Table of Contents | ||
---|---|---|
|
1.
GeneralAllgemeines
Users in Workplace Management need to be given specific authorizations to access and use specific parts of Workplace Management. This ensures that a user can only see and edit objects or handle tasks for which they are deliberately authorized.
For example, end users can be authorized to create reservations only. Still, other users (considered ‘key users’) can also be authorized to create new buildings and areas to reserve.
Users are always authorized using ‘system groups’. A system group (which is also an object in WPM, just like the users) can give access to all elements within Workplace Management. For example:
Startboard and navigation menu options (e.g. create a new reservation, search assets, etc),
Objects
Object categories
Fields
Functions (no access, view or edit)
Tasks in a workflow (e.g. the task to handle a request).
Workplace Management comes with a predefined list of system groups. Examples of system groups are:
Create requests
View contacts
Edit Assets
Contract manager
The available system groups can be found via the administrator startboard. Each system group contains a description of the access this system group gives to a user.
A user can be assigned one or more system groups, either directly or through the use of user profiles. More information about user profiles, system groups, and related topics is provided below.
2. User profiles
Each user in Workplace Management needs a user profile to use the system. The user profile determines the navigation menu, the startboard, and some user interface settings and has a list of system groups that provide specific access to modules, functions, and overviews.
Info |
---|
N.B.: By adding the relevant system groups to a user profile, the other settings (such as the startboard, navigation menu, and user interface settings) on the user profile are automatically determined. |
2.2 Navigation menu and Startboard
As also seen in the screenshot above, the user profile determines the navigation menu and the startboard a user will see. For a general explanation of the navigation menu and startboard, see Navigation and startboard
Navigation menu
On a user profile, the 'Navigation menu' is either filled in with the default navigation menu (FMBNavigationMenu), or it is left empty. A user profile without a navigation menu occurs because end users often require a more portal-like look and feel without a navigation menu.
If the user profile gets the default navigation menu or no navigation menu is automatically determined by the system groups linked to the user profile. If a user profile only contains system groups related to end users (e.g. create reservation, create visitors, create requests), the user profiles navigation menu is left empty.
If any of the key user system groups is linked to the user profile, which does require a navigation menu, the default navigation menu is automatically linked to the user profile.
Which navigation menu options are actually visible to the user, depends on the system groups linked to the user (directly, via the default user profile or via additional user profiles).
Startboard
On a user profile, the 'Startboard' for every non-administrator profile is always set to the default Workplace Management startboard (WorkplaceManagementStartBoard). The administrator profile (the only profile available from the start) has its own startboard. Adding the administrator startboard options to the default user startboard as tabs would make that startboard very complex to navigate for new administrators. This is the main reason for having a separate startboard for administrators.
The buttons, overviews, and module-specific tabs a user sees on the startboard, depend on the system groups linked to the user (directly, via the default user profile or via additional user profiles), similar to the navigation menu options.If a user has access to multiple modules with corresponding startboards tabs, you can change the default startboard tab. You can find this option (only available to users with multiple Startboard tabs) in the user profile, and there will be a dropdown menu: different startboard tab.
*Custom navigation menus and startboards are possible. Still, it is strongly advised not to use them, as any new module or menu option will not be available in these custom navigation menus or startboards. Only in very specific custom situations can a complete custom navigation menu and/or startboard be the better option.
2.3 Assigning user profiles
There is a difference between setting a default user profile for a user and assigning additional user profiles to a user.
In the field 'Default user profile', one default profile must be set. This user profile is used to determine the startboard, navigation menu, and profile-related user interface settings for this user (next to obviously applying the authorizations provided by the linked system groups).
It is also possible to use the button 'Assign additional user profiles' on a user to assign additional user profiles. A user profile assigned to a user as an additional user profile is only used to determine the additional authorizations applicable to the user provided by the linked system groups. However, all other settings of this profile are ignored, such as the startboard, navigation menu, and user profile user interface settings.
Adding additional user profiles can be useful if users have combined responsibilities. For example, a user may have a default reservation coordinator profile to manage reservations and also have additional responsibilities to manage contracts and create invoices. Therefore, this second profile is assigned via the 'Assign additional profiles' option. However, most users will probably only need one profile, and therefore only the default user profile is relevant.
2.4. Creating and managing user profiles
Unlike system groups, user profiles must be created on the customer level.
N.b: Within Workplace Management, there does exists a single default user profile designed for administrators, granting access to all options within the system.
The need for creating user profiles on the customer level stems from the highly customer-specific nature of these user profiles. User profiles represent unique system group combinations tailored to individual customer requirements.
For instance, one customer may require user profiles for their service desk employees who handle requests, create visitors, and manage purchase orders. On the other hand, another customer using the request module may have a service desk profile without the ability to create purchase orders, reflecting their specific usage needs.
For more information about how to actually create and assign the user profiles, see the chapter belowBenutzer im Workplace Management müssen bestimmte Berechtigungen erhalten, um auf bestimmte Teile des Workplace Managements zuzugreifen und diese zu nutzen. Dadurch wird sichergestellt, dass ein Benutzer nur Objekte sehen und bearbeiten oder Aufgaben erledigen kann, für die er bewusst autorisiert ist.
Endbenutzer können zum Beispiel nur berechtigt sein, Reservierungen zu erstellen. Aber auch andere Benutzer (sogenannte "key users") können berechtigt sein, neue Gebäude und Bereiche für die Reservierung anzulegen.
Benutzer werden immer über "Systemgruppen" autorisiert. Eine Systemgruppe (die genau wie die Benutzer ein Objekt im WPM ist) kann Zugriff auf alle Elemente im Workplace Management geben. Zum Beispiel:
Startboard und Navigationsmenü-Optionen (z. B. eine neue Reservierung erstellen, Assets suchen usw.),
Objekte
Objekt-Kategorien
Felder
Funktionen (kein Zugriff, Ansicht oder Bearbeitung)
Aufgaben in einem Workflow (z. B. die Aufgabe, eine Anfrage zu bearbeiten).
Workplace Management wird mit einer vordefinierten Liste von Systemgruppen geliefert. Beispiele für Systemgruppen sind:
Anfragen erstellen
Kontakte ansehen
Assets bearbeiten
Vertragsmanager
Die verfügbaren Systemgruppen können über das Administrator-Startboard gefunden werden. Jede Systemgruppe enthält eine Beschreibung des Zugriffs, den diese Systemgruppe einem Benutzer gewährt.
Einem Benutzer können eine oder mehrere Systemgruppen zugewiesen werden, entweder direkt oder durch die Verwendung von Benutzerprofilen. Im Folgenden finden Sie weitere Informationen zu Benutzerprofilen, Systemgruppen und verwandten Themen.
2. Benutzerprofile
Jeder Benutzer im Workplace Management benötigt ein Benutzerprofil, um das System nutzen zu können. Das Benutzerprofil bestimmt das Navigationsmenü, das Startboard und einige Einstellungen der Benutzeroberfläche und verfügt über eine Liste von Systemgruppen, die einen spezifischen Zugriff auf Module, Funktionen und Übersichten ermöglichen.
Info |
---|
Hinweis: Durch das Hinzufügen der entsprechenden Systemgruppen zu einem Benutzerprofil werden die anderen Einstellungen (z. B. das Startboard, das Navigationsmenü und die Einstellungen der Benutzeroberfläche) des Benutzerprofils automatisch festgelegt. |
2.2 Navigationsmenü und Startboard
Wie im obigen Screenshot zu sehen ist, bestimmt das Benutzerprofil das Navigationsmenü und die Startleiste, die ein Benutzer sieht. Eine allgemeine Erläuterung des Navigationsmenüs und der Startleiste finden Sie unter Navigation and startboard
Menü Navigation
In einem Benutzerprofil wird das "Navigationsmenü" entweder mit dem Standard-Navigationsmenü (FMBNavigationMenu) ausgefüllt, oder es wird leer gelassen. Ein Benutzerprofil ohne Navigationsmenü kommt vor, weil Endbenutzer oft ein portalähnliches Erscheinungsbild ohne Navigationsmenü wünschen.
Ob das Benutzerprofil das Standard-Navigationsmenü oder kein Navigationsmenü erhält, wird automatisch durch die mit dem Benutzerprofil verbundenen Systemgruppen bestimmt. Wenn ein Benutzerprofil nur Systemgruppen enthält, die sich auf Endbenutzer beziehen (z. B. Reservierung erstellen, Besucher erstellen, Anfragen erstellen), bleibt das Navigationsmenü des Benutzerprofils leer.
Wenn eine der Hauptbenutzersystemgruppen mit dem Benutzerprofil verknüpft ist, das ein Navigationsmenü erfordert, wird das Standardnavigationsmenü automatisch mit dem Benutzerprofil verknüpft.
Welche Optionen des Navigationsmenüs für den Benutzer tatsächlich sichtbar sind, hängt von den Systemgruppen ab, mit denen der Benutzer verknüpft ist (direkt, über das Standardbenutzerprofil oder über zusätzliche Benutzerprofile).
Startboard
In einem Benutzerprofil ist das "Startboard" für jedes Nicht-Administratorprofil immer auf das Standard-Startboard von Workplace Management (WorkplaceManagementStartBoard) eingestellt. Das Administratorprofil (das einzige Profil, das von Anfang an verfügbar ist) hat sein eigenes Startboard. Das Hinzufügen der Administrator-Startboard-Optionen zum Standard-Benutzer-Startboard als Registerkarten würde die Navigation in diesem Startboard für neue Administratoren sehr komplex machen. Dies ist der Hauptgrund für eine separate Startleiste für Administratoren.
Welche Schaltflächen, Übersichten und modulspezifischen Registerkarten ein Benutzer auf dem Startboard sieht, hängt von den Systemgruppen ab, die mit dem Benutzer verknüpft sind (direkt, über das Standardbenutzerprofil oder über zusätzliche Benutzerprofile), ähnlich wie bei den Navigationsmenüoptionen.
Wenn ein Benutzer Zugriff auf mehrere Module mit entsprechenden Startboard-Registerkarten hat, können Sie die Standard-Startboard-Registerkarte ändern. Sie finden diese Option (die nur für Benutzer mit mehreren Startboard-Registerkarten verfügbar ist) im Benutzerprofil, wo es ein Dropdown-Menü gibt: andere Startboard-Registerkarte.
*Benutzerdefinierte Navigationsmenüs und Startboards sind möglich. Es wird jedoch dringend davon abgeraten, sie zu verwenden, da jedes neue Modul oder jede neue Menüoption in diesen benutzerdefinierten Navigationsmenüs oder Startboards nicht verfügbar ist. Nur in sehr speziellen, benutzerdefinierten Situationen kann ein vollständiges benutzerdefiniertes Navigationsmenü und/oder Startboard die bessere Option sein.
2.3 Zuweisung von Benutzerprofilen
Es besteht ein Unterschied zwischen der Festlegung eines Standardbenutzerprofils für einen Benutzer und der Zuweisung zusätzlicher Benutzerprofile zu einem Benutzer.
Im Feld "Standardbenutzerprofil" muss ein Standardprofil festgelegt werden. Dieses Benutzerprofil wird verwendet, um das Startboard, das Navigationsmenü und die profilbezogenen Einstellungen der Benutzeroberfläche für diesen Benutzer festzulegen (neben der offensichtlichen Anwendung der von den verknüpften Systemgruppen bereitgestellten Berechtigungen).
Es ist auch möglich, einem Benutzer über die Schaltfläche "Zusätzliche Benutzerprofile zuweisen" zusätzliche Benutzerprofile zuzuweisen. Ein Benutzerprofil, das einem Benutzer als zusätzliches Benutzerprofil zugewiesen wurde, wird nur verwendet, um die für den Benutzer geltenden zusätzlichen Berechtigungen zu bestimmen, die von den verknüpften Systemgruppen bereitgestellt werden. Alle anderen Einstellungen dieses Profils werden jedoch ignoriert, wie z. B. die Einstellungen für das Startboard, das Navigationsmenü und die Benutzeroberfläche des Benutzerprofils.
Das Hinzufügen zusätzlicher Benutzerprofile kann sinnvoll sein, wenn Benutzer kombinierte Zuständigkeiten haben. So kann ein Benutzer beispielsweise ein Standardprofil als Reservierungskoordinator haben, um Reservierungen zu verwalten, und darüber hinaus zusätzliche Aufgaben wie die Verwaltung von Verträgen und die Erstellung von Rechnungen übernehmen. Daher wird dieses zweite Profil über die Option "Zusätzliche Profile zuweisen" zugewiesen. Die meisten Benutzer werden jedoch wahrscheinlich nur ein Profil benötigen, so dass nur das Standardbenutzerprofil relevant ist.
2.4. Erstellen und Verwalten von Benutzerprofilen
Im Gegensatz zu Systemgruppen müssen Benutzerprofile auf Kundenebene erstellt werden.
N.b.: Im Workplace Management gibt es ein einziges Standard-Benutzerprofil für Administratoren, das Zugriff auf alle Optionen des Systems gewährt.
Die Notwendigkeit, Benutzerprofile auf Kundenebene zu erstellen, ergibt sich aus der hohen Kundenspezifität dieser Benutzerprofile. Benutzerprofile stellen einzigartige Systemgruppenkombinationen dar, die auf individuelle Kundenanforderungen zugeschnitten sind.
So kann ein Kunde beispielsweise Benutzerprofile für seine Service-Desk-Mitarbeiter benötigen, die Anfragen bearbeiten, Besucher anlegen und Bestellungen verwalten. Andererseits kann ein anderer Kunde, der das Anfrage-Modul verwendet, ein Service-Desk-Profil ohne die Möglichkeit haben, Bestellungen zu erstellen, was seine spezifischen Nutzungsanforderungen widerspiegelt.
Weitere Informationen über die Erstellung und Zuweisung von Benutzerprofilen finden Sie im folgenden Kapitel: https://spacewell.atlassian.net/wiki/spaces/KB/pages/441712705/Authorizing+users#5.-User-profile-management-dashboard
2.5
Example user profileBelow is an example of how user profiles might be structured for a customer using the modules: Request, Reservations, and ContractsBeispiel für ein Benutzerprofil
Nachfolgend finden Sie ein Beispiel dafür, wie Benutzerprofile für einen Kunden, der die Module verwendet, aufgebaut sein könnten: Anfragen, Reservierungen und Verträge:
Expand | ||
---|---|---|
|
3. System groups
System groups in Workplace Management become available to assign after the corresponding module has been activated. For example, if the client does not use the requests module, then the group ‘Create requests' won’t be available to assign. The systems administrator first needs to activate all relevant modules to activate the relevant system groups via the module activations (See: Module activation)
If only a specific group is needed for a specific user, a system group can be assigned to a user directly (without the use of user profiles). Otherwise, user profiles are often a more manageable way of authorizing users, as you can combine system groups and thus assign a combination of system groups to users in one go via a user profile.
Assign system groups to a user directly is done via the user page, via the function ‘Assign group’:
3.1 Contextuel access
Another reason to assign system groups directly to users would be to give the user the specific authorizations that the system group provides but in the context of a building, area, or asset. This can, for instance, be used to give a user only edit rights on a specific building instead of all the buildings.
Giving a user the system group ‘3. edit buildings’ in general (via the user directly or via a user profile), will make sure the user can edit every building (assuming a full user license). But by enabeling ‘Contextuel access to buildings and areas’ (Module settings → Buildings and areas), a new tab becomes available on a building, in which a user can be given some of the view and edit system groups related to buildings, areas and assets. The access that this system group enables then only applies to this context (e.g., this building). For more information on this subject, see
| |
Diese Profile dienen als Beispiele. Wenn dieselben Benutzer sowohl für die Verwaltung des Servicedesks als auch für die Reservierung eines Kunden zuständig sind, empfiehlt es sich, diese Profile zu einem einzigen Profil zusammenzufassen, in dem alle relevanten Systemgruppen enthalten sind. Diese Vorgehensweise spart Zeit, da nur ein einziges Profil erstellt und verwaltet und den entsprechenden Benutzern zugewiesen wird. Hinweis: Anstatt jedem Schlüsselbenutzerprofil Endbenutzersystemgruppen hinzuzufügen, besteht ein anderer Ansatz darin, jedem Schlüsselbenutzer zusätzlich zu seinem primären Schlüsselbenutzerprofil das Endbenutzerprofil zuzuweisen. Diese Methode erfordert jedoch in der Regel deutlich mehr Aufwand, da die Anzahl der Benutzer höher ist als die der Profile. |
3. System-Gruppen
Systemgruppen im Workplace Management können erst dann zugewiesen werden, wenn das entsprechende Modul aktiviert wurde. Wenn der Kunde beispielsweise das Modul Anfragen nicht verwendet, kann die Gruppe "Anfragen erstellen" nicht zugewiesen werden. Der Systemadministrator muss zunächst alle relevanten Module aktivieren, um die entsprechenden Systemgruppen über die Modulaktivierungen zu aktivieren (siehe: Module activation)
Wenn für einen bestimmten Benutzer nur eine bestimmte Gruppe benötigt wird, kann eine Systemgruppe einem Benutzer direkt (ohne Verwendung von Benutzerprofilen) zugewiesen werden. Andernfalls sind Benutzerprofile oft ein besser zu handhabendes Mittel, um Benutzer zu autorisieren, da Sie Systemgruppen kombinieren und somit Benutzern in einem Zug über ein Benutzerprofil eine Kombination von Systemgruppen zuweisen können.
Die Zuordnung von Systemgruppen zu einem Benutzer erfolgt direkt auf der Benutzerseite über die Funktion "Gruppe zuordnen":
3.1 Zugang zu Contextuel
Ein weiterer Grund, Systemgruppen direkt Benutzern zuzuweisen, wäre, dem Benutzer die spezifischen Berechtigungen zu geben, die die Systemgruppe bietet, aber im Kontext eines Gebäudes, Bereichs oder Assets. Auf diese Weise kann einem Benutzer beispielsweise nur Bearbeitungsrechte für ein bestimmtes Gebäude statt für alle Gebäude erteilt werden.
Wenn man einem Benutzer die Systemgruppe "3. Gebäude bearbeiten" generell zuweist (über den Benutzer direkt oder über ein Benutzerprofil), wird sichergestellt, dass der Benutzer jedes Gebäude bearbeiten kann (eine Vollbenutzerlizenz vorausgesetzt). Durch das Aktivieren von "Kontextabhängiger Zugriff auf Gebäude und Bereiche" (Moduleinstellungen → Gebäude und Bereiche) wird jedoch eine neue Registerkarte für ein Gebäude verfügbar, in der ein Benutzer einige der Systemgruppen für die Ansicht und Bearbeitung von Gebäuden, Bereichen und Assets erhalten kann. Der Zugriff, den diese Systemgruppe ermöglicht, gilt dann nur für diesen Kontext (z. B. dieses Gebäude). Für weitere Informationen zu diesem Thema siehe:
Contextual access to building and areas
Master data: Buildings and areas module activation and information
Master data: Assets module activation and information
3.2
Default system groupStandard-Systemgruppe (9.
access)Each user in the system will always automatically get the system group ‘9. access’. This system group does not actually provide any access. but every user must have at leaste one systemGroup assiged to them directly, otherwise it is not possible to use the system (due to technical reasons). Do not remove this default group.
3.3 System groups assigned to a user are like keys on a key chain
It does not matter in which way a user has system groups linked to it:
SystemGroups linked to a user profile that the user has as the default user profile
System groups linked to a user profile that the user has as additional user profiles
System groups directly linked to the user
All these system groups are added together (like keys on a keychain) when determining if a user has access to menu options, tabs, functions, modules, etc. Just like the keys on a keychain, if any of the system groups gives access, the users have access to the related part of the system. The only way to prevent a user from having access to a specific part of the system is to make sure they do not have any system group assigned that gives this access.
4. Minimum license needed
As mentioned in User licenses , the user license establishes the maximum capabilities a user can have. However, the specific functionalities available are determined by the authorizations assigned to the user. More on authorizing users can be found in : Authorizing users .
To ensure logical access control, system groups (used to authorize users) are configured with a field indicating the minimum user license required for users to utilize the group's functionalities as intended.
For example, let's consider the ‘GOB-G007 Editing buildings’ system group, which requires a full user license. Therefore, to effectively utilize this system group, a user must possess a ‘full user’ license. If a user only holds a "Requestor" or "Limited User" license, they would still be unable to edit buildings and would have view-only access.
The table below describes what (commonly used) license type suffices depending on the “: Minimum license required”:
Minimum license required setting
What license type does the user need to make use of this group?
Requestor
Requestor, Limited user, or Full user
Limited user
Limited user, or Full user
Full user
Full user
Note: Since users may belong to multiple system groups, the minimum user license required for the user will be determined by the highest license needed among all the assigned system groups.
N.b: Assigning a system group to a user that has a higher minimum license needed than the user has, will result in a warning shown when assigning the group to the user. It will not stop the user from using the parts of the group that might be accessible based on the current license. For example, a reservation coordinator with a limited user license can still view the reservable objects but cannot edit them.
4.1 Automated check when assigning a system group or profile to a user
When assigning a system group directly or via a profile to a user, it will automatically be verified if the user's license type matches the minimum required license type for the groups assigned or all groups within that profile. If the user license is insufficient, a warning is given:
5. User profile management dashboard
The 'User profile management dashboard' is an easy way for the systems administrator to create, manage, and assign user profiles to users. This option can be found on the administrator startboard for level 2 and 3 administrators:
This dashboard has the following overviews:
Available user profiles:
Displays all the user profiles already created for this customer.
Includes options to easily create a new user profile and to assign the profiles to users (as the default user profile or additional user profile).
Required system groups not yet assigned to a user profile:
Shows all available system groups that have not been assigned to any user profile but are mandatory to be assigned.
For each system group, it is determined if the group must be assigned to at least one user or not. This determination is based on whether the module related to this system group is used. Not having this group assigned to any user will make it impossible to use the complete process (e.g., without any user assigned a service desk group, creating requests will give errors as no user can be assigned to pick up those requests).
System groups can be assigned directly to selected user profiles or to all existing user profiles. For example, if the reservation module is going live and all the users already use WPM for requests, the ‘Create reservations’ system group can be assigned to every user profile in one go.
Optional groups not yet assigned to a user profile:
Similar to the previous overview, these groups are not mandatory (e.g., most of the ‘View’ groups). It is not mandatory to have a user only have access to view catalog items if other users already have access to edit (and thus create) them.
The same options to assign the system groups to profiles are available in this overview as in the previous one.
All active system groups:
Provides an overview of all available system groups based on the enabled modules.
This overview does not exclude any system groups already assigned to users.
The same options to assign the system groups to profiles are available in this overview as in the previous one.
Info |
---|
Note: this dashboard is used to manage the profiles that are created in the client environment. Baseline profiles, such as the ‘Administrator Workplace Management’ profile are not available here. These profiles should not be edited. |
5.1 Creating a new profile via the user profile management dashboard
To create a user profile, click the ‘Create user profile’ button in the available user profiles.
In the next screen, enter a profile name and description
Zugang)
Jeder Benutzer im System erhält immer automatisch die Systemgruppe '9. access'. Diese Systemgruppe bietet eigentlich keinen Zugang, aber jeder Benutzer muss mindestens eine Systemgruppe direkt zugewiesen bekommen, sonst ist es (aus technischen Gründen) nicht möglich, das System zu benutzen. Entfernen Sie diese Standardgruppe nicht.
3.3 Systemgruppen, die einem Benutzer zugewiesen sind, sind wie Schlüssel an einem Schlüsselbund
Es spielt keine Rolle, auf welche Weise ein Benutzer mit Systemgruppen verknüpft ist:
SystemGroups, die mit einem Benutzerprofil verknüpft sind, das der Benutzer als Standardbenutzerprofil hat
Systemgruppen, die mit einem Benutzerprofil verknüpft sind und die der Benutzer als zusätzliche Benutzerprofile hat
Systemgruppen, die direkt mit dem Benutzer verbunden sind
Alle diese Systemgruppen werden addiert (wie Schlüssel an einem Schlüsselbund), wenn festgestellt wird, ob ein Benutzer Zugriff auf Menüoptionen, Registerkarten, Funktionen, Module usw. hat. Genau wie bei den Schlüsseln an einem Schlüsselbund gilt: Wenn eine der Systemgruppen Zugriff gewährt, haben die Benutzer Zugang zu dem entsprechenden Teil des Systems. Die einzige Möglichkeit, einem Benutzer den Zugriff auf einen bestimmten Teil des Systems zu verwehren, besteht darin, sicherzustellen, dass ihm keine Systemgruppe zugewiesen ist, die diesen Zugriff gewährt.
4. Erforderliche Mindestlizenz
Wie bereits in User licenses Die Benutzerlizenz legt die maximalen Funktionen fest, über die ein Benutzer verfügen kann. Die spezifischen Funktionalitäten, die zur Verfügung stehen, werden jedoch durch die dem Benutzer zugewiesenen Berechtigungen bestimmt. Weitere Informationen zur Autorisierung von Benutzern finden Sie unter : https://spacewell.atlassian.net/wiki/spaces/WKBD/pages/613646358 .
Um eine logische Zugriffskontrolle zu gewährleisten, werden Systemgruppen (die zur Autorisierung von Benutzern verwendet werden) mit einem Feld konfiguriert, das die Mindestlizenz angibt, die Benutzer benötigen, um die Funktionen der Gruppe wie vorgesehen nutzen zu können.
Nehmen wir zum Beispiel die Systemgruppe "GOB-G007 Gebäude bearbeiten", für die eine Vollbenutzerlizenz erforderlich ist. Um diese Systemgruppe effektiv nutzen zu können, muss ein Benutzer also eine Vollbenutzerlizenz besitzen. Wenn ein Benutzer nur eine "Anforderer"- oder "Eingeschränkte Benutzer"-Lizenz besitzt, kann er immer noch keine Gebäude bearbeiten und hätte nur einen Ansichtszugang.
Die nachstehende Tabelle beschreibt, welcher (üblicherweise verwendete) Lizenztyp in Abhängigkeit von der ": Mindestlizenz erforderlich" ausreicht:
Erforderliche Mindestlizenzeinstellung | Welche Lizenzart benötigt der Benutzer, um diese Gruppe nutzen zu können? |
---|---|
Antragsteller | Antragsteller, eingeschränkter Benutzer oder Vollbenutzer |
Eingeschränkter Benutzer | Eingeschränkter Benutzer, oder Vollbenutzer |
Vollständiger Benutzer | Vollständiger Benutzer |
Hinweis: Da Benutzer mehreren Systemgruppen angehören können, wird die für den Benutzer erforderliche Mindestlizenz durch die höchste Lizenz bestimmt, die für alle zugewiesenen Systemgruppen erforderlich ist.
N.b.: Wenn Sie einem Benutzer eine Systemgruppe zuweisen, für die eine höhere Mindestlizenz erforderlich ist, als der Benutzer hat, wird beim Zuweisen der Gruppe an den Benutzer eine Warnung angezeigt. Dadurch wird der Benutzer nicht daran gehindert, die Teile der Gruppe zu verwenden, die aufgrund der aktuellen Lizenz zugänglich sind. Zum Beispiel kann ein Reservierungskoordinator mit einer eingeschränkten Benutzerlizenz die reservierbaren Objekte zwar sehen, aber nicht bearbeiten.
4.1 Automatisierte Prüfung bei der Zuweisung einer Systemgruppe oder eines Profils zu einem Benutzer
Wenn Sie einem Benutzer direkt oder über ein Profil eine Systemgruppe zuweisen, wird automatisch überprüft, ob der Lizenztyp des Benutzers mit dem mindestens erforderlichen Lizenztyp für die zugewiesenen Gruppen oder alle Gruppen innerhalb dieses Profils übereinstimmt. Wenn die Benutzerlizenz nicht ausreicht, wird eine Warnung ausgegeben:
5. Dashboard zur Verwaltung von Benutzerprofilen
Das 'User profile management dashboard' ist eine einfache Möglichkeit für den Systemadministrator, Benutzerprofile zu erstellen, zu verwalten und Benutzern zuzuweisen. Diese Option befindet sich auf dem Administrator-Startboard für Administratoren der Stufen 2 und 3:
Dieses Dashboard enthält die folgenden Übersichten:
Verfügbare Benutzerprofile:
Zeigt alle Benutzerprofile an, die für diesen Kunden bereits erstellt wurden.
Enthält Optionen zur einfachen Erstellung eines neuen Benutzerprofils und zur Zuweisung der Profile an Benutzer (als Standard- oder zusätzliches Benutzerprofil).
Erforderliche Systemgruppen, die noch nicht einem Benutzerprofil zugeordnet sind:
Zeigt alle verfügbaren Systemgruppen an, die noch keinem Benutzerprofil zugewiesen wurden, aber zwingend zugewiesen werden müssen.
Für jede Systemgruppe wird bestimmt, ob die Gruppe mindestens einem Benutzer zugewiesen werden muss oder nicht. Diese Bestimmung basiert darauf, ob das mit dieser Systemgruppe verbundene Modul verwendet wird. Wenn diese Gruppe keinem Benutzer zugewiesen ist, kann der gesamte Prozess nicht genutzt werden (z. B. führt das Erstellen von Anfragen zu Fehlern, da kein Benutzer zugewiesen werden kann, der diese Anfragen aufnimmt, wenn kein Benutzer einer Service-Desk-Gruppe zugewiesen ist).
Systemgruppen können direkt ausgewählten Benutzerprofilen oder allen vorhandenen Benutzerprofilen zugewiesen werden. Wenn zum Beispiel das Reservierungsmodul in Betrieb genommen wird und alle Benutzer bereits WPM für Anfragen verwenden, kann die Systemgruppe "Reservierungen erstellen" jedem Benutzerprofil in einem Schritt zugewiesen werden.
Optionale Gruppen, die noch nicht einem Benutzerprofil zugeordnet sind:
Ähnlich wie in der vorherigen Übersicht sind diese Gruppen nicht obligatorisch (z. B. die meisten der Gruppen "Ansicht"). Es ist nicht zwingend erforderlich, dass ein Benutzer nur Zugriff auf die Ansicht von Katalogeinträgen hat, wenn andere Benutzer bereits Zugriff auf die Bearbeitung (und damit die Erstellung) dieser Einträge haben.
In dieser Übersicht stehen die gleichen Optionen zur Verfügung, um die Systemgruppen den Profilen zuzuordnen wie in der vorherigen.
Alle aktiven Systemgruppen:
Bietet einen Überblick über alle verfügbaren Systemgruppen auf der Grundlage der aktivierten Module.
Diese Übersicht schließt keine Systemgruppen aus, die den Benutzern bereits zugewiesen wurden.
In dieser Übersicht stehen die gleichen Optionen zur Verfügung, um die Systemgruppen den Profilen zuzuordnen, wie in der vorherigen Übersicht.
Info |
---|
Hinweis: Dieses Dashboard dient zur Verwaltung der Profile, die in der Client-Umgebung erstellt werden. Grundlegende Profile, wie das Administrator Workplace Management'. Profile sind hier nicht verfügbar. Diese Profile sollten nicht bearbeitet werden. |
5.1 Erstellen eines neuen Profils über das Dashboard zur Verwaltung von Benutzerprofilen
Um ein Benutzerprofil zu erstellen, klicken Sie in den verfügbaren Benutzerprofilen auf die Schaltfläche "Benutzerprofil erstellen".
Geben Sie auf dem nächsten Bildschirm einen Profilnamen und eine Beschreibung ein
Wählen Sie im Feld "Benutzergruppen auswählen" die Gruppen aus, die Sie dem Profil hinzufügen möchten. Um zu bestimmen, welche Gruppen zu einem Benutzerprofil hinzugefügt werden müssen, können Sie die Berechtigungsmatrix zusammen mit dem Mandanten ausfüllen. Für weitere Informationen, lesen Sie bitte: https://spacewell.atlassian.net/wiki/spaces/KB/pages/441712705/Authorizing+users#6.-User-profile-and-Authorization-matrix.
Info |
---|
When assigning groups we follow the standard access rules. This means that giving users the group Edit buildings automatically also allows them to view and create buildings. There is no need to give a user profile more system groups than necessary. Only assign the groups that are needed for the profile. E.g. if a supplier is allowed to add assets to a request it is sufficient to add the group “view assets”. The group “edit assets” would give them the right to also edit all assets (you do not want this). |
After you have created all the user profiles, check the include ‘Required groups to be assigned’. This include should be empty. All groups in this include need to be assigned for all modules to work correctly. Most groups in this include obtaining a workflow task and are needed to correctly run through a workflow.
6. User profile and Authorization matrix
6.1 User profile matrix
The user profile matrix can be found on the administrator's startboard. The user profile matrix shows an overview of all active system groups and can be used to compose different user profiles the client desires. By exporting the overview to Excel, the consultant and the client can determine which user profiles are needed and which system groups need to be added to which user profile. Via the user profile management dashboard, these user profiles can be created.
Use the user profile matrix
Press the ‘User profile matrix’ button on your startBoard;
Click the arrow at the top right to download the full list to excel;
If you don’t make a selection, the full report is downloaded;
If you only want to download a selection, first select the lines you want to export before pressing the download button;
After downloading the matrix, we can open the sheet in Excel.
Together with the client, we go over these groups and possible profiles. Based on what the user profiles are used for, we can decide what groups are needed in each profile;
After the client approves the Excel file, the user profiles can be created.
Which user groups are shown in the user profile matrix ,depends on the modules used in the environment. E.g. if we have no reservation modules are active, there will not be user groups for creating/viewing reservations.
6.2 Authorization matrix
The authorization matrix can be found on the administrator's startboard. The authorization matrix shows an overview of all client's user profiles with all system groups included. Via this matrix, you always have an up-to-date authorization matrix available to see which profile has which access rights (based on the assigned system groupsBei der Zuweisung von Gruppen folgen wir den Standard-Zugriffsregeln. Das bedeutet, dass Benutzer, die die Gruppe "Gebäude bearbeiten" erhalten, automatisch auch die Möglichkeit haben, Gebäude anzuzeigen und zu erstellen. Es ist nicht erforderlich, ein Benutzerprofil anzugeben mehr System Gruppen als notwendig. Weisen Sie nur die Gruppen zu, die für das Profil benötigt werden. Wenn z.B. ein Lieferant Anlagen zu einer Anfrage hinzufügen darf, reicht es aus, die Gruppe "Anlagen anzeigen" hinzuzufügen. Die Gruppe "Anlagen bearbeiten" würde ihm das Recht geben, auch alle Anlagen zu bearbeiten (das wollen Sie nicht). |
Nachdem Sie alle Benutzerprofile erstellt haben, überprüfen Sie das Include "Zuzuweisende Gruppen erforderlich". Dieses Include sollte leer sein. Alle Gruppen in diesem Include müssen zugewiesen werden, damit alle Module korrekt funktionieren. Die meisten Gruppen in diesem Include erhalten eine Workflow-Aufgabe und werden benötigt, um einen Workflow korrekt zu durchlaufen.
6. Benutzerprofil und Berechtigungsmatrix
6.1 Benutzerprofil-Matrix
Die Benutzerprofilmatrix befindet sich auf dem Startboard des Administrators. Die Benutzerprofilmatrix zeigt einen Überblick über alle aktiven Systemgruppen und kann dazu verwendet werden, verschiedene Benutzerprofile nach den Wünschen des Kunden zusammenzustellen. Durch den Export der Übersicht nach Excel können der Berater und der Kunde bestimmen, welche Benutzerprofile benötigt werden und welche Systemgruppen zu welchem Benutzerprofil hinzugefügt werden müssen. Über das User Profile Management Dashboard können diese Benutzerprofile erstellt werden.
Verwenden Sie die Benutzerprofilmatrix
Drücken Sie die Schaltfläche "Benutzerprofilmatrix" auf Ihrem StartBoard;
Klicken Sie auf den Pfeil oben rechts, um die vollständige Liste als Excel-Datei herunterzuladen;
Wenn Sie keine Auswahl treffen, wird der vollständige Bericht heruntergeladen;
Wenn Sie nur eine Auswahl herunterladen möchten, wählen Sie zunächst die Zeilen aus, die Sie exportieren möchten, bevor Sie auf die Schaltfläche Herunterladen klicken;
Nachdem wir die Matrix heruntergeladen haben, können wir das Blatt in Excel öffnen.
Gemeinsam mit dem Kunden gehen wir diese Gruppen und möglichen Profile durch. Je nachdem, wofür die Benutzerprofile verwendet werden, können wir entscheiden, welche Gruppen in den einzelnen Profilen benötigt werden;
Nachdem der Kunde die Excel-Datei genehmigt hat, können die Benutzerprofile erstellt werden.
Info |
---|
Welche Benutzergruppen in der Benutzerprofilmatrix angezeigt werden, hängt von den in der Umgebung verwendeten Modulen ab. z.B. Wenn keine Reservierungsmodule aktiv sind, gibt es auch keine Benutzergruppen für die Erstellung/Ansicht von Reservierungen. |
6.2 Berechtigungsmatrix
Die Berechtigungsmatrix ist auf dem Startboard des Administrators zu finden. Die Berechtigungsmatrix zeigt eine Übersicht über alle Benutzerprofile des Mandanten inklusive aller Systemgruppen. Über diese Matrix haben Sie immer eine aktuelle Berechtigungsmatrix zur Verfügung, um zu sehen, welches Profil welche Zugriffsrechte hat (basierend auf den zugeordneten Systemgruppen)