Rollen
RAMP verwendet ein umfassendes rollenbasiertes Zugriffskontrollsystem (RBAC), um zu steuern, wer Ressourcen anzeigen, bearbeiten und verwalten darf. Rollen existieren auf mehreren Ebenen und können einzelnen Benutzern oder Gruppen zugewiesen werden.
Rollenebenen
Abschnitt betitelt „Rollenebenen“RAMP hat vier Rollenebenen:
| Ebene | Geltungsbereich | Beispiele | Zugewiesen durch |
|---|---|---|---|
| Anwendungsrollen | Gesamter Mandant | Administrator, SuperUser, GlobalTemplateEditor | Administratoren |
| Vorlagenrollen | Einzelne Vorlage | Vorlagenbesitzer, Vorlagenbearbeiter | Vorlagenbesitzer |
| Instanzrollen | Einzelne Instanz | Instanzleiter, Ausführer, Beobachter | Instanzleiter |
| Systemrollen | Einzelnes System | Systemmanager, Koordinator | Administratoren, Systemmanager |
Anwendungsrollen (18 Rollen)
Abschnitt betitelt „Anwendungsrollen (18 Rollen)“Anwendungsrollen sind mandantenweite Rollen, die über den Verwaltungsbereich zugewiesen werden. Sie fallen in verschiedene Kategorien.
Administrative Rollen
Abschnitt betitelt „Administrative Rollen“| Rolle | Wert | Beschreibung |
|---|---|---|
| Administrator | 1 | Verwaltet Systemeinstellungen, Benutzer, Gruppen und Konfiguration. Kein Zugriff auf Inhalte (Vorlagen, Instanzen, Systeme) ohne zusätzliche Rollen. |
| SuperUser | 2 | Vollzugriff auf alle Inhalte. Umgeht die meisten Berechtigungsprüfungen. Kann abgeschlossene/abgebrochene Instanzen nicht bearbeiten oder Zwangsaktionen verwenden. |
| TenantAdministrator | 3 | Verwaltet die mandantenfähige Infrastruktur. Kein Zugriff auf Mandanteninhalte. Verwendet separate Anmeldung unter /_tenantadmin/login. Nur verfügbar, wenn die Mandantenfähigkeit aktiviert ist. |
Globale Vorlagenrollen
Abschnitt betitelt „Globale Vorlagenrollen“Globale Vorlagenrollen gewähren Berechtigungen für alle Vorlagen im System, einschließlich zukünftig erstellter Vorlagen.
| Rolle | Wert | Beschreibung |
|---|---|---|
| GlobalTemplateOwner | 11 | Vollständige Kontrolle über alle Vorlagen: Einstellungen bearbeiten, Rollen zuweisen, veröffentlichen, genehmigen, löschen. |
| GlobalTemplateEditor | 12 | Bearbeiten und Veröffentlichen aller Vorlagen. Kann Vorlagen nicht löschen oder Rollen zuweisen. |
| GlobalTemplateViewer | 13 | Schreibgeschützter Zugriff auf alle Vorlagen. Kann Kommentare hinzufügen. |
| GlobalTemplateApprover | 14 | Kann veröffentlichte Versionen aller Vorlagen genehmigen. |
Globale Instanzrollen
Abschnitt betitelt „Globale Instanzrollen“Globale Instanzrollen gewähren Berechtigungen für alle Instanzen im System.
| Rolle | Wert | Beschreibung |
|---|---|---|
| GlobalInstanceHead | 20 | Vollständige Kontrolle über alle Instanzen: Team verwalten, Lebenszyklus steuern, Zwangsaktionen. |
| GlobalInstanceDeputyHead | 21 | Fast vollständige Kontrolle. Kann die Rolle Instanzleiter nicht zuweisen. |
| GlobalInstanceEditor | 22 | Notizen und Kommentare aller Instanzen bearbeiten. Entwurfseigenschaften bearbeiten. |
| GlobalInstanceExecutor | 23 | Schritte aller Instanzen ausführen. Instanzen starten. |
| GlobalInstanceObserver | 24 | Schreibgeschützter Zugriff auf alle Instanzen. Kann Kommentare hinzufügen. |
Weitere Anwendungsrollen
Abschnitt betitelt „Weitere Anwendungsrollen“| Rolle | Wert | Beschreibung |
|---|---|---|
| TemplateCreator | 10 | Kann neue Vorlagen erstellen. Wird automatisch Vorlagenbesitzer bei erstellten Vorlagen. |
| SystemManager | 30 | Kann Systeme verwalten: Phasen hinzufügen, Systemrollen zuweisen. |
| CalendarManager | 50 | Kann Kalender, Zeitzonen und Feiertage verwalten. |
| MessageSubscriber | 60 | Erhält allgemeine Systembenachrichtigungen. |
| PreEscalationSubscriber | 61 | Erhält Vorab-Eskalationswarnungen. |
| EscalationSubscriber | 62 | Erhält Eskalationsmeldungen. |
Wann globale Rollen verwendet werden sollten
Abschnitt betitelt „Wann globale Rollen verwendet werden sollten“Globale Rollen verwenden. Das Zuweisen von Rollen zu einzelnen Vorlagen und Instanzen verursacht unnötigen Aufwand, wenn dieselben Personen überall arbeiten.
Beispiel: Anstatt Johann als Vorlagenbearbeiter einzeln für 50 Vorlagen zuzuweisen, weisen Sie ihm einmal GlobalTemplateEditor zu.
Individuelle Rollenzuweisungen verwenden. Verschiedene Teams besitzen verschiedene Vorlagen und Instanzen, und der Zugriff sollte auf das beschränkt sein, was jede Person benötigt.
Beispiel: Das Datenbankteam erhält Vorlagenbearbeiterrechte nur für Datenbankvorlagen, während das Netzwerkteam seine eigenen Vorlagen erhält.
Vorlagenrollen (4 Rollen)
Abschnitt betitelt „Vorlagenrollen (4 Rollen)“Vorlagenrollen werden pro Vorlage zugewiesen und steuern, was ein Benutzer mit dieser bestimmten Vorlage tun kann.
| Rolle | Beschreibung | Kann bearbeiten | Kann veröffentlichen | Kann genehmigen | Kann löschen | Kann Rollen zuweisen |
|---|---|---|---|---|---|---|
| Vorlagenbesitzer | Vollständige Kontrolle über die Vorlage | Ja | Ja | Ja | Ja | Ja |
| Vorlagenbearbeiter | Versionen bearbeiten und veröffentlichen | Ja | Ja | Nein | Nein | Nein |
| Vorlagenbetrachter | Schreibgeschützter Zugriff | Nein | Nein | Nein | Nein | Nein |
| Vorlagengenehmiger | Veröffentlichte Versionen genehmigen | Nein | Nein | Ja | Nein | Nein |
Vorlagenrollen zuweisen
Abschnitt betitelt „Vorlagenrollen zuweisen“- Navigieren Sie zur Vorlage.
- Öffnen Sie die Registerkarte Rollen.
- Klicken Sie auf Teammitglied hinzufügen.
- Wählen Sie den Benutzer und die gewünschte Rolle aus.
- Klicken Sie auf Zuweisen.
Instanzrollen (5 Rollen)
Abschnitt betitelt „Instanzrollen (5 Rollen)“Instanzrollen werden pro Instanz zugewiesen und steuern, was ein Benutzer während des Instanzlebenszyklus tun kann.
| Rolle | Beschreibung | Eigenschaften bearbeiten | Schritte ausführen | Zwangsaktionen | Team verwalten |
|---|---|---|---|---|---|
| Instanzleiter | Vollständige Instanzkontrolle | Entwurf/Geplant | Ja | Ja | Ja |
| Stellvertretender Leiter | Fast vollständige Kontrolle | Entwurf/Geplant | Ja | Ja | Teilweise |
| Bearbeiter | Notizen und Entwürfe bearbeiten | Nur Entwurf | Nein | Nein | Nein |
| Ausführer | Schritte ausführen | Nein | Ja | Nein | Nein |
| Beobachter | Schreibgeschützt mit Kommentaren | Nein | Nein | Nein | Nein |
Instanzrollen zuweisen
Abschnitt betitelt „Instanzrollen zuweisen“- Navigieren Sie zur Instanz.
- Öffnen Sie die Registerkarte Team.
- Klicken Sie auf Teammitglied hinzufügen.
- Suchen Sie im Mitglied-Suchdialog nach dem Benutzer.
- Wählen Sie die Rolle aus.
- Klicken Sie auf Zuweisen.
Zwangsaktionen
Abschnitt betitelt „Zwangsaktionen“Zwangsaktionen sind leistungsstarke Operationen, die den Rollen Instanzleiter und Stellvertretender Leiter vorbehalten sind. Sie ermöglichen die Umgehung des normalen Schrittworkflows.
| Aktion | Beschreibung |
|---|---|
| Zwangsabschluss (F-OK) | Einen Schritt unabhängig von seinem aktuellen Status auf abgeschlossen setzen |
| Zwangsüberspringen (F-SKIP) | Einen Schritt zwangsweise überspringen |
| Zwangsabbruch (F-ABORT) | Einen Schritt zwangsweise abbrechen |
| Zwangsannullierung | Die gesamte Instanz zwangsweise annullieren |
Systemrollen (2 Rollen)
Abschnitt betitelt „Systemrollen (2 Rollen)“Systemrollen werden pro System zugewiesen und steuern Verwaltung und Koordination.
| Rolle | Beschreibung |
|---|---|
| Koordinator | Systemweite Koordination. Erhält automatisch Vorlagenbetrachter- und Instanzbeobachterrechte für alle Elemente im System. Kann Releaseplanung bearbeiten. |
| Stellvertretender Koordinator | Dieselben Berechtigungen wie Koordinator (unterstützt Organisationshierarchie). |
Koordinatoren und Stellvertretende Koordinatoren erhalten automatisch Einblick in alle Vorlagen und Instanzen, die mit ihrem System verknüpft sind, ohne dass explizite Vorlagen- oder Instanzrollenzuweisungen erforderlich sind.
Berechtigungshierarchie
Abschnitt betitelt „Berechtigungshierarchie“Wie Berechtigungen aufgelöst werden
Abschnitt betitelt „Wie Berechtigungen aufgelöst werden“RAMP wertet Berechtigungen in der folgenden Reihenfolge aus:
- SuperUser-Prüfung — SuperUser umgeht die meisten Berechtigungsprüfungen (außer schreibgeschützten Objekten und Zwangsaktionen).
- Globale Rollenprüfung — globale Rollen werden vor entitätsspezifischen Zuweisungen geprüft.
- Entitätsrollenprüfung — vorlagen-, instanz- oder systemspezifische Rollen werden ausgewertet.
- Gruppenrollenvererbung — durch Gruppenmitgliedschaft geerbte Rollen werden einbezogen.
- Die freizügigste Regel gilt — wenn ein Benutzer mehrere Rollen hat, bestimmt die freizügigste Rolle den Zugriff.
Rollen kombinieren
Abschnitt betitelt „Rollen kombinieren“Wenn ein Benutzer sowohl globale Rollen als auch entitätsspezifische Rollen hat, gilt die freizügigste:
| Globale Rolle | Entitätsrolle | Effektive Berechtigung |
|---|---|---|
| GlobalTemplateViewer | Vorlagenbesitzer auf Vorlage A | Betrachter auf allen Vorlagen, Besitzer auf Vorlage A |
| GlobalTemplateEditor | Vorlagenbetrachter auf Vorlage B | Bearbeiter auf allen Vorlagen (einschließlich B) |
| GlobalInstanceObserver | Instanzleiter auf Instanz X | Beobachter auf allen Instanzen, Leiter auf Instanz X |
| (keine) | Vorlagenbearbeiter auf Vorlage C | Bearbeiter nur auf Vorlage C |
Sonderregeln
Abschnitt betitelt „Sonderregeln“- Administrator-Inhaltssperre — Administrator allein kann nicht auf Inhalte zugreifen. Für den Zugriff mit Inhaltsrollen kombinieren.
- TenantAdministrator-Isolation — TenantAdministrator hat keinen Zugriff auf Mandanteninhalte. Dies wird auf Autorisierungsebene durchgesetzt.
- Schreibgeschützte Objekte — abgeschlossene und annullierte Instanzen sind unveränderlich. Selbst SuperUser kann sie nicht bearbeiten.
- Schutz des letzten Besitzers — der letzte Vorlagenbesitzer oder Instanzleiter kann nicht entfernt werden. Es muss immer mindestens einer verbleiben.
Berechtigungsmatrix nach Funktion
Abschnitt betitelt „Berechtigungsmatrix nach Funktion“Vorlagenaktionen
Abschnitt betitelt „Vorlagenaktionen“| Aktion | SuperUser | Admin | GlobalTemplateOwner | GlobalTemplateEditor | GlobalTemplateViewer | TemplateOwner | TemplateEditor | TemplateViewer |
|---|---|---|---|---|---|---|---|---|
| Anzeigen | Ja | Nein | Ja | Ja | Ja | Ja | Ja | Ja |
| Erstellen | Ja | Nein | Ja | Ja | Nein | — | — | — |
| Einstellungen bearbeiten | Ja | Nein | Ja | Ja | Nein | Ja | Nein | Nein |
| Version erstellen | Ja | Nein | Ja | Ja | Nein | Ja | Ja | Nein |
| Version veröffentlichen | Ja | Nein | Ja | Ja | Nein | Ja | Nein | Nein |
| Version genehmigen | Ja | Nein | Ja | Nein | Nein | Ja | Nein | Nein |
| Löschen | Ja | Nein | Ja | Nein | Nein | Ja | Nein | Nein |
| Rollen zuweisen | Ja | Nein | Ja | Nein | Nein | Ja | Nein | Nein |
Instanzaktionen
Abschnitt betitelt „Instanzaktionen“| Aktion | SuperUser | GlobalInstanceHead | GlobalInstanceDeputyHead | InstanceHead | DeputyHead | Editor | Executor | Observer |
|---|---|---|---|---|---|---|---|---|
| Anzeigen | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja |
| Bearbeiten (Entwurf) | Ja | Ja | Ja | Ja | Ja | Ja | Nein | Nein |
| Geplant setzen | Ja | Ja | Ja | Ja | Ja | Nein | Nein | Nein |
| Starten (Laufend) | Ja | Ja | Ja | Ja | Ja | Nein | Ja | Nein |
| Pausieren | Ja | Ja | Ja | Ja | Ja | Nein | Nein | Nein |
| Abschließen | Ja | Ja | Ja | Ja | Ja | Nein | Nein | Nein |
| Annullieren | Ja | Ja | Nein | Ja | Nein | Nein | Nein | Nein |
| Zwangsaktionen | Nein | Ja | Ja | Ja | Ja | Nein | Nein | Nein |
| Schritte ausführen | Ja | Ja | Ja | Ja | Ja | Nein | Ja | Nein |
| Team zuweisen | Ja | Ja | Nein | Ja | Teilweise | Nein | Nein | Nein |
Rollenänderungen prüfen
Abschnitt betitelt „Rollenänderungen prüfen“Alle Rollenzuweisungen und -entfernungen werden im Audit-Trail protokolliert:
- Vorlagenrollen — in der Registerkarte “Verlauf” der Vorlage sichtbar
- Instanzrollen — in der Registerkarte “Verlauf” der Instanz sichtbar
- Anwendungsrollen — im Mandantenadministrations-Audit-Protokoll sichtbar
Bewährte Vorgehensweisen
Abschnitt betitelt „Bewährte Vorgehensweisen“- Minimale Rechtevergabe — weisen Sie die minimal erforderliche Rolle zu. Beginnen Sie mit Betrachter oder Beobachter und stufen Sie bei Bedarf auf.
- Gruppen verwenden — weisen Sie Rollen Gruppen statt Einzelpersonen zu, für einfachere Verwaltung.
- Mehrere Besitzer — weisen Sie mindestens zwei Vorlagenbesitzer pro Vorlage und zwei Instanzleiter pro Instanz für Redundanz zu.
- Regelmäßige Prüfungen — überprüfen Sie Rollenzuweisungen vierteljährlich. Entfernen Sie Rollen von ausgeschiedenen oder versetzten Mitarbeitern.
- SuperUser einschränken — begrenzen Sie SuperUser auf weniger als fünf Benutzer. Verwenden Sie stattdessen globale Rollen für breiteren Zugriff.
- Administrator von Inhalten trennen — behalten Sie die Administratorrolle für die Systemverwaltung. Weisen Sie Inhaltsrollen dort explizit zu, wo sie benötigt werden.
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“ Mitglieder Mandantenmitglieder verwalten, Benutzer einladen und Anwendungsrollen zuweisen
Gruppen Gruppen erstellen und verwalten, um Benutzer zu organisieren und Rollenzuweisungen zu vereinfachen