Authentifizierung / Autorisierung

Die initiale Authentifizierung von Benutzern erfolgt mithilfe des Protokolls Kerberos, als Fallback wird im Standard NTLM 2 verwendet (siehe hierzu auch Exkurs: Authentifizierung WCF). Hierzu muss der Benutzer in der Domäne, in der Schleupen.CS 3.0 betrieben wird, eingerichtet und bekannt sein. Die Authentifizierung findet im Allgemeinen beim Login im Portal statt. Ist der Browser-Benutzer im Active Directory hingegen unbekannt, so ist der Button zur Anmeldung deaktiviert.

Im Zuge der Containerisierung arbeiten wir derzeit daran OpenID Connect zu unterstützen!

Anmeldung möglich, je nachdem ob der Benutzer im Active Directory bekannt ist

Bei erfolgreicher Anmeldung wird die SID des angemeldeten Benutzers ermittelt und in das SessionToken geschrieben wird. Dieses SessionToken, das insbesondere kennzeichnet, auf welchem Knoten in der Systemstruktur gearbeitet wird, wird durch die Service- und Messaging-Aufrufe transportiert.

Die Autorisierung, d.h. die Möglichkeit des Zugriffs auf bestimmte Funktionalität von Schleupen.CS erfolgt über Funktionsrechte. Der Zugriff auf bestimmte Daten wird über Datenrechte gesteuert. 

Die Funktionsrechte bilden einen Baum, exemplarisch ist ein Ausschnitt dessen für die Funktionsrechte BenutzerVerwalten, BenutzerAnzeigen und ÄnderungsprotokollAnzeigen dargestellt. Auf allen Knoten in diesem Baum können für das jeweilige Funktionsrecht folgende Werte angegeben werden:

  • Ja - Das Funktionsrecht ist gewährt
  • Nein -  Das Funktionsrecht ist entzogen
  • nicht vergeben - Das Funktionsrecht ist nicht zugewiesen

Die Auswertung findet von unten nach oben statt, wobei folgende Regeln gelten.

  1. Ist auf dem Knoten (also dem Funktionsrecht) Ja oder Nein angegeben, so wird dieser Wert verwendet.
  2. Ist auf dem Knoten die Berechtigung nicht vergeben, so wird der übergeordnete Knoten geprüft.
  3. Das oberste Funktionsrecht Schleupen.CS ist per Default immer deaktiviert.

In Schleupen.CS gibt es eine eigene Benutzer- und Gruppenverwaltung. Für einen Benutzer muss hierbei eine SID hinterlegt sein, um die Verknüpfung zum Active Directory herstellen zu können. Benutzer können zu Gruppen zusammengefasst werden. Zudem können auch mehrere Gruppen in einer Gruppe zusammengefasst werden. Ein Funktionsrechtebaum kann dann einer Gruppe zugewiesen werden. Die effektiven Berechtigungen für einen Benutzer ergeben sich dann aus den Gruppen, denen er zugeordnet ist. Um die effektiven Berechtigungen zu ermitteln, wird zunächst geprüft, in welchen Gruppen der Benutzer Mitglied ist. Allen diesen Gruppen ist jeweils ein Funktionsrechtebaum zugewiesen.

Siehe auch Hilfekapitel zu Benutzer- und Rechteverwaltung

Cookie Consent mit Real Cookie Banner