrue
typepage
cqllabel = "benutzerhandbuch" and type = "page" and space = "KB"
labelskb-how-to-article

...