Versions Compared

Old Version 2

changes.mady.by.user Sven Banning

Saved on

compared with

New Version Current

changes.mady.by.user Sven Banning

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

How To Article | HTA-20220531-LG-31

iProtect Access / Security | How To Articles | Authorizations So wird es gemacht (Anleitung) | IProtect Berechtigungen |

View file
nameHTA-20220531-LG-31.pdf

Table of Contents

Preparation is half the battle. This certainly applies when it comes to authorizing system users. You must first have a clear idea of ​​which user groups you need. Then you have to consider what rights the different user groups will get.

An example is discussed below, in which three different user groups are necessary. The rights of each of these user groups are discussed. Then these user groups with their rights are used as an example when entering the different windows.

The user groups

In the organization, different groups can be distinguished that have to work with the system. These include receptionists, the people of surveillance, the system administrators. Each of these groups has different tasks. The receptionists create cards for new employees and visitors, but are not allowed to have access to the system settings. The people of surveillance must be able to read/execute all overviews and alarms. After all, the system administrators must be able to go into everything.

Note: When installing the package, one system user has always been created. This is Root. This system user is not visibly connected to a particular user group, but does have all the rights throughout the package. There are certain changes and additions that you can only make when you're logged in as a system user Root. It is therefore not possible to remove or modify this system user. However, we recommend that you change the default password for Root as soon as possible.

The new password must be equipped with a minimum of 1 Capital, 1 digit and at least 6 characters long.

Only if you are logged in as ROOT is it possible to create user groups and define rights. As a Root it is also possible to change forgotten passwords.

Rights

When you've determined which user groups are needed, see what rights each user group gets. This can be determined superficially, but also in detail. It is possible in iProtect™ to determine per table and even per column (database) which action a user group can perform. This is called vertical database security.

If you choose to permissions per column and per table, please note that updates from iProtect™ may contain new tables and columns. After an update, always check for the rights granted per user group. There is a real chance that changes will be needed.

You can indicate which action the user group is allowed to perform. It concerns the following actions:

Insert
Create new records
Delete
Delete existing records
Read
View content from existing records
Write
Change content from existing records

For each action, you can determine whether it is Allowed or Not Allowed. This includes the rule that Not Allowed goes above Allowed. Furthermore, for certain tables, the Read action should always be allowed, otherwise the user interface will not be accessible. We therefore recommend that you at least put the Read for all tables on Allowed. You can always shield certain tables/columns from 'see' later. Because: Not Allowed goes above Allowed.

Creating user groups
Sign in as user Root.

  • Go to the menu Installation | Authorization.

  • Click the User Group option, and in the left frame, press the right mouse key. Select “Add user group”

  • Fill in a description of the user group.

  • Save the record.

  • Defining rights per user group

It is possible to determine the permitted actions per column and per table. However, if you have determined this in detail, there is a good chance that you will be allowed to re-enter it at the next update of the package. We always choose to keep the rights structure fairly superficial and to further restrict the rights through the menu structure. Of course, due to the links between tables, this is not always possible.

Because Not Allowed is always above Allowed, we recommend always putting all tables and columns on Allowed first. Then, you can start by table and column to determine what is not allowed.

Data column authorization

  • Press the plus for the user group you want

  • Go to Data column authorization

...

In this window, you determine which actions are or are not allowed per column and table. If you don't select a column but do select a table, the actions  apply to all columns in the table. If you don't select a table, no column, the actions apply to all tables throughout iProtect.

  • We recommend that you provide yes to the rights of the database. The different tables/columns can still be closed.

...

  • After saving the settings, return to the left frame.

  • In the left frame, click Data column authorization, and then press the right mouse key. Select “Add data colum authorization”

  • By selecting the Person table at Table and at Column HomeAddress, by placing the rights of reading and writing to No, one can avoid seeing or changing the data. In the same way, this can be done for the postcode, place of residence and the telephone number

...

  • The personal data is protected from the user group. The reader groups are put on reading only.

...

...

Now it is chosen to select only the Table and not the Column. This allows the entire field to be shielded.

...

Einführung:

Vorbereitung ist die halbe Miete. Das gilt auch für die Autorisierung von Systembenutzern. Sie müssen zunächst eine klare Vorstellung davon haben, welche Benutzergruppen Sie benötigen. Dann müssen Sie überlegen, welche Rechte die verschiedenen Benutzergruppen erhalten sollen.

Im Folgenden wird ein Beispiel erläutert, bei dem drei verschiedene Benutzergruppen erforderlich sind. Die Rechte jeder dieser Benutzergruppen werden besprochen. Dann werden diese Benutzergruppen mit ihren Rechten als Beispiel für die Eingabe der verschiedenen Fenster verwendet.

Die Benutzergruppen:

In der Organisation können verschiedene Gruppen unterschieden werden, die mit dem System arbeiten müssen. Dazu gehören das Empfangspersonal, die Mitarbeiter der Überwachung und die Systemadministratoren. Jede dieser Gruppen hat unterschiedliche Aufgaben. Das Empfangspersonal erstellt Karten für neue Mitarbeiter und Besucher, darf aber keinen Zugriff auf die Systemeinstellungen haben. Das Überwachungspersonal muss in der Lage sein, alle Übersichten und Alarme zu lesen/auszuführen. Schließlich müssen die Systemadministratoren in der Lage sein, auf alles zuzugreifen.

Hinweis: Bei der Installation des Pakets wurde immer ein Systembenutzer angelegt. Dies ist Root. Dieser Systembenutzer ist nicht sichtbar mit einer bestimmten Benutzergruppe verbunden, verfügt aber über alle Rechte im gesamten Paket. Es gibt bestimmte Änderungen und Ergänzungen, die Sie nur vornehmen können, wenn Sie als Systembenutzer Root eingeloggt sind. Es ist daher nicht möglich, diesen Systembenutzer zu entfernen oder zu ändern. Wir empfehlen Ihnen jedoch, das Standardpasswort für Root so bald wie möglich zu ändern.

Das neue Passwort muss mit mindestens 1 Großbuchstaben, 1 Ziffer und mindestens 6 Zeichen versehen sein.

Nur wenn Sie als ROOT eingeloggt sind, ist es möglich, Benutzergruppen zu erstellen und Rechte zu definieren. Als Root ist es auch möglich, vergessene Passwörter zu ändern.

...

Rechte:

Wenn Sie festgestellt haben, welche Benutzergruppen benötigt werden, prüfen Sie, welche Rechte jede Benutzergruppe braucht. Dies kann oberflächlich, aber auch im Detail festgelegt werden. Es ist in iProtect™ möglich, pro Tabelle und sogar pro Spalte (Datenbank) festzulegen, welche Aktion eine Benutzergruppe durchführen darf. Dies wird als vertikale Datenbanksicherheit bezeichnet.

Wenn Sie sich für die Berechtigungen pro Spalte und pro Tabelle entscheiden, beachten Sie bitte, dass Updates von iProtect™ neue Tabellen und Spalten enthalten können. Überprüfen Sie nach einer Aktualisierung immer die für die einzelnen Benutzergruppen gewährten Rechte. Es besteht eine reelle Chance, dass Änderungen erforderlich sind.

Sie können angeben, welche Aktion die Benutzergruppe durchführen darf. Dies betrifft die folgenden Aktionen:

Hinzufügen
Neue Datensätze erstellen
Löschen
Vorhandene Datensätze löschen
Lesen
Inhalte aus bestehenden Datensätzen anzeigen
Schreiben
Inhalt bestehender Datensätze ändern

Für jede Aktion können Sie festlegen, ob sie erlaubt oder nicht erlaubt ist. Dies schließt die Regel ein, dass Nicht Erlaubt über Erlaubt steht. Außerdem sollte für bestimmte Tabellen die Aktion Lesen immer erlaubt sein, da sonst die Benutzeroberfläche nicht zugänglich ist. Wir empfehlen daher, dass Sie zumindest das Lesen für alle Tabellen auf Erlaubt setzen. Bestimmte Tabellen/Spalten können Sie später immer noch vor dem "Sehen" abschirmen. Denn: Nicht Erlaubt geht über Erlaubt.

Benutzergruppen erstellen:


Melden Sie sich als Benutzer Root an.

  • Gehen Sie in das Menü “Installation | Befugnis | Benutzergruppe”.

  • Klicken Sie auf die Option Benutzergruppe, und drücken Sie im linken Rahmen die rechte Maustaste. Wählen Sie "Benutzergruppe hinzufügen".

  • Geben Sie eine Beschreibung für die Benutzergruppe ein.

  • Speichern Sie den Eintrag.

  • Rechte pro Benutzergruppe festlegen

Es ist möglich, die erlaubten Aktionen pro Spalte und pro Tabelle zu bestimmen. Wenn Sie diese jedoch im Detail festgelegt haben, ist die Wahrscheinlichkeit groß, dass Sie sie bei der nächsten Aktualisierung des Pakets erneut eingeben dürfen. Wir entscheiden uns immer dafür, die Rechtestruktur recht oberflächlich zu halten und die Rechte über die Menüstruktur weiter einzuschränken. Aufgrund der Verknüpfungen zwischen den Tabellen ist dies natürlich nicht immer möglich.

Da Nicht Erlaubt immer über Erlaubt steht, empfehlen wir, immer zuerst alle Tabellen und Spalten auf Erlaubt zu setzen. Dann können Sie nach Tabellen und Spalten beginnen, um zu bestimmen, was nicht erlaubt ist.

Datenspaltenbefugnis:

  • Drücken Sie das Pluszeichen für die gewünschte Benutzergruppe

  • Gehen Sie zu Datenspaltenbefugnis

...

In diesem Fenster legen Sie fest, welche Aktionen pro Spalte und Tabelle erlaubt bzw. nicht erlaubt sind. Wenn Sie keine Spalte, aber eine Tabelle auswählen, gelten die Aktionen für alle Spalten der Tabelle. Wenn Sie weder eine Tabelle noch eine Spalte auswählen, gelten die Aktionen für alle Tabellen in iProtect.

  • Wir empfehlen Ihnen, die Rechte für die Datenbank mit Ja zu bestätigen. Die verschiedenen Tabellen/Spalten können noch geschlossen werden.

...

  • Nachdem Sie die Einstellungen gespeichert haben, kehren Sie zum linken Rahmen zurück.

  • Klicken Sie im linken Rahmen auf Datenspaltenbefugnis und drücken Sie die rechte Maustaste. Wählen Sie "Datenspaltenbefugnis hinzufügen".

  • Indem man die Tabelle Person unter Tabelle und die Spalte Hausadresse auswählt und die Lese- und Schreibrechte auf Nein setzt, kann man verhindern, dass die Daten eingesehen oder verändert werden. Auf die gleiche Weise kann man dies für die Postleitzahl, den Wohnort und die Telefonnummer tun

...

  • Die persönlichen Daten sind vor der Benutzergruppe geschützt. Die Lesergruppen sind nur auf Lesen gestellt.

...

  • Jetzt wird nur noch die Tabelle und nicht mehr die Spalte ausgewählt. So kann das gesamte Feld abgeschirmt werden.

  • Das Ergebnis sieht dann wie folgt aus:

...