Einführung
Die in der Berechtigungs-/Lizenzverwaltung verfügbaren Zugriffskontrollen für Berechtigungen bieten eine sehr flexible Möglichkeit zur Verwaltung von Berechtigungen in einer Firma, die Benutzer mit unterschiedlichen Rollen und Verantwortlichkeiten hat. Dies ist ein Leitfaden zu den empfohlenen Best Practices für die Verwaltung von Berechtigungen. Auch wenn es schwierig ist, eine allgemeine Empfehlung zu geben, die auf die Bedürfnisse jeder Firma zugeschnitten ist, werden wir hier einige Ansätze beschreiben.
Es gibt zwei häufige Fälle, mit denen Firmen umgehen müssen:
- Sie wollen den Zugriff bestimmter Nutzer auf eine ganz bestimmte Liste von Anwendungen beschränken.
- Oder sie wollen die Nutzung bestimmter Anwendungen, möglicherweise solche mit teuren Lizenzkosten, auf die Untergruppe von Nutzern beschränken, die zu ihrer Nutzung berechtigt sind.
Die gute Nachricht ist, dass die Zugriffskontrollen durch die Berechtigungs-/Lizenzverwaltung diese Fälle problemlos bewältigen können. In den folgenden Abschnitten wird beschrieben, wie dies jeweils zu bewerkstelligen ist.
Zunächst ist es hilfreich, die Berechtigungen zu beschreiben und zu erläutern, wie die verschiedenen Ebenen der Zugriffskontrolle zusammenwirken.
Grundlagen der Berechtigungen und Zugangskontrollen für Berechtigungen
Empfehlungen für häufige Fälle
- Beschränkung bestimmter Benutzer auf eine strenge Liste von Anwendungen
- Beschränkung der Nutzung bestimmter Anwendungen auf die Untergruppe der Benutzer, die zur Nutzung berechtigt sind
Grundlagen der Berechtigungen und Zugangskontrollen für Berechtigungen
Berechtigungen
Im Subscription Entitlement Service (SES) bezieht sich der Begriff "Berechtigung" einfach auf die Berechtigung eines Benutzers zur Ausführung einer Bentley-Anwendung. Diese Berechtigungen stehen den Benutzern in der Firma auf der Grundlage der vertraglichen Verpflichtungen des kommerziellen Programms, an dem die Firma teilnimmt, zur Verfügung. Da die Verträge in bestimmten Ländern unterzeichnet werden, ist die Liste der Berechtigungen in diesen Ländern verfügbar. Wir bezeichnen ein Land, in dem Berechtigungen verfügbar sind, als "Berechtigungsland".
Benutzer werden durch ihre Registrierung im Identity Management System (IMS) von Bentley mit einer Firma und einem Berechtigungsland verbunden. Standardmäßig haben die Benutzer der Firma Zugriff auf alle Bentley-Anwendungen, die für diese Firma in ihrem Berechtigungsland berechtigt sind.
Zugriffskontrollen für Berechtigungen
Der Lizenzadministrator der Firma kann mit Hilfe von Zugriffskontrollen steuern, auf welche Produkte die Benutzer Zugriff haben sollen. Der Zugriff kann auf mehreren Ebenen kontrolliert werden.
- Standardzugriffseinstellungen für alle Anwendungen in einem Land mit einer Berechtigung
- Zugriffseinstellungen auf Anwendungsebene für ein Berechtigungsland
- Zugriffseinstellungen für Berechtigungsgruppen
- Zugriffseinstellungen auf Benutzerebene
Wenn ein Benutzer eine Berechtigung zum Ausführen einer Anwendung anfordert, prüft SES die Zugriffseinstellungen von der Benutzerebene aus und arbeitet sich in der Hierarchie nach oben, bis eine Zugriffseinstellung gefunden wird, die auf den Benutzer zutrifft. Wenn es auf der Benutzerebene eine Zugriffseinstellung für die Anwendung für diesen spezifischen Benutzer gibt, wird diese Zugriffseinstellung verwendet. Ist dies nicht der Fall, sucht SES nach einer Gruppe, der der Benutzer angehört und die eine Zugriffseinstellung für die betreffende Anwendung enthält
Die Zugriffseinstellungen werden als Hierarchie vererbt und von unten (auf Benutzerebene) nach oben (auf Ebene der Firma) geprüft, um die für den Benutzer zutreffende Einstellung für den Anwendungszugriff zu finden. Das folgende Beispiel soll das Konzept verdeutlichen.
Mehr über Berechtigungsgruppen
Berechtigungsgruppen werden in der Benutzerverwaltung erstellt und verwaltet.
Weitere Informationen zum Erstellen und Verwalten von Berechtigungsgruppen finden Sie unter Create and Manage Entitlement Groups
Es ist wichtig zu beachten, dass Benutzer in mehreren Berechtigungsgruppen sein können. In solchen Fällen werden die Berechtigungen eines Benutzers als kumulativ für alle seine Gruppen betrachtet, d. h. wenn der Benutzer eine Anwendung aufgrund von Einstellungen in einer seiner Gruppen verwenden darf, dann darf er die Anwendung auch verwenden.
Bei der Darstellung der Zugriffskontrollhierarchie ist auch der Unterschied zwischen einer Berechtigungsgruppe, die auf eine bestimmte Gruppe von Produkten beschränkt ist, und einer Gruppe, die nicht beschränkt ist, hervorzuheben, d. h. sie umfasst alle Anwendungen, die für die Verwendung im Berechtigungsland als zulässig markiert sind, sowie die Liste, die in der Liste der zulässigen Anwendungen in der Gruppe definiert ist. Dieser Unterschied im Verhalten wird mit der Option "Erlaubte Anwendungen aus <Berechtigungsland> einschließen" in der Berechtigungsgruppe aktiviert.
Standardmäßig werden Berechtigungsgruppen als eingeschränkte Gruppen konfiguriert, wobei die Liste der zulässigen Anwendungen alle Anwendungen definiert, auf die die Benutzer der Gruppe Zugriff haben.
Empfehlungen für typische Fälle
Kommen wir nun zu den Empfehlungen für die in der Einleitung erwähnten häufigen Fälle.
Beschränkung spezifischer Benutzer auf eine begrenzte Liste von Anwendungen
In diesem Fall besteht die Anforderung darin, bestimmte Benutzer auf einen bestimmten Satz von Anwendungen zu beschränken, während andere innerhalb der Firma Zugriff auf alle Anwendungen haben. Dies kann der Fall sein, wenn bestimmte Büros innerhalb der Firma oder bestimmte Auftragnehmer nur Zugriff auf bestimmte Produkte benötigen.
In diesem Fall ist es am besten, eine Berechtigungsgruppe zu erstellen, die diese Benutzer umfasst, und die Liste der zulässigen Anwendungen zu definieren, auf die die Gruppe Zugriff hat.
Schritt 1: Erstellen Sie eine Berechtigungsgruppe und weisen Sie Benutzer zu
Um eine Berechtigungsgruppe zu erstellen, navigieren Sie zu Benutzerverwaltung\Gruppen und wählen Gruppe hinzufügen Benutzerverwaltung / Gruppen
Weitere Informationen finden Sie unter Gruppen verwalten
Schritt 2: Berechtigungen konfigurieren
Navigieren Sie zu Berechtigungsverwaltung / Berechtigungsgruppen.
Suchen Sie Ihre neue Berechtigungsgruppe in der Liste und klicken Sie auf ihren Namen, um die Gruppenberechtigungen zu verwalten.
Suchen Sie auf der Registerkarte "Erlaubte Anwendungen" nach jedem Produkt, auf das die Benutzer der Gruppe Zugriff haben sollen, und fügen Sie es hinzu.
Vergewissern Sie sich, dass die Option "Erlaubte Anwendungen aus <Anspruchsland> einbeziehen" deaktiviert bleibt.
Bei diesem Konzept mit Berechtigungsgruppen gibt es einige Dinge zu beachten
- Sämtliche Zugriffseinstellungen auf Benutzerebene, die für die Benutzer konfiguriert sind, haben Vorrang vor allen Gruppeneinstellungen. Wenn Sie wissen, dass keiner der Benutzer der Gruppe über Einstellungen für die Zugriffskontrolle auf Benutzerebene verfügt, sollte dies kein Problem darstellen.
Wenn Sie sich nicht sicher sind, überprüfen Sie am besten, ob die Benutzer keine spezifischen Überschreibungen auf Benutzerebene für Produkte haben, auf die sie keinen Zugriff haben sollten. Um dies zu überprüfen, gehen Sie zu Berechtigungsverwaltung \ Zugriff und Alarmierung und suchen Sie nach den einzelnen Anwendungen der Gruppe. Klicken Sie für jede Anwendung auf Allgemeiner Zugriff und suchen Sie im Abschnitt Ausnahmen. Wenn einer der Benutzer der Gruppe auf Benutzerebene Zugriff auf ein Produkt hat, auf das er keinen Zugriff haben sollte, entfernen Sie diese Ausnahme. Berechtigungsverwaltung \ Zugriff und Alarme
- Die Einstellungen für die Zugriffskontrolle werden erst wirksam, wenn die Benutzer ihre lokale Richtliniendatei aktualisieren. Wenn ein Benutzer der Gruppe zuvor eine Berechtigung für die Anwendung beantragt hat, kann seine lokale Richtliniendatei diese gültige Berechtigung für eine gewisse Zeit beibehalten.
Bevor diese Benutzer von allen Produkten ausgeschlossen werden, die in der Berechtigungsgruppe nicht erlaubt sind, müssen sie eine aktualisierte Policy-Datei haben. Dies geschieht automatisch innerhalb von 4 Stunden, wenn die Benutzer bei CONNECTION Client angemeldet sind. Eine Aktualisierung kann auch manuell eingeleitet werden, indem Sie das Bentley Licensing Tool öffnen und zu Tools\Refresh Policy gehen.
Nutzungsbeschränkung bestimmter Anwendungen nur auf die Untergruppe der Benutzer, die berechtigt sind
In diesem Fall besteht die Anforderung darin, einer kleineren Gruppe von Benutzern innerhalb der Organisation den Zugriff auf bestimmte Produkte zu ermöglichen. Diese Benutzer sollten zusätzlich zu den Anwendungen, die kontrolliert werden sollen, auch Zugriff auf alles andere haben, was für die Nutzung aus dem Berechtigungsland erlaubt ist.
Schritt 1: Berechtigungsgruppe erstellen und Benutzer zuweisen
Um eine Berechtigungsgruppe zu erstellen, navigieren Sie zu Benutzerverwaltung\Gruppen und wählen Gruppe hinzufügen
Weitere Informationen finden Sie unter Gruppen verwalten.
Schritt 2: Konfigurieren von Gruppenberechtigungen
Navigieren Sie zu Berechtigungsverwaltung\Berechtigungsgruppen
Suchen Sie Ihre neue Berechtigungsgruppe in der Liste und klicken Sie auf ihren Namen, um die Gruppenberechtigungen zu verwalten.
Suchen Sie auf der Registerkarte "Erlaubte Anwendungen" nach jedem Produkt, auf das die Benutzer der Gruppe Zugriff haben sollen, und fügen Sie es hinzu.
Aktivieren Sie die Option "Erlaubte Anwendungen aus <Anspruchsland> einbeziehen".
Schritt 3: Deaktivieren Sie den Zugriff auf die Anwendungen für alle anderen
Navigieren Sie zu Berechtigungsverwaltung\Zugang und Alarme.
Hinweis: Vergewissern Sie sich, dass Sie das Land mit den Ansprüchen ausgewählt haben, das Sie bearbeiten möchten.
Filtern Sie die Liste der Anwendungen, um jede Anwendung zu finden, die der Berechtigungsgruppe hinzugefügt wurde.
Klicken Sie auf Allgemeiner Zugriff.
Ändern Sie die Zugriffseinstellung für die Anwendung auf Verweigert.
Anderssprachige Quellen