...
How To Article | HTA-20220531-LG-31 iProtect Access / Security | How To Articles | Authorizations |  |
|
| Table of Contents |
|---|
Preparation is half the battle. This certainly applies when it comes to authorizing system users. You must first have a clear idea of which user groups you need. Then you have to consider what rights the different user groups will get.
An example is discussed below, in which three different user groups are necessary. The rights of each of these user groups are discussed. Then these user groups with their rights are used as an example when entering the different windows.
The user groups
In the organization, different groups can be distinguished that have to work with the system. These include receptionists, the people of surveillance, the system administrators. Each of these groups has different tasks. The receptionists create cards for new employees and visitors, but are not allowed to have access to the system settings. The people of surveillance must be able to read/execute all overviews and alarms. After all, the system administrators must be able to go into everything.
Note: When installing the package, one system user has always been created. This is Root. This system user is not visibly connected to a particular user group, but does have all the rights throughout the package. There are certain changes and additions that you can only make when you're logged in as a system user Root. It is therefore not possible to remove or modify this system user. However, we recommend that you change the default password for Root as soon as possible.
The new password must be equipped with a minimum of 1 Capital, 1 digit and at least 6 characters long.
Only if you are logged in as ROOT is it possible to create user groups and define rights. As a Root it is also possible to change forgotten passwords.
Rights
When you've determined which user groups are needed, see what rights each user group gets. This can be determined superficially, but also in detail. It is possible in iProtect™ to determine per table and even per column (database) which action a user group can perform. This is called vertical database security.
If you choose to permissions per column and per table, please note that updates from iProtect™ may contain new tables and columns. After an update, always check for the rights granted per user group. There is a real chance that changes will be needed.
You can indicate which action the user group is allowed to perform. It concerns the following actions:
Insert
Create new records
Delete
Delete existing records
Read
View content from existing records
Write
Change content from existing records
For each action, you can determine whether it is Allowed or Not Allowed. This includes the rule that Not Allowed goes above Allowed. Furthermore, for certain tables, the Read action should always be allowed, otherwise the user interface will not be accessible. We therefore recommend that you at least put the Read for all tables on Allowed. You can always shield certain tables/columns from 'see' later. Because: Not Allowed goes above Allowed.
...
Einführung:
Vorbereitung ist die halbe Miete. Das gilt auch für die Autorisierung von Systembenutzern. Sie müssen zunächst eine klare Vorstellung davon haben, welche Benutzergruppen Sie benötigen. Dann müssen Sie überlegen, welche Rechte die verschiedenen Benutzergruppen erhalten sollen.
Im Folgenden wird ein Beispiel erläutert, bei dem drei verschiedene Benutzergruppen erforderlich sind. Die Rechte jeder dieser Benutzergruppen werden besprochen. Dann werden diese Benutzergruppen mit ihren Rechten als Beispiel für die Eingabe der verschiedenen Fenster verwendet.
Die Benutzergruppen:
In der Organisation können verschiedene Gruppen unterschieden werden, die mit dem System arbeiten müssen. Dazu gehören das Empfangspersonal, die Mitarbeiter der Überwachung und die Systemadministratoren. Jede dieser Gruppen hat unterschiedliche Aufgaben. Das Empfangspersonal erstellt Karten für neue Mitarbeiter und Besucher, darf aber keinen Zugriff auf die Systemeinstellungen haben. Das Überwachungspersonal muss in der Lage sein, alle Übersichten und Alarme zu lesen/auszuführen. Schließlich müssen die Systemadministratoren in der Lage sein, auf alles zuzugreifen.
Hinweis: Bei der Installation des Pakets wurde immer ein Systembenutzer angelegt. Dies ist Root. Dieser Systembenutzer ist nicht sichtbar mit einer bestimmten Benutzergruppe verbunden, verfügt aber über alle Rechte im gesamten Paket. Es gibt bestimmte Änderungen und Ergänzungen, die Sie nur vornehmen können, wenn Sie als Systembenutzer Root eingeloggt sind. Es ist daher nicht möglich, diesen Systembenutzer zu entfernen oder zu ändern. Wir empfehlen Ihnen jedoch, das Standardpasswort für Root so bald wie möglich zu ändern.
Das neue Passwort muss mit mindestens 1 Großbuchstaben, 1 Ziffer und mindestens 6 Zeichen versehen sein.
Nur wenn Sie als ROOT eingeloggt sind, ist es möglich, Benutzergruppen zu erstellen und Rechte zu definieren. Als Root ist es auch möglich, vergessene Passwörter zu ändern.
...
Rights
Wenn Sie festgestellt haben, welche Benutzergruppen benötigt werden, prüfen Sie, welche Rechte jede Benutzergruppe braucht. Dies kann oberflächlich, aber auch im Detail festgelegt werden. Es ist in iProtect™ möglich, pro Tabelle und sogar pro Spalte (Datenbank) festzulegen, welche Aktion eine Benutzergruppe durchführen darf. Dies wird als vertikale Datenbanksicherheit bezeichnet.
Wenn Sie sich für die Berechtigungen pro Spalte und pro Tabelle entscheiden, beachten Sie bitte, dass Updates von iProtect™ neue Tabellen und Spalten enthalten können. Überprüfen Sie nach einer Aktualisierung immer die für die einzelnen Benutzergruppen gewährten Rechte. Es besteht eine reelle Chance, dass Änderungen erforderlich sind.
Sie können angeben, welche Aktion die Benutzergruppe durchführen darf. Dies betrifft die folgenden Aktionen:
Hinzufügen
Neue Datensätze erstellen
Löschen
Vorhandene Datensätze löschen
Lesen
Inhalte aus bestehenden Datensätzen anzeigen
Schreiben
Inhalt bestehender Datensätze ändern
Für jede Aktion können Sie festlegen, ob sie erlaubt oder nicht erlaubt ist. Dies schließt die Regel ein, dass Nicht Erlaubt über Erlaubt steht. Außerdem sollte für bestimmte Tabellen die Aktion Lesen immer erlaubt sein, da sonst die Benutzeroberfläche nicht zugänglich ist. Wir empfehlen daher, dass Sie zumindest das Lesen für alle Tabellen auf Erlaubt setzen. Bestimmte Tabellen/Spalten können Sie später immer noch vor dem "Sehen" abschirmen. Denn: Nicht Erlaubt geht über Erlaubt.
Benutzergruppen erstellen:
Sign in as user Root.
Go to the menu Installation | Authorization.
Click the User Group option, and in the left frame, press the right mouse key. Select “Add user group”
Fill in a description of the user group.
Save the record.
Defining rights per user group
...