Berechtigungen
Bei schedulix und BICsuite handelt es sich um Systeme, mit denen man Programme auf anderen Rechnern starten kann. Daher ist es wichtig, dass die Zugriffsrechte detailliert festgelegt werden können. Die Rechteverwaltung geschieht ausschließlich über Gruppen. Einzelpersonen erlangen die Zugriffsrechte der Gruppen, in denen sie Mitglied sind.
Es wird zwischen Objekten mit Eigentümer (z.B. Job-Definitionen, Folder, etc) und Objekten ohne Eigentümer (z.B. Exit State Definitions, Ressource State Mapping, etc.) unterschieden. Eigentümer eines Objektes ist immer eine Gruppe. Die Gruppe, die Eigentümer eines Objektes ist, besitzt automatisch immer alle Rechte darauf.
Die Mitgliedschaft in der Gruppe ADMIN gibt Superuser-Privilegien. Mitglieder dieser Gruppe unterliegen keinerlei Beschränkungen bezüglich ihrer Berechtigungen.
Grundsätzlich wird zwischen Verwaltungs-Privilegien und Objekt-Privilegien entschieden:
Verwaltungs-Privilegien
Verwaltungs-Privilegien dienen der Entlastung des Administrators und ermöglichen es, die Pflege von Systemobjekten, wie etwa Exit State Definitions zu deligieren. Die Verwaltungs-Privilegien werden, wie andere Privilegien auch, an Gruppen vergeben und betreffen typischerweise Objekte, die über keinen Eigentümer verfügen. Objekte ohne Eigentümer können nur von Mitgliedern der Gruppe ADMIN oder mit dem jeweiligen Verwaltungs-Privileg bearbeitet werden. Sie finden sämtliche Informationen zu Verwaltungs-Privilegien im Kapitel Groups.
Objekt-Privilegien
Objekte-Privilegien gibt es nur in BICsuite PROFESSIONAL und ENTERPRISE. Eine Ausnahme sind Berechtigungen für Environments, die es auch in schedulix und BICsuite BASIC gibt.
Für Objekte mit Eigentümer gilt für schedulix und BICsuite BASIC, dass Mitglieder der Eigentümer-Gruppe alle Berechtigungen für das jeweilige Objekt besitzen. Alle anderen Nutzer, die nicht Mitglied der Eigentümer-Gruppe sind, haben keine Berechtigungen.
Im Output von 'SHOW' und 'LIST' API-Kommandos findet sich häufig ein Feld oder eine Spalte mit dem Namen PRIVS. Dies ist im Frontend zumeist nicht sichtbar, wird aber im Bereich Berechtigungen des Editors für Gruppen in der Spalte Privilegien angezeigt.
Dialog zur Bearbeitung von Objekt-Privilegien
In BICsuite PROFESSIONAL und ENTERPRISE können Mitglieder der Eigentümer-Gruppe eines Objektes und Mitglieder der Gruppe ADMIN im jeweiligen Definitions-Editor über die Schaltfläche Berechtigungen den Dialog zur Bearbeitung der Objekt-Privilegien für das jeweilige Objekt öffnen und in diesem anderen Gruppen Rechte an dem Objekt einräumen.
Eine Sonderstellung nehmen dabei Objekte vom Typ ENVIRONMENT ein. Im Editor für Environments steht Mitgliedern der Gruppe ADMIN auch in schedulix und BICsuite BASIC der Dialog zur Bearbeitung von Objekt-Privilegien zur Verfügung, um unterschiedlichen Arbeitsgruppen Nutzungsrechte zuzuordnen.
Im Beispiel wurde für den Job "START" im Editor für Batches und Jobs die Schaltfläche Berechtigungen benutzt und damit der Dialog zur Rechtevergabe geöffnet. Weil es sich bei dem Objekt-Typ um einen Typ mit Hierarchie handelt, können Rechte aus übergeordneten Objekten (z.B. Folder) selektiv geerbt werden. Vertiefende Informationen zur Vererbung von Berechtigungen finden Sie weiter unten in diesem Kapitel. Die geerbten Berechtigungen erscheinen in der ersten Zeile der Tabelle, die mit "Inherit grant from Parent" beschriftet ist.
Um einer Gruppe Berechtigungen zuzuordnen, wird mit der Schaltfläche Anfügen eine neue Zeile erzeugt, in dieser die Gruppe ausgewählt und die entsprechenden Checkboxen für die jeweiligen Berechtigungen gesetzt.
Werden Berechtigungen von übergeordneten Objekten geerbt, so wird für jedes Objekt, von dem eine Berechtigung geerbt wird, in der Tabelle eine nicht editierbare Zeile mit den entsprechenden Rechten und deren Herkunft angezeigt. Zusätzlich wird eine editierbare Zeile angezeigt, in der die geerbten und impliziten Berechtigungen als grau hinterlegte Checkbox angezeigt wird. Diese können hier auch explizit gesetzt werden, damit die Berechtigung erhalten bleibt, wenn sie auf übergeordneter Ebene oder implizit entzogen wird.
Die Spalten der Tabelle haben folgende Bedeutung:
Gruppe
Hier erscheint der Namen der Gruppe, der Berechtigungen zugeordnet wurden. Bei hierarchisch geordneten Objekttypen steht über der ersten Gruppe die Zeile Inherit grant from Parent und darunter eine gegraute Zeile, in der die explizit für diese Gruppe geerbten Berechtigungen stehen. In der Zeile darunter sind diese Rechte gesondert markiert und sind durch die Vererbung vergeben. In den Spalten rechts neben dem Gruppennamen können Sie dieser Gruppe weitere Berechtigungen zuordnen.
Berechtigungen
Je nach Objekt-Typ stehen unterschiedliche Berechtigungen zur Verfügung. Bitte entnehmen Sie die Beschreibung der Bearbeitungs-Privilegien und die Zuordnung der Berechtigungen zu den unterschiedlichen Objekt-Typen den Tabellen weiter unten in diesem Kapitel.
Herkunft
Diese Spalte gibt es nur bei Objekten mit Hierarchien und der damit möglichen Vererbung von Rechten. Es erscheint der Name des Objektes, von dem Rechte geerbt wurden.
Eigentümer
Diese Spalte ist in allen Objekt-Typen außer bei Environments (die keinen Eigentümer haben) vorhanden. Hier finden Sie den Namen der Gruppe, die Eigentümerin des Objektes ist.
Nachdem Sie die Zuordnung der Berechtigungen für dieses Objekt abgeschlossen haben, können Sie die Änderungen mit der Schaltfläche Speichern übernehmen oder die Bearbeitung Abbrechen.
Um eine Zeile zu entfernen, müssen Sie der jeweiligen Gruppe alle Rechte entziehen und speichern.
Bearbeitungs-Privilegien
Wir unterscheiden zwischen Bearbeitungs-Privilegien und Betriebs-Privilegien. Bearbeitungs-Privilegien sind Berechtigungen zur Bearbeitung, bzw. Nutzung von Objekt-Definitionen, während die Betriebs-Privilegien Aktionen an den Objekt-Instanzen erlauben.
Die Zugriffsrechte haben folgende Bedeutung:
| Berechtigung | Abkürzung | Rechtebezeichnung | Beschreibung |
|---|---|---|---|
| Ansicht | V | VIEW | Mit dieser Berechtigung ist die Definition des Objektes sichtbar. |
| Bearbeiten | E | EDIT | Es wird erlaubt, das Objekt zu ändern. |
| Löschen | D | DROP | Erlaubnis, das Objekt zu löschen. |
| Inhalt erzeugen | C | CREATE | Diese Berechtigung gibt es für hierarchische Objekte. Sie erlaubt, unter diesem Objekt neue Objekte anzulegen. |
| Ausführen | X | EXECUTE | Die Berechtigung, ein Ablaufobjekt auszuführen. |
| Ressource | R | RESOURCE | Erlaubt die Benutzung einer Ressource. |
| Verwendung | U | USE | Bezieht sich nur auf Environments. Erlaubt, das betreffende Environment zu verwenden. |
| Monitor | M | MONITOR | Erlaubt das Monitoring von Instanzen von Ausführungsobjekten wie Jobs und Batches. Das Monitorrecht auf einen Ablauf wird immer über das Toplevel-Objekt des Ablaufs (Master) definiert. |
| Betrieb | O | OPERATE | Erlaubt das Operating (Erneut ausführen, Abbrechen, Anhalten, etc.) von Instanzen von Ausführungsobjekten wie Jobs und Batches. Betriebs-Privilegien auf einen Ablauf werden immer über das Toplevel-Objekt des Ablaufs (Master) definiert. Das allgemeine Betriebs-Privileg (OPERATE) ist eine übergreifende Berechtigung für alle Betriebs-Operationen an Instanzen von Ablaufobjekten. Berechtigungen für einzelne Operator-Aktionen können auch detailliert vergeben (Siehe unten "Betriebs-Privilegien"). |
Betriebs-Privilegien
Betriebs-Privilegien werden mit Buchstaben abgekürzt, die teilweise identisch sind mit anderen Nicht-Betriebs-Privilegien. Um diese unterscheiden zu können, werden Betriebs-Privilegien in runden Klammern hinter dem Buchstaben O, dem allgemeinen Betriebs-Privileg (OPERATE) angegeben. Fehlt diese Klammer hinter dem O, stehen die Betriebs-Privilegen uneingeschränkt zur Verfügung.
Zum Beispiel bedeutet die Zeichenfolge 'VEO(RC)', dass das Objekt von dieser Gruppe über die eingeschränkten Operator-Privilegien "Erneut ausführen" (R) und Abbrechen (C) verfügt.
| Betriebs-Privileg | Abkürzung | Rechtebezeichnung | Beschreibung |
|---|---|---|---|
| Erneut ausführen | R | RERUN | Das Objekt erneut ausführen |
| Anhalten | U | SUSPEND | Erlaubt das Anhalten und Fortsetzen von Abläufen, bzw. Abaufobjekten. |
| Priorität | P | PRIORITY | Erlaubt, die Prioriät eines Ablaufobjektes oder seiner Kinder (Nice Wert) zu ändern. |
| Abbrechen | C | CANCEL | Die Verarbeitung des Ablaufobjekts darf abgebrochen werden. |
| Beenden | K | KILL | Die Ausführung des Ablaufobjekts darf beendet werden. |
| Aktivieren | E | ENABLE | Erlaubt das Aktivieren, bzw. Deaktivieren eines Ablaufobjektes. |
| Warnung löschen | W | CLEAR_WARNING | Steht nur in den Editionen PROFESSIONAL und ENTERPRISE zur Verfügung. Falls eine Warnung für den Job vorliegt, kann mit dieser Berechtigung diese Warnung zurück gesetzt werden, so dass das Icon für den Job in der Übersichtsliste nicht mehr angezeigt wird. |
| Status setzen | S | SET_STATE | Mit dieser Berechtigung kann der Exit-Status eines zur Ausführung gebrachten Ablaufobjektes manuell geändert werden. |
| Ignoriere Abhängigkeit | D | IGN_DEPENDENCY | Berechtigt dazu, Abhängigkeiten zu ignorieren. |
| Ressourcenanforderung ignorieren | I | IGN_RESOURCE | Berechtigt dazu, Anforderungen von zur Ausführung benötigte Ressourcen zu ignorieren. |
| Parameter bearbeiten | M | MODIFY_PARAMETER | Die Parameter des Ablaufobjektes dürfen geändert werden. |
| Klonen | L | CLONE | Ermöglicht das Klonen einer Instanz eines Ablaufobjektes, um ein Ablaufobjekt, das bereits einen finalen Status angenommen hat, zu duplizieren und damit erneut zur Ausführung zu bringen. |
| Bestätigen | A | APPROVE | Berechtigt zur Genehmigung von Operator-Aktionen, für welche in der Konfiguration des jeweiligen Ablaufobjektes ein Vier-Augen-Prinzip gefordert wird. Nähere Informationen hierzu finden Sie im Kapitel Approvals. |
Objekt-Typen
Die folgende Tabelle zeigt die Objekt-Typen mit ihren jeweils verfügbaren Objekt-Privilegien
| Objekt-Typ | Privilegien |
|---|---|
| FOLDER | V E D C X - - M O ( C R U P C K E W S D I M L R A ) |
| BATCH, JOB | V E D - X - - M O ( C R U P C K E W S D I M L R A ) |
| CATEGORY | V E D C - R - - - - - - - - - - - - - - - - - - |
| NAMED RESOURCE | V E - C - R - - - - - - - - - - - - - - - - - - |
| ENVIRONMENT | V - - - - - U - - - - - - - - - - - - - - - - - |
| SCOPE | V E D C X R - - - - - - - - - - - - - - - - - - |
| SERVER | V E D - X R - - - - - - - - - - - - - - - - - - |
| GROUP | V - - - - - - M O ( C R U P C K E W S D I M L R A ) |
Inherit Grants from Parent
In BICsuite können Rechte in Objekthierarchien vererbt werden. Die Dialogbox Bearbeiten für hierarchische Objekttypen enthält für alle ”Nicht Wurzelobjekte” eine Zeile "Inherit Grants from Parent", in der definiert werden kann, welche Rechte für dieses Objekt vom übergeordneten Objekt geerbt werden sollen. Diese Zeile ist in jedem Editor für Objekt-Privilegien vorhanden, die über einen hierarchischen Navigator aufgerufen werden.
Bei der Neuanlage von Objekten werden per Default alle Rechte als geerbte Berechtigungen, also als von der höheren Hierarchie-Stufe geerbt gesetzt. Damit gelten, falls dies in der Dialogbox nicht verändert wird, die Rechte von Gruppen auf das übergeordnete Objekt auch für das untergeordnete Objekt.
Aus diesem Grunde ist es möglich, ein Ausführungs-Recht auf ein Ordner-Objekt zu vergeben. Das Ausführungs-Recht ist für Objekte vom Typ Ordner zwar bedeutungslos, durch die Möglichkeit der Vererbung von Rechten kann aber ein dem Ordner untergeordnetes Job- oder Batch-Objekt, dieses Ausführungs-Recht erben.
Der Dialog Berechtigungen zeigt (mindestens) eine Zeile für jede Gruppe, welche direkte oder geerbte Rechte auf ein Objekt hat, ausgenommen der Gruppe, welche Eigentümer des Objektes ist. Direkte Rechte werden durch ein schwarzes Kreuz, geerbte Rechte durch ein graues Feld in der Checkbox der Zeile der Gruppe angezeigt.
Werden Rechte geerbt, so zeigt der Berechtigungen-Dialog für jede Gruppe in übergeordneten Zeilen an, welche Rechte von welchen übergeordneten Objekten geerbt wurden (Origin) und wem diese gehören (Origin Owner). Die Checkboxen dieser Zeilen können nicht verändert werden und die Hintergrundfarbe wird grau dargestellt. In diesen übergeordneten Zeilen wird nicht angezeigt, welche Rechte die Gruppe auf dieses Objekt hat, sondern welche Rechte das Objekt, für das der Berechtigungen-Dialog geöffnet wurde, vom übergeordneten Objekt erbt.
Implizite Berechtigungen
Wird irgendein Bearbeitungs-Privileg vergeben, so ist die Berechtigung für die Ansicht (VIEW) implizit enthalten. Das gleiche gilt für das MONITOR-Privileg, welches implizit in allen Betriebs-Privilegien (OPERATE) mit enthalten ist.