Funktionsweise von Rechten
Mit Rechten wird definiert, was ein Benutzer in FlowForce Server tun darf (z.B. sein eigenes Passwort definieren, Benutzer und Rollen lesen, jeden beliebigen Auftrag beenden usw.). Rechte unterscheiden sich insofern von Berechtigungen, als Berechtigungen den Benutzerzugriff auf Container regeln, während Rechte für die gesamte FlowForce Server Anwendung gelten. Zur Unterscheidung zwischen Rechten und Berechtigungen merken Sie sich einfach: Rechte sind global, Berechtigungen gelten lokal.
Wie Berechtigungen können Rechte sowohl einzelnen Benutzern als auch Rollen zugewiesen werden. Wenn sich ein Benutzer daher bei FlowForce Server anmeldet, gelten für ihn die folgenden Rechte:
a) die Rechte, die ihm direkt zugewiesen wurden
b) die Rechte, die Rollen zugewiesen wurden, denen der Benutzer angehört.
In FlowForce Server stehen die folgenden Rechte zur Verfügung.
Ausführungswarteschlangen definieren | Dadurch erhalten Sie das Recht, Auftragsausführungswarteschlangen zu erstellen und zu verwalten. Dies betrifft sowohl lokale Warteschlangen für den Auftrag als auch externe Warteschlangen, die außerhalb des Auftrags definiert wurden. Externe Warteschlangen werden im Zusammenhang mit einer verteilten Ausführung verwendet, siehe Verteilte Ausführung. |
Cluster verwalten | Dadurch erhalten Sie das Recht, Aktionen durchzuführen, mit denen man mehrere FlowForce Server-Instanzen als Cluster verwalten kann. So benötigt ein Benutzer dieses Recht etwa, um die aktuelle Dienstinstanz von FlowForce Server in einen "Worker" umzuwandeln, siehe Verteilte Ausführung und Lastenausgleich. |
Globale Einstellungen verwalten | Dadurch haben Sie das Recht, die globalen FlowForce Server-Einstellungen auf der Seite "Einstellungen" - nämlich die Zeitzone und die Mailserver-Einstellungen zu ändern. Dieses Verwaltungsrecht sollte nur FlowForce Server-Administratoren eingeräumt werden. |
Benutzer, Rollen und Rechte verwalten | Dadurch können Sie die folgenden Daten hinzufügen, bearbeiten und löschen:
•Benutzer •Rollen •Rechte •Passwörter
Dies ist ein Verwaltungsrecht und sollte nur FlowForce Server Administratoren zugewiesen werden. Standardmäßig hat nur der Benutzer |
Sicherheitseinschränkungen außer Kraft setzen | Jeder Benutzer, der dieses Recht hat, kann Berechtigungen in der Container-Hierarchie ändern, ohne dafür Schreibrechte zu benötigen. Auf diese Art erhalten FlowForce Server Administratoren wieder Zugriff auf Ressourcen, auf die sonst kein Zugriff mehr bestünde.
Dies ist ein Verwaltungsrecht und sollte nur FlowForce Server Administratoren zugewiesen werden. Standardmäßig hat nur der Benutzer |
Benutzer und Rollen lesen | Standardmäßig sieht ein Benutzer nur sein eigenes Benutzerkonto und die Rollen, deren Mitglied er ist. Indem man einem Benutzer diese Rechte einräumt, erhält er Lesezugriff auf alle definierten Benutzer und Rollen.
Standardmäßig hat nur der Benutzer |
Sensible Daten abrufen | Damit erhalten Sie das Recht, die folgenden Kategorien von sensiblen Daten als Klartext abzurufen und anzuzeigen:
•Passwörter •Private Keys von Zertifikaten •OAuth 2.0 Access Token, Refresh Token und Client Secrets.
Standardmäßig hat nur der Benutzer |
Eigenes Passwort definieren | Jeder Benutzer mit diesem Recht kann sein eigenes Passwort ändern. Für Benutzer, die dieses Recht nicht haben, muss das Passwort vom FlowForce Server Administrator eingerichtet werden.
Standardmäßig hat die Rolle |
Jeden Auftrag abbrechen | Mit diesem Recht kann ein Benutzer jeden beliebigen FlowForce Server-Auftrag, der gerade ausgeführt wird, abbrechen, unabhängig davon, wer den Auftrag erstellt hat. |
Ungefilterte Log-Datei anzeigen | Standardmäßig sehen Benutzer nur Log-Einträge, die im Zusammenhang mit Konfigurationen stehen, auf die sie Lesezugriff haben. Indem man einem Benutzer dieses Recht einräumt, kann er alle Log-Einträge, auch diejenigen, die nicht mit einer bestimmten Konfiguration verknüpft sind, lesen.
Standardmäßig hat nur der Benutzer |
Vererben
Rechte können entweder einem Benutzer (z.B. an 
Alethia Alonso) direkt oder einer bestimmten Rolle (z.B. an 
Marketing Manager) zugewiesen werden. Es empfiehlt sich die zweite Methode zu wählen, da Sie Rechte dadurch langfristig besser verwalten können. So kann ein Benutzer z.B. die Abteilung wechseln oder es werden neue Mitarbeiter eingestellt, Mitarbeiter gekündigt. Dadurch kann das Verwalten von Rechten für Einzelbenutzer kontraproduktiv werden. Indem Sie Rechte Rollen anstatt Benutzer zuweisen, vereinfachen Sie die Verwaltung und können sich auf die Bedürfnisse der einzelnen Gruppen oder Abteilungen anstatt auf die von Einzelbenutzern konzentrieren.
Sie können die Hierarchie Ihres Unternehmens in FlowForce Server nachbilden, indem Sie Rollen anderen Rollen zuweisen. So können Sie z.B. eine Rolle namens Angestellte erstellen und eine Rolle namens Marketing-Abteilung. Anschließend weisen Sie die Rolle Marketing-Abteilung der Rolle Angestellte als Mitglied zu. Dadurch werden alle Rechte und Berechtigungen, die der Rolle Angestellte eingeräumt wurden, von Benutzern, die Mitglieder der Rolle Marketing-Abteilung sind, geerbt.
Außerdem können Sie die Rolle Marketing Manager der Rolle Marketing-Abteilung als Mitglied zuweisen. In diesem Fall erbt die Rolle Marketing Manager sowohl Rechte von der Rolle Marketing-Abteilung als auch von der Rolle Angestellte. Wenn das Unternehmen einen neuen Marketing Manager einstellt, erbt Alethia Alonso bei Zuweisung der Rolle Marketing Manager alle anderen Rechte der übergeordneten Rollen.
Wie Sie im Diagramm sehen, erbt Alethia Alonso die Rechte und Berechtigungen von der Rolle Marketing Manager. Die Rolle wiederum erbt die Rechte von der Rolle Marketing-Abteilung usw.
In einem neu installierten FlowForce Server System sieht das Diagramm der Rechte von Benutzern unter Berücksichtigung der Standardbenutzer und -rollen folgendermaßen aus.
Wie Sie im Diagramm sehen, erbt jeder Benutzer im System die in der Rolle all definierten Rechte. Jedoch erben nur vorhandene Benutzer (in diesem Fall root) die in der Rolle authenticated definierten Rechte. Wenn Sie neue Benutzer zu FlowForce Server hinzufügen, werden diese automatisch den Rollen all und authenticated zugewiesen (und erhalten dadurch die in diesen Rollen definierten Rechte). Dies sieht folgendermaßen aus.
