Rollen und Berechtigungen

Rollenverständnis in Modellen

Rollen in arbeitsteiligen Prozessen

Die Analyse und der Entwurf von Strukturen und Abläufen in Form von Modellen ist ein arbeitsteiliger Prozess, bei dem Experten unterschiedlicher Fachgebiete zusammenarbeiten. Um jedem ein sicheres Arbeiten in einer definierten Umgebung zu ermöglichen, bieten sich Rollen als Mittel der Wahl an. Mit einer Rolle stehen dem jeweiligen Benutzer in einem Modellierungswerkzeug Berechtigungen zur Verfügung, die ihm quasi maßgeschneidert Funktionen und Modellsichten bieten können.

Die Rollen versorgen einen Benutzer mit bestimmten Grundrechten, z.B. dem Verfahrensrecht zum Konfigurieren eines Modells. Durch die Zuordnung einer Rolle zu speziellen Funktionen werden Ausführungsrechte gewährt und somit weitere Differenzierungen der Rollen möglich. Das Zugriffsrecht ermöglicht das Bearbeiten von Modellelementen. Die Einschränkung des Leserechts durch den Modelladministrator schließlich begründet die Nutzung bestimmter Modellsichten.

Benutzer

Benutzer können lesend auf Modelldaten zugreifen, wenn sie sich am Modell angemeldet haben und das Leserecht durch den Modelladministrator nicht eingeschränkt wurde.

Der ändernde Zugriff auf Daten eines Modells ist durch ein mehrstufiges, rollenbasiertes Rechtesystem geregelt.

Um Zugriff auf Inhalte eines Modells zu erhalten, müssen Sie sich mit einem Benutzernamen am Modell anmelden. Dabei ist es zunächst gleichgültig, ob Sie die Modelldaten nur lesen oder auch ändern möchten.

Mit jedem Benutzer kann ein Passwort verbunden sein, um den Zugang zum Modell zu schützen.

Innovator verwaltet stets zwei Standardbenutzer, die in jedem Modell vorhanden sind:

Der Standardbenutzer Modelladministrator besitzt sämtliche Rechte zur Nutzung und Konfiguration des Modells. Er sollte deshalb stets ein Passwort besitzen.
Der Standardbenutzer Gast besitzt ausschließlich das "Nur-Lesen-Recht" und keinerlei weitere Rechte. Er kann sich als einziger Benutzer mehrfach am Modell anmelden.

Als Gast können Sie das Modell lesen, ohne Gefahr zu laufen, versehentlich etwas zu verändern. Zum Arbeiten im Modell müssen Sie einen anderen Benutzer auswählen.

Als Gast können Sie aufgrund des ausschließlichen Leserechts z.B. auch folgende Funktionen nicht nutzen:
- Export in andere Formate (XMI, BPMN, Smartfacts)
- Anmerkungen in Diagrammen erstellen
- Dokumentation generieren
- Modell prüfen
Sie können jedoch Diagramm drucken und Anhänge zum Lesen öffnen.

Rollenkonzept in Innovator

In Innovator kann jeder Benutzer keiner, einer oder mehreren Rollen zugeordnet sein. Die Rollenzugehörigkeit eines Benutzers legt der Modelladministrator in der Benutzerverwaltung fest.

Hinweis

Außer den Standardbenutzern Modelladministrator und Gast darf sich in Innovator kein Benutzer, dem keine Rolle zugeordnet wurde, an einem Modell anmelden.

Die aktuell verwendete Rolle des Benutzers muss ihm das entsprechende Recht zur Verfügung stellen, damit er

ein Paket (Teil eines Modells) sehen kann (uneingeschränktes Leserecht auf das Paket)
ein Modellelement ändern kann (Zugriffsrecht auf dieses Element)
einen Menübefehl ausführen kann, der auf einer Anlegeschablone, einer Prüfroutine, einer Engineering-Aktion oder einem Dokumentationskommando basiert (Ausführungsrecht)
bestimmte Verfahren anwenden kann (Verfahrensrechte für Konfigurieren, Labeln, Anmerken usw.)

Einschränkung

In Repositorys mit aktiviertem Single Sign-on muss der Benutzerstamm mit seinen Rollen zentral am Lizenzserver für alle Modelle des Repositorys abgelegt werden.

Rollen in Modellen

Die Modelle selbst beschäftigen sich ebenfalls mit arbeitsteiligen Prozessen und den Strukturen, in denen diese organisiert sind – also auch mit Rollen.

Rollen werden dabei durchaus unterschiedlich charakterisiert. Die Differenzierung der externen Anwender eines Systems in Akteure (in einem Anwendungsfalldiagramm) stellt ebenso eine Art Rollenbeschreibung dar wie die Rollenbeschreibung für Klassen in einer Assoziation (in einem Klassendiagramm) oder die Rollenbeschreibung eines Kollaborationsbeteiligten (im BPMN-Diagramm).

Immer drückt die Rolle die relevanten Eigenheiten eines "Systembeteiligten" aus.

Berechtigungen in Innovator

Zugriffsrechte auf einzelne Elemente

Für jedes einzelne Element des Modells kann ein Zugriffsrecht für eine oder mehrere Rollen vergeben werden.

Ein Benutzer darf ein Element nur dann verändern, wenn seine aktuell verwendete Rolle das Zugriffsrecht auf das Element besitzt. Für bestimmte Verfahren muss auch das entsprechende Verfahrensrecht vorhanden sein (siehe unten).

Für die Vergabe und den Entzug von Zugriffsrechten auf Elemente gelten folgende Regeln.

Der Modelladministrator besitzt stets alle Zugriffs- und Verfahrensrechte
Der Modelladministrator kann für alle Elemente Zugriffsrechte erteilen und entziehen
Ausschließlich der Modelladministrator kann Zugriffsrechte entziehen
Erzeugt ein Benutzer ein Element, so erhält die Rolle, in der der Benutzer angemeldet ist, das Zugriffsrecht auf dieses Element
Hat ein Benutzer in seiner aktuell verwendeten Rolle das Zugriffsrecht auf ein Element, so kann er jeder seiner Rollen das Zugriffsrecht für das Element erteilen

Die bestehenden Zugriffsrechte auf ein Modellelement werden in den Toolfenstern Eigenschaften und Info angezeigt.

Die Toolfensteransicht Zugriffsrechte im Toolfenster Modellinhalt ermöglicht dem Modelladministrator das Erteilen und Entziehen des Zugriffsrechts auf Paketebene für Benutzerrollen.

Leserechte im Modell einschränken

Die Toolfensteransicht Zugriffsrechte im Toolfenster Modellinhalt ermöglicht dem Modelladministrator das Entziehen und Erteilen des Leserechts (Sichtbarkeit) auf Paketebene für Benutzerrollen. Sie erleichtert damit die grobe Aufteilung von Modellen. So können ganze Bereiche für bestimmte Rollen leicht ausgeblendet werden.

Die Toolfensteransicht erscheint nur bei Anmeldung als Modelladministrator oder mit vorübergehenden Administratorrechten.

Der Standardbenutzer Gast hat Leserechte auf die Schnittmenge der Leserechte aller Rollen im Modell, also auf die Pakete, auf die alle Rollen ein Leserecht haben. Dies kann bedeuten, dass ein Gast ausschließlich den Wurzelknoten des Modells sehen kann.

Ausführungsrechte

In Innovator-Modellen werden Ausführungsrechte verwaltet. Für Anlegeschablonen, Prüfroutinen, Engineering-Aktionen und Dokumentationskommandos kann ein Ausführungsrecht für eine oder mehrere Rollen vergeben werden. Eine Rolle kann die entsprechende Funktion nur dann ausführen, wenn sie das Ausführungsrecht für das Element besitzt.

Ein Benutzer verfügt ausschließlich über die Ausführungsrechte seiner aktuell verwendeten Rolle.

Hinweis

Die rollenbezogenen Ausführungsrechte sind unmittelbarer Bestandteil der Modellkonfiguration und werden ausschließlich im Konfigurationseditor vergeben.

Zur Vergabe des Ausführungsrechts ist das Verfahrensrecht Konfigurieren erforderlich (siehe unten). Zum Entziehen eines vorhandenen Ausführungsrechts ist eine Anmeldung als Modelladministrator notwendig (schließt das Verfahrensrecht Konfigurieren ein).

Innovator verwaltet die Ausführungsrechte rollenbasiert. Auf diese Weise ist es möglich, die Menüs (Menüband und Kontextmenüs) gezielt für einzelne Rollen zuzuschneiden und übersichtlich zu gestalten.

Das Ausführungsrecht wirkt auch beim Anlegen von neuen Elementen in Auswahldialogen. Es werden jeweils nur die Anlegeschablonen angeboten, für die der Benutzer in der aktuell verwendeten Rolle das Ausführungsrecht besitzt.

Hinweis

Ob ein Modellelement mittels Anlegeschablone tatsächlich angelegt wird, regelt das Zugriffsrecht auf die einzelnen Pakete. Wenn ein Benutzer über seine Rolle kein Zugriffsrecht auf mindestens ein Paket hat, in dem das Anlegen eines solchen Elements erlaubt ist, wird das Anlegen verweigert.

Verfahrensrechte

Auf die Elemente eines Modells können in Innovator einige Verfahren angewandt werden, für die spezielle Verfahrensrechte erforderlich sind. Dem Benutzer können folgende Verfahrensrechte über seine Rolle zugeordnet sein.

Verfahrensrechte
Verfahrensrecht	Verfahren
Änderungsprotokolle ansehen	Ansehen des Änderungsprotokolls mit den Change-Sets zu Modelländerungen
Anmerken	Erstellen, Ändern und Löschen von Anmerkungen zu Diagrammelementen
Datenbankverbindungen konfigurieren	Verwalten von Datenbankverbindungen (relevant ausschließlich in Innovator for Database Architects)
Konfigurieren	Änderung der Modellkonfiguration (Profile einschl. Prüfroutinen und Dokumentation)
Labeln	Vergabe von Labels
Übersetzen	Übersetzen von Diagramminhalten
Versionieren	Import von Elementen oder Elementgruppen aus versionierten Modellfragmenten, Import und Export von Modellfragmenten
Massenbearbeitung	Verwenden von Befehlen, die in großen Modellen wegen ihres großen Datenaufkommens zu langen Laufzeiten führen, z.B. Suchen ohne Elementtyp-Einschränkung, Bereich exklusiv bearbeiten, Inhalt rekursiv hinzufügen zum Ergebnisbereich und gleichzeitiges Ändern von mehr als 1.000 Elementen im Toolfenster Eigenschaften.
Modellvergleich	Vergleichen von Modellelementen (kann in großen Modellen zu langen Laufzeiten führen)
Abhängigkeitseditor	Verwenden des Abhängigkeitseditors (kann in großen Modellen zu langen Laufzeiten führen)

Jeder Rolle kann ein Recht auf jedes Verfahren einzeln gewährt oder entzogen werden.

Ein Benutzer verfügt ausschließlich über die Verfahrensrechte seiner aktuell verwendeten Rolle.

Hinweis

Die rollenbezogenen Verfahrensrechte werden ausschließlich in der Benutzerverwaltung vergeben oder entzogen.

Die Benutzerverwaltung erfordert Modelladministratorrechte und ist im Administrationsprogramm und im Konfigurationseditor zugänglich.

Administratorrechte

Administratorrechte für das Modell benötigen Sie, um

Benutzer oder Rollen anzulegen, umzubenennen, zuzuordnen oder zu löschen
Modelle zu löschen

Sie erlangen Administratorrechte für das Modell durch Anmelden als Modelladministrator und die Eingabe des Modelladministrator-Passwortes.

Administratorrechte für das Repository benötigen Sie, um

Modelle anzulegen, umzubenennen, zu kopieren, zu exportieren oder zu löschen
das Anmelden an Modellen des Repositorys zu verhindern

Dieses Recht wird ausschließlich im Administrationsprogramm vergeben und benötigt.

Berechtigungen vergeben und übertragen

Rechtevergabe durch den Modelladministrator

Wenn die Benutzerverwaltung Ihres Netzwerks das Lightweight Directory Access Protocol (LDAP) nutzt, können Sie die gewünschten Benutzernamen aus dieser Quelle laden.

Wenn bereits Benutzer und Rollen existieren, können Sie als Modelladministrator die Rechtezuordnungen in beliebiger Reihenfolge vornehmen.

Einschränkung

In Repositorys mit aktiviertem Single Sign-on muss der Benutzerstamm mit seinen Rollen zentral am Lizenzserver für alle Modelle des Repositorys abgelegt werden. Ausschließlich diese Rollen können sich an einem Modell dieser Repositorys anmelden.

Wenn dagegen noch keine oder nur unvollständige Angaben zu Benutzern und Rollen vorhanden sind, gehen Sie in der Benutzerverwaltung in folgender Reihenfolge vor:

Sie melden sich am Modell mit dem Modelladministrator-Passwort an.
Sie legen Rollen an.
Sie erteilen den Rollen die für sie notwendigen Verfahrensrechte.
Sie legen Benutzernamen an oder laden diese aus LDAP.
Sie weisen den Benutzernamen eine oder mehrere Rollen zu.

Benutzer, Rollen und Rechte in andere Modelle übertragen

Im Administrationsprogramm können Sie die Angaben zu Benutzern, Rollen und deren Verfahrensrechten in einer Konfigurationsdatei sichern (Menübefehl Administration>Modell verwalten>Benutzer verwalten, Register Erweitert, Gruppe Konfigurationsdatei).

Diese Datei enthält auch die Passwörter für die Benutzer (außer Modelladministrator) und die Rollen.

Sie können die Datei in jedem beliebigen anderen Modell wieder laden und so die Angaben auch in einem neuen Modell verfügbar machen.