Auswertung der Benutzerregeln

Die Anmelderegeln legen fest, welche der in einem Modell existierenden Rollen einem Benutzer beim Anmelden angeboten werden. Ein normaler Benutzer kann sich an einem Modell ausschließlich mit einer Benutzerrolle anmelden. Weitere Regeln bestimmen administrative Rechte.

Regeln kennen lernen

Was wird geregelt?

Die Anmelderegeln bestimmen, welche Rollen für einen Benutzer beim Anmelden an einem Modell1 zur Verfügung stehen sollen.

Die Modelladmin-Regeln bestimmen, ob und in welchen Modellen ein Benutzer administrative Tätigkeiten ausführen darf.

Die Modellserver-Regeln bestimmen, ob und in welchen Single-Sign-on-Repositorys ein Benutzer bestimmte administrative Tätigkeiten ausführen darf.

Die Versionsregeln bestimmen, ob ein Benutzer verwaltete Modelle starten und bearbeiten darf.

Eine Anmeldung am Modell als normaler Benutzer oder Modelladministrator oder eine Anmeldung als Repositoryadministrator am Modellserver kann ausschließlich dann erfolgen, wenn eine entsprechende Regel dies gestattet. Für normale Benutzer muss zudem mindestens eine Rolle zur Verfügung stehen.

Einschränkung

Existiert in der zentralen Benutzerverwaltung am Hauptlizenzserver für keinen einzigen Regeltyp eine Regel, dann dürfen alle Benutzer die durch die Regeltypen eingeschränkten Funktionalitäten in vollem Umfang nutzen. Die Inbetriebnahme von Innovator wird dadurch erleichtert.

Sobald für einen beliebigen Regeltyp eine Regel existiert, sind ausschließlich die durch diese Regel zugänglichen Funktionalitäten nutzbar. Um die Funktionalitäten anderer Regeltypen nutzen zu können, müssen für jeden Regeltyp explizite Regeln erstellt werden.

Wirkung von Anmelderegeln

Mit den Anmelderegeln wird festgelegt, welche Rollen für einen Benutzer in einem Projekt, einem Repository oder einem Modell bei seiner Anmeldung an einem Modell zur Verfügung stehen sollen.

Für die Anmeldung an einem konkreten Modell wird die Liste der durch die Regeln erlaubten Rollen für den Benutzer mit den im Modell aktuell existierenden Rollen geschnitten. Die entstehende Menge der erlaubten Rollen wird dem Benutzer zur Anmeldung angeboten.

Anmelderegeln erstellen Sie zuerst allgemein für Benutzergruppen im Register Gruppen. Spezifische Regeln legen Sie anschließend im Register Benutzer für einzelne Benutzer fest. Die Regeln sollten eindeutig und erreichbar sein, vermeiden Sie z.B. widersprüchliche Regeln für Gruppen, denen derselbe Benutzer zugeordnet ist.

Im Register Anmelderegeln verwalten Sie die bestehenden Regeln übergreifend. Die gesamten Regeln sind sortier- und filterbar. Sie können so z.B. Regeln einfacher erkennen, die nicht erreichbar und deshalb wirkungslos sind, um sie zu ändern oder zu löschen.

Wirkung von Modelladministrator-Regeln

Mit den Modelladministrator-Regeln wird festgelegt, ob und in welchen Modellen von Single-Sign-on-Repositorys sich ein Benutzer als Modelladministrator anmelden oder vorübergehend Modelladministratorrechte erlangen darf.

Die Modelladministrator-Regeln steuern die Berechtigung für z.B. folgende Aktionen:

  • Modell umbenennen

  • Modellvorlagen speichern oder laden

  • Zugriffs- oder Leserechte entziehen

  • Änderungsprotokollierung aktivieren

  • alternative Anzeigesprachen für Diagramminhalte verwalten

Die Regel kann mittels Option festlegen, dass sie nur von Plug-ins verwendet werden kann, damit Befehle, die Modelladministratorrechte erfordern, ausgeführt werden können. Der Anwender kann dann über die Oberfläche keine Administratorrechte erlangen.

Im Register Modelladmin-Regeln verwalten Sie die bestehenden Regeln übergreifend. Die gesamten Regeln sind sortier- und filterbar. Sie können so z.B. Regeln einfacher erkennen, die nicht erreichbar und deshalb wirkungslos sind, um sie zu ändern oder zu löschen.

Wirkung von Modellserver-Regeln

Mit den Modellserver-Regeln wird festgelegt, ob und in welchen Single-Sign-on-Repositorys ein Benutzer administrative Tätigkeiten ausführen oder nicht ausführen darf.

Die Modellserver-Regeln steuern die Berechtigung für folgende Aktionen:

  • Anmelden als Repositoryadministrator ohne Passwort
  • Erzeugen, Umbenennen und Löschen von Modellen (im Administrationsprogramm)
  • Starten eines Modellservers (auch über Kommandozeile)
  • Beenden eines Modellservers (auch über Kommandozeile)

Im Register Modellserver-Regeln verwalten Sie die bestehenden Regeln übergreifend. Die gesamten Regeln sind sortier- und filterbar. Sie können so z.B. Regeln einfacher erkennen, die nicht erreichbar und deshalb wirkungslos sind, um sie zu ändern oder zu löschen.

Wirkung von Versionsregeln

Mit den Versionsregeln wird festgelegt, ob ein Benutzer verwaltete Modelle starten und bearbeiten darf.

Die Versionsregeln steuern die Berechtigung für folgende Aktionen:

  • Erstellen einer Nachfolge- oder Unterversion aus einer bestehenden Modellversion
  • Starten und Beenden von Modellversionen
  • Aktualisieren von Modellversionen (empfohlen insbesondere nach zeitaufwendigen Aktionen)
  • Verschieben von Modellversionen innerhalb der Hierarchie des Modells

Im Register Versionsregeln verwalten Sie die bestehenden Regeln übergreifend. Die gesamten Regeln sind sortier- und filterbar. Sie können so z.B. Regeln einfacher erkennen, die nicht erreichbar und deshalb wirkungslos sind, um sie zu ändern oder zu löschen.

Auswertungsschritte der Regeln

Alle für einen Benutzer in Betracht kommenden Regeln werden im Dialog Benutzeranmeldungen konfigurieren im Register Benutzer angezeigt.

Die direkten Benutzerregeln werden stets vor den geerbten Gruppenregeln aufgelistet und können in der Reihenfolge verschoben werden.

Gruppen, in denen der Benutzer direkt Mitglied ist, werden vor Gruppen angezeigt, in denen der Benutzer indirekt Mitglied ist. Die vererbenden Gruppen einer Hierarchiestufe werden jeweils zusammenhängend angezeigt. Geerbte Regeln können nicht verschoben werden. Die Reihenfolge der Hierarchiestufen und der Gruppen derselben Hierarchiestufe können Sie nicht beeinflussen.

Die Auswertung der Regeln erfolgt für Anmelde- und Modellserver-Regeln in mehreren Schritten:

  1. Zu den aktuellen Anmeldedaten (Benutzer und Modell) wird in den direkten Benutzerregeln der erste Treffer gesucht und verwendet, unabhängig davon, ob es sich um eine Erlaubnis- oder Ausschlussregel handelt. Die Reihenfolge der Benutzerregeln ist dafür also relevant!
  2. Wurde im ersten Schritt kein Treffer gefunden, dann wird nacheinander in allen Gruppen der jeweils nächstfolgenden Hierarchiestufe, also zuerst in denen der Benutzer direkt Mitglied ist, nach einer passenden Regel gesucht. Der erste Treffer wird verwendet. Die Reihenfolge der Gruppenregeln ist dafür also ebenfalls relevant!
    Wenn der Benutzer in mehreren Gruppen einer Hierarchiestufe Mitglied ist, dürfen die Gruppenregeln keinen überschneidenden Geltungsbereich haben, wenn die Regelreihenfolge eindeutig bestimmbar sein soll. Andernfalls entscheidet die Anlegereihenfolge der Regeln.
  3. Wurde in beiden Schritten (Benutzer und Gruppen) kein Treffer gefunden, dann bedeutet dies, dass dem Benutzer die Anmeldung am Modell oder als Administrator an einem Nicht-Single-Sign-on-Repository verweigert wird. Außerdem kann der Benutzer nicht über Administratorenrechte für eigenständige Modellserver oder verwaltete Modelle verfügen.

Für die Anmeldung an den Modellen ergibt sich so eine Liste von Rollen für den Benutzer, die mit den aktuell im Modell existierenden Rollen geschnitten wird. Die entstehende Menge der erlaubten Rollen wird dem Benutzer zur Anmeldung angeboten.

Empfehlungen

Aus der Vorgehensweise bei der Auswertung der Regeln lassen sich folgende Tipps für die Konfiguration der Regeln herleiten:

  • Ordnen Sie spezielle Regeln (mit bestimmten Namensmustern und wenigen Wildcards) vor allgemeinen Regeln ein.
  • Definieren Sie keine sich widersprechenden Regeln in Gruppen, in denen der gleiche Benutzer zugeordnet ist.

Die Oberfläche visualisiert nicht erreichbare Regeln mit dem Symbol und unwirksame Regeln aufgrund nicht existierender Projekte mit .

Symbol für Verwandte-Themen-LinksVerwandte Themen