Zugriffsverwaltung

Die Zugriffsverwaltung bietet die Möglichkeit, die Zuständigkeit von Benutzern und Agenten zu verwalten und flexibel sowie vertraulich zu organisieren.

Für die Aktionen, die in den Anwendungen in Serviceware Processes durchgeführt werden können, lassen sich die Berechtigungen getrennt einstellen. Die Verwaltung der Sicherheitsrichtlinien erfolgt in Gruppen. Die Verwaltung der fachlichen Zuständigkeiten erfolgt unter anderem über Rollen.

Die Rollen und Gruppen, denen die einzelnen Agenten zugeordnet werden, sind dadurch beliebig kombinierbar. Unter Verwendung dieser Kombinationsmöglichkeit können Sie komplexe Strukturen mit geringem Administrationsaufwand abbilden.

Darüber hinaus können Berechtigungen auf Vorgänge durch Zugriffspfade über Gruppen und Assoziationen gesteuert werden.

Für einzelne Bereiche Ihrer Organisation können Administratoren Rechte zur Administration der Benutzer dieser Organisationen an einzelnen Agenten als Bereichsadministratoren delegieren.

Die Zugriffsverwaltung in Processes können Sie als Administrator oder als Bereichsadministrator unter Administration > Zugriffsverwaltung aufrufen.

Die Zugriffsverwaltung von Serviceware Processes erfordert Administrator-Rechte. Voraussetzung ist die Sicherheitsrichtlinie Administration.

Die Anforderungen für den Einsatz von Serviceware Processes variieren je nach Einsatzbereich. Es können beliebige Firmen- und Support-Strukturen abgebildet werden.

  • Rollen werden in der Zugriffsverwaltung im Processes-Webclient erstellt.
  • Gruppen werden über die Zugriffsverwaltung im Processes-Webclient erstellt.
  • Die Zuweisung der Sicherheitsrichtlinien an Gruppen erfolgt ebenfalls in der Zugriffsverwaltung.
  • Firmen- und Support-Strukturen werden im Service Desk in der Organisationsstruktur verwaltet.
  • Assoziationensdefinitionen zwischen einzelnen Objekten werden im Designer definiert und ermöglichen eine spätere Nutzung in den Berechtigungspfaden.
Tipp: Je nach Pfadkonfiguration oder nach Änderung der Pfadkonfiguration in der Benutzerverwaltung kann es notwendig sein, nach dem Update auf Serviceware Processes Processes 7.3 die DTSX / SQL-Importe anzupassen. Dazu stehen Ihnen Scripte zur Verfügung.

Rollen und Gruppen

Durch die Zuordnung von Rollen und Gruppen werden dem Agenten Zuständigkeiten und Berechtigungen zugewiesen. Die einzelnen Rollen bilden dabei die Grundlage für den Zuständigkeitsbereich des Agenten. Die jeweiligen Gruppen ordnen dem Agenten Berechtigungen zu. So kann er auf unterschiedliche Objekte lesend oder ändernd zugreifen.

Über Rollen und Gruppen hinaus, können Agenten Organisationen – beispielsweise Teams – zugeordnet werden. Diese Organisationen sind unabhängig von den Rollen und Gruppen der Zugriffsverwaltung. Rollen und Gruppen können über die Organisationsstruktur an Benutzer vererbt werden.

Personen - Benutzer - Agenten - Konten

Die Zugriffsverwaltung in Serviceware Processes kennt Personen, Benutzer und Benutzer, die zugleich Agenten sind.

  1. Personen sind alle Einträge in der Benutzerliste ohne Berechtigungen. Für Personen können Kontaktdaten angelegt werden, es können jedoch keine Konten, Rollen und Gruppen zugewiesen oder Sitzungen beendet werden. Personen können beispielsweise E-Mail-Kontakte oder Lieferanten sein. Personen können über die Schaltfläche In Benutzer umwandeln zu Benutzern umgewandelt werden. Personen können auf unterschiedlichem Wege angelegt werden: Per Datenimport, in ClassicDesk oder über die Organisationsstruktur im Processes-Webclient oder ClassicDesk.
  2. Benutzer verwenden die Processes-Widgets im Serviceware Portal, um beispielsweise Prozesse zu starten. Diese werden von Agenten in Serviceware Processes bearbeitet. Agenten sind immer auch Benutzer.

    Aktive Benutzer sind solche Benutzer, die Zugriff auf die Funktionen von Processes haben. Aktive Benutzer werden durch einen Punkt im Profilbild gekennzeichnet. Benutzer können durch den Administrator über eine Auswahlbox aktiviert oder deaktiviert werden.
  3. Für jeden Benutzer muss ein eigenes Konto angelegt werden. Benutzerkonten ermöglichen Agenten und Benutzern den Zugriff auf ClassicDesk, den Webclient von Processes sowie den Designer. Der Zugriff auf die Clients ist abhängig
    • vom Status des Benutzers (aktiv),
    • dem Status als Agent für alle Aktionen, die nicht aus dem Portal ausgeführt werden
    • sowie der Zuweisung zu Gruppen (und damit Sicherheitsrichtlinien) mit der Berechtigung für die jeweiligen Clients.
  4. Agenten sind Benutzer, die mit Serviceware Processes Vorgänge bearbeiten. Nur Agenten können sich in Serviceware Processes anmelden.
  5. Konten werden in der Regel im Serviceware Authenticator entweder manuell oder automatisiert über einen mit Authenticator verbundenen Identitätsanbieter erstellt. Konten müssen in jedem Fall SSO-Konten sein. Der Benutzer identifiziert sich beim Webclient von Processes, ClassicDesk oder Serviceware Portal mit seinem Konto, das über Serviceware Authenticator verbunden ist. Dazu müssen Sie das SSO-Konto des jeweiligen Benutzers vorgeben.
    Tipp: Lesen Sie dazu die entsprechenden Abschnitte Authenticator-Konfiguration für Serviceware Processes in der Dokumentation zu Serviceware Authenticator.

Berechtigungsmodell für Vorgänge

Die Berechtigungen auf Vorgänge in Serviceware Processes werden über Berechtigungspfade abgebildet. Über die Zugriffsverwaltung kann der Administrator für jeden Vorgangstyp entscheiden, welcher Berechtigungspfad Anwendung finden soll – welche Benutzer und Agenten bestimmte Vorgänge bearbeiten dürfen. Die Zuweisung von Berechtigungen über Pfade erlaubt eine höhere Vertraulichkeit im Bearbeitungsverlauf. Die Pfade können so definiert werden, dass die Inhalte jeden Bearbeitungsschrittes nur von den zuständigen Agenten und Benutzern gesehen und bearbeitet werden können.

Neben der Zuweisung von Berechtigungspfaden können weiterhin Vorgangsdefinitionen über Gruppen berechtigt werden. Hierzu wird eine Liste von Gruppen bereitgestellt. Es wird jedoch empfohlen, neue Vorgangszuweisungen auf der Basis von Pfaden zu erstellen. Die Zuweisung von Vorgängen über Gruppen kann es Administratoren ermöglichen, auf Vorgänge zuzugreifen, auch wenn sie nicht Teil der konfigurierten Berechtigungspfade für den Vorgang sind.

Das dynamische Berechtigungsmodell ist flexibler als das alte an Rollen und Gruppen orientierte Modell. Es bietet nur berechtigten Benutzern und Agenten Zugriff auf einen Vorgang. Der Zugriff auf Vorgänge kann wie bisher über Gruppen, aber auch über Assoziationspfade definiert werden. Die Assoziationspfade erlauben es – anders als bei gruppenbasierten Zuweisungen – im Verlauf eines Vorgangs die Berechtigungen gruppenunabhängig zu setzen oder zu entziehen sowie diese im Verlauf des Vorgangs zu ändern. Bei entsprechender Konfiguration kann jeder Prozessschritt andere Berechtigungen haben.

Neuerungen seit Serviceware Processes 7.0

Folgende Neuerungen ergeben sich aus der Änderung des Berechtigungsmodells auf Vorgänge.
  • Die Sicherheitsrichtlinie Globale Vorgänge wurde entfernt. Die Berechtigung für die Definition von Vorgängen wird nicht mehr über die Sicherheitsrichtlinie Globale Vorgänge innerhalb einer Gruppe sondern direkt über die Gruppenliste innerhalb der Vorgangsdefinitionen vergeben.

  • Rechte von Gruppen auf Instanzen von Vorgängen können im ClassicDesk nicht mehr vergeben werden.
  • Die Rechte, die den Gruppen innerhalb des Berechtigungsmodells zugewiesen werden können, wurden in Serviceware Processes Processes 7.3 eingeschränkt.
  • Tipp: Um Vorgänge, die auf nicht mehr unterstützte Routing-Strategien basieren, in Ihrer Datenbank aufzuspüren, steht ihnen ein Skript zur Verfügung, das vor der Migration Ihrer Datenbank ausgeführt werden muss.
  • Mit dem neuen Berechtigungssystem wurden die Vergabe von Rechten grundlegend überarbeitet und vereinfacht.
    Tipp: Für Vorgangsdefinitionen hat sich die Rechtevergabe grundlegend geändert.
    • Vorgangsdefinitionen haben jetzt im Designer als Definitionsrecht nur noch die Suche. Die Berechtigungen Lesen, Historie, Ändern, Assoziation erstellen / löschen, Besitz übernehmen etc. können nicht mehr über den Designer zugewiesen werden.

      Die Vergabe der Rechten auf Vorgangsdefinition erfolgt – abgesehen von der Suche – nun in der Zugriffsverwaltung über Gruppenzuweisung im Berechtigungsmodell. Dort wiederum gibt es nur noch zwei Berechtigungen:

    • Lesen = Sehen, Suchen, Finden, Historie,

    • Ändern = Lesen + Ändern, Assoziationen erstellen/löschen.

    • Für Vorgänge ist wurde die Berechtigung Neu entfernt. Stattdessen können Sie die Berechtigung Neu auf Workflow-Definitionen setzen.

    • Die Berechtigung Löschen ist für Vorgänge ebenfalls entfernt worden. Diese administrative Aufgabe kann nicht durchgeführt werden, ohne die entsprechende Workflow-Instanz zu löschen. Verwenden Sie statt dessen die Funktion Löschen im Fenster Zeigt (nicht) laufende Instanzen im Designer.

    • Die Berechtigung Zuordnung erstellen/löschen wurde für Vorgänge entfernt. Die Aktion Hinzufügen für diese Instanz kann tatsächlich ausgeführt werden wenn...
      • der Benutzer auf der anderen Objektdefinition die Berechtigung Suchen hat
      • UND der Benutzer die Berechtigung Ändern für die aktuelle Vorgangsinstanz hat – beispielsweise über den Berechtigungspfad.