Schlüssel

Ziel einer CMDB ist es, Daten zentral zu speichern und für alle Nutzerinnen und Nutzer verfügbar zu halten. Doch es gibt Fälle, in denen nicht alle Anwender Zugriff auf sämtliche Informationen haben sollen. Das betrifft die Mitarbeiterinnen und Mitarbeiter des eigenen Unternehmens ebenso wie externe Dienstleister. In unserem heutigen Anwendungsfall werden wir verschiedene Personengruppen anlegen und diese je nach Aufgabenfeld mit unterschiedlichen Rechten ausstatten. 

i-doit bietet umfangreiche Konfigurationsmöglichkeiten

Dadurch ist es Ihnen möglich, jedem Nutzer gesonderte Rechte zu erteilen. So hat der Nutzer nur Zugriff auf die Funktionen und Informationen, die er für seine tägliche Arbeit benötigt.

Für Abteilungen oder Mitarbeiter mit demselben Aufgabenschwerpunkt lassen sich zudem Gruppen anlegen. So halten Sie den den Administrationsaufwand so gering wie möglich. 

Grundsätzlich hat ein Administrator Vollzugriff auf alle Einstellungen, Funktionen und Add-ons. Wenn mehrere Administratoren mit der Verwaltung beauftragt werden, kann es sinnvoll sein, diesen Zugriff auf bestimmte Bereiche, Geräte oder Add-ons einzuschränken.

Video: Das Rechtesystem in i-doit (Teil 1)

Administration ohne Vollzugriff

Unsere Mitarbeiterin Paula Oktal ist ausschließlich für die Administration von Netzwerken zuständig. Der Zugriff auf buchhalterische Informationen oder Passwörter ist in ihrem Aufgabenbereich nicht notwendig. Darum sperren wir diese Kategorien für sie, um Sicherheitsrisiken zu minimieren. Wir erstellen die neue Personengruppe „Network Engineers“ . Jetzt fügen wir die Nutzerin „Paula Oktal“ dieser Gruppe hinzu. Im nächsten Schritt geht es nun darum, die Berechtigungen für diese Gruppe zu definieren.

Rechte definieren

Wir konfigurieren die Gruppe „Network Engineers“ so, dass deren Mitglieder keine Informationen zur Buchhaltung und zu Passwörtern erhalten. Die Rechte für diese Kategorien werden ihnen entzogen. Im Administrationsbereich öffnen wir den Menüpunkt Rechtesystem -> Rechtevergabe -> CMDB. Dort wählen wir unsere erstellte Gruppe aus und laden die Rechte.

Zunächst vergeben wir die Standardberechtigungen. Damit kann i-doit grundsätzlich wie gewohnt genutzt werden. Im letzten Schritt passen wir die Rechte für Kategorien an, indem wir „Buchhaltung“ und „Passwörter“ entfernen.

Danach leeren wir den Rechtesystem-Cache, damit die Änderungen wirksam werden. Dies erfolgt einfach über den Administrationsbereich unter Systemtools -> Cache / Datenbank im linken Navigationsmenü über den Button „Rechtesystem Cache leeren“.

Cache des Rechtesystems

Der direkte Vergleich zeigt nun, dass die Kategorie „Accounting / Buchhaltung“ nicht mehr für Benutzer der Gruppe „Network Engineer“ verfügbar ist. Administratoren und Gruppen mit entsprechender Berechtigung können diese weiterhin sehen und bearbeiten.

Vergleich von zwei Gruppen in i-doit

Berechtigungen nach Standort

Wir möchten die Berechtigungen unserer „Network Engineer“-Gruppe weiter einschränken. Unser Unternehmen verfügt über insgesamt neun Niederlassungen weltweit, aber unsere Mitarbeiter sollen in den internationalen Standorten keine Änderungen vornehmen können. Wir müssen also die Zugriffs- und Änderungsrechte auf Deutschland beschränken. 

Zurück im Rechtesystem, wählen wir wieder unsere Gruppe aus und erstellen zwei neue Regeln. Zum einen legen wir fest, dass die Benutzer Zugriff auf die Objekte unterhalb des definierten Standortes erhalten. Und zum anderen sollen sie natürlich auch berechtigt sein, die Kategorien zu öffnen, um die Informationen abfragen zu können.

Standort Berechtigungen in i-doit

Zugriff auf Racks und kritische Systeme für unautorisiertes Personal sperren

Serverschränke und die darin enthaltenen Server, Speichersysteme und Geräte bilden meist den Kern der IT-Infrastruktur. Um ein hohes Maß an IT-Sicherheit zu gewährleisten, sollten Informationen über kritische Systeme nur für autorisierte Personen zugänglich sein. Auch diese Rechte können spezifisch vergeben bzw. eingeschränkt werden.

Zugriff in Projekten steuern

Für Projekte, bei denen sensible Kundendaten erfasst werden, können wir die Zugriffsrechte entsprechend anpassen, um die Informationen nur ausgewählten Projektmitarbeitern und Auftraggebern zur Verfügung zu stellen. Externen Mitarbeitern und Dienstleistern geben wir dann bestimmte Informationen frei, ohne ihnen Einsicht in das komplette Projekt zu gewähren. Je nach Berechtigung können diese Personen dann Informationen einsehen oder aktiv mitgestalten bzw. ergänzen und anlegen.

Rechte vergeben und entziehen

Unsere Nutzerin „Paula Oktal“ soll nun ein neues Infrastrukturprojekt unterstützen. Da sie dazu auch Zugriff auf die Passwörter und Daten der Buchhaltung benötigt, weisen wir sie zusätzlich der Benutzergruppe „Administratoren“ zu. Nachdem das Projekt beendet ist, entfernen wir sie wieder aus der Administratoren-Gruppe, sodass sie wieder auf ihre ursprünglichen Rechte zurückgestuft wird.

Screenshot von Personengruppen in i-doit

Damit diese Einschränkungen auch im Objektbrowser, in der Standortansicht und im CMDB-Explorer greifen, müssen wir i-doit entsprechend konfigurieren. Dazu gehen wir in die Einstellungen unter Verwaltung → Systemeinstellungen → Experteneinstellungen und scrollen ans Ende der Liste. Dort haben wir die Möglichkeit, neue Einträge hinzuzufügen.

Wir fügen hier drei weitere Einträge hinzu, um den Zugriff auf Bereiche nach Berechtigung zu aktivieren.

Screenshot der Authentifizierung bei i-doit

Freischaltung von Add-ons für einzelne Benutzer

Zusätzlich zu den zahlreichen Grundfunktionen kann i-doit auch durch viele Add-ons funktional erweitert werden. Doch nicht immer ist es sinnvoll, diese für alle Nutzer verfügbar zu machen. Daher regulieren wir auch hier wieder den Zugriff über die Gruppenrechte. Wenn ein einzelner Nutzer Zugriff auf eines der Add-ons erhalten soll, können wir ihm das Recht separat zuweisen, ohne Änderungen an seiner zugewiesenen Gruppe vornehmen zu müssen. Dazu öffnen wir die Rechtevergabe und fügen z. B. das Raumplan-Add-on hinzu.

Video: Das Rechtesystem in i-doit (Teil 2)

Physische Trennung durch Mandanten-Add-on

Wenn Sie Daten Ihrer Kunden oder Standorte physisch trennen möchten, empfehlen wir Ihnen das Mandanten-Add-on. Hier werden die vorhandenen Daten vollständig getrennt gespeichert und jeder Mandant verfügt über ein eigenes Benutzer- und Rechtesystem. 

Das Rechtesystem, das keine Wünsche offen lässt

Durch das umfangreiche Rechtesystem von i-doit können wir die Berechtigungen von Benutzern und Gruppen individuell konfigurieren. 

Typische Anwendungsfelder sind:

  • Sperre von Objekttypen und Kategorien für Benutzer und Gruppen
  • Kurzfristige Erteilung oder Entzug von zusätzlichen Rechten für Mitarbeiter
  • Steuerung des Zugriff auf Funktionen, Informationen und Add-ons
  • Erteilung von Einsicht auf Teile der vorhandenen Dokumentation für externe Dienstleister
  • Schutz der Informationen vor unautorisiertem Zugriff
  • Organisation der Dokumentation von Projektteams 
  • Nutzen Sie das Rechtesystem von i-doit für eine unkomplizierte und gezielte Benutzeradministration und erhöhen Sie so die Sicherheit Ihrer IT.

Weitere Informationen zum Rechtesystem finden Sie in der knowledge Base: kb.i-doit.com

Sollten Sie weitere Fragen zu i-doit haben kontaktieren Sie bitte den Vertrieb sales@i-doit.com oder nutzen Sie unser Kontaktformular

Pattrick Bluhm - Mit-Autor des i-doit Blogs

Der Autor

Pattrick Bluhm ist ein zertifizierter IT-Projektmanager im Bereich ITSM, IT-Dokumentation und CMDB. Er konzipiert und realisiert Dokumentationsprojekte mit i-doit für mittelständische Unternehmen in der DACH-Region. Im Jahr 2020 veröffentlichte er das Buch "IT-Dokumentation - Projekte erfolgreich umsetzen".

Senden Sie eine E-Mail an i-doit

Haben Sie Fragen zu diesem Artikel oder zur i-doit Software? Senden Sie uns eine E-Mail. Wir freuen uns auf Ihre Nachricht.

Laden Sie die Testversion von i-doit herunter

Probieren Sie die Tipps aus diesem Artikel direkt aus. Laden Sie sich die kostenfreie i-doit 30 Tage Testversion herunter.