Berechtigungen, Rollen und Gruppen
Der Zugriff eines Benutzers auf Container und Dokumente sowie die Durchführung von Aktionen in iManage Work wird über Berechtigungen, Rollen, Gruppen und Sicherheitszugriffsebenen gesteuert.
Die Beziehung zwischen Berechtigungen und Sicherheitszugriffsstufen wird oft missverstanden. Die beiden sind miteinander verbunden, aber nicht identisch.
Berechtigung | Sicherheitszugriffsebene |
|---|---|
Berechtigungen definieren, welche Aktionen Benutzer für Container und Dokumente, auf die sie Zugriff haben, durchführen dürfen. | Sicherheitszugriffsebenen legen fest, auf welche Container und Dokumente die Benutzer Zugriff haben und in welchem Umfang sie diese Elemente ändern können. |
Die folgenden Themen beschreiben diese Konzepte im Detail:
Rollen
Eine Rolle ermöglicht es Ihnen, einen Satz von Berechtigungen zu gruppieren. Beim Erstellen einer Rolle weisen Sie der Rolle einen oder mehrere Benutzer zu.
Weitere Informationen finden Sie unter Rollen.
Rollen können nach Bedarf erstellt, gelöscht oder geändert werden, mit Ausnahme der Standardrolle; siehe Standardrolle. Eine Rolle kann zu jedem späteren Zeitpunkt durch einen NRTADMIN geändert werden..
Standardrolle: iManage Work erstellt automatisch eine Standardrolle. Diese Rolle kann nicht gelöscht werden und der iManage-Systemadministrator kann diese Berechtigungen zu jeder Zeit bearbeiten. Alle Benutzer werden automatisch dieser Gruppe zugewiesen und können nicht aus ihr gelöscht werden. Daher hat jeder Benutzer eine Reihe von Standardberechtigungen, die aus Sicherheitsgründen in der Regel minimal sind.
Globale Berechtigungen: Eine separate Gruppe von Berechtigungen ist für globale Rollen vorgesehen. Diese Berechtigungen steuern die Befugnisse, die Benutzer zur Ausführung bestimmter Aufgaben im Control Center haben. Siehe Globale Berechtigungsbeschreibungen für eine Auflistung dieser Berechtigungen.
Berechtigungen
Berechtigungen sind individuelle Aktionen, die ein Benutzer für Container, Dokumente oder das iManage Work-System durchführen kann. Es gibt eine festgelegte Anzahl von Berechtigungen, die vom iManage Work-System definiert werden. Privilegien können nicht erstellt oder gelöscht werden. Sie können nur gewährt oder verweigert werden. Berechtigungen sind nur in Rollen enthalten. Rollen sind benannte Gruppen von Berechtigungen. Die Rollen werden dann den Benutzern zugewiesen. Es gibt Kategorien, die Berechtigungen für einzelne Container oder Dokumente beinhalten, wie z.B. Inhalte als Dateien Erstellen/Importieren, Inhalte als Dateien Löschen und öffentliche Arbeitsbereiche erstellen, um nur einige zu nennen. Berechtigungen ermöglichen den Zugriff auf das Control Center auf Stufe 1 (mit grundlegenden Helpdesk-Funktionen) oder Stufe 2 (mit der zusätzlich zu den Funktionen der Stufe 1 auch Metadaten, Treuhänder und Vorlagen verwaltet werden können).
Berechtigungen werden je nach den durchgeführten Vorgängen in die folgenden Kategorien unterteilt:
Rechte von Work-Anwendungen
- Dokument: Berechtigung zur Arbeit mit Dokumenten.
- Arbeitsbereich: Berechtigungen für die Arbeit mit Arbeitsbereichen und die Verwaltung benutzerdefinierter Metadaten.
- Ordner: Berechtigungen für die Arbeit mit öffentlichen Ordnern.
Control-Center-Rechte
- Zugriff auf das Control Center: Berechtigungen für den Zugriff auf Control Center-Funktionen der Stufen 1 und 2.
Für eine ausführliche Liste der Berechtigungen, die einem Benutzer zugewiesen werden können, siehe Rollen.
Abgestufte Berechtigungen
Stufen sind vordefinierte Gruppen von Berechtigungen für iManage Work-Systemadministratoren, Produkt-Support- oder Helpdesk-Teammitglieder bei der Durchführung von Aktivitäten im Control Center und werden pro iManage Work-Bibliothek zugewiesen.
Weitere Informationen finden Sie unter Grundlagen der Stufen.
Gruppen
Gruppen sind Anordnungen von mehreren Benutzern. Gruppen können Arbeitsbereichen, Ordnern und Registern sowie Dokumenten zugewiesen werden und mit einer bestimmten Zugriffsberechtigung versehen werden. Auf diese Weise kann eine bestimmte Anzahl von Benutzern demselben Objekt zugewiesen werden, aber alle mit der gleichen Zugriffsberechtigung. Gruppen können durch Hinzufügen oder Entfernen von Benutzern oder durch Ändern der Zugriffsberechtigung verwaltet werden, anstatt einzelne Benutzer und deren Zugriffsberechtigung zu ändern. Benutzer können mehreren Gruppen angehören.
Gruppen haben keine Zugangsberechtigungen, die ihnen zugewiesen werden. Beachten Sie, dass jedem Benutzer eine Rolle zugewiesen wird (die mit entsprechenden Rechten verbunden ist) und dass diese Rolle unabhängig von der Zugehörigkeit zu einer Gruppe ist.
Mit Ausnahme der Gruppe NRTADMIN können Gruppen erstellt und nach Bedarf geändert werden. Siehe NRTADMIN-Gruppe für weitere Informationen. Gruppen können nicht gelöscht werden.
Falls der Verzeichnisserver, auf dem die Benutzerliste geführt wird, bereits Gruppen enthält, können diese Gruppen und Mitglieder in iManage Work importiert werden. Dies ist eine einseitige Synchronisierung; Gruppen und Mitgliedschaften können nicht von iManage Work zurück zum Verzeichnisdienst aktualisiert werden.
Die Nutzung von Gruppen für Sicherheitszugriffsberechtigungen anstelle von einzelnen Benutzern hat auch eine implizite Leistungssteigerung bei der Suche zur Folge. Bei Verwendung von Gruppen zur Verwaltung der Sicherheit muss die Sicherheit des Objekts nur einmal im Indexer indiziert werden, wenn die Gruppe zugewiesen wird. Bei Änderungen an der zugrunde liegenden Gruppe wird keine Neuindizierung vorgenommen. Wenn Sie jedoch die Benutzersicherheit für die Objekte einzeln verwalten würden, müsste bei jeder Änderung das Objekt neu indiziert werden.
NRTADMIN-Gruppe
Die Gruppe NRTADMIN ist über das iManage Work-System automatisch verfügbar, sie muss nicht erstellt werden. Alle Benutzer, die der Gruppe NRTADMIN zugeordnet sind, werden per Definition zu NRTADMINs, unabhängig von ihrer aktuellen Rolle. Wenn ein Benutzer aus der Gruppe NRTADMIN entfernt wird, behält er die Bibliotheksrolle, die er zuvor hatte. Nur ein weiterer NRTADMIN ist berechtigt, Benutzer zu dieser Gruppe hinzuzufügen oder zu entfernen. Siehe auch Abgestufte Berechtigungen.
Ein kommissarischer Administrator ist ein NRTADMIN mit zusätzlichen Rechten. Diese werden bei der Installation von iManage Work festgelegt und von Ihrem Custom Service Manager (CSM) oder dem zuständigen Dienstleister bereitgestellt.
Dokument-, Arbeitsbereich- und Ordnerattribute
Die folgenden Attribute sind mit Dokumenten, Arbeitsbereichen und Ordnern verbunden:
- Eigentümer: Der Eigentümer ist eine Rolle, die automatisch dem Benutzer zugewiesen wird, der einen neuen Arbeitsbereich oder Ordner erstellt. Dieser Benutzer hat Vollzugriffsrechte auf den Arbeitsbereich/Ordner. Ein Arbeitsbereich/Ordner kann nur einen Besitzer haben, wobei der aktuelle Besitzer die Rolle einem anderen Benutzer zuweisen kann.
- Betreiber: Der Betreiber ist eine Rolle, die automatisch dem Benutzer zugewiesen wird, der ein neues Dokument erstellt oder ein Dokument erstmals hochlädt. Dieser Benutzer hat Vollzugriffsrechte auf das Dokument. Ein Arbeitsbereich/Ordner kann nur einen Betreiber haben, wobei der aktuelle Betreiber die Rolle einem anderen Benutzer zuweisen kann.
Autor: Ein Autor eines Dokuments ist eine Rolle, die automatisch dem Benutzer zugewiesen wird, der ein neues Dokument erstellt oder ein Dokument erstmals hochlädt. Der Autor kann vom Betreiber eines Dokuments geändert werden oder von einem anderen Benutzer, der vollen Zugriff auf das Dokument hat. Die Rolle Autor gewährt keine Eigentumsrechte an dem Dokument (siehe Betreiber), aber impliziten Vollzugriff darauf.
Sicherheitszugriffsebenen
Sicherheitszugriffsebene ist ein Begriff, der sich auf die Standardsicherheit und die Zugriffsrechte bezieht. Sicherheitszugriffsstufen legen fest, welchen Zugriff ein Benutzer auf den Inhalt von Containern und auf Dokumente hat.
Siehe Container- und Dokumentensicherheit für weitere Informationen.
Zugriffskonfliktmodelle
Ein Zugriffskonflikt liegt vor, wenn ein Benutzer einen widersprüchlichen Zugriff auf ein Objekt, wie z. B. einen Container oder ein Dokument, hat.
Je nach Ihrer iManage Work-Umgebung wird eines der folgenden Modelle zur Lösung von Zugriffskonflikten verwendet:
- Ein optimistisches Modell löst Konflikte auf, indem es von den konkurrierenden Ebenen diejenige anwendet, die die meisten Rechte gewährt.
- Ein pessimistisches Modell löst Konflikte, indem es die restriktivste Zugriffsebene unter den konkurrierenden Ebenen anwendet.
- Ein Hybridmodell verwendet das optimistische Modell, es sei denn, eine der kollidierenden Zugriffsebenen ist Kein Zugriff. Falls einer der Sicherheitszugriffskonflikte für das Objekt Kein Zugriff lautet, wird dem Benutzer der Zugriff auf das Objekt entzogen.
Weitere Informationen zu diesen verschiedenen Modellen finden Sie in den nachstehenden Beispielen.
Wenden Sie sich für iManage Work in the Cloud an cloudsupport@imanage.com, um zu erfahren, welches Sicherheitsmodell in Ihrer Umgebung angewendet wird.
Beispiel 1
Bei einem bestimmten Dokument kann der Benutzer Anthony den folgenden Zugriff auf ein Dokument haben, da er sowohl zu GROUP1 als auch zu GROUP2 gehört:
Benutzer | Lesen |
GROUP1 | Lese-/Schreibzugriff |
GROUP2 | Kein Zugriff |
Es besteht ein Konflikt, da sich mindestens zwei der Zugriffsebenen widersprechen. Dies wird je nach dem Zugriffskonfliktmodell automatisch gelöst.
Zugriffskonfliktmodelle | Lösung | Grund |
|---|---|---|
Optimistisch | Lesen/Schreiben | Die zugänglichste Ebene der drei Möglichkeiten ist Lesen/Schreiben aus Group1. |
Pessimistisch | Kein Zugriff | Die restriktivste der drei Möglichkeiten ist Kein Zugriff von Group2. |
Hybrid | Kein Zugriff | Die restriktivste der drei Möglichkeiten ist Kein Zugriff von Group2. Dies liegt daran, dass der Hybrid-Zugriff ein optimistisches Ergebnis liefert, wenn von allen Optionen keine Verweigerung (Kein Zugriff) vorliegt. Falls es eine Verweigerungsoption gibt, gewährt Hybrid diese Verweigerung. |
Beispiel 2
Bei einem bestimmten Dokument kann die Benutzerin Hanna den folgenden Zugriff auf ein Dokument haben, da sie sowohl zu GROUP1 als auch zu GROUP2 gehört:
Benutzer | Lesen |
GROUP1 | Lese-/Schreibzugriff |
GROUP2 | Voller Zugriff |
Es besteht ein Konflikt, da sich mindestens zwei der Zugriffsebenen widersprechen. Dies wird je nach dem Zugriffskonfliktmodell automatisch gelöst.
Zugriffskonfliktmodelle | Lösung | Grund |
|---|---|---|
Optimistisch | Voller Zugriff | Die zugänglichste der drei Möglichkeiten ist der Vollzugriff von Group2. |
Pessimistisch | Lesen | Die restriktivste der drei Möglichkeiten ist Lesen aus den direkten Rechten des Benutzers. |
Hybrid | Voller Zugriff | Die zugänglichste der drei Möglichkeiten ist der Vollzugriff von Group2. Dies liegt daran, dass der Hybrid-Zugriff ein optimistisches Ergebnis liefert, wenn von allen Optionen keine Verweigerung (Kein Zugriff) vorliegt. |