Schlüssel

Ziel einer CMDB ist es, Daten zentral zu speichern und für alle Nutzerinnen und Nutzer verfügbar zu halten. Doch es gibt Fälle, in denen nicht alle Anwender Zugriff auf sämtliche Informationen haben sollen. Das betrifft die Mitarbeiterinnen und Mitarbeiter des eigenen Unternehmens ebenso wie externe Dienstleister. In unserem heutigen Anwendungsfall werden wir verschiedene Personengruppen anlegen und diese je nach Aufgabenfeld mit unterschiedlichen Rechten ausstatten. 

i-doit bietet umfangreiche Konfigurationsmöglichkeiten

Dadurch ist es Ihnen möglich, jedem Nutzer gesonderte Rechte zu erteilen. So hat der Nutzer nur Zugriff auf die Funktionen und Informationen, die er für seine tägliche Arbeit benötigt.

Für Abteilungen oder Mitarbeiter mit demselben Aufgabenschwerpunkt lassen sich zudem Gruppen anlegen. So halten Sie den den Administrationsaufwand so gering wie möglich. 

Grundsätzlich hat ein Administrator Vollzugriff auf alle Einstellungen, Funktionen und Add-ons. Wenn mehrere Administratoren mit der Verwaltung beauftragt werden, kann es sinnvoll sein, diesen Zugriff auf bestimmte Bereiche, Geräte oder Add-ons einzuschränken.

Video: Das Rechtesystem in i-doit (Teil 1)

Administration ohne Vollzugriff

Unsere Mitarbeiterin Paula Oktal ist ausschließlich für die Administration von Netzwerken zuständig. Der Zugriff auf buchhalterische Informationen oder Passwörter ist in ihrem Aufgabenbereich nicht notwendig. Darum sperren wir diese Kategorien für sie, um Sicherheitsrisiken zu minimieren. Wir erstellen die neue Personengruppe „Network Engineers“ . Jetzt fügen wir die Nutzerin „Paula Oktal“ dieser Gruppe hinzu. Im nächsten Schritt geht es nun darum, die Berechtigungen für diese Gruppe zu definieren.

Rechte definieren

Wir konfigurieren die Gruppe „Network Engineers“ so, dass deren Mitglieder keine Informationen zur Buchhaltung und zu Passwörtern erhalten. Die Rechte für diese Kategorien werden ihnen entzogen. Im Administrationsbereich öffnen wir den Menüpunkt Rechtesystem -> Rechtevergabe -> CMDB. Dort wählen wir unsere erstellte Gruppe aus und laden die Rechte.

Zunächst vergeben wir die Standardberechtigungen. Damit kann i-doit grundsätzlich wie gewohnt genutzt werden. Im letzten Schritt passen wir die Rechte für Kategorien an, indem wir „Buchhaltung“ und „Passwörter“ entfernen.

Danach leeren wir den Rechtesystem-Cache, damit die Änderungen wirksam werden. Dies erfolgt einfach über den Administrationsbereich unter Systemtools -> Cache / Datenbank im linken Navigationsmenü über den Button „Rechtesystem Cache leeren“.

Cache des Rechtesystems

Der direkte Vergleich zeigt nun, dass die Kategorie „Accounting / Buchhaltung“ nicht mehr für Benutzer der Gruppe „Network Engineer“ verfügbar ist. Administratoren und Gruppen mit entsprechender Berechtigung können diese weiterhin sehen und bearbeiten.

Vergleich von zwei Gruppen in i-doit

Berechtigungen nach Standort

Wir möchten die Berechtigungen unserer „Network Engineer“-Gruppe weiter einschränken. Unser Unternehmen verfügt über insgesamt neun Niederlassungen weltweit, aber unsere Mitarbeiter sollen in den internationalen Standorten keine Änderungen vornehmen können. Wir müssen also die Zugriffs- und Änderungsrechte auf Deutschland beschränken.

Zurück im Rechtesystem, wählen wir wieder unsere Gruppe aus und erstellen zwei neue Regeln. Zum einen legen wir fest, dass die Benutzer Zugriff auf die Objekte unterhalb des definierten Standortes erhalten. Und zum anderen sollen sie natürlich auch berechtigt sein, die Kategorien zu öffnen, um die Informationen abfragen zu können.

Standort Berechtigungen in i-doit

Zugriff auf Racks und kritische Systeme für unautorisiertes Personal sperren

Serverschränke und die darin enthaltenen Server, Speichersysteme und Geräte bilden meist den Kern der IT-Infrastruktur. Um ein hohes Maß an IT-Sicherheit zu gewährleisten, sollten Informationen über kritische Systeme nur für autorisierte Personen zugänglich sein. Auch diese Rechte können spezifisch vergeben bzw. eingeschränkt werden.

Zugriff in Projekten steuern

Für Projekte, bei denen sensible Kundendaten erfasst werden, können wir die Zugriffsrechte entsprechend anpassen, um die Informationen nur ausgewählten Projektmitarbeitern und Auftraggebern zur Verfügung zu stellen. Externen Mitarbeitern und Dienstleistern geben wir dann bestimmte Informationen frei, ohne ihnen Einsicht in das komplette Projekt zu gewähren. Je nach Berechtigung können diese Personen dann Informationen einsehen oder aktiv mitgestalten bzw. ergänzen und anlegen.

Rechte vergeben und entziehen

Unsere Nutzerin „Paula Oktal“ soll nun ein neues Infrastrukturprojekt unterstützen. Da sie dazu auch Zugriff auf die Passwörter und Daten der Buchhaltung benötigt, weisen wir sie zusätzlich der Benutzergruppe „Administratoren“ zu. Nachdem das Projekt beendet ist, entfernen wir sie wieder aus der Administratoren-Gruppe, sodass sie wieder auf ihre ursprünglichen Rechte zurückgestuft wird.
Screenshot von Personengruppen in i-doit

Damit diese Einschränkungen auch im Objektbrowser, in der Standortansicht und im CMDB-Explorer greifen, müssen wir i-doit entsprechend konfigurieren. Dazu gehen wir in die Einstellungen unter Verwaltung → Systemeinstellungen → Experteneinstellungen und scrollen ans Ende der Liste. Dort haben wir die Möglichkeit, neue Einträge hinzuzufügen.

Wir fügen hier drei weitere Einträge hinzu, um den Zugriff auf Bereiche nach Berechtigung zu aktivieren.

Screenshot der Authentifizierung bei i-doit

Freischaltung von Add-ons für einzelne Benutzer

Zusätzlich zu den zahlreichen Grundfunktionen kann i-doit auch durch viele Add-ons funktional erweitert werden. Doch nicht immer ist es sinnvoll, diese für alle Nutzer verfügbar zu machen. Daher regulieren wir auch hier wieder den Zugriff über die Gruppenrechte. Wenn ein einzelner Nutzer Zugriff auf eines der Add-ons erhalten soll, können wir ihm das Recht separat zuweisen, ohne Änderungen an seiner zugewiesenen Gruppe vornehmen zu müssen. Dazu öffnen wir die Rechtevergabe und fügen z. B. das Raumplan-Add-on hinzu.

Video: Das Rechtesystem in i-doit (Teil 2)

Physische Trennung durch Mandanten-Add-on

Wenn Sie Daten Ihrer Kunden oder Standorte physisch trennen möchten, empfehlen wir Ihnen das Anlegen von Mandanten. Mit diesen werden die vorhandenen Daten vollständig getrennt gespeichert und jeder Mandant verfügt über ein eigenes Benutzer- und Rechtesystem. 

Berechtigung über Kontaktzuweisung erteilen (ab Version 1.18.2)

Die Kategorie Kontaktzuweisung ist ein zentrales Element von i-doit. Über diese werden nicht nur wichtige Ansprechpartner verknüpft. Auch die Kontaktpersonen, z. B. für Benachrichtigungen und Wartungen, werden über diese Kategorie gesteuert. Aus einer Kundenanforderung heraus wurde in Version 1.18.2 eine neue Funktionen implementiert, um Berechtigungen auf Basis der Kontaktzuweisung zu steuern.

Diese neuen Konfigurationsmöglichkeiten ermöglichen auf völlig neue Weise den Zugriff auf Informationen in der CMDB i-doit.

Im folgenden Anwendungsfall möchten wir erreichen, dass unsere Anwenderin „Monika Salenga“ die Geräte, für die sie als Benutzerin eingetragen ist, sehen und bestimmte Kategorien eigenständig bearbeiten kann. Dadurch soll ihr ermöglicht werden, z. B. den Standort ihres Notebooks selbst zu ändern.

Unsere Anwenderin befindet sich in der Personengruppe „Sales department“. Hier wurden bisher keinerlei Berechtigungen für den Zugriff auf i-doit konfiguriert.

Anwender in einer i-doit Personengruppe

Wir wechseln in das Berechtigungssystem unter „Verwaltung -> Rechtesystem -> Rechtevergabe -> CMDB“ und wählen die Personengruppe „Sales department“ aus. Hier möchten wir nun erreichen, das Benutzer alle Objekte sehen, für die Sie in der Kontaktzuweisung mit der Rolle „Benutzer“ angelegt sind.

Für diese Personengruppe werden nun die Berechtigungen angelegt. Hier vergeben wir Lese- und Schreibberechtigungen für Objekte mit zugewiesener Rolle in der Kontaktzuweisung. Als Parameter wählen wir hier die Rolle „Benutzer“.
Da wir nun nicht in jedem Objekt die Kontaktzuweisung vornehmen möchten, fügen wir hier noch eine Berechtigung für den logischen Standort und alle logisch zugeordneten Objekte hinzu. Dadurch werden alle Geräte, die einem Arbeitsplatz zugeordnet sind, für den Nutzer sichtbar, auch wenn er dort nicht in der Kontaktzuweisung hinterlegt ist. 

Nun möchten wir noch verhindern, das der Benutzer einfach wichtige Informationen verändern kann. Er soll schließlich nicht einfach vorhandene Informationen abändern, sondern nur auf bestimmte Kategorien zugreifen können. Daher legen wir noch eine Schreibberechtigung für Kategorien in Objekten mit zugewiesener Rolle in der Kontaktzuweisung an. Hier wählen wir als Parameter nur die Kategorie „Standort“ als „Benutzer“.

Zu guter Letzt werden noch die Standardberechtigungen für Objekt-ID und Objekte vom Typ sowie die Kategorien festgelegt.

Berechtigungen per Kontaktzuweisung in der i-doit CMDB

Durch diese Konfiguration haben wir nun folgendes erreicht:

  • Benutzer sehen nur die Objekte, für die Sie in der Kontaktzuweisung als Benutzer eingetragen sind.
  • Sie können nur den Standort dieser Objekte ändern.
  • Sie können alle anderen Werte sehen, aber nicht ändern.
  • Sie können logisch verknüpfte Objekte sehen, wie z.B. bei einem Arbeitsplatz die zugewiesenen Geräte.

Das Rechtesystem, das keine Wünsche offen lässt

Durch das umfangreiche Rechtesystem von i-doit können wir die Berechtigungen von Benutzern und Gruppen individuell konfigurieren.

Typische Anwendungsfelder sind:

  • Sperre von Objekttypen und Kategorien für Benutzer und Gruppen
  • Kurzfristige Erteilung oder Entzug von zusätzlichen Rechten für Mitarbeiter
  • Steuerung des Zugriff auf Funktionen, Informationen und Add-ons
  • Erteilung von Einsicht auf Teile der vorhandenen Dokumentation für externe Dienstleister
  • Schutz der Informationen vor unautorisiertem Zugriff
  • Organisation der Dokumentation von Projektteams 
  • Nutzen Sie das Rechtesystem von i-doit für eine unkomplizierte und gezielte Benutzeradministration und erhöhen Sie so die Sicherheit Ihrer IT.

Weitere Informationen zum Rechtesystem finden Sie in der knowledge Base: kb.i-doit.com

Pattrick Bluhm

Der Autor

Pattrick Bluhm ist zertifizierter IT-Projektmanager im Bereich ITSM, CMDB und IT-Dokumentation. Er konzipiert und plant Dokumentationsprojekte und führt sie mit i-doit für mittelständische Unternehmen in der DACH-Region um. Im Jahr 2020 veröffentlichte er sein erstes Buch mit dem Titel "IT-Dokumentation - Projekte erfolgreich umsetzen".