Die Benutzer- und Rechteverwaltung von intramo - Regelbasierte Rechtevergabe über Gruppen und Rollen
Die granulare Steuerung der Rechte der Benutzer sowie die Möglichkeit der Anbindung externer Verzeichnisdienste (Directories) ist ein wesentliches Kriterium bei der Bewertung von Portalsoftware. Mit der zentralen Benutzer- und Rechteverwaltung von intramo lassen sich die Rechteprofile der Nutzer über Rollen- und Gruppenzugehörigkeiten extrem fein justieren. Die regelbasierte Rechtevergabe und das Vererbungskonzept reduzieren den Administrationsaufwand wesentlich.
Alle Rechte werden über den Informationsbaum des Portals vererbt und können sowohl auf Ebene der Navigationsknoten, als auch auf Ebene der Einzeldokumente/Anwendungen modifiziert werden. Zur Vergabe der Rechte stehen in intramo drei Arten von Gruppen zur Verfügung. Dabei können jeweils beliebig viele solcher Gruppen gebildet und Mitarbeiter zugeordnet werden.
- Attribut-Gruppen werden dadurch definiert, dass Mitarbeiter für ein bestimmtes Attribut (Feld) einen bestimmten Wert haben. So lässt sich zum Beispiel einfach eine Gruppe erzeugen, der automatisch alle Mitarbeiter angehören, die im Attribut 'Funktion' den Wert 'Sachbearbeiter' zugeteilt haben.
- Zuordnungsgruppen werden dadurch definiert, dass Mitarbeiter einem Strukturobjekt (Organisationseinheit, Dienstort, Aufgabe/Produkt, Prozess) mit einer bestimmten Rolle zugeordnet werden. So lässt sich zum Beispiel konfigurieren, dass für jede Organisationseinheit eine Gruppe existiert, der automatisch alle ihre eigenen Mitarbeiter und die von nachgeordneten Organisationseinheiten angehören. Auch eine dynamische Gruppe aller Ansprechpartner von Aufgaben lässt sich so einfach einrichten. Jede Zuordnungsgruppe muss nur einmal definiert werden und steht dann für alle Strukturobjekte dynamisch zur Verfügung. Wenn ein Mitarbeiter seine Zuordnung zu einem Strukturobjekt verliert, fällt er auch automatisch aus den entsprechenden Zuordnungsgruppen heraus. Die Zuordnungsgruppen sind auch Basis für die regelbasierte Rechtevergabe.
- Explizite Gruppen werden im Portal angelegt oder aus dem LDAP-kompatbilen Verzeichnisserver gemappt. Ihre Mitglieder werden im Portal oder Verzeichnisdienst manuell zugeordnet. So lassen sich auch für einzelne Mitarbeiter oder nur temporär bestehende Projektgruppen Rechte vergeben und z.B. spezielle geschützte Bereiche anlegen.
Einfaches Erstellen von neuen Gruppen in der Benutzer- und Rechteverwaltung von intramo - hier die Eingabemaske für das Anlegen einer expliziten Gruppe
Nutzung der Benutzerdaten aus bestehenden Verzeichnissen
Als Mitarbeiterverzeichnis lässt sich jeder LDAP-kompatible Verzeichnisdienst integrieren, so dass in der Regel bereits im Unternehmen bestehende Systeme genutzt werden können. Fertige Schnittstellen zur Anbindung externer Directories bestehen bislang für Open LDAP, Microsoft Active Directory (ADS) sowie Novell eDirectory. In der Portaldatenbank können Zusatzinformationen zu den einzelnen Mitarbeitern abgespeichert werden.
Single Sign-On
Durch die Integrierte Benutzer- und Rechteverwaltung für die Anwender des Portals und die Autoren des Content Management Systems ist ein Single Sign On für alle intramo-Anwendungen und das CMS standardmäßig vorhanden. Ein Single Sign On zwischen Windows-Netzwerk und dem Portal ist bei Nutzung von Microsoft ADS über das Apache Modul mod_auth_kerberos möglich. Weitere, in das Portal eingebundene Webanwendungen werden über die SSO-Schnittstelle des jeweiligen Application-Servers verfügbar gemacht.
Für ein Web Single Sign-On in sehr komplexen und heterogenen Architekturen und Systemen mit höchsten Sicherheitsanforderungen, kann über SEITENBAU die Security-Lösung „Cams“ des SEITENBAU-Partners Cafesoft bezogen werden.